Коммерциялық емес ұйым Google және басқа демеушілермен 5 жылдың 2019 қарашасы жоба , ол «аппараттық деңгейде сенім түбірі (RoT) бар ашық, жоғары сапалы чип архитектурасын жасайтын бірінші ашық жоба» деп атайды.
RISC-V архитектурасына негізделген OpenTitan - бұл жүктеудің түпнұсқалығын қамтамасыз ету, микробағдарламаны өзгертулерден қорғау және руткиттер мүмкіндігін жою үшін деректер орталықтарындағы серверлерге және кез келген басқа жабдыққа орнатуға арналған арнайы мақсаттағы чип: бұл аналық платалар, желі карталары, маршрутизаторлар, IoT құрылғылары, мобильді гаджеттер және т.б.
Әрине, ұқсас модульдер заманауи процессорларда бар. Мысалы, Intel Hardware Boot Guard модулі Intel процессорларына деген сенімнің негізі болып табылады. Ол операциялық жүйені жүктемес бұрын сенім тізбегі арқылы UEFI BIOS түпнұсқалығын тексереді. Бірақ мәселе дизайндағы қателер болмайтынына кепілдік бермейтінін және оны тексерудің мүмкіндігі жоқтығын ескерсек, сенімнің меншікті тамырларына қаншалықты сенуге болады? Мақаланы қараңыз сипаттамасымен «бірнеше өндірушілердің өндірісінде жылдар бойы клондалған қате әлеуетті шабуылдаушыға жүйеде жойылмайтын (тіпті бағдарламашымен) жасырын руткит жасау үшін осы технологияны пайдалануға мүмкіндік береді.
Жеткізу тізбегіндегі жабдықтың ымыраға келу қаупі таңқаларлық нақты: кез келген әуесқой электроника инженері құны 200 доллардан аспайтын жабдықты пайдалану. Кейбір сарапшылар «бюджеттері жүздеген миллион долларды құрайтын ұйымдар мұнымен ұзақ жылдар бойы айналысуы мүмкін» деп күдіктенеді. Ешқандай дәлел болмаса да, теориялық тұрғыдан мүмкін.
«Егер аппараттық жүктеушіге сене алмасаңыз, ойын аяқталды», Гэвин Феррис, lowRISC директорлар кеңесінің мүшесі. - Операциялық жүйенің не істейтіні маңызды емес - егер операциялық жүйе жүктелген кезде сізге қауіп төнсе, қалғаны техника мәселесі. Сіз қазірдің өзінде аяқтадыңыз ».
Бұл мәселені OpenTitan ашық аппараттық платформасының бірінші түрі шешуі керек., , ). Меншікті шешімдерден бас тарту «баяу және ақаулы RoT индустриясын» өзгертуге көмектеседі, дейді Google.
Google компаниясының өзі Intel Management Engine (ME) чиптеріне орнатылған Minix операциялық жүйесін тапқаннан кейін Titan әзірлеуді бастады. Бұл күрделі ОЖ шабуыл бетін болжау мүмкін емес және басқарылмайтын жолдармен кеңейтті. Google , бірақ сәтсіз.
Сенім негізі неде?
Жүйені жүктеу процесінің әрбір кезеңі келесі кезеңнің түпнұсқалығын тексереді, осылайша генерациялайды сенім тізбегі.
Root of Trust (RoT) — сенімділік тізбегіндегі бірінші орындалатын нұсқаудың көзін өзгертуге болмайтындығына кепілдік беретін аппараттық құралдарға негізделген аутентификация. RoT - руткиттерден негізгі қорғаныс. Бұл жүйені кейіннен іске қосуға қатысатын жүктеу процесінің негізгі кезеңі - BIOS-дан ОЖ мен қосымшаларға дейін. Ол әрбір келесі жүктеу қадамының түпнұсқалығын тексеруі керек. Ол үшін әр кезеңде цифрлық қолтаңбасы бар кілттер жиынтығы қолданылады. Аппараттық кілттерді қорғаудың ең танымал стандарттарының бірі - TPM (Сенімді платформа модулі).
Сенім тамырын орнату. Жоғарыда өзгермейтін жадтағы жүктеушіден бастап сенім тізбегін жасайтын бес қадамдық жүктеу процесі берілген. Әрбір қадам жүктелетін келесі құрамдастың түпнұсқалығын тексеру үшін ашық кілтті пайдаланады. Перри Лидің кітабынан алынған иллюстрация
RoT әртүрлі жолдармен іске қосылуы мүмкін:
- микробағдарламадан немесе өзгермейтін жадтан кескінді және түбірлік кілтті жүктеу;
- түбірлік кілтті сақтандырғыш биттерін пайдаланып бір реттік бағдарламаланатын жадта сақтау;
- Қорғалған жад аймағынан қорғалған жадқа код жүктелуде.
Әртүрлі процессорлар сенім түбірін басқаша жүзеге асырады. Intel және ARM
келесі технологияларды қолдайды:
- ARM TrustZone. ARM сенім мен басқа қауіпсіздік тетіктерін қамтамасыз ететін микросхема жасаушыларға меншікті кремний блогын сатады. Бұл микропроцессорды қауіпсіз емес ядродан бөледі; ол қауіпсіз емес құрамдастармен өзара әрекеттесу үшін жақсы анықталған интерфейсі бар қауіпсіз операциялық жүйе Trusted OS іске қосады. Қорғалған ресурстар сенімді ядрода орналасады және мүмкіндігінше жеңіл болуы керек. Әртүрлі типтегі құрамдас бөліктер арасында ауысу қауіпсіз мониторинг бағдарламалық құралының қажеттілігін жоя отырып, аппараттық контекстті ауыстыру арқылы жүзеге асырылады.
- Intel Boot Guard криптографиялық құралдармен немесе өлшеу процесі арқылы бастапқы жүктеу блогының түпнұсқалығын тексеруге арналған аппараттық механизм болып табылады. Бастапқы блокты тексеру үшін өндіруші екі бөліктен тұратын 2048 биттік кілтті жасауы керек: ашық және жеке. Ашық кілт өндіру кезінде сақтандырғыш биттерін «жару» арқылы тақтада басып шығарылады. Бұл биттер бір реттік пайдаланылады және оларды өзгерту мүмкін емес. Кілттің жеке бөлігі жүктеу кезеңінің кейінгі аутентификациясы үшін цифрлық қолтаңбаны жасайды.
OpenTitan платформасы төмендегі диаграммада көрсетілгендей аппараттық/бағдарламалық қамтамасыз ету жүйесінің негізгі бөліктерін көрсетеді.
OpenTitan платформасы
OpenTitan платформасының дамуын lowRISC коммерциялық емес ұйымы басқарады. Инженерлік топ Кембриджде (Ұлыбритания) орналасқан, ал басты демеуші – Google. Құрылтай серіктестеріне ETH Zurich, G+D Mobile Security, Nuvoton Technology және Western Digital кіреді.
Google Google Open Source корпоративтік блогындағы жоба. Компания OpenTitan «деректер орталығының серверлерінде, сақтау орындарында, шеткі құрылғыларда және т.б. пайдалану үшін RoT дизайны мен интеграциясы бойынша жоғары сапалы нұсқаулар беруге» ұмтылатынын айтты.
Сенім түбірі – сенімді есептеу модуліндегі ең төменгі деңгейдегі сенім тізбегінің бірінші буыны, оған жүйе әрқашан толық сенеді.
RoT қолданбалар үшін өте маңызды, соның ішінде ашық кілттік инфрақұрылымдар (PKIs). Бұл IoT қолданбасы немесе деректер орталығы сияқты күрделі жүйе негізделген қауіпсіздік жүйесінің негізі. Сондықтан Google бұл жобаны неге қолдайтыны түсінікті. Қазір оның бес континентте 19 дата орталығы бар. Деректер орталықтары, сақтау қоймалары және миссия үшін маңызды қолданбалар шабуылдың кең бетін ұсынады және осы инфрақұрылымды қорғау үшін Google бастапқыда Titan чипіне сенімнің өзіндік тамырын жасады.
Google деректер орталықтары үшін алғаш рет енгізілді Google Cloud Next конференциясында. «Біздің компьютерлер әрбір бағдарламалық пакетте криптографиялық тексерулер жүргізеді, содан кейін оған желілік ресурстарға рұқсат беру-бермеуді шешеді. Titan осы процеске біріктіріліп, қосымша қорғаныс қабаттарын ұсынады», - деді Google өкілдері сол тұсаукесерде.
Google серверіндегі Titan чипі
Titan архитектурасы бұрын Google-ға тиесілі болды, бірақ қазір ашық бастапқы жоба ретінде қоғамдық доменге айналды.
Жобаның бірінші кезеңі микропроцессорды қоса алғанда чип деңгейінде логикалық RoT дизайнын құру болып табылады. , криптографиялық процессорлар, аппараттық кездейсоқ сандар генераторы, тұрақты емес және тұрақты емес сақтауға арналған кілттер мен жад иерархиялары, қауіпсіздік механизмдері, енгізу/шығару перифериялық құрылғылары және қауіпсіз жүктеу процестері.
Google OpenTitan үш негізгі принципке негізделгенін айтады:
- әркімнің платформаны тексеріп, үлес қосуға мүмкіндігі бар;
- меншікті жеткізушілер шектеулерімен бұғатталмаған логикалық қауіпсіз дизайнды ашу арқылы икемділікті арттыру;
- сапа дизайнның өзімен ғана емес, сонымен қатар анықтамалық микробағдарлама мен құжаттамамен қамтамасыз етіледі.
«Сенім тамыры бар қазіргі чиптер өте меншікті. Олар өздерін қауіпсіз деп санайды, бірақ іс жүзінде сіз оны кәдімгідей қабылдайсыз және оны өзіңіз тексере алмайсыз, дейді Google Titan жобасының қауіпсіздік жөніндегі жетекші маманы Доминик Рицзо. «Енді бірінші рет сенім дизайнының меншікті тамырын әзірлеушілерге соқыр сенімсіз қауіпсіздікті қамтамасыз етуге болады. Сондықтан іргетас берік қана емес, оны тексеруге болады».
Риззо OpenTitan-ды «қазіргі жағдаймен салыстырғанда түбегейлі мөлдір дизайн» деп санауға болатынын айтты.
Әзірлеушілердің пікірінше, OpenTitan ешбір жағдайда дайын өнім болып саналмауы керек, өйткені әзірлеу әлі аяқталмаған. Олар әдейі техникалық сипаттамаларды ашты және өндіріс басталмас бұрын әркім оны қарап шығып, енгізуді қамтамасыз етіп, жүйені жетілдіре алатындай етіп әзірледі.
OpenTitan чиптерін шығаруды бастау үшін өтініш беріп, сертификат алу керек. Шамасы, роялти талап етілмейді.
Ақпарат көзі: www.habr.com