Icke vinstdrivande organisation med Google och andra sponsorer 5 november 2019 projektet , som kallar "det första open source-projektet för att skapa en öppen, högkvalitativ chiparkitektur med en rot av förtroende (RoT) på hårdvarunivå."
OpenTitan baserat på RISC-V-arkitektur är ett specialchip för installation på servrar i datacenter och i annan utrustning där det är nödvändigt för att säkerställa uppstartsäkthet, skydda den fasta programvaran från förändringar och eliminera möjligheten till rootkits: dessa är moderkort, nätverkskort, routrar, IoT-enheter, mobila prylar, etc.
Naturligtvis finns liknande moduler i moderna processorer. Till exempel är Intel Hardware Boot Guard-modulen roten till förtroende för Intel-processorer. Den verifierar äktheten av UEFI BIOS genom en förtroendekedja innan operativsystemet laddas. Men frågan är, hur mycket kan vi lita på proprietära rötter av förtroende, med tanke på att vi inte har någon garanti för att det inte kommer att finnas några buggar i designen, och det finns inget sätt att kontrollera det? Se artikel med en beskrivning av "hur en bugg som har klonats i flera år i produktionen av flera leverantörer tillåter en potentiell angripare att använda denna teknik för att skapa ett dolt rootkit i systemet som inte kan tas bort (även med en programmerare).
Hotet om att kompromissa med utrustningen i försörjningskedjan är förvånansvärt verkligt: uppenbarligen, vilken amatörelektronikingenjör som helst använder utrustning som inte kostar mer än $200. Vissa experter misstänker att "organisationer med budgetar på hundratals miljoner dollar skulle kunna göra detta i många år." Även om det inte finns några bevis, är det teoretiskt möjligt.
"Om du inte kan lita på hårdvarustarthanteraren är det slut." Gavin Ferris, styrelseledamot för lowRISC. - Det spelar ingen roll vad operativsystemet gör - om du är komprometterad när operativsystemet laddas, så är resten en fråga om teknik. Du är redan färdig."
Detta problem bör lösas av den första i sitt slag öppna hårdvaruplattform OpenTitan (, , ). Att gå bort från egenutvecklade lösningar kommer att bidra till att förändra den "tröga och bristfälliga RoT-branschen", säger Google.
Google började själv utveckla Titan efter att ha upptäckt operativsystemet Minix inbyggt i Intel Management Engine (ME)-chips. Detta komplexa operativsystem utökade attackytan på oförutsägbara och okontrollerbara sätt. Google , men utan framgång.
Vad är roten till tillit?
Varje steg i systemstartprocessen kontrollerar äktheten för nästa steg och genererar på så sätt förtroendekedja.
Root of Trust (RoT) är en hårdvarubaserad autentisering som säkerställer att källan till den första körbara instruktionen i förtroendekedjan inte kan ändras. RoT är det grundläggande skyddet mot rootkits. Detta är ett nyckelsteg i startprocessen, som är involverad i den efterföljande uppstarten av systemet - från BIOS till OS och applikationer. Den måste verifiera äktheten för varje efterföljande nedladdningssteg. För att göra detta används en uppsättning digitalt signerade nycklar i varje steg. En av de mest populära standarderna för skydd av hårdvarunyckel är TPM (Trusted Platform Module).
Att etablera en rot av tillit. Ovan är en startprocess i fem steg som skapar en kedja av förtroende, som börjar med starthanteraren i oföränderligt minne. Varje steg använder en publik nyckel för att verifiera identiteten för nästa komponent som ska laddas. Illustration från Perry Lees bok
RoT kan lanseras på olika sätt:
- laddar bilden och rotnyckeln från firmware eller oföränderligt minne;
- lagra rotnyckeln i engångsprogrammerbart minne med användning av säkringsbitar;
- Laddar kod från ett skyddat minnesområde till ett skyddat minne.
Olika processorer implementerar roten till förtroende på olika sätt. Intel och ARM
stödja följande tekniker:
- ARM TrustZone. ARM säljer ett proprietärt kiselblock till chiptillverkare som ger en rot av förtroende och andra säkerhetsmekanismer. Detta skiljer mikroprocessorn från den osäkra kärnan; det kör Trusted OS, ett säkert operativsystem med ett väldefinierat gränssnitt för interaktion med osäkra komponenter. Skyddade resurser finns i den betrodda kärnan och bör vara så lätta som möjligt. Växling mellan komponenter av olika typer görs med hjälp av hårdvarukontextväxling, vilket eliminerar behovet av säker övervakningsprogramvara.
- Intel Boot Guard är en hårdvarumekanism för att verifiera äktheten av det initiala startblocket med kryptografiska medel eller genom en mätprocess. För att verifiera det initiala blocket måste tillverkaren generera en 2048-bitars nyckel, som består av två delar: offentlig och privat. Den publika nyckeln skrivs ut på kortet genom att "detonera" säkringsbitar under tillverkningen. Dessa bitar är engångsanvändning och kan inte ändras. Den privata delen av nyckeln genererar en digital signatur för efterföljande autentisering av nedladdningssteget.
OpenTitan-plattformen exponerar viktiga delar av ett sådant hård-/mjukvarusystem, som visas i diagrammet nedan.
OpenTitan-plattformen
Utvecklingen av OpenTitan-plattformen sköts av den ideella organisationen lowRISC. Ingenjörsteamet är baserat i Cambridge (Storbritannien), och huvudsponsorn är Google. Grundande partners inkluderar ETH Zürich, G+D Mobile Security, Nuvoton Technology och Western Digital.
Google projekt på Google Open Source företagsblogg. Företaget sa att OpenTitan har åtagit sig att "ge högkvalitativ vägledning om RoT-design och integration för användning i datacenterservrar, lagring, edge-enheter och mer."
Roten till förtroende är den första länken i förtroendekedjan på den lägsta nivån i en betrodd datormodul, som alltid är fullt betrodd av systemet.
RoT är avgörande för applikationer inklusive publika nyckelinfrastrukturer (PKI). Det är grunden för det säkerhetssystem som ett komplext system som en IoT-applikation eller datacenter bygger på. Så det är tydligt varför Google stöder detta projekt. Det har nu 19 datacenter på fem kontinenter. Datacenter, lagring och verksamhetskritiska applikationer har en enorm attackyta, och för att skydda denna infrastruktur utvecklade Google till en början sin egen rot av förtroende på Titan-chippet.
för Googles datacenter introducerades först på Google Cloud Next-konferensen. "Våra datorer utför kryptografiska kontroller av varje mjukvarupaket och beslutar sedan om de ska ge det åtkomst till nätverksresurser. Titan integreras i denna process och erbjuder ytterligare skyddslager”, sa Googles representanter vid presentationen.
Titan-chip på Googles server
Titan-arkitekturen ägdes tidigare av Google, men görs nu allmän egendom som ett projekt med öppen källkod.
Det första steget i projektet är skapandet av en logisk RoT-design på chipnivå, inklusive en mikroprocessor med öppen källkod , kryptografiska processorer, slumptalsgenerator för hårdvara, nyckel- och minneshierarkier för icke-flyktig och icke-flyktig lagring, säkerhetsmekanismer, I/O-kringutrustning och säkra startprocesser.
Google säger att OpenTitan bygger på tre nyckelprinciper:
- alla har möjlighet att kolla in plattformen och bidra;
- ökad flexibilitet genom att öppna upp logiskt säker design som inte blockeras av proprietära leverantörsbegränsningar;
- kvalitet säkerställs inte bara av själva designen utan också av referensfirmware och dokumentation.
"Nuvarande chips med rötter av förtroende är mycket proprietära. De påstår sig vara säkra, men i verkligheten tar du det för givet och kan inte verifiera det själv, säger Dominic Rizzo, ledande säkerhetsspecialist för Google Titan-projektet. "Nu är det för första gången möjligt att tillhandahålla säkerhet utan blind tro på utvecklarna av en egenutvecklad rot av förtroendedesign. Så grunden är inte bara solid, den kan verifieras.”
Rizzo tillade att OpenTitan kan betraktas som "en radikalt transparent design jämfört med det nuvarande tillståndet."
Enligt utvecklarna ska OpenTitan inte på något sätt betraktas som en färdig produkt, eftersom utvecklingen ännu inte är klar. De öppnade medvetet upp specifikationerna och designade mitt i utvecklingen så att alla kunde granska det, ge input och förbättra systemet innan produktionen började.
För att börja producera OpenTitan-chips måste du ansöka och bli certifierad. Tydligen krävs inga royalties.
Källa: will.com