Nonprofit szervezet a Google-lal és más szponzorokkal 5. november 2019-én terv , amely „az első nyílt forráskódú projektnek nevezi, amely egy nyílt, kiváló minőségű chiparchitektúrát hoz létre hardverszinten a bizalom gyökerével (RoT).
A RISC-V architektúrára épülő OpenTitan egy speciális célú chip adatközpontok szervereire és minden más olyan berendezésre történő telepítéshez, ahol biztosítani kell a rendszerindítási hitelességet, meg kell védeni a firmware-t a változásoktól és kiküszöbölni a rootkitek lehetőségét: ezek alaplapok, hálózati kártyák, útválasztók, IoT-eszközök, mobil modulok stb.
Természetesen léteznek hasonló modulok a modern processzorokban. Például az Intel Hardware Boot Guard modulja az Intel processzorok iránti bizalom gyökere. Az operációs rendszer betöltése előtt bizalmi láncon keresztül ellenőrzi az UEFI BIOS hitelességét. A kérdés azonban az, hogy mennyire bízhatunk a bizalom tulajdonosi gyökereiben, tekintve, hogy nincs garancia arra, hogy nem lesznek hibák a tervezésben, és nincs módunk ellenőrizni is? Lásd a cikket leírásával, hogy „hogyan egy több gyártó gyártása során évek óta klónozott hiba hogyan teszi lehetővé a potenciális támadó számára, hogy ezzel a technológiával egy rejtett rootkitet hozzon létre a rendszerben, amely nem távolítható el (még programozóval sem).
Az ellátási láncban a berendezések kompromittálásának veszélye meglepően valós: úgy tűnik, minden amatőr elektronikai mérnök legfeljebb 200 dollárba kerülő berendezések használatával. Egyes szakértők azt gyanítják, hogy "a több százmillió dolláros költségvetéssel rendelkező szervezetek ezt sok éven át megtehetik". Bár nincs bizonyíték, elméletileg lehetséges.
"Ha nem bízhatsz a hardveres rendszerbetöltőben, akkor a játéknak vége." Gavin Ferris, a lowRISC igazgatótanácsának tagja. - Nem számít, mit csinál az operációs rendszer - ha az operációs rendszer betöltésekor feltörik, akkor a többi már technika kérdése. Már végeztél."
Ezt a problémát az első ilyen nyílt hardverplatformnak, az OpenTitannak kellene megoldania (, , ). A szabadalmaztatott megoldásoktól való eltávolodás segít megváltoztatni a „lomha és hibás RoT-ipart” – mondja a Google.
A Google maga kezdte el a Titan fejlesztését, miután felfedezte az Intel Management Engine (ME) chipekbe épített Minix operációs rendszert. Ez az összetett operációs rendszer kiszámíthatatlan és ellenőrizhetetlen módon kiterjesztette a támadási felületet. Google , de sikertelenül.
Mi a bizalom gyökere?
A rendszerindítási folyamat minden szakasza ellenőrzi a következő szakasz hitelességét, így generál bizalmi lánc.
A Root of Trust (Root of Trust) egy hardver alapú hitelesítés, amely biztosítja, hogy a megbízhatósági lánc első végrehajtható utasításának forrása ne változzon. A RoT a rootkitek elleni alapvető védelem. Ez a rendszerindítási folyamat kulcsfontosságú szakasza, amely részt vesz a rendszer későbbi indításakor - a BIOS-tól az operációs rendszerig és az alkalmazásokig. Minden további letöltési lépés hitelességét ellenőriznie kell. Ehhez minden szakaszban digitálisan aláírt kulcsokat használnak. A hardveres kulcsok védelmének egyik legnépszerűbb szabványa a TPM (Trusted Platform Module).
A bizalom gyökerének megteremtése. A fentiekben egy ötlépéses rendszerindítási folyamat látható, amely bizalmi láncot hoz létre, kezdve a változtathatatlan memóriában lévő rendszerbetöltővel. Minden lépés nyilvános kulcsot használ a következő betöltendő összetevő azonosságának ellenőrzésére. Illusztráció Perry Lee könyvéből
A RoT többféleképpen indítható:
- a kép és a gyökérkulcs betöltése firmware-ből vagy változtathatatlan memóriából;
- a gyökérkulcs tárolása egyszeri programozható memóriában biztosítékbitek segítségével;
- Kód betöltése védett memóriaterületről védett tárolóba.
A különböző processzorok eltérően valósítják meg a bizalom gyökerét. Intel és ARM
támogatja a következő technológiákat:
- ARM TrustZone. Az ARM szabadalmaztatott szilíciumblokkot ad el a chipgyártóknak, amely a bizalom gyökerét és más biztonsági mechanizmusokat biztosít. Ez elválasztja a mikroprocesszort a nem biztonságos magtól; Trusted OS-t futtat, egy biztonságos operációs rendszert, amely jól definiált interfésszel rendelkezik a nem biztonságos összetevőkkel való együttműködéshez. A védett erőforrások a megbízható magban találhatók, és a lehető legkönnyebbnek kell lenniük. A különböző típusú komponensek közötti váltás hardveres kontextusváltással történik, így nincs szükség biztonságos megfigyelő szoftverre.
- Intel Boot Guard egy hardveres mechanizmus a kezdeti rendszerindítási blokk hitelességének kriptográfiai eszközökkel vagy mérési eljárással történő ellenőrzésére. A kezdeti blokk ellenőrzéséhez a gyártónak egy 2048 bites kulcsot kell létrehoznia, amely két részből áll: nyilvános és privát. A nyilvános kulcsot a gyártás során „felrobbantó” biztosítékok nyomtatják a táblára. Ezek a bitek egyszer használatosak, és nem módosíthatók. A kulcs privát része digitális aláírást generál a letöltési szakasz későbbi hitelesítéséhez.
Az OpenTitan platform egy ilyen hardver/szoftver rendszer kulcsfontosságú részeit mutatja be, amint az az alábbi ábrán látható.
OpenTitan platform
Az OpenTitan platform fejlesztését a lowRISC non-profit szervezet irányítja. A mérnöki csapat székhelye Cambridge (Egyesült Királyság), a fő szponzor a Google. Az alapító partnerek közé tartozik az ETH Zurich, a G+D Mobile Security, a Nuvoton Technology és a Western Digital.
Google projekt a Google nyílt forráskódú vállalati blogján. A vállalat szerint az OpenTitan elkötelezett amellett, hogy "kiváló minőségű útmutatást adjon a RoT tervezéséhez és integrációjához adatközponti szerverekben, tárolókban, szélső eszközökben és egyebekben való használatra".
A bizalom gyökere a bizalmi lánc első láncszeme a megbízható számítástechnikai modul legalsó szintjén, amelyben a rendszer mindig teljes mértékben megbízik.
A RoT kritikus fontosságú az alkalmazásokhoz, beleértve a nyilvános kulcsú infrastruktúrákat (PKI). Ez az alapja annak a biztonsági rendszernek, amelyen egy összetett rendszer, például egy IoT-alkalmazás vagy adatközpont alapul. Így világos, hogy a Google miért támogatja ezt a projektet. Jelenleg 19 adatközpontja van öt kontinensen. Az adatközpontok, a tárolók és a kritikus fontosságú alkalmazások hatalmas támadási felületet kínálnak, és ennek az infrastruktúrának a védelme érdekében a Google kezdetben saját bizalmi gyökerét fejlesztette ki a Titan chipen.
először a Google adatközpontjaihoz vezették be a Google Cloud Next konferencián. „Számítógépeink kriptográfiai ellenőrzéseket hajtanak végre minden szoftvercsomagon, majd eldöntik, hogy hozzáférést biztosítanak-e a hálózati erőforrásokhoz. A Titan beépül ebbe a folyamatba, és további védelmi rétegeket kínál” – mondták a Google képviselői a bemutatón.
Titan chip a Google szerveren
A Titan architektúra korábban a Google tulajdonában volt, de most nyílt forráskódú projektként nyilvánossá teszik.
A projekt első szakasza egy logikai RoT tervezés létrehozása chip szinten, beleértve egy nyílt forráskódú mikroprocesszort , kriptográfiai processzorok, hardveres véletlenszám-generátor, kulcs- és memóriahierarchiák a nem felejtő és nem felejtő tárolókhoz, biztonsági mechanizmusok, I/O perifériák és biztonságos rendszerindítási folyamatok.
A Google szerint az OpenTitan három alapelven alapul:
- mindenkinek lehetősége van megnézni a platformot és hozzájárulni;
- fokozott rugalmasság a logikailag biztonságos tervezés megnyitásával, amelyet nem akadályoznak a gyártói korlátozások;
- a minőséget nemcsak maga a tervezés, hanem a referencia firmware és a dokumentáció is biztosítja.
„A bizalmi gyökerekkel rendelkező jelenlegi chipek nagyon védettek. Azt állítják, hogy biztonságosak, de a valóságban ezt természetesnek veszi, és nem tudja maga ellenőrizni – mondja Dominic Rizzo, a Google Titan projekt vezető biztonsági szakértője. „Most először lehetséges biztonságot nyújtani anélkül, hogy vak hitet vennének a bizalmi tervezés sajátos gyökerének fejlesztőiben. Tehát az alap nem csak szilárd, hanem ellenőrizhető is.”
Rizzo hozzátette, hogy az OpenTitan "a dolgok jelenlegi állásához képest radikálisan átlátható dizájnnak tekinthető".
A fejlesztők szerint az OpenTitan semmiképpen sem tekinthető kész terméknek, mert a fejlesztés még nem fejeződött be. Szándékosan nyitották meg a specifikációkat és a tervezést a fejlesztés közepén, hogy mindenki áttekinthesse, beleszólhasson és javíthassa a rendszert a gyártás megkezdése előtt.
Az OpenTitan chipek gyártásának megkezdéséhez jelentkeznie kell, és tanúsítványt kell szereznie. Nyilvánvalóan nincs szükség jogdíjra.
Forrás: will.com