Непрофитабилна организација са Гоогле-ом и другим спонзорима 5. новембра 2019 пројекат , који назива „први пројекат отвореног кода за стварање отворене, висококвалитетне архитектуре чипа са кореном поверења (РоТ) на нивоу хардвера.“
ОпенТитан заснован на РИСЦ-В архитектури је чип посебне намене за инсталацију на сервере у дата центрима и у било којој другој опреми где је потребно обезбедити аутентичност покретања, заштитити фирмвер од промена и елиминисати могућност руткита: то су матичне плоче, мрежне картице, рутери, ИоТ уређаји, мобилни уређаји итд.
Наравно, слични модули постоје у савременим процесорима. На пример, модул Интел Хардваре Боот Гуард је корен поверења у Интел процесоре. Он проверава аутентичност УЕФИ БИОС-а кроз ланац поверења пре учитавања ОС-а. Али питање је колико можемо веровати власничким коренима поверења, с обзиром да немамо гаранцију да неће бити грешака у дизајну, а не постоји ни начин да се то провери? Погледајте чланак са описом „како грешка која је годинама клонирана у производњи неколико добављача омогућава потенцијалном нападачу да користи ову технологију за креирање скривеног руткита у систему који се не може уклонити (чак ни уз помоћ програмера).
Претња од компромитовања опреме у ланцу снабдевања је изненађујуће стварна: очигледно, сваки инжењер електронике аматер користећи опрему која не кошта више од 200 долара. Неки стручњаци сумњају да би „организације са буџетима од стотине милиона долара то могле да раде много година“. Иако нема доказа, теоретски је могуће.
„Ако не можете да верујете хардверском покретачу, игра је готова,“ Гавин Феррис, члан одбора директора ловРИСЦ-а. - Није важно шта оперативни систем ради - ако сте компромитовани до тренутка када се оперативни систем учита, онда је остало ствар технологије. Већ сте завршили."
Овај проблем би требало да реши прва те врсте отворена хардверска платформа ОпенТитан (, , ). Удаљавање од власничких решења ће помоћи да се промени „трома и погрешна индустрија РоТ-а“, каже Гоогле.
Сам Гоогле је почео да развија Титан након што је открио оперативни систем Миник уграђен у Интел Манагемент Енгине (МЕ) чипове. Овај сложени ОС је проширио површину напада на непредвидиве и неконтролисане начине. Гоогле , али неуспешно.
Шта је корен поверења?
Свака фаза процеса покретања система проверава аутентичност следеће фазе, чиме се генерише ланац поверења.
Роот оф Труст (РоТ) је аутентификација заснована на хардверу која осигурава да се извор прве извршне инструкције у ланцу поверења не може променити. РоТ је основна заштита од руткита. Ово је кључна фаза процеса покретања, која је укључена у накнадно покретање система - од БИОС-а до ОС-а и апликација. Мора да провери аутентичност сваког следећег корака преузимања. Да бисте то урадили, у свакој фази се користи скуп дигитално потписаних кључева. Један од најпопуларнијих стандарда за заштиту хардверског кључа је ТПМ (Трустед Платформ Модуле).
Успостављање корена поверења. Изнад је процес покретања у пет корака који ствара ланац поверења, почевши од покретача у непроменљивој меморији. Сваки корак користи јавни кључ за верификацију идентитета следеће компоненте која ће бити учитана. Илустрација из књиге Перија Лија
РоТ се може покренути на различите начине:
- учитавање слике и роот кључа из фирмвера или непроменљиве меморије;
- чување основног кључа у једнократној програмабилној меморији помоћу битова осигурача;
- Учитавање кода из заштићене меморијске области у заштићено складиште.
Различити процесори различито примењују корен поверења. Интел и АРМ
подржавају следеће технологије:
- АРМ ТрустЗоне. АРМ продаје власнички силиконски блок произвођачима чипова који пружа корен поверења и друге безбедносне механизме. Ово одваја микропроцесор од несигурног језгра; покреће Трустед ОС, безбедан оперативни систем са добро дефинисаним интерфејсом за интеракцију са несигурним компонентама. Заштићени ресурси се налазе у језгру од поверења и требало би да буду што је могуће лакши. Пребацивање између компоненти различитих типова се врши коришћењем хардверског пребацивања контекста, елиминишући потребу за сигурним софтвером за праћење.
- Интел Боот Гуард је хардверски механизам за проверу аутентичности почетног блока за покретање криптографским средствима или кроз процес мерења. Да би проверио почетни блок, произвођач мора да генерише 2048-битни кључ, који се састоји из два дела: јавног и приватног. Јавни кључ се штампа на плочи "детонирајућим" фитилима током производње. Ови битови су једнократни и не могу се мењати. Приватни део кључа генерише дигитални потпис за накнадну аутентификацију фазе преузимања.
ОпенТитан платформа открива кључне делове таквог хардверског/софтверског система, као што је приказано на дијаграму испод.
ОпенТитан платформа
Развојем ОпенТитан платформе управља непрофитна организација ловРИСЦ. Инжењерски тим се налази у Кембриџу (УК), а главни спонзор је Гугл. Оснивачки партнери су ЕТХ Цирих, Г+Д Мобиле Сецурити, Нувотон Тецхнологи и Вестерн Дигитал.
гоогле пројекат на Гоогле Опен Соурце корпоративном блогу. Компанија је саопштила да је ОпенТитан посвећен „пружању висококвалитетних смерница о РоТ дизајну и интеграцији за употребу у серверима центара података, складиштењу, ивичним уређајима и још много тога“.
Корен поверења је прва карика у ланцу поверења на најнижем нивоу у поузданом рачунарском модулу, коме систем увек у потпуности верује.
РоТ је критичан за апликације укључујући инфраструктуре јавних кључева (ПКИ). То је основа сигурносног система на коме се заснива сложен систем као што је ИоТ апликација или дата центар. Дакле, јасно је зашто Гугл подржава овај пројекат. Сада има 19 дата центара на пет континената. Центри података, складиштење и апликације које су критичне за мисију представљају огромну површину напада, а да би заштитио ову инфраструктуру, Гоогле је првобитно развио сопствени корен поверења на Титан чип.
за Гоогле дата центре је први пут уведен на конференцији Гоогле Цлоуд Нект. „Наши рачунари врше криптографске провере сваког софтверског пакета, а затим одлучују да ли да му дају приступ мрежним ресурсима. Титан се интегрише у овај процес и нуди додатне слојеве заштите“, рекли су представници Гугла на тој презентацији.
Титан чип на Гоогле серверу
Архитектура Титан је раније била у власништву Гугла, али је сада постала јавно власништво као пројекат отвореног кода.
Прва фаза пројекта је креирање логичког РоТ дизајна на нивоу чипа, укључујући микропроцесор отвореног кода , криптографски процесори, хардверски генератор случајних бројева, хијерархије кључева и меморије за непроменљиво и непроменљиво складиштење, безбедносни механизми, И/О периферије и безбедни процеси покретања.
Гоогле каже да је ОпенТитан заснован на три кључна принципа:
- сви имају прилику да погледају платформу и допринесу;
- повећана флексибилност откључавањем логички безбедног дизајна који није блокиран власничким ограничењима добављача;
- квалитет обезбеђен не само самим дизајном, већ и референтним фирмвером и документацијом.
„Тренутни чипови са коренима поверења су веома власнички. Тврде да су безбедни, али у стварности то узимате здраво за готово и не можете сами да проверите, каже Доминик Рицо, водећи стручњак за безбедност за пројекат Гоогле Титан. „Сада је по први пут могуће обезбедити сигурност без слепе вере у програмере власничког корена дизајна поверења. Дакле, основа није само чврста, већ се може и проверити.”
Рицо је додао да се ОпенТитан може сматрати „радикално транспарентним дизајном у поређењу са тренутним стањем ствари“.
Према речима програмера, ОпенТитан ни на који начин не треба сматрати готовим производом, јер развој још није завршен. Намерно су отворили спецификације и дизајнирали усред развоја како би сви могли да га прегледају, дају допринос и побољшају систем пре почетка производње.
Да бисте почели да производите ОпенТитан чипове, потребно је да се пријавите и добијете сертификат. Очигледно, тантијеме нису потребне.
Извор: ввв.хабр.цом