Organización sen ánimo de lucro con Google e outros patrocinadores o 5 de novembro de 2019 proxecto , que chama "o primeiro proxecto de código aberto para crear unha arquitectura de chip aberta e de alta calidade cunha raíz de confianza (RoT) a nivel de hardware".
OpenTitan baseado na arquitectura RISC-V é un chip de propósito especial para a instalación en servidores de centros de datos e en calquera outro equipo onde sexa necesario garantir a autenticidade do arranque, protexer o firmware de cambios e eliminar a posibilidade de rootkits: son placas base, tarxetas de rede, enrutadores, dispositivos IoT, aparellos móbiles, etc.
Por suposto, existen módulos similares nos procesadores modernos. Por exemplo, o módulo Intel Hardware Boot Guard é a raíz da confianza nos procesadores Intel. Verifica a autenticidade da UEFI BIOS a través dunha cadea de confianza antes de cargar o SO. Pero a pregunta é, canto podemos confiar nas raíces propietarias de confianza, dado que non temos garantía de que non haxa erros no deseño e non hai forma de comprobalo? Ver artigo cunha descrición de “como un erro que foi clonado durante anos na produción de varios provedores permite que un potencial atacante utilice esta tecnoloxía para crear un rootkit oculto no sistema que non se pode eliminar (nin sequera cun programador).
A ameaza de comprometer os equipos na cadea de subministración é sorprendentemente real: ao parecer, calquera enxeñeiro electrónico afeccionado utilizando equipos que non custan máis de $200. Algúns expertos sospeitan que "as organizacións con orzamentos de centos de millóns de dólares poderían estar facendo isto durante moitos anos". Aínda que non hai probas, teoricamente é posible.
"Se non podes confiar no cargador de arranque de hardware, acabouse". Gavin Ferris, membro do consello de administración de lowRISC. "Non importa o que faga o sistema operativo: se no momento en que se inicia o sistema operativo estás comprometido, o resto é unha cuestión de técnica". Xa remataches".
Este problema debería ser resolto pola primeira plataforma de hardware aberta deste tipo OpenTitan (, , ). Afastándose das solucións propietarias axudará a cambiar a "industria de RoT lenta e defectuosa", di Google.
A propia Google comezou a desenvolver Titan despois de descubrir o sistema operativo Minix integrado nos chips Intel Management Engine (ME). Este complexo sistema operativo ampliou a superficie de ataque de xeitos imprevisibles e incontrolables. Google , pero sen éxito.
Cal é a raíz da confianza?
Cada etapa do proceso de inicio do sistema comproba a autenticidade da seguinte etapa, xerando así cadea de confianza.
Root of Trust (RoT) é unha autenticación baseada en hardware que garante que non se pode cambiar a fonte da primeira instrución executable nunha cadea de confianza. RoT é a protección básica contra os rootkits. Esta é unha etapa clave do proceso de arranque, que está implicada no posterior inicio do sistema, desde o BIOS ata o sistema operativo e as aplicacións. Debe verificar a autenticidade de cada paso posterior de descarga. Para iso, utilízase un conxunto de claves asinadas dixitalmente en cada etapa. Un dos estándares máis populares para a protección de chaves de hardware é TPM (Trusted Platform Module).
Establecer unha raíz de confianza. Arriba hai un proceso de inicio de cinco pasos que crea unha cadea de confianza, comezando polo cargador de arranque na memoria inmutable. Cada paso utiliza unha chave pública para verificar a identidade do seguinte compoñente que se vai cargar. Ilustración do libro de Perry Lee
RoT pódese lanzar de diferentes xeitos:
- cargando a imaxe e a clave raíz do firmware ou da memoria inmutable;
- almacenar a clave raíz nunha memoria programable única usando bits de fusible;
- Cargando código dunha área de memoria protexida nun almacenamento protexido.
Diferentes procesadores implementan a raíz da confianza de forma diferente. Intel e ARM
apoiar as seguintes tecnoloxías:
- ARM TrustZone. ARM vende un bloque de silicio propietario aos fabricantes de chips que proporciona unha raíz de confianza e outros mecanismos de seguridade. Isto separa o microprocesador do núcleo inseguro; executa Trusted OS, un sistema operativo seguro cunha interface ben definida para interactuar con compoñentes inseguros. Os recursos protexidos residen no núcleo de confianza e deben ser o máis lixeiros posible. O cambio entre compoñentes de diferentes tipos realízase mediante a conmutación de contexto de hardware, eliminando a necesidade de software de vixilancia seguro.
- Intel Boot Guard é un mecanismo de hardware para verificar a autenticidade do bloque de arranque inicial por medios criptográficos ou mediante un proceso de medición. Para verificar o bloque inicial, o fabricante debe xerar unha clave de 2048 bits, que consta de dúas partes: pública e privada. A chave pública está impresa no taboleiro "detonando" bits de fusible durante a fabricación. Estes bits son de uso único e non se poden cambiar. A parte privada da clave xera unha sinatura dixital para a posterior autenticación da fase de descarga.
A plataforma OpenTitan expón partes clave deste sistema de hardware/software, como se mostra no diagrama a continuación.
Plataforma OpenTitan
O desenvolvemento da plataforma OpenTitan está xestionado pola organización sen ánimo de lucro lowRISC. O equipo de enxeñería ten a súa sede en Cambridge (Reino Unido) e o principal patrocinador é Google. Os socios fundadores inclúen ETH Zurich, G+D Mobile Security, Nuvoton Technology e Western Digital.
Google proxecto no blog corporativo de código aberto de Google. A compañía dixo que OpenTitan comprométese a "proporcionar orientación de alta calidade sobre o deseño e integración de RoT para o seu uso en servidores de centros de datos, almacenamento, dispositivos de borde e moito máis".
A raíz da confianza é o primeiro elo da cadea de confianza no nivel máis baixo nun módulo informático de confianza, no que o sistema sempre confía plenamente.
RoT é fundamental para aplicacións, incluíndo infraestruturas de chave pública (PKI). É a base do sistema de seguridade no que se basea un sistema complexo como unha aplicación IoT ou un centro de datos. Así que está claro por que Google apoia este proxecto. Agora conta con 19 centros de datos nos cinco continentes. Os centros de datos, o almacenamento e as aplicacións de misión crítica presentan unha ampla superficie de ataque e, para protexer esta infraestrutura, Google desenvolveu inicialmente a súa propia raíz de confianza no chip Titan.
para os centros de datos de Google presentouse por primeira vez na conferencia Google Cloud Next. "Os nosos ordenadores realizan comprobacións criptográficas en cada paquete de software e despois deciden se lle conceden acceso aos recursos da rede. Titan intégrase neste proceso e ofrece capas adicionais de protección", dixeron os representantes de Google nesa presentación.
Chip Titan no servidor de Google
A arquitectura Titan era anteriormente propiedade de Google, pero agora está a ser de dominio público como un proxecto de código aberto.
A primeira etapa do proxecto é a creación dun deseño RoT lóxico a nivel de chip, incluíndo un microprocesador de código aberto. , procesadores criptográficos, xerador de números aleatorios de hardware, xerarquías de clave e memoria para almacenamento non volátil e non volátil, mecanismos de seguridade, periféricos de E/S e procesos de arranque seguro.
Google di que OpenTitan baséase en tres principios fundamentais:
- todos teñen a oportunidade de consultar a plataforma e contribuír;
- aumento da flexibilidade ao abrir un deseño loxicamente seguro que non está bloqueado polas restricións de provedores propietarios;
- calidade garantida non só polo deseño en si, senón tamén polo firmware e a documentación de referencia.
"Os chips actuais con raíces de confianza son moi propietarios. Din ser seguros, pero a realidade é que o dás por feito e non podes verificalo por ti mesmo”, di Dominic Rizzo, científico principal de seguridade do proxecto Google Titan. "Agora, por primeira vez, é posible proporcionar seguridade sen unha fe cega nos desenvolvedores dunha raíz propietaria de deseño de confianza. Así que a base non só é sólida, pódese verificar".
Rizzo engadiu que OpenTitan pode considerarse "un deseño radicalmente transparente en comparación co estado actual das cousas".
Segundo os desenvolvedores, OpenTitan non debe considerarse de ningún xeito un produto acabado, porque o desenvolvemento aínda non rematou. Abriron deliberadamente as especificacións e o deseño a mediados de desenvolvemento para que todos puidesen revisalos, proporcionar entradas e mellorar o sistema antes de comezar a produción.
Para comezar a producir chips OpenTitan, cómpre solicitar a certificación e obter a certificación. Ao parecer, non se requiren dereitos de autor.
Fonte: www.habr.com