Google, AMD, NVIDIA e Microsoft, nell'ambito del progetto Caliptra, hanno sviluppato un blocco di progettazione di chip aperto (blocco IP) per incorporare strumenti per la creazione di componenti hardware affidabili (RoT, Root of Trust) nei chip. Caliptra è un'unità hardware separata con memoria, processore e implementazione di primitive crittografiche proprie, che fornisce la verifica del processo di avvio, del firmware utilizzato e della configurazione del dispositivo archiviata nella memoria non volatile.
Caliptra può essere utilizzato per integrare in vari chip un'unità hardware indipendente, che ne verifica l'integrità e garantisce l'utilizzo nel dispositivo di firmware verificato e autorizzato dal produttore. Caliptra può semplificare e unificare in modo significativo l'integrazione dei meccanismi di verifica crittografica hardware incorporati in CPU, GPU, SoC, ASIC, adattatori di rete, unità SSD e altre apparecchiature.
Gli strumenti di verifica dell'integrità crittografica e dell'autenticità forniti dalla piattaforma proteggeranno i componenti hardware dall'introduzione di modifiche dannose al firmware e proteggeranno il processo di caricamento e archiviazione delle configurazioni per evitare che il sistema principale venga compromesso a seguito di attacchi a componenti hardware o la sostituzione di cambiamenti dannosi nelle catene di fornitura dei chip. Caliptra offre inoltre la possibilità di verificare l'autenticità degli aggiornamenti firmware e dei dati relativi alla piattaforma (RTU, Root of Trust for Update), rilevare firmware danneggiato e dati critici (RTD, Root of Trust for Detection), ripristinare firmware e dati danneggiati (RTRec , Root of Trust per il ripristino).
Caliptra è in fase di sviluppo presso il sito del progetto congiunto Open Compute, finalizzato allo sviluppo di specifiche hardware aperte per l'equipaggiamento dei data center. Le specifiche relative a Caliptra sono distribuite utilizzando l'Open Web Foundation Agreement (OWFa), progettato per la distribuzione di standard aperti (simile a una licenza open source per le specifiche). L'uso di OWFa rende possibile creare i propri prodotti e implementazioni derivate basate sulla specifica senza pagare royalties e consente a qualsiasi organizzazione di partecipare allo sviluppo della specifica.
L'implementazione di base del blocco IP è basata sul processore RISC-V aperto SWeRV EL2 ed è dotata di 384 KB di RAM (128 KB DCCM, 128 KB ICCM0 e 128 KB SRAM) e 32 KB di ROM. Gli algoritmi crittografici supportati includono SHA256, SHA384, SHA512 ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC e AES256-GCM.
Fonte: opennet.ru