rêxistina Non-qezencê bi Google û sponsorên din re 5ê Mijdara 2019an projeyê , ku jê re dibêje "yekemîn projeya çavkaniya vekirî ya ku mîmariya çîpek vekirî, bi kalîte bilind bi bingeha pêbaweriyê (RoT) di asta hardware de diafirîne."
OpenTitan li ser bingeha mîmariya RISC-V çîpek-armancek taybetî ye ji bo sazkirina li ser serverên li navendên daneyê û di her amûrek din de ku pêdivî ye ku rastbûna bootê were piştrast kirin, firmware ji guhertinan biparêze û îhtîmala rootkitan ji holê rabike: ev motherboard in. kartên torê, router, cîhazên IoT, amûrên mobîl, hwd.
Bê guman, modulên wekhev di pêvajoyên nûjen de hene. Mînakî, modula Intel Hardware Boot Guard bingeha pêbaweriya li pêvajoyên Intel-ê ye. Berî barkirina OS-ê, ew rastiya UEFI BIOS-ê bi zincîrek pêbaweriyê verast dike. Lê pirs ev e, em dikarin çiqasî bi kokên xwedan pêbaweriyê bawer bikin, ji ber ku garantiya me tune ku dê di sêwiranê de xeletî nebin, û rêyek tune ku em wê kontrol bikin? Binêre gotara bi ravekirina "çewa xeletiyek ku bi salan di hilberîna çend firoşkaran de tê klonkirin rê dide êrîşkarek potansiyel ku vê teknolojiyê bikar bîne da ku rootkitek veşartî ku nekare di pergalê de were rakirin (tevî bernamenûsek) biafirîne."
Xetereya lihevkirina amûran di zincîra peydakirinê de ecêb rast e: xuya ye, her endezyarek elektronîkî amator bi karanîna amûrên ku ji 200 $ ne bêtir lêçûn in. Hin pispor guman dikin ku "rêxistinên bi budceyên bi sed mîlyon dolaran dikarin bi salan vî karî bikin." Digel ku delîl tune be jî, ji hêla teorîkî ve gengaz e.
"Heke hûn nekarin ji bootloader-a hardware bawer bikin, ew lîstik qediya ye." Gavin Ferris, endamê lijneya rêvebir ya lowRISC. - Ne girîng e ku pergala xebitandinê çi dike - heke heya ku pergala xebitandinê bar dike hûn tawîz bibin, wê hingê ya mayî mijarek teknolojiyê ye. Tu êdî qediyayî."
Divê ev pirsgirêk ji hêla yekem platforma hardware vekirî ya OpenTitan ve were çareser kirin (, , ). Dûrbûna ji çareseriyên xwedan dê bibe alîkar ku "pîşesaziya RoT ya sist û xelet," Google dibêje.
Google bi xwe piştî ku pergala xebitandinê ya Minix ku di çîpên Intel Management Engine (ME) de hatî çêkirin vedît, dest bi pêşvebirina Titan kir. Vê OS-ya tevlihev rûyê êrîşê bi awayên nediyar û nekontrol berfireh kir. Gûgil , lê bi ser neket.
Koka baweriyê çi ye?
Her qonaxek pêvajoya bootkirina pergalê rastiya qonaxa din kontrol dike, bi vî rengî çê dike zincîra baweriyê.
Root of Trust (RoT) erêkirinek-based hardware-yê ye ku piştrast dike ku çavkaniya yekem talîmata bikêrhatî ya di zincîra pêbaweriyê de nayê guhertin. RoT parastina bingehîn li dijî rootkits e. Ev qonaxek bingehîn a pêvajoya bootê ye, ku di destpêka paşîn a pergalê de têkildar e - ji BIOS-ê heya OS-ê û serîlêdanan. Pêdivî ye ku ew rastiya her gavê dakêşana paşîn verast bike. Ji bo vê yekê, di her qonaxê de komek bişkojkên bi îmzeya dîjîtal têne bikar anîn. Yek ji standardên herî populer ên ji bo parastina mifteya hardware TPM (Modula Platforma pêbawer) e.
Avakirina koka baweriyê. Li jor pêvajoyek boot-pênc-gavekî heye ku zincîrek pêbaweriyê diafirîne, ku bi bootloader-ê di bîranîna neguhêrbar de dest pê dike. Her gav mifteyek gelemperî bikar tîne da ku nasnameya pêkhateya din a ku were barkirin verast bike. Illustration ji pirtûka Perry Lee
RoT dikare bi awayên cûda were destpêkirin:
- barkirina wêne û mifteya root ji firmware an bîra neguhêrbar;
- hilanîna mifteya root di bîranîna bernamekirî ya yek-car de bi karanîna bitsên sîgorteyê;
- Barkirina kodê ji deverek bîranîna parastî li depoyek parastî.
Pêvajoyên cihêreng bingeha pêbaweriyê bi rengek cûda bicîh dikin. Intel û ARM
teknolojiyên jêrîn piştgirî bikin:
- ARM TrustZone. ARM bloka siliconê ya xwedan çîpçêkeran difiroşe ku bingeha pêbaweriyê û mekanîzmayên din ên ewlehiyê peyda dike. Ev mîkroprosesor ji navika neewle vediqetîne; ew OS-ya pêbawer dimeşîne, pergalek xebitandinê ya ewledar ku bi navgînek xweş-rêkûpêk ji bo danûstendina bi pêkhateyên neewle re heye. Çavkaniyên parastî di bingeha pêbawer de dimînin û divê bi qasî ku pêkan sivik bin. Veguheztina di navbera pêkhateyên cûrbecûr de bi karanîna veguheztina çarçoweya hardware tête kirin, ku hewcedariya nermalava çavdêriya ewledar ji holê radike.
- Intel Boot Guard mekanîzmayek hardware ye ji bo verastkirina rastiya bloka bootê ya destpêkê bi rêgezên krîptografî an bi pêvajoyek pîvandinê. Ji bo verastkirina bloka destpêkê, çêker divê mifteyek 2048-bit çêbike, ku ji du beşan pêk tê: giştî û taybet. Mifteya giştî di dema çêkirinê de bi "teqandina" bîtên sîgorteyê li ser panelê tê çap kirin. Van bit yekcar têne bikar anîn û nayên guhertin. Beşa taybet a mifteyê ji bo rastkirina paşîn a qonaxa dakêşandinê îmzeyek dîjîtal çêdike.
Platforma OpenTitan, wekî ku di xêza jêrîn de tê xuyang kirin, beşên sereke yên pergalek hardware/nermalava weha eşkere dike.
Platforma OpenTitan
Pêşveçûna platforma OpenTitan ji hêla rêxistina ne-qezenc lowRISC ve tê rêve kirin. Tîma endezyariyê li Cambridge (UK) ye, û sponsorê sereke Google e. Hevkarên damezrîner ETH Zurich, G + D Ewlekariya Mobîl, Teknolojiya Nuvoton û Western Digital hene.
Gûgil proje li ser bloga pargîdaniya Çavkaniya Vekirî ya Google. Pargîdaniyê got OpenTitan pabend e ku "rêberiya kalîteya bilind li ser sêwirana RoT û entegrasyonê ji bo karanîna di pêşkêşkerên navenda daneyê, hilanîn, cîhazên devî û hêj bêtir peyda bike."
Koka pêbaweriyê di modulek pêbawer a pêbawer de, ku her gav ji hêla pergalê ve bi tevahî pêbawer e, di asta herî nizm de zencîra pêbaweriyê ye.
RoT ji bo serîlêdanên binesaziyên mifteya giştî (PKI) krîtîk e. Ew bingeha pergala ewlehiyê ye ku pergalek tevlihev a wekî serîlêdana IoT an navendek daneyê li ser bingeha wê ye. Ji ber vê yekê eşkere ye ku çima Google vê projeyê piştgirî dike. Niha li pênc parzemînan 19 navendên daneyê hene. Navendên daneyê, hilanîn, û serîlêdanên krîtîk ên mîsyonê rûberek êrişek berfireh pêşkêşî dikin, û ji bo parastina vê binesaziyê, Google di destpêkê de bingeha xwe ya pêbaweriyê li ser çîpa Titan pêşxist.
ji bo navendên danûstendinê yên Google yekem car hate destnîşan kirin li konferansa Google Cloud Next. "Komputerên me li ser her pakêtek nermalavê kontrolên krîptografî dikin û dûv re biryar didin ka ew ê bigihînin çavkaniyên torê. Titan di vê pêvajoyê de entegre dibe û qatên parastinê yên din pêşkêşî dike, "nûnerên Google di wê pêşkêşiyê de gotin.
Çîpa Titan di servera Google de
Mîmariya Titan berê xwedan Google bû, lê naha wekî projeyek çavkaniyek vekirî tê çêkirin.
Qonaxa yekem a projeyê di asta çîpê de çêkirina sêwirana RoT-ya mantiqî ye, tevî mîkroprosesorek çavkaniyek vekirî. , pêvajoyên krîptografîk, jeneratorê hejmarên bêserûber a hardware, hiyerarşiyên kilît û bîranînê yên ji bo hilanînê û hilanînê, mekanîzmayên ewlehiyê, dorhêlên I/O û pêvajoyên bootê yên ewledar.
Google dibêje OpenTitan li ser sê prensîbên sereke ye:
- derfeta her kesî heye ku platformê kontrol bike û tevkariyê bike;
- bi vekirina sêwirana ewledar a mentiqî ya ku ji hêla qedexeyên firoşkarê xwedan ve nayê asteng kirin, nermbûn zêde bû;
- kalîteya ku ne tenê ji hêla sêwiranê ve, lê di heman demê de ji hêla firmware û belgeyên referansê ve tê peyda kirin.
"Çîpên heyî yên bi kokên pêbaweriyê pir xwedan xwedan in. Ew îdîaya ewlehiyê dikin, lê di rastiyê de hûn wê ji xwe re qebûl dikin û hûn nikarin wê bi xwe verast bikin, "dibêje Dominic Rizzo, pisporê sereke yê ewlehiyê ji bo projeya Google Titan. "Naha, ji bo cara yekem, mimkun e ku bêyî baweriya kor di pêşdebirên sêwirana pêbaweriya xwedanî de ewlehiyê peyda bike. Ji ber vê yekê bingeh ne tenê zexm e, dikare were verast kirin.”
Rizzo lê zêde kir ku OpenTitan dikare "sêwiranek radîkal a zelal li gorî rewşa heyî were hesibandin."
Li gorî pêşdebiran, OpenTitan divê bi tu awayî hilberek qediyayî neyê hesibandin, ji ber ku pêşkeftin hîn neqediya ye. Wan bi zanetî taybetmendî vekirin û pêşkeftina navîn sêwirandin da ku her kes bikaribe wê binirxîne, têgihîştin peyda bike û berî ku hilberînê dest pê bike pergalê baştir bike.
Ji bo ku hûn dest bi hilberîna çîpên OpenTitan bikin, hûn hewce ne ku serlêdan bikin û pejirandî bistînin. Xuyaye, tu royal ne hewce ne.
Source: www.habr.com
