Mokhatlo o sa etseng phaello le Google le batšehetsi ba bang ka la 5 Pulungoana 2019 morero , e bitsang "morero oa pele oa mohloli o bulehileng oa ho theha meralo e bulehileng, ea boleng bo holimo e nang le motso oa tšepo (RoT) boemong ba hardware."
OpenTitan e ipapisitse le meralo ea RISC-V ke chip ea sepheo se ikhethileng bakeng sa ho kenya li-server litsing tsa data le lisebelisoa life kapa life moo ho hlokahalang ho netefatsa bonnete ba boot, ho sireletsa firmware ho liphetoho le ho felisa monyetla oa ho ba le li-rootkits: tsena ke liboto tsa bo-mme, likarete tsa marang-rang, li-routers, lisebelisoa tsa IoT , lisebelisoa tsa mohala, joalo-joalo.
Ehlile, li-module tse tšoanang li teng ho li-processor tsa sejoale-joale. Mohlala, mojule oa Intel Hardware Boot Guard ke motso oa ts'epo ho li-processor tsa Intel. E netefatsa bonnete ba UEFI BIOS ka ketane ea ts'epo pele e kenya OS. Empa potso ke hore na re ka tšepa bokae ba ts'epo ea rona, kaha ha re na tiisetso ea hore ho ke ke ha e-ba le likokoana-hloko moralong, 'me ha ho na mokhoa oa ho e hlahloba? Sheba sehlooho ka tlhaloso ea "kamoo kokoana e 'nileng ea etsoa ka lilemo tse ngata ha ho etsoa barekisi ba' maloa e lumella motho ea ka hlaselang hore a sebelise theknoloji ena ho etsa rootkit e patiloeng tsamaisong e ke keng ea tlosoa (esita le ka moqapi).
Tšokelo ea ho sekisetsa lisebelisoa ka har'a ketane ea phepelo ke ea 'nete ka mokhoa o makatsang: ho hlakile, moenjiniere ofe kapa ofe oa elektronike ea amateur. ho sebelisa thepa e sa bitseng chelete e fetang $200. Litsebi tse ling li belaella hore "mekhatlo e nang le litekanyetso tsa lichelete tsa liranta tse limilione tse makholo e ka 'na ea etsa sena ka lilemo tse ngata." Le hoja ho se na bopaki, ho ea ka khopolo ho ka khoneha.
"Haeba u sa khone ho tšepa bootloader ea lisebelisoa, e felile," Gavin Ferris, setho sa boto ea batsamaisi ea lowRISC. - Ha ho na taba hore na sistimi ea ts'ebetso e etsa eng - haeba ka nako eo sistimi ea ts'ebetso e jarollang o se o le kotsing, tse ling kaofela ke taba ea theknoloji. U se u qetile."
Bothata bona bo lokela ho rarolloa ke sethala sa pele sa mofuta oa sona se bulehileng sa OpenTitan (, , ). Ho tloha hole le tharollo ea beng ba matlo ho tla thusa ho fetola "indasteri e botsoa le e fosahetseng ea RoT," Google e re.
Google ka boeona e qalile ho nts'etsapele Titan kamora ho sibolla sistimi e sebetsang ea Minix e hahiloeng ka har'a lichifi tsa Intel Management Engine (ME). OS ena e rarahaneng e ile ea atolosa sebaka sa tlhaselo ka litsela tse sa lebelloang le tse sa laoleheng. Google , empa ha ea ka ea atleha.
Motso oa ho tšepana ke ofe?
Mothati o mong le o mong oa ts'ebetso ea boot system e hlahloba bonnete ba sethala se latelang, ka hona se hlahisa ketane ya tshepo.
Root of Trust (RoT) ke netefatso e thehiloeng ho hardware e netefatsang hore mohloli oa taeo ea pele e ka phethoang ketane ea trust e ke ke ea fetoloa. RoT ke tšireletso ea mantlha khahlanong le li-rootkits. Ena ke mohato oa bohlokoa oa ts'ebetso ea boot, e amehang ho qaleng ho latelang ha sistimi - ho tloha BIOS ho ea ho OS le lits'ebetso. E tlameha ho netefatsa bonnete ba mohato o mong le o mong o latelang oa ho jarolla. Ho etsa sena, sethaleng se seng le se seng ho sebelisoa linotlolo tse saenneng ka dijithale. E 'ngoe ea litekanyetso tse tsebahalang haholo bakeng sa ts'ireletso ea linotlolo tsa hardware ke TPM (Trusted Platform Module).
Ho theha motso oa tšepo. Ka holimo ke ts'ebetso ea ho qala mehato e mehlano e etsang ketane ea tšepo, ho qala ka bootloader mohopolong o sa fetoheng. Mohato o mong le o mong o sebelisa senotlolo sa sechaba ho netefatsa boitsebiso ba karolo e latelang e tla kenngoa. Setšoantšo se tsoang bukeng ea Perry Lee
RoT e ka hlahisoa ka mekhoa e fapaneng:
- ho kenya setšoantšo le senotlolo sa motso ho tloha ho firmware kapa mohopolo o sa fetoheng;
- ho boloka senotlolo sa motso mohopolong oa nako e le 'ngoe o lokiselitsoeng ho sebelisa likotoana tsa fuse;
- Ho kenya khoutu ho tsoa sebakeng sa memori se sirelelitsoeng ho ea polokelong e sirelelitsoeng.
Li-processor tse fapaneng li sebelisa motso oa tšepo ka tsela e fapaneng. Intel le ARM
tšehetsa theknoloji e latelang:
- ARM TrustZone. ARM e rekisa "silicon block" ho baetsi ba li-chipmaker ba fanang ka motso oa ts'epo le mekhoa e meng ea ts'ireletso. Sena se arola microprocessor ho tloha motheong o sa sireletsehang; e tsamaisa Trusted OS, mokhoa o sireletsehileng oa ts'ebetso o nang le sebopeho se hlalositsoeng hantle bakeng sa ho sebelisana le likarolo tse sa sireletsehang. Lisebelisoa tse sirelelitsoeng li lula sebakeng se tšepahalang 'me li lokela ho ba bobebe ka hohle kamoo ho ka khonehang. Ho fetola pakeng tsa likarolo tsa mefuta e fapaneng ho etsoa ka ho fetola maemo a hardware, ho felisa tlhokahalo ea software e sireletsehileng ea ho beha leihlo.
- Intel Boot Guard ke mokhoa oa hardware oa ho netefatsa bonnete ba "boot block" ea pele ka mokhoa oa "cryptographic" kapa ka mokhoa oa ho metha. Ho netefatsa thibela ea pele, moetsi o tlameha ho hlahisa senotlolo sa 2048-bit, se nang le likarolo tse peli: tsa sechaba le tsa botho. Senotlolo sa sechaba se hatisoa ka boto ka "detonating" likotoana tsa fuse nakong ea tlhahiso. Li-bits tsena li sebelisoa hanngoe feela 'me ha li khone ho fetoloa. Karolo e ikemetseng ea senotlolo e hlahisa signature ea dijithale bakeng sa netefatso e latelang ea sethala sa ho jarolla.
Sethala sa OpenTitan se pepesa likarolo tsa bohlokoa tsa sistimi e joalo ea Hardware/software, joalo ka ha ho bonts'itsoe setšoantšong se ka tlase.
OpenTitan Platform
Nts'etsopele ea sethala sa OpenTitan se laoloa ke mokhatlo o sa etseng phaello o tlaseRISC. Sehlopha sa boenjiniere se thehiloe Cambridge (UK), 'me motšehetsi ea ka sehloohong ke Google. Balekane ba thehiloeng ba kenyelletsa ETH Zurich, G+D Mobile Security, Nuvoton Technology le Western Digital.
Google morero ho blog ea Google Open Source. Khamphani e boletse hore OpenTitan e ikemiselitse ho "fana ka tataiso ea boleng bo holimo mabapi le moralo oa RoT le kopanyo bakeng sa ho sebelisoa ho li-server tsa data center, polokelo, lisebelisoa tsa bohale le tse ling."
Motso oa tšepo ke sehokelo sa pele sa ketane ea tšepo boemong bo tlaase ka ho fetisisa mojuleng oa khomphutha o tšeptjoang, o lulang o tšeptjoa ka botlalo ke sistimi.
RoT e bohlokoa bakeng sa lits'ebetso tse kenyelletsang lisebelisoa tsa bohlokoa tsa sechaba (PKIs). Ke motheo oa tsamaiso ea ts'ireletso eo tsamaiso e rarahaneng e kang kopo ea IoT kapa setsi sa data e thehiloeng ho eona. Kahoo ho hlakile hore na ke hobane'ng ha Google e tšehetsa morero ona. Hona joale e na le litsi tsa data tsa 19 lik'honthinenteng tse hlano. Litsi tsa lits'ebeletso, polokelo le lits'ebetso tsa bohlokoahali li hlahisa sebaka se seholo sa tlhaselo, 'me ho sireletsa lisebelisoa tsena, Google qalong e ile ea theha motso oa eona oa ts'epo ho chip ea Titan.
bakeng sa Google data centers e ile ea qala ho hlahisoa kopanong ya Google Cloud Next. "Likhomphutha tsa rona li etsa li-cryptographic checks ho sephutheloana se seng le se seng sa software ebe se etsa qeto ea hore na re se fa monyetla oa ho fumana lisebelisoa tsa marang-rang. Titan e kenella ts'ebetsong ena mme e fana ka likarolo tse ling tsa tšireletso, "baemeli ba Google ba boletse puong eo.
Chep ea Titan ho seva sa Google
Mohaho oa Titan e ne e le oa Google pele, empa joale o ntse o etsoa sebaka sa sechaba e le projeke ea mohloli o bulehileng.
Mohato oa pele oa morero ke ho theha moralo o utloahalang oa RoT boemong ba chip, ho kenyelletsa le microprocessor e bulehileng ea mohloli. , li-cryptographic processors, hardware random number generator, key and memory hierarchies bakeng sa polokelo e sa tsitsang le e sa tsitsang, mekhoa ea ts'ireletso, li-peripheral tsa I / O le mekhoa e sireletsehileng ea boot.
Google e re OpenTitan e ipapisitse le melaoana e meraro ea bohlokoa:
- e mong le e mong o na le monyetla oa ho hlahloba sethaleng le ho kenya letsoho;
- ho eketseha ha maemo ka ho bula moralo o sireletsehileng o utloahalang o sa thibeloang ke lithibelo tsa barekisi ba nang le thepa;
- boleng bo tiisitsoe eseng feela ka moralo ka boeona, empa hape le ka litšupiso tsa firmware le litokomane.
"Li-chips tsa hajoale tse nang le metso ea ts'epo li na le thepa e ngata. Ba ipolela hore ba bolokehile, empa ha e le hantle, u e nka habobebe 'me ha u khone ho e netefatsa, ho bolela Dominic Rizzo, setsebi se ka sehloohong sa ts'ireletso bakeng sa morero oa Google Titan. “Joale, ka lekhetlo la pele, hoa khoneha ho fana ka ts'ireletso ntle le tumelo e foufetseng ho baetsi ba motso oa motheo oa moralo oa tšepo. Kahoo motheo ha o tiile feela, o ka netefatsoa. ”
Rizzo o boetse a re OpenTitan e ka nkuoa e le "moralo o pepeneneng ha o bapisoa le maemo a hona joale a lintho."
Ho latela bahlahisi, OpenTitan ha ea lokela ho nkuoa e le sehlahisoa se felileng, hobane nts'etsopele ha e so phethehe. Ba ile ba bula ka boomo litlhaloso le moralo oa nts'etsopele ea bohareng e le hore bohle ba ka e hlahloba, ba fane ka lintlha, le ho ntlafatsa tsamaiso pele tlhahiso e qala.
Ho qala ho hlahisa lichifi tsa OpenTitan, o hloka ho etsa kopo le ho fumana setifikeiti. Kamoo ho bonahalang kateng, ha ho na litefello tse hlokahalang.
Source: www.habr.com