في 5 تشرين الثاني (نوفمبر) 2019 ، قدمت منظمة lowRISC غير الهادفة للربح ، بمشاركة Google والجهات الراعية الأخرى ، مشروع OpenTitan ، والذي يطلق عليه "أول مشروع مفتوح المصدر لإنشاء بنية مفتوحة وعالية الجودة من الرقائق مع جذر الثقة (RoT) على مستوى الأجهزة".

OpenTitan on RISC-V architecture عبارة عن شريحة متعددة الأغراض للتثبيت على الخوادم في مراكز البيانات وفي أي أجهزة أخرى حيث يكون من الضروري التأكد من صحة التمهيد ، وحماية البرامج الثابتة من التغييرات والقضاء على إمكانية برامج الجذر: هذه هي اللوحات الأم ، وبطاقات الشبكة ، وأجهزة التوجيه ، وأجهزة إنترنت الأشياء ، الأدوات المحمولة ، إلخ.

بالطبع ، هذه الوحدات في المعالجات الحديثة. على سبيل المثال ، تعد وحدة أجهزة Intel Boot Guard بمثابة جذر الثقة في معالجات Intel. يتحقق من صحة BIOS UEFI من خلال سلسلة الثقة قبل تشغيل نظام التشغيل. لكن السؤال هو ، إلى أي مدى يمكننا الوثوق بجذور الثقة الملكية ، بالنظر إلى أننا لا نملك ضمانات لعدم وجود أخطاء في التصميم ، ولكن لا توجد طريقة للتحقق منها؟ راجع مقالة "تنزيل موثوق به Schrödinger. Intel Boot Guard " مع وصف" كيف أن الأخطاء المستنسخة على مر السنين في إنتاج العديد من البائعين تسمح للمهاجمين المحتملين باستخدام هذه التقنية لإنشاء جذر خفي في نظام غير مبرمج (حتى مبرمج). "

إن خطر المساومة على المعدات في سلسلة التوريد حقيقي بشكل مدهش: يبدو أن أي مهندس إلكترونيات للهواة يمكنه أن يحل مشكلة في اللوحة الأم للخادم باستخدام معدات لا تزيد قيمتها عن 200 دولار. يشك بعض الخبراء في أن "المنظمات التي تبلغ ميزانيتها مئات الملايين من الدولارات يمكنها القيام بذلك لسنوات عديدة." على الرغم من عدم وجود دليل ، إلا أنه ممكن من الناحية النظرية.

وقال غافن فيريس ، عضو مجلس إدارة lowRISC: "إذا كنت لا تستطيع الوثوق في تنزيل الأجهزة ، فقد انتهت اللعبة". - لا يهم ما يفعله نظام التشغيل - إذا كنت قد تعرضت للاختراق بحلول الوقت الذي يتم فيه تحميل نظام التشغيل ، فإن الباقي هو مسألة تقنية. لقد انتهيت بالفعل ".

يجب حل هذه المشكلة عن طريق أول نظام أساسي مفتوح من نوعه للأجهزة OpenTitan ( مستودع GitHub والمستندات ومواصفات الأجهزة ). وقالت جوجل إن تجنب الحلول الاحتكارية سيغير "صناعة RoT الخرقاء وغير الكاملة".

شرعت Google نفسها في تطوير Titan ، واكتشاف نظام التشغيل Minix المدمج في رقائق Intel Management Engine (ME). نظام التشغيل المعقد هذا بطريقة غير متوقعة ولا يمكن التحكم فيها وسّع سطح الهجوم. حاولت Google التخلص من Intel Management Engine (ME) ، لكنها فشلت.

ما هو جذر الثقة؟

تتحقق كل مرحلة من مراحل عملية تمهيد النظام من صحة المرحلة التالية ، وبالتالي تشكل سلسلة ثقة .

جذر الثقة (RoT) هو مصادقة قائمة على الأجهزة تضمن عدم إمكانية تغيير مصدر أول تعليمات قابلة للتنفيذ في سلسلة الثقة. RoT هو الحماية الأساسية ضد الجذور الخفية. هذه هي الخطوة الأساسية في عملية التمهيد ، والتي تشارك في مزيد من بدء تشغيل النظام - من BIOS إلى نظام التشغيل والتطبيقات. يجب عليه التحقق من صحة كل خطوة تنزيل لاحقة. لهذا ، في كل مرحلة يتم استخدام مجموعة من المفاتيح ذات التوقيع الرقمي. يعد TPM (الوحدة النمطية للنظام الأساسي الموثوق به) أحد أكثر معايير حماية المفاتيح شيوعًا.


تأسيس جذر الثقة. أعلاه عبارة عن تنزيل من خمس مراحل ، والذي يشكل سلسلة من الثقة ويبدأ مع أداة تحميل التشغيل الموجودة في ذاكرة غير قابلة للتغيير. في كل مرحلة ، يتم استخدام مفتاح عمومي لمصادقة المكون التالي القابل للتنزيل. رسم توضيحي من العمارة بيري لي

يمكن إطلاق RoT بعدة طرق:

• تحميل الصورة ومفتاح الجذر من البرامج الثابتة أو الذاكرة الثابتة ؛
  
• تخزين مفتاح الجذر في ذاكرة قابلة للبرمجة لمرة واحدة باستخدام وحدات بت الصمامات ؛
  
• تحميل رمز من منطقة محمية من الذاكرة إلى تخزين محمي.

في المعالجات المختلفة ، يتم تطبيق جذر الثقة بطرق مختلفة. إنتل و ARM
دعم التقنيات التالية:

• ARM TrustZone . يقوم ARM ببيع كتلة سيليكون خاصة لصانعي الرقائق ، مما يوفر جذر الثقة وآليات الأمان الأخرى. وبالتالي ، يتم فصل المعالج الدقيق عن النواة غير الآمنة ؛ يعمل على نظام التشغيل الموثوق ، وهو نظام تشغيل آمن مع واجهة محددة جيدًا للتفاعل مع المكونات غير الآمنة. الموارد المحمية في قلب موثوق ويجب أن تكون خفيفة الوزن قدر الإمكان. يتم الانتقال بين مكونات الأنواع المختلفة باستخدام تبديل سياق الأجهزة ، مما يلغي الحاجة إلى برنامج مراقبة آمن.
  
• Intel Boot Guard هي آلية للجهاز لمصادقة كتلة التمهيد الأولية باستخدام أدوات التشفير أو من خلال عملية القياس. للتحقق من الكتلة الأولية ، يجب على الشركة المصنعة إنشاء مفتاح 2048 بت ، والذي يتكون من جزأين: عام وخاص. تتم طباعة المفتاح العمومي على السبورة عن طريق "تفجير" أجزاء الصمامات في مرحلة الإنتاج. هذه البتات لمرة واحدة ولا يمكن تغييرها. ينشئ الجزء الخاص من المفتاح توقيعًا رقميًا للمصادقة اللاحقة على مرحلة التنزيل.

تكشف منصة OpenTitan عن الأجزاء الرئيسية لنظام مثل هذا البرنامج الثابت ، كما هو موضح في الرسم البياني أدناه.

منصة OpenTitan

تطوير منصة OpenTitan هو تحت سيطرة منظمة غير ربحية lowRISC. يقع الفريق الهندسي في كامبريدج (المملكة المتحدة) ، والراعي الرئيسي هو جوجل. من بين الشركاء المؤسسين ، المدرسة السويسرية التقنية العليا في زيوريخ ، G + D Mobile Security ، Nuvoton Technology و Western Digital.

نشرت Google الإعلان عن المشروع في مدونة شركة Google Open Source. وقالت الشركة إن OpenTitan ملتزمة "بتوفير إرشادات تصميم وتكامل RoT عالية الجودة لاستخدامها في خوادم مركز البيانات والتخزين والأجهزة الطرفية والمزيد".

جذر الثقة هو الرابط الأول في سلسلة الثقة عند أدنى مستوى في وحدة الحوسبة الموثوقة ، والتي يثق بها النظام دائمًا بالكامل.

RoT أمر بالغ الأهمية للتطبيقات ، بما في ذلك البنية التحتية للمفتاح العام (PKI). هذا هو أساس نظام الأمان الذي يعتمد عليه نظام معقد ، مثل تطبيق إنترنت الأشياء أو مركز البيانات. لذلك ، من الواضح سبب دعم Google لهذا المشروع. لديها الآن 19 مركز بيانات في القارات الخمس. تمثل مراكز البيانات والتخزين والتطبيقات المهمة مهمة سطح هجوم واسع ، ولحماية هذه البنية التحتية ، طورت Google في البداية جذر الثقة الخاص بها على شريحة Titan.

تم تقديم شريحة Titan الخاصة بمراكز بيانات Google لأول مرة في مارس 2017 في مؤتمر Google Cloud Next. "تجري أجهزة الكمبيوتر لدينا فحص تشفير لكل حزمة برامج ، ثم تقرر ما إذا كانت ستسمح لها بالوصول إلى موارد الشبكة. قال ممثلو Google في هذا العرض التقديمي "تيتان تندمج في هذه العملية وتوفر طبقات إضافية من الحماية".


رقاقة تيتان في خادم جوجل

كانت شركة Titan مملوكة لشركة Google ، ولكنها أصبحت الآن مجالًا عامًا في إطار مشروع مفتوح المصدر.

تتمثل المرحلة الأولى من المشروع في تصميم تصميمي منطقي لـ RoT على مستوى الدوائر المصغرة ، بما في ذلك المعالج المصغر ذو المصدر المفتوح lowRISC ibex ، ومعالجات التشفير ، ومولد الأرقام العشوائية للأجهزة ، والتسلسلات الهرمية للمفاتيح والذاكرة للتخزين غير المتطاير وغير المتقلب ، وآليات الأمان ، وأجهزة الإدخال / الإخراج الطرفية الطرفية.

تقول Google إن OpenTitan يعتمد على ثلاثة مبادئ رئيسية:

• كل شخص لديه الفرصة لاختبار النظام الأساسي والمساهمة ؛
• زيادة المرونة بسبب فتح تصميم آمن منطقيًا لا يتم حظره بواسطة الحظر المفروض على الملكية للمورد ؛
  
• ضمان الجودة ليس فقط من خلال التصميم نفسه ، ولكن أيضًا من خلال البرامج الثابتة المرجعية والوثائق.

"تعتبر الرقائق الحالية ذات جذور الثقة ملكية خاصة. قال دومينيك ريزو ، كبير أخصائيي الأمن في مشروع جوجل تيتان: "إنهم يدعون الأمان ، لكن في الحقيقة أنت تؤمن به ولا يمكنك اختباره بنفسك". "الآن وللمرة الأولى ، تنشأ الفرصة لتوفير الأمن دون إيمان أعمى لمطوري جذور تصميم الملكية الخاصة. وبالتالي فإن الأساس ليس صلبًا فحسب ، بل يمكن التحقق منه ".

أضاف ريزو أن OpenTitan يمكن اعتباره "تصميمًا شفافًا تمامًا ، مقارنةً بالحالة الراهنة للأشياء".

وفقًا للمطورين ، لا ينبغي اعتبار OpenTitan بأي حال من الأحوال منتجًا نهائيًا ، لأن التطوير لم يكتمل بعد. قاموا عن عمد بفتح المواصفات والتصميم في منتصف التطوير بحيث يمكن للجميع اختباره والمساهمة وتحسين النظام قبل بدء الإنتاج.

لبدء تصنيع رقائق OpenTitan ، تحتاج إلى تقديم طلب والحصول على شهادة. على ما يبدو ، لا توجد إتاوات مطلوبة.