Fikambanana tsy mitady tombony miaraka amin'i Google sy ireo mpanohana hafa ny 5 Novambra 2019 tetikasa , izay miantso ny “tetik'asa open-source voalohany hamorona maritrano chip misokatra sy avo lenta miaraka amin'ny fototry ny fahatokisana (RoT) eo amin'ny sehatry ny hardware.”
OpenTitan miorina amin'ny maritrano RISC-V dia chip manokana ho an'ny fametrahana amin'ny mpizara any amin'ny foibe data sy amin'ny fitaovana hafa izay ilaina hiantohana ny maha-azo itokiana ny boot, miaro ny firmware amin'ny fanovana ary manafoana ny mety hisian'ny rootkits: motherboards, karatra tambajotra, router, fitaovana IoT, gadget finday, sns.
Mazava ho azy fa misy modely mitovy amin'izany amin'ny processeur maoderina. Ohatra, ny maody Intel Hardware Boot Guard no fototry ny fitokisana amin'ny processeurs Intel. Izy io dia manamarina ny maha-azo itokiana ny UEFI BIOS amin'ny alàlan'ny rojo fitokisana alohan'ny hampidirana ny OS. Fa ny fanontaniana dia hoe, ohatrinona no azontsika itokisana ny fototry ny fitokisana, satria tsy manana antoka isika fa tsy hisy bibikely amin'ny famolavolana, ary tsy misy fomba hanamarinana izany? Jereo ny lahatsoratra miaraka amin'ny famariparitana ny hoe "ny fomba fanao amin'ny bug izay efa nokoleina nandritra ny taona maro tao amin'ny famokarana mpivarotra maromaro dia ahafahan'ny mpanafika iray mampiasa io teknolojia io mba hamoronana rootkit miafina ao amin'ny rafitra izay tsy azo esorina (na dia miaraka amin'ny programmer aza).
Ny fandrahonana amin'ny fandeferana ny fitaovana ao amin'ny rojo famatsiana dia tena mahagaga: toa ny injeniera elektronika rehetra. mampiasa fitaovana mitentina tsy mihoatra ny $200. Ny manam-pahaizana sasany dia miahiahy fa "ny fikambanana manana teti-bola an-jatony tapitrisa dolara dia mety hanao izany mandritra ny taona maro." Na dia tsy misy porofo aza dia azo atao izany.
"Raha tsy mahatoky ny bootloader hardware ianao dia tapitra ny lalao," Gavin Ferris, mpikambana ao amin'ny filankevi-pitantanan'ny lowRISC. - Tsy maninona izay ataon'ny rafitra miasa - raha toa ka voatohintohina ianao amin'ny fotoana andefasana ny rafitra miasa, dia resaka teknika ny ambiny. Efa vita ianao."
Ity olana ity dia tokony ho voavaha amin'ny alàlan'ny sehatra OpenTitan misokatra voalohany amin'ny karazana azy (, , ). Ny fialana amin'ny vahaolana manokana dia hanampy amin'ny fanovana ny "indostria RoT malaina sy diso", hoy i Google.
Google mihitsy no nanomboka namolavola an'i Titan taorian'ny nahitany ny rafitra fiasan'ny Minix natsangana tao anaty chips Intel Management Engine (ME). Ity OS sarotra ity dia nanitatra ny tontolon'ny fanafihana tamin'ny fomba tsy ampoizina sy tsy voafehy. Google , nefa tsy nahomby.
Inona no fototry ny fifampitokisana?
Ny dingana tsirairay amin'ny fizotry ny baotin'ny rafitra dia manamarina ny maha-azo itokiana ny dingana manaraka, ka miteraka rojo fitokisana.
Root of Trust (RoT) dia fanamarinana mifototra amin'ny hardware izay miantoka fa tsy azo ovaina ny loharanon'ny fampianarana azo tanterahina voalohany ao amin'ny rojo fitokisana. RoT no fiarovana fototra amin'ny rootkits. Ity dia dingana manan-danja amin'ny fizotran'ny boot, izay tafiditra ao amin'ny fanombohana ny rafitra manaraka - avy amin'ny BIOS mankany amin'ny OS sy ny fampiharana. Tsy maintsy manamarina ny maha-azo itokiana ny dingana fampidinana manaraka. Mba hanaovana izany dia ampiasaina isaky ny dingana ny andiana fanalahidy nosoniavina nomerika. Ny iray amin'ireo fenitra malaza indrindra amin'ny fiarovana ny lakilen'ny hardware dia ny TPM (Trusted Platform Module).
Fametrahana fakan'ny fifampitokisana. Etsy ambony dia dingana baotin'ny dingana dimy izay mamorona rojo fitokisana, manomboka amin'ny bootloader amin'ny fahatsiarovana tsy miova. Ny dingana tsirairay dia mampiasa fanalahidin'ny daholobe hanamarinana ny mombamomba ny singa manaraka hapetraka. Sary avy amin'ny bokin'i Perry Lee
Ny RoT dia azo atomboka amin'ny fomba samihafa:
- fametahana ny sary sy ny fanalahidin'ny faka avy amin'ny firmware na fahatsiarovana tsy miova;
- fitehirizana ny fanalahidin'ny fotony amin'ny fahatsiarovana azo zahana indray mandeha amin'ny fampiasana bitika fuse;
- Fampidirana kaody avy amin'ny faritra fitadidiana arovana mankany amin'ny fitahirizana arovana.
Ny processeur samihafa dia mampihatra ny fototry ny fahatokisana amin'ny fomba hafa. Intel sy ARM
manohana ireto teknolojia manaraka ireto:
- ARM TrustZone. ARM dia mivarotra sakana silisiôma ho an'ny mpanamboatra chip izay manome fototry ny fitokisana sy ny rafitra fiarovana hafa. Izany dia manasaraka ny microprocessor amin'ny fototra tsy azo antoka; Izy io dia mitantana OS Trusted, rafitra fiasa azo antoka miaraka amin'ny interface tsara voafaritra tsara hifaneraserana amin'ireo singa tsy azo antoka. Ny loharanon-karena arovana dia mipetraka ao amin'ny fototra azo itokisana ary tokony ho maivana araka izay azo atao. Ny fifandimbiasana eo amin'ireo singa isan-karazany dia atao amin'ny alàlan'ny fampandehanana contexte hardware, manafoana ny filàna rindrambaiko fanaraha-maso azo antoka.
- Intel Boot Guard dia mekanika fitaovana hanamarinana ny maha-azo itokiana ny sakana baomba voalohany amin'ny alàlan'ny fomba kriptografika na amin'ny alàlan'ny dingana fandrefesana. Mba hanamarinana ny sakana voalohany, ny mpanamboatra dia tsy maintsy mamorona fanalahidy 2048-bit, izay misy ampahany roa: ho an'ny daholobe sy tsy miankina. Ny fanalahidin'ny daholobe dia atao pirinty amin'ny solaitrabe amin'ny alàlan'ny "fanapoahana" bitika fuse mandritra ny famokarana. Ireo bits dia ampiasaina indray mandeha ary tsy azo ovaina. Ny ampahany manokana amin'ny fanalahidy dia miteraka sonia nomerika ho an'ny fanamarinana manaraka ny dingana fampidinana.
Ny sehatra OpenTitan dia mampiharihary ny ampahany manan-danja amin'ny rafitra fitaovana/rindrambaiko toy izany, araka ny aseho amin'ny kisary etsy ambany.
OpenTitan Platform
Ny fampandrosoana ny sehatra OpenTitan dia tantanan'ny fikambanana tsy mitady tombony lowRISC. Ny ekipa injeniera dia miorina ao Cambridge (UK), ary ny mpanohana lehibe dia Google. Ny mpiara-miombon'antoka mpanorina dia ahitana ny ETH Zurich, G+D Mobile Security, Nuvoton Technology ary Western Digital.
Google tetikasa ao amin'ny bilaogin'ny orinasa Google Open Source. Nilaza ny orinasa fa ny OpenTitan dia manolo-tena amin'ny "manome tari-dalana avo lenta momba ny famolavolana RoT sy ny fampidirana ho ampiasaina amin'ny mpizara ivotoerana data, fitahirizana, fitaovana edge ary maro hafa."
Ny fototry ny fitokisana no rohy voalohany ao amin'ny rojo fitokisana amin'ny ambaratonga ambany indrindra amin'ny maodely informatika azo itokisana, izay atokisan'ny rafitra foana.
Ny RoT dia tena ilaina amin'ny fampiharana ao anatin'izany ny fotodrafitrasa fototra ho an'ny daholobe (PKI). Izy io no fototry ny rafitra fiarovana izay iorenan'ny rafitra sarotra toy ny fampiharana IoT na ivotoerana data. Mazava àry ny antony hanohanan'i Google ity tetikasa ity. Manana foibe angona 19 amin'ny kaontinanta dimy izy izao. Ny foibe data, ny fitahirizana ary ny rindranasa mitsikera iraka dia manolotra sehatra fanafihana midadasika, ary mba hiarovana io fotodrafitrasa io, dia namolavola ny fototry ny fahatokisany manokana amin'ny chip Titan i Google tamin'ny voalohany.
ho an'ny foibe data Google no nampidirina voalohany amin'ny fihaonambe Google Cloud Next. “Ny solosainay dia manao fisavana kriptografika amin'ny fonosana rindrambaiko tsirairay ary manapa-kevitra avy eo raha manome azy ny fidirana amin'ny loharanon-tambajotra. Titan dia tafiditra ao anatin'ity dingana ity ary manolotra sosona fiarovana fanampiny, ”hoy ny solontenan'ny Google tamin'io famelabelarana io.
Titan chip ao amin'ny mpizara Google
Ny maritrano Titan dia an'ny Google teo aloha, saingy lasa sehatra ho an'ny daholobe ho tetikasa loharano misokatra.
Ny dingana voalohany amin'ny tetikasa dia ny famoronana endrika lojika RoT amin'ny haavon'ny chip, ao anatin'izany ny microprocessor open source. , mpanodina kriptografika, mpanamboatra nomerao kisendrasendra hardware, ambaratonga fototra sy fitadidiana ho an'ny fitehirizana tsy miovaova sy tsy miovaova, rafitra fiarovana, periferika I/O ary fizotry ny boot azo antoka.
Nilaza i Google fa ny OpenTitan dia mifototra amin'ny fitsipika fototra telo:
- samy manana ny fahafahana mijery ny lampihazo sy mandray anjara;
- mampitombo ny fahafaha-manao amin'ny alàlan'ny fanokafana endrika azo antoka ara-lojika izay tsy voasakan'ny fameperana mpivarotra;
- kalitao azo antoka tsy amin'ny famolavolana ihany, fa amin'ny alàlan'ny firmware sy ny antontan-taratasy ihany koa.
"Ny chips amin'izao fotoana izao miaraka amin'ny fakan'ny fahatokisana dia tena tompon'andraikitra. Milaza ho voaro izy ireo, saingy raha ny tena izy dia raisinao ho toy ny tsy misy dikany izany ary tsy afaka manamarina izany ny tenanao, hoy i Dominic Rizzo, manampahaizana manokana momba ny fiarovana amin'ny tetikasa Google Titan. "Sambany izao, azo atao ny manome fiarovana tsy misy finoana an-jambany amin'ireo mpamorona ny fototry ny fitokisana. Tsy mafy orina àry ny fototra fa azo hamarinina.
Nanampy i Rizzo fa ny OpenTitan dia azo raisina ho "famolavolana mangarahara tanteraka raha oharina amin'ny zava-misy ankehitriny."
Araka ny voalazan'ireo mpamorona, ny OpenTitan dia tsy tokony hoheverina ho vokatra vita, satria tsy mbola vita ny fampandrosoana. Ninian’izy ireo nosokafana ny fepetra sy ny famolavolana antenantenan’ny fampandrosoana mba hahafahan’ny rehetra mandinika izany, manome hevitra ary manatsara ny rafitra alohan’ny hanombohan’ny famokarana.
Mba hanombohana ny famokarana chips OpenTitan dia mila mihatra ianao ary mahazo mari-pahaizana. Raha ny fahitana azy dia tsy misy vola takiana.
Source: www.habr.com