Buidheann neo-phrothaideach le Google agus luchd-taic eile air 5 Samhain, 2019 dreachd , a tha ag ràdh “a’ chiad phròiseact stòr fosgailte gus ailtireachd chip fosgailte, àrd-inbhe a chruthachadh le freumh earbsa (RoT) aig ìre bathar-cruaidh. ”
Tha OpenTitan stèidhichte air ailtireachd RISC-V na chip adhbhar sònraichte airson a chuir a-steach air frithealaichean ann an ionadan dàta agus ann an uidheamachd sam bith eile far a bheil sin riatanach gus dèanamh cinnteach à dearbhachd bròg, am firmware a dhìon bho atharrachaidhean agus cuir às do chomas rootkits: is iad sin clàran-màthraichean, cairtean lìonra, routers, innealan IoT, innealan gluasadach, msaa.
Gu dearbh, tha modalan coltach ris ann am pròiseasairean an latha an-diugh. Mar eisimpleir, is e modal Intel Hardware Boot Guard bunait earbsa ann am pròiseasairean Intel. Bidh e a’ dearbhadh dearbhteachd BIOS UEFI tro shreath earbsa mus luchdaich e an OS. Ach is e a’ cheist, dè an ìre as urrainn dhuinn earbsa a bhith ann am freumhan earbsa seilbh, leis nach eil gealltanas sam bith againn nach bi biastagan san dealbhadh, agus nach eil dòigh ann sgrùdadh a dhèanamh air? Faic an artaigil le tuairisgeul air “mar a tha biast a chaidh a ghleusadh airson bliadhnaichean ann an cinneasachadh grunn luchd-reic a’ leigeil le neach-ionnsaigh a dh’ fhaodadh an teicneòlas seo a chleachdadh gus rootkit falaichte a chruthachadh san t-siostam nach gabh a thoirt air falbh (eadhon le prògramadair).
Tha e iongantach an cunnart bho cho-rèiteachadh uidheamachd anns an t-sèine solair: a rèir coltais, innleadair dealanach neo-dhreuchdail sam bith cleachdadh uidheamachd nach eil a’ cosg barrachd air $200. Tha cuid de dh’eòlaichean an amharas gum faodadh “buidhnean le buidseatan ceudan de mhilleanan dolar a bhith a’ dèanamh seo airson grunn bhliadhnaichean. ” Ged nach eil fianais sam bith ann, tha e comasach gu teòiridheach.
“Mura h-urrainn dhut earbsa a bhith ann an bootloader bathar-cruaidh, tha an geama seachad,” Gavin Ferris, ball de bhòrd stiùiridh lowRISC. - Chan eil e gu diofar dè a bhios an siostam obrachaidh a’ dèanamh - ma tha thu ann an cunnart nuair a bhios an siostam obrachaidh a’ luchdachadh, tha an còrr na chùis teicneòlais. Tha thu deiseil mu thràth."
Bu chòir an duilgheadas seo fhuasgladh leis a’ chiad àrd-ùrlar bathar-cruaidh fosgailte OpenTitan (, , ). Le bhith a’ gluasad air falbh bho fhuasglaidhean seilbh cuidichidh sin le bhith ag atharrachadh a’ ghnìomhachas “RoT slaodach agus lochtach,” tha Google ag ràdh.
Thòisich Google fhèin a ’leasachadh Titan às deidh dha faighinn a-mach an siostam obrachaidh Minix a chaidh a thogail a-steach do sgoltagan Intel Management Engine (ME). Leudaich an OS iom-fhillte seo uachdar an ionnsaigh ann an dòighean nach gabh a thuigsinn agus gun smachd. Google , ach gu neo-shoirbheachail.
Dè am bun-stèidh earbsa?
Bidh gach ìre de phròiseas bròg an t-siostaim a’ sgrùdadh dearbhteachd an ath ìre, mar sin a’ gineadh slabhraidh earbsa.
Is e dearbhadh stèidhichte air bathar-cruaidh a th’ ann am Root of Trust (RoT) a nì cinnteach nach urrainnear stòr a’ chiad stiùireadh so-ghnìomhaichte anns an t-sreath earbsa atharrachadh. Is e RoT an dìon bunaiteach an aghaidh rootkits. Is e seo prìomh ìre den phròiseas tòiseachaidh, a tha an sàs ann an tòiseachadh an t-siostaim às deidh sin - bho BIOS gu OS agus tagraidhean. Feumaidh e dearbhadh dearbhteachd gach ceum luchdaich sìos às deidh sin. Gus seo a dhèanamh, thèid seata de dh’ iuchraichean le soidhnigeadh didseatach a chleachdadh aig gach ìre. Is e aon de na h-inbhean as mòr-chòrdte airson dìon iuchair bathar-cruaidh TPM (Modal Àrd-ùrlar earbsach).
A 'stèidheachadh freumh earbsa. Gu h-àrd tha pròiseas tòiseachaidh còig-ceum a chruthaicheas sèine earbsa, a’ tòiseachadh leis an bootloader ann an cuimhne nach gabh atharrachadh. Bidh gach ceum a’ cleachdadh iuchair phoblach gus dearbh-aithne an ath phàirt a tha ri luchdachadh a dhearbhadh. Dealbh bho leabhar Perry Lee
Faodar RoT a chuir air bhog ann an diofar dhòighean:
- a 'luchdachadh an ìomhaigh agus an iuchair root bho firmware no cuimhne nach gabh atharrachadh;
- a’ stòradh an iuchair freumh ann an cuimhne prògramaichte aon-ùine le bhith a’ cleachdadh pìosan fuse;
- A’ luchdachadh còd bho àite cuimhne fo dhìon gu stòr dìon.
Bidh diofar phròiseasan a’ cur an gnìomh freumh earbsa ann an dòigh eadar-dhealaichte. Intel agus ARM
cuir taic ris na teicneòlasan a leanas:
- ARM TrustZone. Bidh ARM a’ reic bloca silicon seilbh ri luchd-dèanaidh chip a bheir seachad freumh earbsa agus dòighean tèarainteachd eile. Bidh seo a’ sgaradh am microprocessor bhon chridhe neo-chinnteach; bidh e a’ ruith Trusted OS, siostam obrachaidh tèarainte le eadar-aghaidh air a dheagh mhìneachadh airson eadar-obrachadh le co-phàirtean mì-chinnteach. Tha goireasan dìon a’ fuireach anns a’ chridhe earbsach agus bu chòir dhaibh a bhith cho aotrom sa ghabhas. Bithear ag atharrachadh eadar diofar phàirtean le bhith a’ cleachdadh atharrachadh co-theacsa bathar-cruaidh, a’ cur às don fheum air bathar-bog sgrùdaidh tèarainte.
- Intel boot geàrd Is e inneal bathar-cruaidh a th’ ann airson dearbhadh fìrinneachd a’ bhloc tòiseachaidh le dòighean criptografach no tro phròiseas tomhais. Gus dearbhadh a dhèanamh air a ’chiad bhloc, feumaidh an neach-dèanamh iuchair 2048-bit a chruthachadh, anns a bheil dà phàirt: poblach agus prìobhaideach. Tha an iuchair phoblach air a chlò-bhualadh air a’ bhòrd le bhith a’ “detonating” pìosan fiùs rè saothrachadh. Tha na pìosan sin nan cleachdadh aon-ùine agus chan urrainnear an atharrachadh. Bidh am pàirt prìobhaideach den iuchair a’ gineadh ainm-sgrìobhte didseatach airson dearbhadh às deidh sin air an ìre luchdaich sìos.
Bidh an àrd-ùrlar OpenTitan a’ nochdadh prìomh phàirtean de shiostam bathar-cruaidh/bathar-bog mar seo, mar a chithear san dealbh gu h-ìosal.
Àrd-ùrlar OpenTitan
Tha leasachadh an àrd-ùrlar OpenTitan air a riaghladh leis a’ bhuidheann neo-phrothaideach lowRISC. Tha an sgioba innleadaireachd stèidhichte ann an Cambridge (RA), agus is e Google am prìomh neach-taic. Am measg nan com-pàirtichean stèidheachaidh tha ETH Zurich, G+D Mobile Security, Nuvoton Technology agus Western Digital.
Ghoogle pròiseact air blog corporra Google Open Source. Thuirt a ’chompanaidh gu bheil OpenTitan dealasach a thaobh“ stiùireadh àrd-inbhe a thoirt seachad air dealbhadh agus amalachadh RoT airson a chleachdadh ann an frithealaichean ionadan dàta, stòradh, innealan iomaill agus barrachd. ”
Is e freumh earbsa a’ chiad cheangal anns an t-sreath earbsa aig an ìre as ìsle ann am modal coimpiutaireachd earbsach, a tha an-còmhnaidh làn earbsa leis an t-siostam.
Tha RoT deatamach airson tagraidhean a’ toirt a-steach bun-structaran prìomh poblach (PKIs). Is e seo bunait an t-siostam tèarainteachd air a bheil siostam iom-fhillte leithid tagradh IoT no ionad dàta stèidhichte. Mar sin tha e soilleir carson a tha Google a’ toirt taic don phròiseact seo. Tha 19 ionadan dàta aige a-nis air còig mòr-thìrean. Tha ionadan dàta, stòradh, agus tagraidhean a tha deatamach do mhisean a’ nochdadh uachdar ionnsaigh mòr, agus gus am bun-structar seo a dhìon, leasaich Google an toiseach a bhunait earbsa fhèin air a’ chip Titan.
airson ionadan dàta Google a thoirt a-steach an toiseach aig co-labhairt Google Cloud Next. “Bidh na coimpiutairean againn a’ dèanamh sgrùdaidhean criptografach air gach pasgan bathar-bog agus an uairsin a’ co-dhùnadh am bu chòir dhaibh cothrom a thoirt dha goireasan lìonra. Bidh Titan a ’fighe a-steach don phròiseas seo agus a’ tabhann sreathan dìon a bharrachd, ”thuirt riochdairean Google aig an taisbeanadh sin.
Titan chip ann am frithealaiche Google
B’ ann le Google a bha an ailtireachd Titan roimhe seo, ach tha e a-nis ga fhoillseachadh gu poblach mar phròiseact le còd fosgailte.
Is e a ’chiad ìre den phròiseact dealbhadh RoT loidsigeach a chruthachadh aig ìre chip, a’ toirt a-steach microprocessor stòr fosgailte , pròiseasairean criptografach, gineadair àireamh air thuaiream bathar-cruaidh, rangachd iuchrach is cuimhne airson stòradh neo-luaineach agus neo-luaineach, dòighean tèarainteachd, iomaill I/O agus pròiseasan bròg tèarainte.
Tha Google ag ràdh gu bheil OpenTitan stèidhichte air trì prìomh phrionnsapalan:
- tha cothrom aig a h-uile duine sùil a thoirt air an àrd-ùrlar agus cur ris;
- barrachd sùbailteachd le bhith a’ fosgladh dealbhadh tèarainte gu loidsigeach nach eil air a bhacadh le cuingealachaidhean reiceadair seilbh;
- càileachd air a dhèanamh cinnteach chan ann a-mhàin leis an dealbhadh fhèin, ach cuideachd le firmware iomraidh agus sgrìobhainnean.
“Tha sgoltagan gnàthach le freumhan earbsa gu math seilbh. Tha iad ag agairt gu bheil iad tèarainte, ach gu fìrinneach, tha thu ga ghabhail mar thabhartas agus chan urrainn dhut a dhearbhadh leat fhèin, arsa Dominic Rizzo, prìomh eòlaiche tèarainteachd airson pròiseact Google Titan. “A-nis, airson a’ chiad uair, tha e comasach tèarainteachd a thoirt seachad gun chreideamh dall ann an luchd-leasachaidh bunait seilbh de dhealbhadh earbsa. Mar sin chan e a-mhàin gu bheil am bunait làidir, faodar a dhearbhadh. ”
Thuirt Rizzo gum faodar beachdachadh air OpenTitan mar “dhealbhadh gu math follaiseach an taca ris an t-suidheachadh gnàthach.”
A rèir an luchd-leasachaidh, cha bu chòir OpenTitan a bhith air a mheas mar thoradh crìochnaichte, leis nach eil an leasachadh deiseil fhathast. Dh’ fhosgail iad a dh’aona ghnothach na mion-chomharrachadh agus dealbhadh meadhan-leasachaidh gus am b’ urrainn don h-uile duine ath-sgrùdadh a dhèanamh air, cuir a-steach a thoirt seachad, agus an siostam adhartachadh mus tòisich cinneasachadh.
Gus tòiseachadh air chips OpenTitan a thoirt a-mach, feumaidh tu tagradh a dhèanamh agus teisteanas fhaighinn. A rèir coltais, chan eil feum air dleasdanasan.
Source: www.habr.com