Группа работает для прозрачности в доверенных кристаллах

Безопасность становится все более важной по мере расширения возможностей подключения устройств, поскольку более крупные поверхности для атак упрощают взлом системы. Самый фундаментальный уровень безопасности - это аппаратный корень доверия (RoT). В то время как многие производители микросхем предоставляют RoT в аппаратном обеспечении, проприетарные решения подвергаются критике из-за отсутствия прозрачности; компании, проектирующие с ними, должны слепо им доверять.

Новая группа обещает упростить разработчикам создание надежных систем безопасности на металлическом уровне, сделав безопасность более доступной и прозрачной. Проект OpenTitan заявляет, что он предоставит первый кремниевый корень доверия (RoT) с открытым исходным кодом, установив новую планку прозрачности в доверенных кремниевых компонентах.

Проект объединяет коалицию компаний, включая ETH Zurich, G + D Mobile Security, Google, Nuvoton Technology и Western Digital, и управляется независимой некоммерческой компанией lowRISC CIC (Кембридж, Великобритания). Используя усовершенствованный чип Google Titan и ядро ​​RISC-V от ETH Zurich, группа стремится предоставить более открытый, прозрачный и высококачественный RoT, который укрепит доверие к кремнию для критически важных компонентов системы.

OpenTitan заявила, что ее подход обеспечит радикальный уровень прозрачности, открывая практически все, вплоть до «литейных границ». Укомплектованная инженерами, представляющими партнеров, группа прозрачно выстраивает логический дизайн кремниевого RoT, включая микропроцессор с открытым исходным кодом (lowRISC Ibex, дизайн на основе RISC-V от ETH Zurich), криптографические сопроцессоры, случайное аппаратное обеспечение. генератор номеров, сложная иерархия ключей, иерархия памяти для энергозависимого и энергонезависимого хранилища, защитные механизмы, периферийные устройства ввода-вывода и безопасная загрузка. OpenTitan заявила, что предоставит высококачественные рекомендации по проектированию и интеграции RoT для использования в серверах, хранилищах, периферийных устройствах и других устройствах центров обработки данных.

Открытый исходный код кремниевой конструкции делает ее более прозрачной, надежной и, в конечном итоге, безопасной. Микросхема RoT может помочь гарантировать, что аппаратная инфраструктура и программное обеспечение, которое работает на ней, остаются в предполагаемом, заслуживающем доверия состоянии, проверяя, что критически важные системные компоненты загружаются безопасно, используя авторизованный и проверяемый код. Это помогает гарантировать, что сервер или устройство загружается с правильной прошивкой и не были заражены низкоуровневым вредоносным ПО, а также обеспечивает криптографически уникальную идентификацию машины, чтобы оператор мог проверить легитимность сервера или устройства. Он также защищает ключи шифрования от взлома даже теми, кто имеет физический доступ к продукту (например, во время поставки), и предоставляет авторитетные, очевидные записи аудита и другие службы безопасности во время выполнения.

«Системная целостность должна быть основана на микросхеме», - сказал Доминик Риццо, руководитель Google Cloud по OpenTitan, выступая на мероприятии по запуску проекта. «В Google мы создали собственный кремниевый корень доверия с помощью чипов семейства Titan. Это было собственностью Google. Мы многому научились, интегрировав его в наши центры обработки данных, например о важности прозрачной интеграции и целостности инструкций. Это было здорово для наших клиентов, но [было] проприетарным, как и другие источники доверия. Итак, OpenTitan разработан, чтобы быть открытым и гибким ». Он добавил, что с OpenTitan «слепое доверие дизайнеров больше не нужно».

Почему открытый исходный код?

Партнеры-основатели OpenTitan (Изображение:OpenTitan)

В типичной реализации RoT физически вставляется между загрузочным процессором в системе и энергонезависимым ПЗУ или флэш-памятью, которая содержит начальную загрузочную прошивку. Таким образом, RoT может проверить целостность прошивки, поскольку она читается загрузочным процессором, прежде чем системе будет разрешена загрузка. RoT также может предоставить путь к восстановлению, если скрытые ошибки микропрограммного обеспечения допускают некоторый компромисс. Модуль RoT обычно представляет собой отдельный чип или интеллектуальную собственность, встроенную в систему на кристалле.

Кремниевый RoT может использоваться в серверных материнских платах, сетевых картах, клиентских устройствах (например, ноутбуках и телефонах), потребительских маршрутизаторах и устройствах IoT. Google полагается на свой собственный чип RoT, Titan, чтобы гарантировать, что компьютеры в центрах обработки данных Google загружаются из известного надежного состояния с проверенным кодом.

Google сказал:«Осознавая важность закрепления доверия к кремниевым кристаллам, мы вместе с нашими партнерами хотим распространить преимущества надежных кремниевых чипов RoT на наших клиентов и остальную часть отрасли. Мы считаем, что лучший способ добиться этого - использовать кристаллы с открытым исходным кодом ».

По словам Ричарда Нью, вице-президента Western Digital по исследованиям и разработкам, все чипы RoT, которые используются сегодня, являются проприетарными. «Поскольку реализации непрозрачны, конечный пользователь не может независимо проверить качество архитектуры, прошивки или аппаратного обеспечения чипа RoT. Это означает, что конечный пользователь любого такого устройства должен быть уверен, что разработчик RoT реализовал его правильно и не внес никаких ошибок ».

Аргумент OpenTitan состоит в том, что кремниевый RoT с открытым исходным кодом имеет те же преимущества, что и программное обеспечение с открытым исходным кодом. Он повышает доверие и безопасность за счет прозрачности проектирования и реализации, дает возможность обнаруживать проблемы на раннем этапе и снижает потребность в слепом доверии. Аспект сообщества означает, что инновации допускаются и поощряются за счет вклада в дизайн с открытым исходным кодом. И хотя он не продвигается как стандарт, он может помочь обеспечить выбор реализации и сохранить набор общих интерфейсов и гарантии совместимости программного обеспечения за счет общего открытого эталонного дизайна.

OpenTitan рассчитывает обеспечить радикальный уровень прозрачности, открывая практически все, вплоть до «литейных границ». (Изображение:OpenTitan)

Подход OpenTitan основан на трех ключевых принципах:прозрачность, качество и гибкость. Любой желающий может изучить, оценить и внести свой вклад в дизайн и документацию OpenTitan, чтобы помочь создать прозрачный и надежный кремниевый RoT. Группа создает высококачественные, логически безопасные микросхемы, включая эталонное микропрограммное обеспечение, подтверждающие материалы и техническую документацию. Что касается гибкости, OpenTitan заявил, что последователи могут сократить расходы и привлечь больше клиентов, используя кремниевый RoT-дизайн, не зависящий от поставщика и платформы, который можно интегрировать в серверы, системы хранения, периферийные устройства и другие устройства центра обработки данных.

Выступая на пресс-конференции, Гэвин Феррис, соучредитель и член правления lowRISC, сказал:«Мы примерно на 40-50% сделали эталонный дизайн».

Представитель Western Digital New заявил, что OpenTitan «станет важной частью нашей стратегии. Наша компания имеет долгую историю участия в проектах с открытым исходным кодом, таких как Linux и RISC-V. Открытый исходный код - это естественный путь, по которому должна идти индустрия ». Он сказал, что, по мнению Western Digital, наиболее безопасные решения основаны на открытых и проверяемых реализациях в сочетании с прозрачными политиками и методами обеспечения безопасности. «В частности, это означает, что лучшими архитектурами безопасности будут те, которые в максимально возможной степени открыты для всех и доступны для проверки. Это однозначная точка зрения в кругах безопасности, но, к сожалению, она не широко применяется на практике.

«OpenTitan может разрушить проприетарную модель разработки и предоставить открытый и проверяемый высококачественный эталонный дизайн RoT для отрасли в целом».

Реакция отрасли

Так что думают другие в отрасли? «RoT - важная часть IoT, - сказал EE Times Europe управляющий директор IoT Security Foundation Джон Мур. . «Основным препятствием для безопасности является стоимость, поэтому было бы полезно иметь RoT с открытым исходным кодом». Но он предупредил о необходимости должной осмотрительности в отношении дизайна с открытым исходным кодом. «Если это действительно так, то это хорошо», - сказал он, добавив, что, вероятно, еще одна хорошая вещь - это мощь Google, стоящая за этими усилиями.

Энди Хоппер, председатель lowRISC и ветеран компьютерной индустрии, основавший предшественник Arm еще в 1978 году, сказал:«Кремниевый корень доверия - слишком важная основополагающая технология безопасности, чтобы быть частной. Проект OpenTitan - еще один пример того, как разработка с открытым исходным кодом способствует инновациям и служит большим интересам, создавая действительно надежный кристалл. Как человек, занимающийся информатикой и аппаратной промышленностью в течение нескольких десятилетий, меня воодушевляет то, что компании работают в более тесном сотрудничестве и прозрачности с исследователями и сообществом разработчиков ПО с открытым исходным кодом, чтобы продолжать вводить новшества в мире, где закон пост-Мура ».

Гайдн Пови, еще один ветеран мира микросхем и член исполнительного совета IoT Security Foundation, подчеркнул необходимость «сделать людей более осведомленными о необходимости RoT, будь то открытый исходный код или проприетарный». Пови, генеральный директор и основатель Secure Thingz, ранее отвечавший за безопасность в Arm, добавил:«Безопасность никогда не будет идеальной, но жизненно важно, чтобы люди думали о безопасности, чтобы не было пробелов в мышлении. Правильно сделанный открытый исходный код на самом деле может быть более безопасным ».

По словам Пови, безопасность - это следующая крупная волна вычислений, от «периферии к предприятию». У него не было полной информации об OpenTitan, но он сказал, что это похоже на большой шаг вперед в обеспечении безопасности вычислительных систем с открытым исходным кодом.