Ташкилоти ғайритиҷоратӣ бо Google ва дигар сарпарастон 5 ноябри соли 2019 лоиҳа , ки "аввалин лоиҳаи кушодаасос барои эҷоди як меъмории чипи кушода ва босифат бо решаи эътимод (RoT) дар сатҳи сахтафзор" номида мешавад.
OpenTitan дар асоси меъмории RISC-V як чипи таъиноти махсус барои насб дар серверҳо дар марказҳои додаҳо ва дар ҳама гуна таҷҳизоти дигар мебошад, ки дар он ҷо таъмини аслӣ будани боркунӣ, муҳофизати нармафзор аз тағирот ва аз байн бурдани имкони руткитҳо зарур аст: инҳо motherboard мебошанд, кортҳои шабакавӣ, роутерҳо, дастгоҳҳои IoT, гаҷетҳои мобилӣ ва ғайра.
Албатта, модулҳои шабеҳ дар протсессори муосир мавҷуданд. Масалан, модули Intel Hardware Boot Guard решаи эътимод ба протсессори Intel мебошад. Он асолати UEFI BIOS-ро тавассути як занҷири эътимод пеш аз боркунии OS тафтиш мекунад. Аммо савол ин аст, ки мо то чӣ андоза метавонем ба решаҳои моликияти эътимод бовар кунем, бо назардошти он ки мо кафолат надорем, ки дар тарроҳӣ ягон хатогӣ вуҷуд надорад ва роҳи тафтиши он вуҷуд надорад? Ба мақола нигаред бо тавсифи "чӣ гуна хатое, ки дар тӯли солҳо дар истеҳсоли якчанд фурӯшандагон клон карда шудааст, ба ҳамлагари эҳтимолӣ имкон медиҳад, ки ин технологияро барои эҷоди руткити ниҳонӣ истифода барад, ки онро дар система нест кардан мумкин нест (ҳатто аз ҷониби барномасоз)."
Таҳдиди созиши таҷҳизот дар занҷири таъминот ба таври ҳайратангез воқеӣ аст: аз афташ, ҳар як муҳандиси ҳаводори электроника бо истифода аз таҷҳизоти арзишаш на бештар аз 200 доллар. Бархе аз коршиносон гумон доранд, ки "ташкилотҳое, ки буҷаи садҳо миллион долларро ташкил медиҳанд, метавонанд солҳои тӯлонӣ бо ин кор машғул шаванд". Гарчанде ки ягон далел вуҷуд надорад, он аз ҷиҳати назариявӣ имконпазир аст.
"Агар шумо ба пурборкунандаи сахтафзор бовар карда натавонед, бозӣ ба охир мерасад" Гэвин Феррис, узви шӯрои директорони lowRISC. - Фарқ надорад, ки системаи оператсионӣ чӣ кор мекунад - агар то вақти боркунии системаи оператсионӣ ба шумо осеб расонад, пас боқимонда масъалаи технология аст. Шумо аллакай тамом шудед."
Ин мушкилот бояд аз ҷониби аввалин платформаи сахтафзори кушодаи OpenTitan ҳал карда шавад (, , ). Гузариш аз қарорҳои хусусӣ ба тағир додани "саноати суст ва камбуди RoT" кӯмак мекунад, мегӯяд Google.
Худи Google ба таҳияи Titan пас аз кашф кардани системаи амалиётии Minix, ки дар чипҳои Intel Management Engine (ME) сохта шудааст, оғоз кард. Ин ОС мураккаб сатҳи ҳамларо бо роҳҳои пешгӯинашаванда ва идоранашаванда васеъ кард. Google , вале бемуваффакият.
Решаи эътимод чист?
Ҳар як марҳилаи раванди пурборкунии система ҳаққонияти марҳилаи ояндаро тафтиш мекунад ва ҳамин тавр тавлид мекунад занҷири эътимод.
Решаи эътимод (RoT) як аутентификатсияи сахтафзор аст, ки кафолат медиҳад, ки манбаи аввалин дастури иҷрошаванда дар занҷири эътимод тағир дода намешавад. RoT муҳофизати асосӣ аз руткитҳо мебошад. Ин марҳилаи асосии раванди пурборкунӣ мебошад, ки дар оғози минбаъдаи система - аз BIOS то OS ва барномаҳо иштирок мекунад. Он бояд ҳаққонияти ҳар як қадами зеркашии минбаъдаро тафтиш кунад. Барои ин дар ҳар марҳила маҷмӯи калидҳои ба таври рақамӣ имзошуда истифода мешаванд. Яке аз маъмултарин стандартҳои ҳифзи калидҳои сахтафзор TPM (Module Platform Trust) мебошад.
Таъсиси решаи эътимод. Дар боло як раванди пурборкунии панҷ қадам аст, ки занҷири эътимодро эҷод мекунад, аз пурборкунанда дар хотираи тағирнашаванда сар мешавад. Ҳар як қадам калиди оммавиро истифода мебарад, то ҳаққонияти ҷузъи навбатии боршударо тафтиш кунад. Иллюстратсия аз китоби Перри Ли
RoT-ро бо роҳҳои гуногун оғоз кардан мумкин аст:
- бор кардани тасвир ва калиди реша аз нармафзори нармафзор ё хотираи тағирнашаванда;
- нигоҳ доштани калиди реша дар хотираи якдафъаинаи барномарезишаванда бо истифода аз битҳои муҳофизаткунанда;
- Боркунии код аз минтақаи хотираи ҳифзшуда ба анбори муҳофизатшуда.
Протсессорҳои гуногун решаи эътимодро ба таври гуногун амалӣ мекунанд. Intel ва ARM
технологияҳои зеринро дастгирӣ мекунад:
- ARM TrustZone. ARM блоки хусусии кремнийро ба чипмекерҳо мефурӯшад, ки решаи эътимод ва дигар механизмҳои амниятро таъмин мекунад. Ин микропросессорро аз ядрои ноамн ҷудо мекунад; он Trusted OS-ро идора мекунад, системаи амалиётии бехатар бо интерфейси хуб муайяншуда барои ҳамкорӣ бо ҷузъҳои ноамн. Захираҳои муҳофизатшуда дар ядрои боэътимод ҷойгиранд ва бояд то ҳадди имкон сабук бошанд. Гузариш байни ҷузъҳои навъҳои гуногун бо истифода аз гузариши контексти сахтафзор анҷом дода мешавад, ки зарурати нармафзори мониторинги бехатарро аз байн мебарад.
- Intel Boot Guard механизми сахтафзор барои тафтиши ҳақиқии блоки ибтидоии пурборкунӣ бо воситаҳои криптографӣ ё тавассути раванди андозагирӣ мебошад. Барои тасдиқи блоки ибтидоӣ, истеҳсолкунанда бояд калиди 2048-битро тавлид кунад, ки аз ду қисм иборат аст: ҷамъиятӣ ва хусусӣ. Калиди оммавӣ дар тахта тавассути "таркидан" битҳои муҳофизаткунанда ҳангоми истеҳсол чоп карда мешавад. Ин битҳо як маротиба истифода мешаванд ва онҳоро тағир додан мумкин нест. Қисми хусусии калид имзои рақамиро барои тасдиқи минбаъдаи марҳилаи зеркашӣ тавлид мекунад.
Платформаи OpenTitan қисмҳои асосии чунин системаи сахтафзор/нармафзорро, ки дар диаграммаи зер нишон дода шудааст, фош мекунад.
Платформаи OpenTitan
Таҳияи платформаи OpenTitan аз ҷониби ташкилоти ғайритиҷоратии lowRISC идора карда мешавад. Гурӯҳи муҳандисӣ дар Кембриҷ (Бритониё) ҷойгир аст ва сарпарасти асосӣ Google мебошад. Шарикони асосгузор ETH Zurich, G+D Mobile Security, Nuvoton Technology ва Western Digital мебошанд.
Google лоиҳа дар блоги корпоративии Google Open Source. Ширкат гуфт, ки OpenTitan ӯҳдадор аст, ки "ҳидоятҳои баландсифат оид ба тарроҳии RoT ва ҳамгироӣ барои истифода дар серверҳои маркази додаҳо, нигаҳдорӣ, дастгоҳҳои канорӣ ва ғайра пешниҳод кунад."
Решаи эътимод пайванди аввалини занҷири эътимод дар сатҳи пасттарин дар модули ҳисоббарории боэътимод аст, ки ҳамеша аз ҷониби система комилан эътимод дорад.
RoT барои барномаҳо, аз ҷумла инфрасохтори калиди ҷамъиятӣ (PKIs) муҳим аст. Он асоси системаи амният аст, ки дар он як системаи мураккаб ба монанди барномаи IoT ё маркази додаҳо асос ёфтааст. Пас маълум аст, ки чаро Google ин лоиҳаро дастгирӣ мекунад. Ҳоло он дар панҷ қитъа 19 маркази маълумот дорад. Марказҳои додаҳо, нигаҳдорӣ ва барномаҳои муҳими миссия сатҳи васеи ҳамларо пешниҳод мекунанд ва барои ҳифзи ин инфрасохтор, Google дар аввал решаи эътимоди худро ба чипи Titan таҳия кард.
барои марказҳои маълумотии Google бори аввал ҷорӣ карда шуд дар конфронси Google Cloud Next. "Компютерҳои мо ҳар як бастаи нармафзорро тафтиши криптографӣ анҷом медиҳанд ва сипас тасмим мегиранд, ки ба он дастрасӣ ба захираҳои шабакаро фароҳам оранд. Титан ба ин раванд муттаҳид мешавад ва қабатҳои иловагии муҳофизатро пешниҳод мекунад ”гуфт намояндагони Google дар ин муаррифӣ.
Чипи Титан дар сервери Google
Меъмории Titan қаблан ба Google тааллуқ дошт, аммо ҳоло ҳамчун лоиҳаи кушодаасос ба домени ҷамъиятӣ табдил дода мешавад.
Марҳилаи аввали лоиҳа эҷоди тарҳи мантиқии RoT дар сатҳи чип, аз ҷумла микропросессори кушодаасос мебошад. , протсессори криптографӣ, тавлидкунандаи рақамҳои тасодуфии сахтафзор, иерархияҳои калид ва хотира барои нигаҳдории ғайримуқаррарӣ ва ғайридавлатӣ, механизмҳои амниятӣ, периферивии вуруд/чор ва равандҳои пурборкунии бехатар.
Google мегӯяд, ки OpenTitan ба се принсипи асосӣ асос ёфтааст:
- ҳама имконият доранд, ки платформаро тафтиш кунанд ва саҳм гузоранд;
- баланд бардоштани чандирии тавассути кушодани тарҳи мантиқӣ бехатар, ки бо маҳдудиятҳои хусусии фурӯшанда баста нашудааст;
- сифат на танҳо аз ҷониби худи тарроҳӣ, балки тавассути нармафзори истинод ва ҳуҷҷатҳо таъмин карда мешавад.
"Чипҳои кунунӣ бо решаҳои эътимод хеле моликиятанд. Онҳо иддао доранд, ки бехатаранд, аммо дар асл, шумо инро як чизи муқаррарӣ қабул мекунед ва худатон онро тасдиқ карда наметавонед, мегӯяд Доминик Риззо, мутахассиси пешбари амният дар лоиҳаи Google Titan. «Ҳоло бори аввал имконпазир аст, ки амниятро бидуни боварии кӯр ба таҳиягарони решаи хусусии тарроҳии эътимод таъмин кард. Ҳамин тавр, таҳкурсӣ на танҳо мустаҳкам аст, балки онро метавон тафтиш кард. ”
Риззо илова кард, ки OpenTitan-ро метавон "тарҳи комилан шаффоф дар муқоиса бо вазъи кунунии чизҳо" арзёбӣ кард.
Ба гуфтаи таҳиягарон, OpenTitan набояд ба ҳеҷ ваҷҳ маҳсулоти тайёр ҳисобида шавад, зеро таҳия ҳанӯз ба анҷом нарасидааст. Онҳо дидаву дониста мушаххасотро кушоданд ва тарҳи миёнаравиро тарҳрезӣ карданд, то ҳама тавонанд онро баррасӣ кунанд, саҳм гузоранд ва системаро пеш аз оғози истеҳсолот такмил диҳанд.
Барои оғози истеҳсоли микросхемаҳои OpenTitan, шумо бояд муроҷиат кунед ва сертификат гиред. Эҳтимол, ҳеҷ гуна ҳаққи иҷозатнома талаб карда намешавад.
Манбаъ: will.com