Non-profit organisasjon med deltakelse fra Google og andre sponsorer 5. november 2019 prosjekt , som den kaller «det første åpen kildekode-prosjektet som skaper en åpen silisiumarkitektur av høy kvalitet med en maskinvarenivårot av tillit (RoT).»
OpenTitan, basert på RISC-V-arkitekturen, er en spesialmikrobrikke for installasjon på servere i datasentre og annet utstyr som krever oppstartsintegritet, fastvarebeskyttelse og rootkit-beskyttelse, inkludert hovedkort, nettverkskort, rutere, IoT-enheter, mobile enheter og mer.
Slike moduler finnes selvsagt i moderne prosessorer. For eksempel er Intel Boot Guard-maskinvaremodulen roten til tillit i Intel-prosessorer. Den verifiserer autentisiteten til UEFI BIOS før operativsystemet startes opp gjennom en tillitskjede. Men hvor mye kan vi stole på proprietære tillitsrøtter, gitt at vi ikke har noen garanti for at designet er fritt for feil, og det ikke finnes noen måte å teste det på? Se artikkelen. med en beskrivelse av «hvordan en feil som har blitt klonet i årevis i produksjonen til flere leverandører, lar en potensiell angriper bruke denne teknologien til å lage et skjult rootkit i systemet som ikke kan slettes (selv av en programmerer).»
Trusselen om kompromisser med utstyr i forsyningskjeden er overraskende reell: det ser ut til at enhver amatørelektronikktekniker , ved bruk av utstyr som ikke koster mer enn 200 dollar. Noen eksperter mistenker at «organisasjoner med budsjetter på hundrevis av millioner dollar kan ha gjort dette i årevis». Selv om det ikke finnes bevis, er det teoretisk mulig.
«Hvis du ikke kan stole på maskinvareoppstartslasteren, er det game over» Gavin Ferris, et styremedlem i lowRISC, sa: «Det spiller ingen rolle hva operativsystemet gjør – hvis du er kompromittert når operativsystemet starter opp, er resten bare et spørsmål om teknologi. Du er allerede ferdig.»
Dette problemet er hva den første av sitt slag åpne maskinvareplattformen OpenTitan (, , Å gå bort fra proprietære løsninger vil bidra til å transformere den «uhåndterlige og uperfekte RoT-bransjen», mener Google.
Google begynte selv å utvikle Titan etter å ha oppdaget Minix-operativsystemet innebygd i Intel Management Engine (ME)-brikker. Dette komplekse operativsystemet utvidet Googles angrepsflate på uforutsigbare og ukontrollerbare måter. , men uten hell.
Hva er roten til tillit?
Hvert trinn i systemoppstartsprosessen bekrefter ektheten til neste trinn, og danner dermed tillitskjede.
En Root of Trust (RoT) er et maskinvarebasert autentiseringssystem som sikrer at kilden til den første kjørbare instruksjonen i tillitskjeden ikke kan endres. RoT gir grunnleggende beskyttelse mot rootkits. Det er et viktig trinn i oppstartsprosessen, som er involvert i den påfølgende systemoppstarten – fra BIOS til operativsystemet og applikasjonene. Det må bekrefte autentisiteten til hvert påfølgende oppstartstrinn. For å gjøre dette brukes et sett med digitalt signerte nøkler i hvert trinn. En av de mest populære standardene for maskinvarenøkkelbeskyttelse er TPM (Trusted Platform Module).
Etablering av en tillitsrot. Den femtrinns oppstartsprosessen ovenfor etablerer en tillitskjede, som starter med oppstartslasteren, som ligger i et uforanderlig minne. Hvert trinn bruker en offentlig nøkkel for å bekrefte ektheten til den neste komponenten som skal startes opp. Illustrasjon fra Perry Lees bok.
RoT kan lanseres på forskjellige måter:
- laster inn imaget og rotnøkkelen fra firmware eller ikke-flyktig minne;
- lagring av rotnøkkelen i et engangsprogrammerbart minne ved hjelp av sikringsbiter;
- laster inn kode fra et beskyttet minneområde til et beskyttet lagringsområde.
Roten til tillit implementeres forskjellig i forskjellige prosessorer. Intel og ARM
støtter følgende teknologier:
- ARM TrustZoneARM selger en proprietær silisiumblokk til brikkeprodusenter som gir en rot av tillit og andre sikkerhetsmekanismer. Dette frikobler mikroprosessoren fra den usikre kjernen; den kjører Trusted OS – et sikkert operativsystem med et klart definert grensesnitt til usikre komponenter. Sikre ressurser befinner seg i den pålitelige kjernen og er designet for å være så lette som mulig. Overganger mellom ulike typer komponenter oppnås ved hjelp av maskinvarekontekstbrytere, noe som eliminerer behovet for sikker overvåkingsprogramvare.
- Intel Boot Guard — er en maskinvaremekanisme for å verifisere ektheten til den første oppstartsblokken ved hjelp av kryptografiske metoder eller en måleprosess. For å verifisere den første blokken må produsenten generere en 2048-bits nøkkel, som består av to deler: en offentlig del og en privat del. Den offentlige delen skrives ut på kortet ved å "detonere" sikringsbiter under produksjonsprosessen. Disse bitene er engangsbiter og kan ikke endres. Den private delen av nøkkelen genererer en digital signatur for deretter å verifisere ektheten til oppstartstrinnet.
OpenTitan-plattformen eksponerer viktige deler av et slikt maskinvare- og programvaresystem, som vist i diagrammet nedenfor.
OpenTitan-plattformen
OpenTitan-plattformen utvikles av den ideelle organisasjonen lowRISC. Ingeniørteamet er basert i Cambridge, Storbritannia, og Google er hovedsponsor. Grunnleggerne inkluderer ETH Zürich, G+D Mobile Security, Nuvoton Technology og Western Digital.
Google Prosjektet ble annonsert på Google Open Source-bloggen. Selskapet uttalte at OpenTitan har som mål å «tilby veiledning om RoT-design og integrasjon av høy kvalitet for bruk i datasenterservere, lagring, kantenheter og mer».
Roten til tillit er det første leddet i tillitskjeden på det laveste nivået i en pålitelig databehandlingsenhet som alltid er fullt klarert av systemet.
RoT er kritisk for applikasjoner, inkludert offentlige nøkkelinfrastrukturer (PKI-er). Det er grunnlaget for sikkerheten som ligger til grunn for komplekse systemer, som IoT-applikasjoner eller datasentre. Det er derfor forståelig at Google støtter dette prosjektet. De driver for tiden 19 datasentre på fem kontinenter. Datasentre, lagringsanlegg og forretningskritiske applikasjoner representerer en enorm angrepsflate, og for å beskytte denne infrastrukturen utviklet Google opprinnelig sin egen tillitsroot, bygget på Titan-brikken.
for Googles datasentre ble først introdusert På Google Cloud Next-konferansen forklarte Google-representanter: «Datamaskinene våre kryptografisk verifiserer hver programvarepakke og bestemmer deretter om de skal gi den tilgang til nettverksressurser. Titan integreres i denne prosessen og tilbyr ekstra lag med beskyttelse.»
Titan-brikke på Google-serveren
Titan-arkitekturen var proprietær til Google, men blir nå utgitt til offentlig domene som et åpen kildekode-prosjekt.
Den første fasen av prosjektet er å lage en logisk design av RoT på chipnivå, inkludert en åpen kildekode-mikroprosessor. , kryptografiske prosessorer, maskinvaregenerator for tilfeldige tall, nøkkel- og minnehierarkier for ikke-flyktig og ikke-flyktig lagring, sikkerhetsmekanismer, I/O-periferiutstyr og sikre oppstartsprosesser.
Google sier at OpenTitan er bygget på tre hovedprinsipper:
- alle har muligheten til å teste plattformen og bidra;
- Økt fleksibilitet gjennom åpen, logisk sikker design som ikke blokkeres av proprietære leverandørrestriksjoner;
- Kvalitet sikret ikke bare av selve designet, men også av referanse-firmware og dokumentasjon.
«Nåværende root-of-trust-brikker er svært proprietære. De hevder å være sikre, men i virkeligheten tar du det på tro og kan ikke bekrefte det selv», sier Dominic Rizzo, ledende sikkerhetsingeniør for Googles Titan-prosjekt. «Nå, for første gang, kan du sikre sikkerhet uten å blindt stole på utviklerne av et proprietært root-of-trust-design. Så grunnlaget er ikke bare solid, det er verifiserbart.»
Rizzo la til at OpenTitan kan betraktes som et «radikalt transparent design sammenlignet med dagens tilstand».
Ifølge utviklerne bør OpenTitan på ingen måte betraktes som et ferdig produkt, ettersom utviklingen ennå ikke er fullført. De åpnet bevisst opp spesifikasjonene og designet midt i utviklingen, slik at alle kunne gjennomgå, bidra og forbedre systemet før produksjon.
For å starte produksjonen av OpenTitan-brikker må du sende inn en søknad og gjennomgå sertifisering. Tilsynelatende kreves det ingen lisensavgifter.
Kilde: www.habr.com
