Nezisková organizácia so spoločnosťou Google a ďalšími sponzormi 5. novembra 2019 projekt , ktorý nazýva „prvý open-source projekt na vytvorenie otvorenej, vysokokvalitnej čipovej architektúry s koreňom dôvery (RoT) na hardvérovej úrovni.
OpenTitan založený na architektúre RISC-V je špeciálny čip pre inštaláciu na servery v dátových centrách a v akomkoľvek inom zariadení, kde je potrebné zabezpečiť autentickosť bootovania, chrániť firmvér pred zmenami a eliminovať možnosť rootkitov: sú to základné dosky, sieťové karty, smerovače, zariadenia internetu vecí, mobilné gadgety atď.
Podobné moduly samozrejme existujú aj v moderných procesoroch. Napríklad modul Intel Hardware Boot Guard je koreňom dôvery v procesory Intel. Pred načítaním operačného systému overuje pravosť systému UEFI BIOS prostredníctvom reťazca dôveryhodnosti. Otázkou však je, do akej miery môžeme dôverovať proprietárnym koreňom dôvery, keďže nemáme žiadnu záruku, že v dizajne nebudú žiadne chyby a neexistuje spôsob, ako to skontrolovať? Pozri článok s popisom, „ako chyba, ktorá bola roky klonovaná vo výrobe viacerých predajcov, umožňuje prípadnému útočníkovi pomocou tejto technológie vytvoriť v systéme skrytý rootkit, ktorý sa nedá odstrániť (ani programátorom).
Hrozba kompromisu zariadenia v dodávateľskom reťazci je prekvapivo reálna: očividne každý amatérsky elektronický inžinier pomocou zariadenia, ktoré nestojí viac ako 200 dolárov. Niektorí odborníci sa domnievajú, že „organizácie s rozpočtom v stovkách miliónov dolárov by to mohli robiť dlhé roky“. Hoci neexistujú dôkazy, teoreticky je to možné.
"Ak nemôžete dôverovať hardvérovému bootloaderu, je koniec hry," Gavin Ferris, člen predstavenstva lowRISC. - Nezáleží na tom, čo robí operačný systém - ak ste kompromitovaní v čase načítania operačného systému, zvyšok je otázkou techniky. Už si skončil."
Tento problém by mala vyriešiť prvá otvorená hardvérová platforma svojho druhu OpenTitan (, , ). Odchod od proprietárnych riešení pomôže zmeniť „pomalé a chybné odvetvie RoT“, hovorí Google.
Samotný Google začal vyvíjať Titan po objavení operačného systému Minix zabudovaného do čipov Intel Management Engine (ME). Tento komplexný OS rozšíril útočnú plochu nepredvídateľným a nekontrolovateľným spôsobom. Google , ale neúspešne.
Čo je koreňom dôvery?
Každá fáza procesu zavádzania systému kontroluje pravosť ďalšej fázy, čím sa generuje reťaz dôvery.
Root of Trust (RoT) je hardvérová autentifikácia, ktorá zaisťuje, že zdroj prvej spustiteľnej inštrukcie v reťazci dôveryhodnosti nemožno zmeniť. RoT je základná ochrana pred rootkitmi. Ide o kľúčovú fázu bootovacieho procesu, ktorá sa podieľa na následnom spustení systému – od BIOSu po OS a aplikácie. Musí overiť pravosť každého nasledujúceho kroku sťahovania. Na tento účel sa v každej fáze používa súbor digitálne podpísaných kľúčov. Jedným z najpopulárnejších štandardov na ochranu hardvérových kľúčov je modul TPM (Trusted Platform Module).
Založenie koreňa dôvery. Vyššie je uvedený päťkrokový proces zavádzania, ktorý vytvára reťaz dôvery, počnúc zavádzačom v nemennej pamäti. Každý krok používa verejný kľúč na overenie identity ďalšieho komponentu, ktorý sa má načítať. Ilustrácia z knihy Perryho Leeho
RoT je možné spustiť rôznymi spôsobmi:
- načítanie obrazu a koreňového kľúča z firmvéru alebo nemennej pamäte;
- uloženie koreňového kľúča do jednorazovej programovateľnej pamäte pomocou poistkových bitov;
- Načítavanie kódu z chránenej oblasti pamäte do chráneného úložiska.
Rôzni spracovatelia implementujú koreň dôvery odlišne. Intel a ARM
podporovať nasledujúce technológie:
- ARM TrustZone. ARM predáva výrobcom čipov proprietárny kremíkový blok, ktorý poskytuje základ dôvery a ďalšie bezpečnostné mechanizmy. Toto oddeľuje mikroprocesor od nezabezpečeného jadra; beží na ňom Trusted OS, bezpečný operačný systém s dobre definovaným rozhraním na interakciu s nezabezpečenými komponentmi. Chránené zdroje sa nachádzajú v dôveryhodnom jadre a mali by byť čo najjednoduchšie. Prepínanie medzi komponentmi rôznych typov sa vykonáva pomocou prepínania kontextu hardvéru, čím sa eliminuje potreba bezpečného monitorovacieho softvéru.
- Intel Boot Guard je hardvérový mechanizmus na overenie pravosti počiatočného zavádzacieho bloku pomocou kryptografických prostriedkov alebo prostredníctvom procesu merania. Na overenie počiatočného bloku musí výrobca vygenerovať 2048-bitový kľúč, ktorý pozostáva z dvoch častí: verejnej a súkromnej. Verejný kľúč je vytlačený na doske „odpálením“ poistkových bitov počas výroby. Tieto bity sú jednorazové a nedajú sa zmeniť. Súkromná časť kľúča generuje digitálny podpis pre následnú autentifikáciu fázy sťahovania.
Platforma OpenTitan odhaľuje kľúčové časti takéhoto hardvérového/softvérového systému, ako je znázornené na obrázku nižšie.
Platforma OpenTitan
Vývoj platformy OpenTitan riadi nezisková organizácia lowRISC. Inžiniersky tím sídli v Cambridge (Spojené kráľovstvo) a hlavným sponzorom je Google. Medzi zakladajúcich partnerov patria ETH Zurich, G+D Mobile Security, Nuvoton Technology a Western Digital.
Google projekt na firemnom blogu Google Open Source. Spoločnosť uviedla, že OpenTitan je odhodlaný „poskytovať vysokokvalitné poradenstvo v oblasti návrhu a integrácie RoT na použitie v serveroch dátových centier, úložiskách, okrajových zariadeniach a ďalších“.
Koreň dôvery je prvým článkom v reťazci dôveryhodnosti na najnižšej úrovni v dôveryhodnom výpočtovom module, ktorému systém vždy plne dôveruje.
RoT je rozhodujúci pre aplikácie vrátane infraštruktúr verejných kľúčov (PKI). Je základom bezpečnostného systému, na ktorom je založený komplexný systém, ako je aplikácia IoT alebo dátové centrum. Je teda jasné, prečo Google tento projekt podporuje. V súčasnosti má 19 dátových centier na piatich kontinentoch. Dátové centrá, úložiská a kritické aplikácie predstavujú rozsiahlu útočnú plochu a na ochranu tejto infraštruktúry spoločnosť Google pôvodne vyvinula svoj vlastný koreň dôvery v čip Titan.
pre dátové centrá Google bol prvýkrát predstavený na konferencii Google Cloud Next. „Naše počítače vykonávajú kryptografické kontroly každého softvérového balíka a potom sa rozhodnú, či mu udelia prístup k sieťovým zdrojom. Titan sa integruje do tohto procesu a ponúka ďalšie vrstvy ochrany,“ uviedli zástupcovia Google na tejto prezentácii.
Titan čip na serveri Google
Architektúru Titan predtým vlastnil Google, ale teraz sa stáva verejnou doménou ako projekt s otvoreným zdrojovým kódom.
Prvou etapou projektu je vytvorenie logického návrhu RoT na úrovni čipu vrátane open source mikroprocesora , kryptografické procesory, hardvérový generátor náhodných čísel, hierarchie kľúčov a pamäte pre energeticky nezávislé a energeticky nezávislé úložiská, bezpečnostné mechanizmy, I/O periférie a procesy bezpečného zavádzania.
Google hovorí, že OpenTitan je založený na troch kľúčových princípoch:
- každý má možnosť vyskúšať si platformu a prispieť;
- zvýšená flexibilita otvorením logicky bezpečného dizajnu, ktorý nie je blokovaný obmedzeniami vlastného dodávateľa;
- kvalita zabezpečená nielen samotným dizajnom, ale aj referenčným firmware a dokumentáciou.
„Súčasné čipy s koreňmi dôvery sú veľmi proprietárne. Tvrdia, že sú bezpečné, ale v skutočnosti to považujete za samozrejmosť a nemôžete si to overiť sami, hovorí Dominic Rizzo, hlavný bezpečnostný špecialista pre projekt Google Titan. „Teraz je po prvýkrát možné poskytnúť bezpečnosť bez slepej viery vo vývojárov proprietárneho koreňového dizajnu dôvery. Takže základ je nielen pevný, ale aj overiteľný.“
Rizzo dodal, že OpenTitan možno považovať za "radikálne transparentný dizajn v porovnaní so súčasným stavom."
Podľa vývojárov by sa OpenTitan v žiadnom prípade nemal považovať za hotový produkt, pretože vývoj ešte nie je ukončený. Zámerne otvorili špecifikácie a dizajn v polovici vývoja, aby si ich každý mohol prezrieť, poskytnúť vstupné informácie a vylepšiť systém pred začatím výroby.
Ak chcete začať vyrábať čipy OpenTitan, musíte sa prihlásiť a získať certifikát. Zjavne nie sú potrebné žiadne licenčné poplatky.
Zdroj: hab.com