
Organisasi non profit dengan Google dan sponsor lainnya 5 November 2019 proyek , yang menyebut βproyek sumber terbuka pertama yang menciptakan arsitektur chip terbuka dan berkualitas tinggi dengan akar kepercayaan (RoT) di tingkat perangkat keras.β
OpenTitan berdasarkan arsitektur RISC-V adalah chip tujuan khusus untuk instalasi pada server di pusat data dan peralatan lain di mana diperlukan untuk memastikan keaslian boot, melindungi firmware dari perubahan dan menghilangkan kemungkinan rootkit: ini adalah motherboard, kartu jaringan, router, perangkat IoT, gadget seluler, dll.
Tentu saja, modul serupa ada di prosesor modern. Misalnya, modul Intel Hardware Boot Guard adalah akar kepercayaan pada prosesor Intel. Ini memverifikasi keaslian UEFI BIOS melalui rantai kepercayaan sebelum memuat OS. Namun pertanyaannya adalah, seberapa besar kita bisa mempercayai akar kepercayaan kepemilikan, mengingat kita tidak memiliki jaminan bahwa tidak akan ada bug dalam desain, dan tidak ada cara untuk memeriksanya? Lihat artikel dengan penjelasan tentang βbagaimana bug yang telah dikloning selama bertahun-tahun dalam produksi beberapa vendor memungkinkan calon penyerang menggunakan teknologi ini untuk membuat rootkit tersembunyi di sistem yang tidak dapat dihapus (bahkan dengan seorang programmer).
Ancaman kompromi peralatan dalam rantai pasokan ternyata nyata: tampaknya, setiap insinyur elektronik amatir menggunakan peralatan yang harganya tidak lebih dari $200. Beberapa ahli menduga bahwa "organisasi dengan anggaran ratusan juta dolar dapat melakukan hal ini selama bertahun-tahun." Meskipun tidak ada bukti, secara teori hal itu mungkin terjadi.
"Jika Anda tidak dapat mempercayai bootloader perangkat keras, maka permainan berakhir," Gavin Ferris, anggota dewan direksi lowRISC. - Tidak peduli apa yang dilakukan sistem operasi - jika pada saat sistem operasi dimuat Anda telah disusupi, maka sisanya adalah masalah teknik. Kamu sudah selesai."
Masalah ini harus diselesaikan dengan platform perangkat keras terbuka pertama OpenTitan (, , ). Beralih dari solusi kepemilikan akan membantu mengubah βindustri RoT yang lamban dan cacat,β kata Google.
Google sendiri mulai mengembangkan Titan setelah menemukan sistem operasi Minix yang tertanam dalam chip Intel Management Engine (ME). OS yang kompleks ini memperluas permukaan serangan dengan cara yang tidak dapat diprediksi dan dikendalikan. Google , tetapi tidak berhasil.
Apa akar dari kepercayaan?
Setiap tahap proses boot sistem memeriksa keaslian tahap berikutnya, sehingga menghasilkan rantai kepercayaan.
Root of Trust (RoT) adalah otentikasi berbasis perangkat keras yang memastikan bahwa sumber instruksi pertama yang dapat dieksekusi dalam rantai kepercayaan tidak dapat diubah. RoT adalah perlindungan dasar terhadap rootkit. Ini adalah tahap kunci dari proses booting, yang terlibat dalam pengaktifan sistem selanjutnya - dari BIOS ke OS dan aplikasi. Itu harus memverifikasi keaslian setiap langkah pengunduhan berikutnya. Untuk melakukan hal ini, satu set kunci yang ditandatangani secara digital digunakan pada setiap tahap. Salah satu standar paling populer untuk perlindungan kunci perangkat keras adalah TPM (Trusted Platform Module).

Membangun akar kepercayaan. Di atas adalah proses booting lima langkah yang menciptakan rantai kepercayaan, dimulai dengan bootloader di memori yang tidak dapat diubah. Setiap langkah menggunakan kunci publik untuk memverifikasi identitas komponen berikutnya yang akan dimuat. Ilustrasi dari buku Perry Lee
RoT dapat diluncurkan dengan berbagai cara:
- memuat gambar dan kunci root dari firmware atau memori yang tidak dapat diubah;
- menyimpan kunci root dalam memori yang dapat diprogram satu kali menggunakan bit sekering;
- Memuat kode dari area memori yang dilindungi ke penyimpanan yang dilindungi.
Prosesor yang berbeda mengimplementasikan root of trust secara berbeda. Intel dan ARM
mendukung teknologi berikut:
- Zona Kepercayaan ARM. ARM menjual blok silikon miliknya kepada pembuat chip yang memberikan dasar kepercayaan dan mekanisme keamanan lainnya. Ini memisahkan mikroprosesor dari inti yang tidak aman; ia menjalankan OS Tepercaya, sistem operasi aman dengan antarmuka yang terdefinisi dengan baik untuk berinteraksi dengan komponen yang tidak aman. Sumber daya yang dilindungi berada di inti tepercaya dan harus seringan mungkin. Peralihan antar komponen dari jenis yang berbeda dilakukan menggunakan peralihan konteks perangkat keras, sehingga menghilangkan kebutuhan akan perangkat lunak pemantauan yang aman.
- Penjaga Boot Intel adalah mekanisme perangkat keras untuk memverifikasi keaslian blok boot awal dengan cara kriptografi atau melalui proses pengukuran. Untuk memverifikasi blok awal, pabrikan harus membuat kunci 2048-bit, yang terdiri dari dua bagian: publik dan pribadi. Kunci publik dicetak di papan dengan βmeledakkanβ bit sekering selama pembuatan. Bit-bit ini hanya sekali pakai dan tidak dapat diubah. Bagian pribadi dari kunci menghasilkan tanda tangan digital untuk otentikasi selanjutnya pada tahap pengunduhan.
Platform OpenTitan memperlihatkan bagian-bagian penting dari sistem perangkat keras/perangkat lunak, seperti yang ditunjukkan pada diagram di bawah.

Platform OpenTitan
Pengembangan platform OpenTitan dikelola oleh organisasi nirlaba lowRISC. Tim teknik berbasis di Cambridge (Inggris), dan sponsor utamanya adalah Google. Mitra pendirinya meliputi ETH Zurich, G+D Mobile Security, Nuvoton Technology, dan Western Digital.
Google proyek di blog perusahaan Google Open Source. Perusahaan mengatakan OpenTitan berkomitmen untuk "memberikan panduan berkualitas tinggi mengenai desain dan integrasi RoT untuk digunakan di server pusat data, penyimpanan, perangkat edge, dan banyak lagi."
Akar kepercayaan adalah mata rantai pertama dalam rantai kepercayaan di tingkat paling bawah dalam modul komputasi tepercaya, yang selalu dipercaya sepenuhnya oleh sistem.
RoT sangat penting untuk aplikasi termasuk infrastruktur kunci publik (PKI). Ini adalah fondasi sistem keamanan yang menjadi dasar sistem kompleks seperti aplikasi IoT atau pusat data. Jadi jelas mengapa Google mendukung proyek ini. Kini perusahaan ini memiliki 19 pusat data di lima benua. Pusat data, penyimpanan, dan aplikasi-aplikasi penting menghadirkan permukaan serangan yang luas, dan untuk melindungi infrastruktur ini, Google pada awalnya mengembangkan akar kepercayaannya sendiri pada chip Titan.
untuk pusat data Google pertama kali diperkenalkan di konferensi Google Cloud Berikutnya. βKomputer kami melakukan pemeriksaan kriptografi pada setiap paket perangkat lunak dan kemudian memutuskan apakah akan memberikannya akses ke sumber daya jaringan. Titan terintegrasi ke dalam proses ini dan menawarkan lapisan perlindungan tambahan,β kata perwakilan Google pada presentasi tersebut.

Chip Titan di server Google
Arsitektur Titan sebelumnya dimiliki oleh Google, namun kini dijadikan domain publik sebagai proyek sumber terbuka.
Tahap pertama dari proyek ini adalah pembuatan desain RoT logis pada tingkat chip, termasuk mikroprosesor open source , prosesor kriptografi, pembuat nomor acak perangkat keras, hierarki kunci dan memori untuk penyimpanan non-volatil dan non-volatil, mekanisme keamanan, periferal I/O, dan proses booting yang aman.
Google mengatakan OpenTitan didasarkan pada tiga prinsip utama:
- setiap orang mempunyai kesempatan untuk mencoba platform ini dan berkontribusi;
- peningkatan fleksibilitas dengan membuka desain yang aman secara logis yang tidak terhalang oleh batasan kepemilikan vendor;
- kualitas dipastikan tidak hanya oleh desain itu sendiri, tetapi juga oleh firmware referensi dan dokumentasi.
βChip saat ini dengan akar kepercayaan sangat eksklusif. Mereka mengaku aman, namun kenyataannya, Anda menganggapnya remeh dan tidak dapat memverifikasinya sendiri, kata Dominic Rizzo, pakar keamanan utama untuk proyek Google Titan. βSekarang, untuk pertama kalinya, memberikan keamanan tanpa kepercayaan buta kepada pengembang desain akar kepercayaan dapat diberikan. Jadi fondasinya tidak hanya kokoh, tapi bisa diverifikasi.β
Rizzo menambahkan bahwa OpenTitan dapat dianggap sebagai "desain yang sangat transparan dibandingkan dengan keadaan saat ini."
Menurut pengembangnya, OpenTitan sama sekali tidak boleh dianggap sebagai produk jadi, karena pengembangannya belum selesai. Mereka sengaja membuka spesifikasi dan desain di tengah pengembangan agar semua orang bisa mengulasnya, memberikan masukan, dan menyempurnakan sistem sebelum produksi dimulai.
Untuk mulai memproduksi chip OpenTitan, Anda perlu mendaftar dan mendapatkan sertifikasi. Rupanya, tidak diperlukan royalti.
Sumber: www.habr.com
