Google, AMD, NVIDIA și Microsoft, ca parte a proiectului Caliptra, au dezvoltat un bloc de design deschis pentru cip (bloc IP) pentru încorporarea instrumentelor pentru crearea de componente hardware de încredere (RoT, Root of Trust) în cipuri. Caliptra este o unitate hardware separată cu memorie proprie, procesor și implementare de primitive criptografice, care asigură verificarea procesului de pornire, a firmware-ului utilizat și a configurației dispozitivului stocat în memoria nevolatilă.
Caliptra poate fi folosit pentru a integra o unitate hardware independentă în diferite cipuri, care verifică integritatea și garantează utilizarea firmware-ului verificat și autorizat de producător în dispozitiv. Caliptra poate simplifica și unifica în mod semnificativ integrarea mecanismelor de verificare criptografică hardware încorporate în CPU-uri, GPU-uri, SoC-uri, ASIC-uri, adaptoare de rețea, unități SSD și alte echipamente.
Instrumentele de verificare a integrității criptografice și a autenticității furnizate de platformă vor proteja componentele hardware de introducerea unor modificări rău intenționate în firmware și vor asigura procesul de încărcare și stocare a configurațiilor pentru a preveni compromiterea sistemului principal ca urmare a atacurilor asupra componentelor hardware sau înlocuirea modificărilor rău intenționate în lanțurile de aprovizionare cu cipuri. Caliptra oferă, de asemenea, capacitatea de a verifica autenticitatea actualizărilor de firmware și a datelor legate de platformă (RTU, Root of Trust for Update), de a detecta firmware-ul deteriorat și datele critice (RTD, Root of Trust for Detection), de a restaura firmware-ul și datele deteriorate (RTRec). , Rădăcină de încredere pentru recuperare).
Caliptra este dezvoltat pe site-ul proiectului comun Open Compute, care vizează dezvoltarea specificațiilor hardware deschise pentru echiparea centrelor de date. Specificațiile legate de Caliptra sunt distribuite folosind Open Web Foundation Agreement (OWFa), conceput pentru distribuirea de standarde deschise (similar cu o licență open source pentru specificații). Utilizarea OWFa face posibilă crearea propriilor produse și implementări derivate bazate pe specificație fără a plăti redevențe și permite oricărei organizații să participe la dezvoltarea specificației.
Implementarea de bază a blocului IP este construită pe procesorul deschis RISC-V SWeRV EL2 și este echipată cu 384KB de RAM (128KB DCCM, 128KB ICCM0 și 128KB SRAM) și 32KB ROM. Algoritmii criptografici acceptați includ SHA256, SHA384, SHA512 ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC și AES256-GCM.
Sursa: opennet.ru