Neprofitna organizacija s Googleom i drugim sponzorima 5. studenog 2019 projekt , koji naziva "prvim projektom otvorenog koda za stvaranje otvorene, visokokvalitetne arhitekture čipa s korijenom povjerenja (RoT) na hardverskoj razini."
OpenTitan temeljen na RISC-V arhitekturi je čip posebne namjene za ugradnju na poslužitelje u podatkovnim centrima i u bilo koju drugu opremu gdje je potrebno osigurati autentičnost pokretanja, zaštititi firmware od promjena i eliminirati mogućnost rootkita: to su matične ploče, mrežne kartice, usmjerivači, IoT uređaji, mobilni uređaji itd.
Naravno, slični moduli postoje u modernim procesorima. Na primjer, modul Intel Hardware Boot Guard temelj je povjerenja u Intelove procesore. Provjerava autentičnost UEFI BIOS-a kroz lanac povjerenja prije učitavanja OS-a. Ali pitanje je koliko možemo vjerovati vlasničkim korijenima povjerenja, s obzirom na to da nemamo garancije da neće biti grešaka u dizajnu, a ne postoji ni način da se to provjeri? Vidi članak uz opis “kako bug koji je godinama kloniran u proizvodnji nekoliko dobavljača omogućuje potencijalnom napadaču da upotrijebi ovu tehnologiju za stvaranje skrivenog rootkita u sustavu koji se ne može ukloniti (čak ni pomoću programera).
Prijetnja kompromitacije opreme u opskrbnom lancu iznenađujuće je stvarna: očito svaki elektroničar amater koristeći opremu koja ne košta više od 200 USD. Neki stručnjaci sumnjaju da bi "organizacije s proračunima od stotina milijuna dolara mogle ovo raditi mnogo godina." Iako nema dokaza, teoretski je moguće.
"Ako ne možete vjerovati hardverskom bootloaderu, igri je kraj," Gavin Ferris, član upravnog odbora lowRISC-a. "Nije važno što operativni sustav radi - ako ste do trenutka podizanja operativnog sustava ugroženi, onda je ostalo stvar tehnike." Već si gotov."
Ovaj bi problem trebala riješiti prva te vrste otvorena hardverska platforma OpenTitan (, , ). Udaljavanje od vlasničkih rješenja pomoći će promijeniti "tromu i manjkavu RoT industriju", kaže Google.
Sam Google počeo je razvijati Titan nakon što je otkrio operativni sustav Minix ugrađen u Intel Management Engine (ME) čipove. Ovaj složeni OS proširio je područje napada na nepredvidive i nekontrolirane načine. Google , ali neuspješno.
Što je korijen povjerenja?
Svaka faza procesa pokretanja sustava provjerava autentičnost sljedeće faze, generirajući tako lanac povjerenja.
Root of Trust (RoT) je provjera autentičnosti temeljena na hardveru koja osigurava da se izvor prve izvršne instrukcije u lancu povjerenja ne može promijeniti. RoT je osnovna zaštita od rootkita. Ovo je ključna faza procesa pokretanja, koja je uključena u kasnije pokretanje sustava - od BIOS-a do OS-a i aplikacija. Mora provjeriti autentičnost svakog sljedećeg koraka preuzimanja. Da biste to učinili, skup digitalno potpisanih ključeva koristi se u svakoj fazi. Jedan od najpopularnijih standarda za zaštitu hardverskog ključa je TPM (Trusted Platform Module).
Uspostavljanje korijena povjerenja. Gore je prikazan proces pokretanja u pet koraka koji stvara lanac povjerenja, počevši od pokretača u nepromjenjivoj memoriji. Svaki korak koristi javni ključ za provjeru identiteta sljedeće komponente koja se učitava. Ilustracija iz knjige Perryja Leeja
RoT se može pokrenuti na različite načine:
- učitavanje slike i korijenskog ključa iz firmvera ili nepromjenjive memorije;
- pohranjivanje korijenskog ključa u jednokratnu programabilnu memoriju korištenjem fuse bitova;
- Učitavanje koda iz zaštićenog memorijskog područja u zaštićenu pohranu.
Različiti procesori različito implementiraju korijen povjerenja. Intel i ARM
podržava sljedeće tehnologije:
- ARM TrustZone. ARM prodaje vlasnički silikonski blok proizvođačima čipova koji osigurava temelj povjerenja i druge sigurnosne mehanizme. Ovo odvaja mikroprocesor od nesigurne jezgre; pokreće Trusted OS, siguran operativni sustav s dobro definiranim sučeljem za interakciju s nesigurnim komponentama. Zaštićeni resursi nalaze se u pouzdanoj jezgri i trebali bi biti što lakši. Prebacivanje između komponenti različitih tipova vrši se korištenjem sklopovskog kontekstnog prebacivanja, čime se eliminira potreba za softverom za siguran nadzor.
- Intel Boot Guard je hardverski mehanizam za provjeru autentičnosti početnog bloka pokretanja kriptografskim sredstvima ili kroz proces mjerenja. Za provjeru početnog bloka proizvođač mora generirati 2048-bitni ključ koji se sastoji od dva dijela: javnog i privatnog. Javni ključ se ispisuje na ploči "detoniranjem" bitova osigurača tijekom proizvodnje. Ovi bitovi su jednokratni i ne mogu se mijenjati. Privatni dio ključa generira digitalni potpis za naknadnu provjeru autentičnosti faze preuzimanja.
OpenTitan platforma izlaže ključne dijelove takvog hardversko/softverskog sustava, kao što je prikazano na donjem dijagramu.
Platforma OpenTitan
Razvojem OpenTitan platforme upravlja neprofitna organizacija lowRISC. Inženjerski tim nalazi se u Cambridgeu (UK), a glavni sponzor je Google. Među osnivačima su ETH Zurich, G+D Mobile Security, Nuvoton Technology i Western Digital.
Google projekt na korporativnom blogu Google Open Source. Tvrtka je rekla da je OpenTitan predan "pružanju visokokvalitetnih smjernica o RoT dizajnu i integraciji za korištenje u poslužiteljima podatkovnih centara, pohrani, rubnim uređajima i više."
Korijen povjerenja je prva karika u lancu povjerenja na najnižoj razini u pouzdanom računalnom modulu, kojem sustav uvijek u potpunosti vjeruje.
RoT je kritičan za aplikacije uključujući infrastrukture javnih ključeva (PKI). To je temelj sigurnosnog sustava na kojem se temelji složen sustav kao što je IoT aplikacija ili podatkovni centar. Dakle, jasno je zašto Google podržava ovaj projekt. Sada ima 19 podatkovnih centara na pet kontinenata. Podatkovni centri, pohrana i aplikacije kritične za misiju predstavljaju golemu površinu za napad, a kako bi zaštitio ovu infrastrukturu, Google je u početku razvio vlastiti korijen povjerenja na čipu Titan.
za Google podatkovne centre je prvi put predstavljen na konferenciji Google Cloud Next. “Naša računala izvode kriptografske provjere na svakom softverskom paketu i zatim odlučuju hoće li mu dopustiti pristup mrežnim resursima. Titan se integrira u ovaj proces i nudi dodatne slojeve zaštite”, rekli su predstavnici Googlea na tom predstavljanju.
Titan čip u Google poslužitelju
Arhitektura Titan prethodno je bila u vlasništvu Googlea, ali je sada postala javna domena kao projekt otvorenog koda.
Prva faza projekta je izrada logičnog RoT dizajna na razini čipa, uključujući mikroprocesor otvorenog koda , kriptografski procesori, hardverski generator slučajnih brojeva, hijerarhije ključeva i memorije za postojanu i postojanu pohranu, sigurnosne mehanizme, I/O periferne uređaje i sigurne procese pokretanja sustava.
Google kaže da se OpenTitan temelji na tri ključna principa:
- svatko ima priliku provjeriti platformu i doprinijeti;
- povećana fleksibilnost otvaranjem logički sigurnog dizajna koji nije blokiran vlasničkim ograničenjima dobavljača;
- kvaliteta osigurana ne samo samim dizajnom, već i referentnim firmverom i dokumentacijom.
“Trenutni čipovi s korijenima povjerenja vrlo su zaštićeni. Tvrde da su sigurni, ali stvarnost je da to uzimate zdravo za gotovo i ne možete to sami provjeriti,” kaže Dominic Rizzo, vodeći znanstvenik za sigurnost za projekt Google Titan. “Sada je po prvi put moguće pružiti sigurnost bez slijepe vjere u programere vlasničkog dizajna root of trust. Dakle, temelj nije samo čvrst, već se može i provjeriti.”
Rizzo je dodao da se OpenTitan može smatrati "radikalno transparentnim dizajnom u usporedbi s trenutnim stanjem stvari."
Prema programerima, OpenTitan se ni na koji način ne bi trebao smatrati gotovim proizvodom, jer razvoj još nije završen. Namjerno su otvorili specifikacije i dizajn usred razvoja kako bi ga svi mogli pregledati, unijeti svoje podatke i poboljšati sustav prije početka proizvodnje.
Da biste počeli proizvoditi OpenTitan čipove, morate se prijaviti i dobiti certifikat. Očigledno, tantijeme nisu potrebne.
Izvor: www.habr.com