Компанії Google, AMD, NVIDIA і Microsoft в рамках спільного проекту Caliptra розробили відкритий блок проектування мікросхем (IP-блок) для вбудовування в чіпи засобів для створення заслуговують на довіру апаратних компонентів (RoT, Root of Trust). Caliptra є окремим апаратним блоком зі своєю пам'яттю, процесором і реалізацією криптографічних примітивів, що забезпечує верифікацію процесу завантаження, використовуваних прошивок і збереженої в енергонезалежній пам'яті конфігурації пристрою.
Caliptra може застосовуватися для інтеграції в різні чіпи незалежного апаратного блоку, що здійснює перевірку цілісності та гарантує використання у пристрої перевірених та авторизованих виробником прошивок. Caliptra може суттєво спростити та уніфікувати інтеграцію вбудованих апаратних механізмів криптографічної верифікації в CPU, GPU, SoC, ASIC, мережеві адаптери, SSD-накопичувачі та інше обладнання.
Засоби криптографічної верифікації цілісності та справжності, що надаються платформою, дозволять захистити апаратні компоненти від впровадження шкідливих змін у прошивки та убезпечити процес завантаження та зберігання конфігурації, щоб не допустити компрометації основної системи в результаті атак на апаратні компоненти або підстановки шкідливих змін у ланцюжках. У Caliptra також передбачена можливість перевірки автентичності оновлень прошивок та пов'язаних з платформою даних (RTU, Root of Trust for Update), виявлення пошкодження прошивок та критичних даних (RTD, Root of Trust for Detection), відновлення пошкоджених прошивок та даних (RTRec, Root of Trust for Recovery).
Розробка Caliptra ведеться на майданчику спільного проекту Open Compute, орієнтованого на розвиток відкритих специфікацій обладнання для оснащення датацентрів. Пов'язані з Caliptra специфікації поширюються з використанням угоди Open Web Foundation Agreement (OWFa), розробленої для розповсюдження відкритих стандартів (подібно до СПО-ліцензії для специфікацій). Застосування OWFa дає можливість створювати на базі специфікації свої продукти та похідні реалізації без відрахування роялті та дозволяє будь-яким організаціям брати участь у розвитку специфікації.
Базова реалізація IP-блоку побудована на базі відкритого RISC-V процесора SWeRV EL2 та оснащена 384КБ ОЗУ (128КБ DCCM, 128КБ ICCM0 та 128КБ SRAM) та 32КБ ПЗУ. Серед підтримуваних криптоалгоритмів заявлені SHA256, SHA384, SHA512 ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC та AES256-GCM.
Джерело: opennet.ru