Ajo ti kii-èrè pẹlu Google ati awọn onigbọwọ miiran Oṣu kọkanla 5, ọdun 2019 igbiyanju , eyiti o pe “Iṣẹ-iṣẹ orisun ṣiṣi akọkọ lati ṣẹda ṣiṣi-itumọ chirún didara giga pẹlu gbongbo igbẹkẹle (RoT) ni ipele ohun elo.”
OpenTitan ti o da lori faaji RISC-V jẹ ërún idi pataki kan fun fifi sori ẹrọ lori awọn olupin ni awọn ile-iṣẹ data ati ni eyikeyi ohun elo miiran nibiti o jẹ dandan lati rii daju otitọ bata, daabobo famuwia lati awọn ayipada ati imukuro iṣeeṣe rootkits: iwọnyi jẹ awọn modaboudu, awọn kaadi nẹtiwọki, awọn olulana, awọn ẹrọ IoT, awọn ohun elo alagbeka, bbl
Nitoribẹẹ, iru awọn modulu wa ninu awọn ilana ode oni. Fun apẹẹrẹ, module Intel Hardware Boot Guard jẹ ipilẹ ti igbẹkẹle ninu awọn ilana Intel. O jẹrisi otitọ ti UEFI BIOS nipasẹ pq ti igbẹkẹle ṣaaju ikojọpọ OS. Ṣugbọn ibeere naa ni, melo ni a le gbẹkẹle awọn gbongbo ti igbẹkẹle, nitori pe a ko ni iṣeduro pe ko si awọn idun ninu apẹrẹ, ati pe ko si ọna lati ṣayẹwo? Wo nkan pẹlu apejuwe ti "bawo ni kokoro kan ti o ti wa ni cloned fun awọn ọdun ni iṣelọpọ ti awọn olutaja pupọ gba agbara ti o pọju lati lo imọ-ẹrọ yii lati ṣẹda rootkit ti o farasin ninu eto ti a ko le yọ kuro (paapaa pẹlu olutọpa).
Irokeke ti awọn ohun elo ifasilẹ ninu pq ipese jẹ iyalẹnu gidi: nkqwe, eyikeyi ẹlẹrọ ẹrọ itanna magbowo lilo ohun elo ti ko to ju $200 lọ. Diẹ ninu awọn amoye fura pe "awọn ajo pẹlu awọn isuna ti awọn ọgọọgọrun milionu dọla le ṣe eyi fun ọdun pupọ." Biotilejepe nibẹ ni ko si eri, o jẹ oṣeeṣe ṣee ṣe.
"Ti o ko ba le gbẹkẹle bootloader hardware, o ti pari ere," Gavin Ferris, ọmọ ẹgbẹ ti igbimọ awọn oludari ti lowRISC. - Ko ṣe pataki ohun ti ẹrọ ṣiṣe - ti o ba jẹ pe nipasẹ akoko ti ẹrọ ṣiṣe n gbe o ti ni adehun, lẹhinna iyokù jẹ ọrọ ti ilana. O ti pari."
Iṣoro yii yẹ ki o yanju nipasẹ akọkọ ti iru ẹrọ ṣiṣi iru ẹrọ OpenTitan (, , ). Gbigbe kuro ni awọn solusan ohun-ini yoo ṣe iranlọwọ lati yi “ilọra ati ile-iṣẹ RoT ti o ni abawọn,” Google sọ.
Google funrararẹ bẹrẹ idagbasoke Titani lẹhin ti o ṣawari ẹrọ iṣẹ Minix ti a ṣe sinu awọn eerun Intel Management Engine (ME). OS eka yii faagun dada ikọlu ni awọn ọna airotẹlẹ ati ailagbara. Google , ṣugbọn aṣeyọri.
Kí ni gbòǹgbò ìgbẹ́kẹ̀lé?
Ipele kọọkan ti ilana bata eto n ṣayẹwo otitọ ti ipele ti o tẹle, nitorinaa o ṣe ipilẹṣẹ pq ti igbekele.
Gbongbo ti Igbẹkẹle (RoT) jẹ ijẹrisi ti o da lori ohun elo ti o ni idaniloju pe orisun ti ilana ṣiṣe akọkọ ni pq ti igbẹkẹle ko le yipada. RoT jẹ aabo ipilẹ lodi si rootkits. Eyi jẹ ipele bọtini ti ilana bata, eyiti o ni ipa ninu ibẹrẹ atẹle ti eto - lati BIOS si OS ati awọn ohun elo. O gbọdọ rii daju otitọ ti igbesẹ igbasilẹ ti o tẹle. Lati ṣe eyi, ṣeto awọn bọtini ami oni nọmba ni a lo ni ipele kọọkan. Ọkan ninu awọn iṣedede olokiki julọ fun aabo bọtini ohun elo jẹ TPM (Module Platform Igbẹkẹle).
Igbekale kan root ti igbekele. Loke jẹ ilana bata marun-igbesẹ ti o ṣẹda pq ti igbẹkẹle, bẹrẹ pẹlu bootloader ni iranti aiyipada. Igbesẹ kọọkan nlo bọtini ti gbogbo eniyan lati rii daju idanimọ ti paati atẹle ti yoo kojọpọ. Apejuwe lati Perry Lee ká iwe
RoT le ṣe ifilọlẹ ni awọn ọna oriṣiriṣi:
- ikojọpọ aworan ati bọtini root lati famuwia tabi iranti aiyipada;
- titoju awọn root bọtini ni ọkan-akoko ti siseto iranti lilo fiusi die-die;
- Nkojọpọ koodu lati agbegbe iranti to ni aabo sinu ibi ipamọ to ni aabo.
Awọn olutọpa oriṣiriṣi ṣe ipilẹ ti igbẹkẹle ni oriṣiriṣi. Intel ati ARM
ṣe atilẹyin awọn imọ-ẹrọ wọnyi:
- ARM TrustZone. ARM n ta bulọọki ohun alumọni ohun-ini si awọn olupilẹṣẹ ti o pese gbongbo igbẹkẹle ati awọn ọna aabo miiran. Eleyi ya awọn microprocessor lati insecure mojuto; o nṣiṣẹ ni igbẹkẹle OS, ẹrọ ṣiṣe ti o ni aabo pẹlu wiwo ti a ti ṣalaye daradara fun ibaraenisepo pẹlu awọn paati ti ko ni aabo. Awọn orisun ti o ni aabo wa ni ipilẹ ti o gbẹkẹle ati pe o yẹ ki o jẹ iwuwo bi o ti ṣee ṣe. Yipada laarin awọn paati ti awọn oriṣiriṣi oriṣiriṣi ni a ṣe ni lilo iyipada ipo ohun elo, imukuro iwulo fun sọfitiwia ibojuwo to ni aabo.
- Intel Boot Guard jẹ ẹrọ ohun elo fun ṣiṣe ijẹrisi otitọ ti bulọọki bata ibẹrẹ nipasẹ ọna cryptographic tabi nipasẹ ilana wiwọn. Lati mọ daju bulọọki akọkọ, olupese gbọdọ ṣe ina bọtini 2048-bit kan, eyiti o ni awọn ẹya meji: gbangba ati ikọkọ. Bọtini ti gbogbo eniyan ti wa ni titẹ si ori ọkọ nipasẹ “detonating” awọn die-die fiusi lakoko iṣelọpọ. Awọn die-die wọnyi jẹ lilo akoko kan ati pe ko le yipada. Apa ikọkọ ti bọtini ṣe ipilẹṣẹ ibuwọlu oni-nọmba kan fun ijẹrisi atẹle ti ipele igbasilẹ naa.
Syeed OpenTitan ṣafihan awọn ẹya pataki ti iru ohun elo hardware/software, bi o ṣe han ninu aworan atọka ni isalẹ.
OpenTitan Platform
Idagbasoke ti Syeed OpenTitan jẹ iṣakoso nipasẹ ajo ti kii ṣe èrè lowRISC. Ẹgbẹ imọ-ẹrọ jẹ orisun ni Cambridge (UK), ati pe onigbowo akọkọ jẹ Google. Awọn alabaṣepọ ti o ṣẹda pẹlu ETH Zurich, G + D Mobile Aabo, Nuvoton Technology ati Western Digital.
Google ise agbese lori Google Open Source bulọọgi ajọ. Ile-iṣẹ naa sọ pe OpenTitan ti pinnu lati “pese itọnisọna didara-giga lori apẹrẹ RoT ati isọpọ fun lilo ninu awọn olupin ile-iṣẹ data, ibi ipamọ, awọn ẹrọ eti ati diẹ sii.”
Gbongbo ti igbẹkẹle jẹ ọna asopọ akọkọ ninu pq ti igbẹkẹle ni ipele ti o kere julọ ninu module iširo ti o gbẹkẹle, eyiti o jẹ igbẹkẹle ni kikun nipasẹ eto nigbagbogbo.
RoT ṣe pataki fun awọn ohun elo pẹlu awọn amayederun bọtini gbangba (PKIs). O jẹ ipilẹ ti eto aabo lori eyiti eto eka kan gẹgẹbi ohun elo IoT tabi ile-iṣẹ data ti da. Nitorinaa o han gbangba idi ti Google ṣe atilẹyin iṣẹ akanṣe yii. Bayi o ni awọn ile-iṣẹ data 19 lori awọn kọnputa marun. Awọn ile-iṣẹ data, ibi ipamọ, ati awọn ohun elo pataki-pataki ṣe afihan dada ikọlu nla kan, ati lati daabobo awọn amayederun yii, Google ni akọkọ ṣe agbekalẹ gbongbo igbẹkẹle tirẹ lori chirún Titani.
fun Google data awọn ile-iṣẹ akọkọ ṣe ni Google Cloud Next alapejọ. “Awọn kọnputa wa ṣe awọn sọwedowo cryptographic lori package sọfitiwia kọọkan ati lẹhinna pinnu boya lati fun ni iwọle si awọn orisun nẹtiwọki. Titan ṣepọ sinu ilana yii o funni ni awọn ipele aabo afikun, ”Awọn aṣoju Google sọ ni igbejade yẹn.
Titan ërún ni Google server
Awọn faaji Titani jẹ ohun ini nipasẹ Google tẹlẹ, ṣugbọn ni bayi o ti ṣe agbegbe agbegbe gẹgẹbi iṣẹ akanṣe orisun ṣiṣi.
Ipele akọkọ ti iṣẹ akanṣe ni ṣiṣẹda apẹrẹ RoT ọgbọn kan ni ipele ërún, pẹlu microprocessor orisun ṣiṣi. , Awọn olupilẹṣẹ cryptographic, olupilẹṣẹ nọmba ID hardware, bọtini ati awọn ilana iranti fun ibi ipamọ ti kii ṣe iyipada ati ti kii ṣe iyipada, awọn ọna aabo, awọn agbeegbe I / O ati awọn ilana bata to ni aabo.
Google говорит, что OpenTitan основан на трёх ключевых принципах:
- gbogbo eniyan ni aye lati ṣayẹwo pẹpẹ ati ṣe alabapin;
- irọrun ti o pọ si nipa ṣiṣi apẹrẹ ti o ni aabo ti oye ti ko ni idiwọ nipasẹ awọn ihamọ ataja ohun-ini;
- didara ni idaniloju kii ṣe nipasẹ apẹrẹ funrararẹ, ṣugbọn tun nipasẹ famuwia itọkasi ati iwe.
“Awọn eerun lọwọlọwọ pẹlu awọn gbongbo ti igbẹkẹle jẹ ohun-ini pupọ. Wọn sọ pe wọn wa ni aabo, ṣugbọn ni otitọ, o gba laaye ati pe ko le rii daju funrararẹ, Dominic Rizzo, alamọja aabo aabo fun iṣẹ akanṣe Google Titani. “Ni bayi, fun igba akọkọ, o ṣee ṣe lati pese aabo laisi igbagbọ afọju ninu awọn olupilẹṣẹ ti gbongbo ohun-ini ti apẹrẹ igbẹkẹle. Nitorinaa ipilẹ kii ṣe iduroṣinṣin nikan, o le rii daju. ”
Rizzo ṣafikun pe OpenTitan ni a le gbero “apẹrẹ ti o han gbangba ni akawe si ipo awọn nkan lọwọlọwọ.”
Gẹgẹbi awọn olupilẹṣẹ, OpenTitan ko yẹ ki o gba ọja ti o pari, nitori idagbasoke ko ti pari. Wọn mọọmọ ṣii awọn pato ati apẹrẹ idagbasoke aarin-ki gbogbo eniyan le ṣe atunyẹwo rẹ, pese igbewọle, ati ilọsiwaju eto ṣaaju iṣelọpọ bẹrẹ.
Lati bẹrẹ iṣelọpọ awọn eerun OpenTitan, o nilo lati lo ati gba ifọwọsi. Nkqwe, ko si royalties wa ni ti beere.
orisun: www.habr.com