经过六年的项目工作,谷歌宣布开始生产基于OpenTitan开放平台的芯片。该芯片由新唐公司生产,是首个可用于生产项目的 OpenTitan 实现。目前,试验批次已发布用于测试,并计划于今年春季开始批量生产。
OpenTitan 是一个创建可信硬件组件(RoT,Root of Trust)的平台,用于需要保证系统硬件和软件元素的完整性的地方。例如,确保系统的关键部分没有被篡改,并且基于经过验证和制造商授权的代码。该项目提供了一个现成的、经过测试的、可靠的框架,可以增强对正在创建的解决方案的信心,并降低开发专用芯片以确保安全的成本。
基于 OpenTitan 的芯片可用于服务器主板、网卡、消费设备、路由器和物联网设备,以验证固件和引导加载程序、生成加密唯一的系统标识符(防止硬件篡改)、提供与安全相关的服务、保护加密密钥(在攻击者获得硬件的物理访问权限时隔离密钥),并维护无法编辑或删除的隔离审计日志。
OpenTitan 包含 RoT 芯片所需的逻辑块,例如基于 RISC-V 架构的开放微处理器(RV32IMCB Ibex)、加密协处理器、硬件随机数生成器、支持 DICE 的密钥管理器、在永久和操作存储器中安全存储数据的机制、安全技术、I/O 块和安全启动组件。该设备还提供了实现典型加密算法(例如 AES 和 HMAC-SHA256)的模块,以及用于处理基于公钥的数字签名的算法的数学运算加速器。
该项目由谷歌发起,后移交给非营利组织 lowRISC,之后西部数据、希捷、新顿科技、华邦电子、Rivos、zeroRISC 和 G+D Mobile Security 等公司也加入了开发。该项目的代码和硬件规范均以 Apache 2.0 许可证发布。OpenTitan 使用的解决方案基于谷歌 Titan 加密 USB 令牌和用于验证启动的 TPM 芯片中已有的技术。 服务器 在谷歌的基础设施上,以及在 Chromebook 和 Pixel 设备上。
与现有的信任根实现不同,OpenTitan 的开发秉承“通过透明实现安全”的理念,这意味着代码和设计可用,并使用完全开放的开发流程,不受特定供应商或芯片制造商的约束。 OpenTitan 是第一个发布到市场的开源信任根实现,支持基于 SLH-DSA(Sphincs+)数字签名生成算法的后量子安全启动机制,可以抵御量子计算机上的暴力破解。
来源: opennet.ru
