非営利団体 低RISC Google およびその他のスポンサーとの共催 5 年 2019 月 XNUMX 日 提示 プロジェクト オープンタイタンこれは、「ハードウェア レベルで信頼のルート (RoT) を備えたオープンで高品質のチップ アーキテクチャを作成する最初のオープンソース プロジェクト」と呼ばれています。

RISC-V アーキテクチャに基づく OpenTitan は、データ センターのサーバーや、ブートの信頼性を確保し、ファームウェアを変更から保護し、ルートキットの可能性を排除する必要があるその他の機器にインストールするための専用チップです。これらはマザーボードです。ネットワークカード、ルーター、IoTデバイス、モバイルガジェットなど

もちろん、同様のモジュールが最新のプロセッサーにも存在します。たとえば、Intel Hardware Boot Guard モジュールは、Intel プロセッサの信頼のルートです。 OS をロードする前に、信頼チェーンを通じて UEFI BIOS の信頼性を検証します。しかし問題は、設計にバグがないという保証がなく、それをチェックする方法もないことを考えると、独自のルート・オブ・トラストをどの程度信頼できるのかということです。記事を見る 「シュレディンガーの信頼できるダウンロード。インテルブートガード」 説明には、「複数のベンダーの製品で何年にもわたって複製されてきたバグにより、潜在的な攻撃者がこのテクノロジーを使用して、(プログラマーでも) 削除できない隠しルートキットをシステム内に作成する方法が可能になります。」

サプライチェーンにおける機器の侵害の脅威は驚くほど現実的です。アマチュアの電子技術者なら誰でもそうでしょう。 サーバーのマザーボードにバグをはんだ付けできる200 ドル以下の機器を使用します。一部の専門家は、「数億ドルの予算を持つ組織が、このようなことを長年にわたって行っている可能性がある」と疑っている。証拠はありませんが、理論的には可能です。

「ハードウェア ブートローダーを信頼できない場合は、ゲームオーバーです。」 彼は話します ギャビン・フェリス、lowRISC 取締役会メンバー。 「オペレーティング システムが何をするかは問題ではありません。オペレーティング システムが起動するまでにセキュリティが侵害されていれば、あとは技術の問題です。」もう終わったんだよ。」

この問題は、この種初のオープン ハードウェア プラットフォーム OpenTitan (GitHub リポジトリ, ドキュメント, ハードウェア仕様）。独自のソリューションからの脱却は、「停滞し欠陥のあるRoT業界」を変えるのに役立つとGoogleは言う。

Google 自体は、Intel Management Engine (ME) チップに組み込まれた Minix オペレーティング システムを発見した後、Titan の開発を開始しました。この複雑な OS は、予測不能かつ制御不能な方法で攻撃対象領域を拡大しました。グーグル Intel Management Engine (ME) を削除しようとしました、しかし失敗。

信頼の根源とは何でしょうか？

システム起動プロセスの各段階で、次の段階の信頼性がチェックされ、 信頼の連鎖.

ルート オブ トラスト (RoT) は、信頼チェーン内の最初の実行可能な命令のソースが変更できないことを保証するハードウェア ベースの認証です。 RoT はルートキットに対する基本的な保護です。これはブート プロセスの重要な段階であり、BIOS から OS およびアプリケーションに至る、その後のシステムの起動に関与します。後続の各ダウンロード手順の信頼性を検証する必要があります。これを行うには、デジタル署名されたキーのセットが各段階で使用されます。ハードウェア キー保護の最も一般的な標準の XNUMX つは、TPM (Trusted Platform Module) です。

信頼のルートを確立する。上記は、不変メモリ内のブートローダーから始まる、信頼のチェーンを作成する XNUMX 段階のブート プロセスです。各ステップでは、公開キーを使用して、次にロードされるコンポーネントの ID を検証します。ペリー・リーの本のイラスト 「モノのインターネットアーキテクチャ」

RoT はさまざまな方法で起動できます。

• ファームウェアまたは不変メモリからイメージとルートキーをロードします。
• ヒューズビットを使用してルートキーをワンタイムプログラマブルメモリに保存する。
• 保護されたメモリ領域から保護されたストレージにコードをロードします。

プロセッサーが異なれば、信頼のルートの実装方法も異なります。インテルとARM
次のテクノロジーをサポートします。

• ARM TrustZoneの。 ARM は、信頼のルートやその他のセキュリティ メカニズムを提供する独自のシリコン ブロックをチップメーカーに販売しています。これにより、マイクロプロセッサが安全でないコアから分離されます。 Trusted OS は、安全でないコンポーネントと対話するための明確に定義されたインターフェイスを備えた安全なオペレーティング システムです。保護されたリソースは信頼できるコアに存在し、可能な限り軽量である必要があります。異なるタイプのコンポーネント間の切り替えは、ハードウェア コンテキスト スイッチングを使用して行われるため、安全な監視ソフトウェアは必要ありません。
• インテルブートガード 暗号化手段または測定プロセスを通じて、初期ブート ブロックの信頼性を検証するためのハードウェア メカニズムです。最初のブロックを検証するには、製造元は公開キーと秘密キーの 2048 つの部分で構成される XNUMX ビットのキーを生成する必要があります。公開キーは、製造中にヒューズビットを「爆発させる」ことによって基板に印刷されます。これらのビットは XNUMX 回限り使用され、変更できません。キーのプライベート部分は、その後のダウンロード段階の認証のためのデジタル署名を生成します。

OpenTitan プラットフォームは、以下の図に示すように、そのようなハードウェア/ソフトウェア システムの主要な部分を公開します。

OpenTitan プラットフォーム

OpenTitan プラットフォームの開発は、非営利団体 lowRISC によって管理されています。エンジニアリング チームはケンブリッジ (英国) に拠点を置き、メイン スポンサーは Google です。設立パートナーには、ETH Zurich、G+D Mobile Security、Nuvoton Technology、Western Digital が含まれます。

でログイン 発表を発表しました Google オープンソース企業ブログのプロジェクト。同社は、OpenTitanが「データセンターサーバー、ストレージ、エッジデバイスなどで使用するためのRoT設計と統合に関する高品質のガイダンスを提供する」ことに尽力していると述べた。

ルート オブ トラストは、トラステッド コンピューティング モジュールの最下位レベルにある信頼チェーンの最初のリンクであり、システムによって常に完全に信頼されます。

RoT は、公開キー基盤 (PKI) を含むアプリケーションにとって重要です。 IoT アプリケーションやデータセンターなどの複雑なシステムの基盤となるセキュリティ システムの基盤です。したがって、Google がこのプロジェクトをサポートする理由は明らかです。現在、19 大陸に XNUMX のデータセンターがあります。データセンター、ストレージ、ミッションクリティカルなアプリケーションは広大な攻撃対象領域を提供しており、このインフラストラクチャを保護するために、Google は当初、Titan チップ上に独自のルート オブ トラストを開発しました。

独自のTitanチップ Google データセンター向けに初めて導入されました 2017年XNUMX月 Google Cloud Next カンファレンスにて。 「私たちのコンピュータは各ソフトウェア パッケージに対して暗号化チェックを実行し、ネットワーク リソースへのアクセスを許可するかどうかを決定します。 Titan はこのプロセスに統合され、追加の保護層を提供します」と Google の担当者はプレゼンテーションで述べました。

GoogleサーバーのTitanチップ

Titan アーキテクチャは以前は Google が所有していましたが、現在はオープンソース プロジェクトとしてパブリック ドメインになっています。

プロジェクトの最初の段階は、オープンソース マイクロプロセッサを含む、チップ レベルでの論理 RoT 設計の作成です。 lowRISC アイベックス、暗号化プロセッサ、ハードウェア乱数生成器、不揮発性および不揮発性ストレージのキーおよびメモリ階層、セキュリティ メカニズム、I/O 周辺機器、およびセキュア ブート プロセス。

Googleによれば、OpenTitanはXNUMXつの重要な原則に基づいているという。

• 誰もがプラットフォームをチェックして貢献する機会があります。
• 独自のベンダー制限によってブロックされない論理的に安全な設計を開くことにより、柔軟性が向上します。
• 品質は設計そのものだけでなく、リファレンスファームウェアやドキュメントによっても保証されます。

「信頼のルートを持つ現在のチップは非常に独自のものです。彼らは安全であると主張していますが、現実にはそれが当然のことだと考えられており、自分でそれを検証することはできません」と Google Titan プロジェクトの主任セキュリティ サイエンティストである Dominic Rizzo 氏は言います。 「現在、独自の信頼のルート設計の開発者を盲信することなくセキュリティを提供できるようになりました。つまり、基礎が強固であるだけでなく、検証することもできるのです。」

Rizzo氏は、OpenTitanは「現状に比べて根本的に透明な設計」と考えられると付け加えた。

開発者によれば、開発はまだ完了していないため、OpenTitan は決して完成品とみなされるべきではありません。彼らは開発途中の仕様と設計を意図的に公開し、生産開始前に誰もがレビューし、意見を提供し、システムを改善できるようにしました。

OpenTitan チップの生産を開始するには、申請して認定を取得する必要があります。どうやらロイヤリティーは必要ないようです。

出所： habr.com