องค์กรไม่แสวงหากำไร RISC ต่ำ กับ Google และผู้สนับสนุนอื่นๆ วันที่ 5 พฤศจิกายน 2019 นำเสนอ โครงการ โอเพ่นไททันซึ่งเรียกว่า “โครงการโอเพ่นซอร์สโครงการแรกที่สร้างสถาปัตยกรรมชิปแบบเปิดคุณภาพสูงพร้อม root of trust (RoT) ในระดับฮาร์ดแวร์”

OpenTitan ที่ใช้สถาปัตยกรรม RISC-V เป็นชิปวัตถุประสงค์พิเศษสำหรับการติดตั้งบนเซิร์ฟเวอร์ในศูนย์ข้อมูลและในอุปกรณ์อื่น ๆ ที่จำเป็นเพื่อให้แน่ใจว่ามีความถูกต้องในการบูต ปกป้องเฟิร์มแวร์จากการเปลี่ยนแปลง และลดความเป็นไปได้ของรูทคิท: เหล่านี้คือมาเธอร์บอร์ด การ์ดเครือข่าย เราเตอร์ อุปกรณ์ IoT อุปกรณ์พกพา ฯลฯ

แน่นอนว่ามีโมดูลที่คล้ายกันอยู่ในโปรเซสเซอร์สมัยใหม่ ตัวอย่างเช่น โมดูล Intel Hardware Boot Guard คือรากฐานของความไว้วางใจในโปรเซสเซอร์ Intel โดยจะตรวจสอบความถูกต้องของ UEFI BIOS ผ่านสายโซ่แห่งความไว้วางใจก่อนที่จะโหลดระบบปฏิบัติการ แต่คำถามก็คือ เราจะเชื่อถือรากฐานของความไว้วางใจที่เป็นกรรมสิทธิ์ได้มากเพียงใด โดยที่เราไม่สามารถรับประกันได้ว่าจะไม่มีข้อบกพร่องในการออกแบบ และไม่มีวิธีที่จะตรวจสอบได้ ดูบทความ “การดาวน์โหลดที่เชื่อถือได้ของSchrödinger Intel Boot Guard" พร้อมคำอธิบายว่า “ข้อผิดพลาดที่ถูกโคลนมานานหลายปีในการผลิตของผู้จำหน่ายหลายรายทำให้ผู้โจมตีใช้เทคโนโลยีนี้เพื่อสร้างรูทคิทที่ซ่อนอยู่ในระบบซึ่งไม่สามารถลบออกได้ (แม้จะใช้โปรแกรมเมอร์ก็ตาม)

ภัยคุกคามจากการประนีประนอมอุปกรณ์ในห่วงโซ่อุปทานนั้นมีอยู่จริงอย่างน่าประหลาดใจ เห็นได้ชัดว่าเป็นวิศวกรอิเล็กทรอนิกส์สมัครเล่นคนใดก็ตาม สามารถประสานจุดบกพร่องเข้ากับเมนบอร์ดเซิร์ฟเวอร์ได้ใช้อุปกรณ์ราคาไม่เกิน 200 เหรียญ ผู้เชี่ยวชาญบางคนสงสัยว่า "องค์กรที่มีงบประมาณหลายร้อยล้านดอลลาร์อาจทำเช่นนี้ได้เป็นเวลาหลายปี" แม้ว่าจะไม่มีหลักฐาน แต่ก็เป็นไปได้ในทางทฤษฎี

"หากคุณไม่สามารถเชื่อถือฮาร์ดแวร์บูตโหลดเดอร์ได้ เกมก็จะจบลง" พูดว่า Gavin Ferris สมาชิกคณะกรรมการบริหารของ lowRISC - ไม่สำคัญว่าระบบปฏิบัติการจะทำอะไร - หากถึงเวลาที่ระบบปฏิบัติการโหลด คุณถูกโจมตี ที่เหลือก็เป็นเรื่องของเทคโนโลยี คุณทำเสร็จแล้ว”

ปัญหานี้ควรได้รับการแก้ไขโดย OpenTitan แพลตฟอร์มฮาร์ดแวร์แบบเปิดตัวแรก (พื้นที่เก็บข้อมูล GitHub, เอกสาร, ข้อกำหนดฮาร์ดแวร์). การเปลี่ยนจากโซลูชันที่เป็นกรรมสิทธิ์จะช่วยเปลี่ยนแปลง "อุตสาหกรรม RoT ที่ซบเซาและมีข้อบกพร่อง" Google กล่าว

Google เองเริ่มพัฒนา Titan หลังจากค้นพบระบบปฏิบัติการ Minix ที่สร้างไว้ในชิป Intel Management Engine (ME) ระบบปฏิบัติการที่ซับซ้อนนี้ขยายขอบเขตการโจมตีด้วยวิธีที่คาดเดาไม่ได้และควบคุมไม่ได้ Google พยายามกำจัด Intel Management Engine (ME)แต่ไม่สำเร็จ

รากฐานของความไว้วางใจคืออะไร?

แต่ละขั้นตอนของกระบวนการบูตระบบจะตรวจสอบความถูกต้องของขั้นตอนถัดไป ดังนั้นจึงสร้าง ห่วงโซ่แห่งความไว้วางใจ.

Root of Trust (RoT) คือการตรวจสอบความถูกต้องด้วยฮาร์ดแวร์ที่ทำให้แน่ใจว่าแหล่งที่มาของคำสั่งปฏิบัติการคำสั่งแรกในห่วงโซ่ความน่าเชื่อถือไม่สามารถเปลี่ยนแปลงได้ RoT คือการป้องกันขั้นพื้นฐานต่อรูทคิท นี่เป็นขั้นตอนสำคัญของกระบวนการบูตซึ่งเกี่ยวข้องกับการเริ่มต้นระบบในภายหลัง - จาก BIOS ไปจนถึงระบบปฏิบัติการและแอปพลิเคชัน จะต้องตรวจสอบความถูกต้องของการดาวน์โหลดแต่ละขั้นตอนที่ตามมา ในการดำเนินการนี้ จะใช้ชุดคีย์ที่เซ็นชื่อแบบดิจิทัลในแต่ละขั้นตอน มาตรฐานที่ได้รับความนิยมมากที่สุดประการหนึ่งสำหรับการปกป้องคีย์ฮาร์ดแวร์คือ TPM (Trusted Platform Module)

การสร้างรากฐานของความไว้วางใจ ด้านบนนี้เป็นกระบวนการบูตห้าขั้นตอนที่สร้างห่วงโซ่แห่งความไว้วางใจ โดยเริ่มจากตัวโหลดบูตในหน่วยความจำที่ไม่เปลี่ยนรูป แต่ละขั้นตอนใช้กุญแจสาธารณะเพื่อตรวจสอบตัวตนของส่วนประกอบถัดไปที่จะโหลด ภาพประกอบจากหนังสือของเพอร์รี ลี “สถาปัตยกรรมอินเทอร์เน็ตแห่งสรรพสิ่ง”

RoT สามารถเปิดใช้งานได้หลายวิธี:

• การโหลดรูปภาพและคีย์รูทจากเฟิร์มแวร์หรือหน่วยความจำที่ไม่เปลี่ยนรูป
• การจัดเก็บคีย์รูทในหน่วยความจำที่ตั้งโปรแกรมได้ครั้งเดียวโดยใช้บิตฟิวส์
• กำลังโหลดโค้ดจากพื้นที่หน่วยความจำที่ได้รับการป้องกันไปยังที่เก็บข้อมูลที่มีการป้องกัน

โปรเซสเซอร์ที่ต่างกันใช้รากฐานของความไว้วางใจต่างกัน อินเทล และ ARM
รองรับเทคโนโลยีดังต่อไปนี้:

• ARM Trustโซน. ARM ขายบล็อกซิลิคอนที่เป็นกรรมสิทธิ์ให้กับผู้ผลิตชิปซึ่งมอบความไว้วางใจและกลไกความปลอดภัยอื่นๆ สิ่งนี้จะแยกไมโครโปรเซสเซอร์ออกจากคอร์ที่ไม่ปลอดภัย มันรัน Trusted OS ซึ่งเป็นระบบปฏิบัติการที่ปลอดภัยพร้อมอินเทอร์เฟซที่กำหนดไว้อย่างดีสำหรับการโต้ตอบกับส่วนประกอบที่ไม่ปลอดภัย ทรัพยากรที่ได้รับการป้องกันจะอยู่ในแกนหลักที่เชื่อถือได้และควรมีขนาดเล็กที่สุดเท่าที่จะเป็นไปได้ การสลับระหว่างส่วนประกอบประเภทต่างๆ ทำได้โดยใช้การสลับบริบทของฮาร์ดแวร์ ทำให้ไม่จำเป็นต้องใช้ซอฟต์แวร์ตรวจสอบที่ปลอดภัย
• ตัวป้องกันบูต Intel เป็นกลไกฮาร์ดแวร์สำหรับการตรวจสอบความถูกต้องของบล็อกการบูตเริ่มต้นโดยวิธีการเข้ารหัสหรือผ่านกระบวนการวัด ในการตรวจสอบบล็อกเริ่มต้น ผู้ผลิตจะต้องสร้างคีย์ 2048 บิต ซึ่งประกอบด้วยสองส่วน: สาธารณะและส่วนตัว รหัสสาธารณะจะถูกพิมพ์บนกระดานโดยการ "ระเบิด" บิตฟิวส์ในระหว่างการผลิต บิตเหล่านี้ใช้ได้เพียงครั้งเดียวและไม่สามารถเปลี่ยนแปลงได้ ส่วนส่วนตัวของคีย์จะสร้างลายเซ็นดิจิทัลสำหรับการรับรองความถูกต้องของขั้นตอนการดาวน์โหลดในภายหลัง

แพลตฟอร์ม OpenTitan เปิดเผยส่วนสำคัญของระบบฮาร์ดแวร์/ซอฟต์แวร์ดังกล่าว ดังแสดงในแผนภาพด้านล่าง

แพลตฟอร์มโอเพ่นไททัน

การพัฒนาแพลตฟอร์ม OpenTitan ได้รับการจัดการโดยองค์กรไม่แสวงผลกำไร lowRISC ทีมวิศวกรตั้งอยู่ในเคมบริดจ์ (สหราชอาณาจักร) และผู้สนับสนุนหลักคือ Google พันธมิตรผู้ก่อตั้ง ได้แก่ ETH Zurich, G+D Mobile Security, Nuvoton Technology และ Western Digital

Google เผยแพร่ประกาศ โครงการบนบล็อกของบริษัท Google Open Source บริษัทกล่าวว่า OpenTitan มุ่งมั่นที่จะ "ให้คำแนะนำคุณภาพสูงเกี่ยวกับการออกแบบ RoT และการรวมระบบเพื่อใช้ในเซิร์ฟเวอร์ศูนย์ข้อมูล อุปกรณ์จัดเก็บข้อมูล อุปกรณ์ Edge และอื่นๆ"

รากของความไว้วางใจคือจุดเชื่อมต่อแรกในสายโซ่แห่งความไว้วางใจที่ระดับต่ำสุดในโมดูลการประมวลผลที่เชื่อถือได้ ซึ่งระบบจะไว้วางใจอย่างเต็มที่เสมอ

RoT มีความสำคัญอย่างยิ่งต่อแอปพลิเคชันรวมถึงโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) เป็นรากฐานของระบบรักษาความปลอดภัยที่ใช้ระบบที่ซับซ้อน เช่น แอปพลิเคชัน IoT หรือศูนย์ข้อมูล เป็นที่ชัดเจนว่าเหตุใด Google จึงสนับสนุนโครงการนี้ ปัจจุบันมีศูนย์ข้อมูล 19 แห่งใน XNUMX ทวีป ศูนย์ข้อมูล พื้นที่จัดเก็บข้อมูล และแอปพลิเคชันที่สำคัญต่อภารกิจนำเสนอพื้นที่การโจมตีที่กว้างใหญ่ และเพื่อปกป้องโครงสร้างพื้นฐานนี้ Google จึงเริ่มพัฒนารากฐานของความไว้วางใจของตัวเองในชิป Titan

ชิป Titan ที่เป็นกรรมสิทธิ์ สำหรับศูนย์ข้อมูลของ Google เปิดตัวครั้งแรก ในเดือนมีนาคม 2017 ในการประชุม Google Cloud Next “คอมพิวเตอร์ของเราทำการตรวจสอบการเข้ารหัสในแต่ละแพ็คเกจซอฟต์แวร์ จากนั้นตัดสินใจว่าจะให้สิทธิ์การเข้าถึงทรัพยากรเครือข่ายหรือไม่ Titan รวมเข้ากับกระบวนการนี้และให้การปกป้องเพิ่มเติมอีกชั้นหนึ่ง” ตัวแทนของ Google กล่าวในการนำเสนอครั้งนั้น

ชิป Titan ในเซิร์ฟเวอร์ Google

สถาปัตยกรรม Titan ก่อนหน้านี้เป็นของ Google แต่ปัจจุบันกลายเป็นสาธารณสมบัติในฐานะโครงการโอเพ่นซอร์ส

ขั้นตอนแรกของโครงการคือการสร้างการออกแบบ RoT แบบลอจิคัลในระดับชิป รวมถึงไมโครโปรเซสเซอร์แบบโอเพ่นซอร์ส ไอเบกซ์ RISC ต่ำโปรเซสเซอร์การเข้ารหัส ตัวสร้างตัวเลขสุ่มของฮาร์ดแวร์ ลำดับชั้นของคีย์และหน่วยความจำสำหรับการจัดเก็บแบบไม่ลบเลือนและไม่ลบเลือน กลไกความปลอดภัย อุปกรณ์ต่อพ่วง I/O และกระบวนการบูตที่ปลอดภัย

Google กล่าวว่า OpenTitan ขึ้นอยู่กับหลักการสำคัญสามประการ:

• ทุกคนมีโอกาสที่จะตรวจสอบแพลตฟอร์มและมีส่วนร่วม
• เพิ่มความยืดหยุ่นด้วยการเปิดการออกแบบที่ปลอดภัยทางลอจิคัลซึ่งไม่ถูกบล็อกโดยข้อจำกัดของผู้จำหน่ายที่เป็นกรรมสิทธิ์
• มั่นใจในคุณภาพไม่เพียงแต่จากการออกแบบเท่านั้น แต่ยังรวมถึงเฟิร์มแวร์และเอกสารอ้างอิงด้วย

“ชิปปัจจุบันที่มีรากฐานของความไว้วางใจนั้นมีกรรมสิทธิ์มาก พวกเขาอ้างว่าปลอดภัย แต่ในความเป็นจริง คุณถือว่ามันไร้สาระและไม่สามารถยืนยันได้ด้วยตัวเอง Dominic Rizzo หัวหน้าผู้เชี่ยวชาญด้านความปลอดภัยสำหรับโครงการ Google Titan กล่าว “ตอนนี้ เป็นครั้งแรกที่เป็นไปได้ที่จะมอบความปลอดภัยโดยไม่ต้องเชื่อใจนักพัฒนาที่มีรากฐานมาจากการออกแบบความไว้วางใจอันเป็นกรรมสิทธิ์ ดังนั้นรากฐานจึงไม่เพียงแต่แข็งแกร่งเท่านั้น แต่ยังสามารถตรวจสอบได้”

Rizzo เสริมว่า OpenTitan ถือได้ว่าเป็น "การออกแบบที่โปร่งใสอย่างสิ้นเชิงเมื่อเทียบกับสถานะปัจจุบัน"

ตามที่นักพัฒนาระบุว่า OpenTitan ไม่ควรถือเป็นผลิตภัณฑ์สำเร็จรูปในทางใดทางหนึ่ง เนื่องจากการพัฒนายังไม่เสร็จสิ้น พวกเขาจงใจเปิดข้อมูลจำเพาะและออกแบบระหว่างการพัฒนาเพื่อให้ทุกคนสามารถตรวจสอบ ให้ข้อมูล และปรับปรุงระบบก่อนเริ่มการผลิต

ในการเริ่มผลิตชิป OpenTitan คุณต้องสมัครและได้รับการรับรอง เห็นได้ชัดว่าไม่จำเป็นต้องมีค่าลิขสิทธิ์

ที่มา: will.com