Grupo trabalha para transparência em silício confiável

A segurança é cada vez mais essencial à medida que a conectividade do dispositivo aumenta, porque as superfícies de ataque maiores tornam mais fácil o hack de sistemas. O nível de segurança mais básico é uma raiz de confiança de hardware (RoT). Embora muitas empresas de chips forneçam RoT em hardware, as soluções proprietárias foram criticadas por falta de transparência; as empresas que projetam com eles devem depositar confiança cega neles.

Um novo grupo está prometendo tornar mais fácil para os desenvolvedores projetar segurança confiável em seus sistemas no nível de metal, tornando a segurança mais acessível e transparente. O projeto OpenTitan diz que vai entregar o primeiro design de raiz de confiança de silício de código aberto (RoT), estabelecendo um novo padrão de transparência em silício confiável.

O projeto reúne uma coalizão de empresas - incluindo ETH Zurich, G + D Mobile Security, Google, Nuvoton Technology e Western Digital - e é gerenciado pela empresa independente e sem fins lucrativos lowRISC CIC (Cambridge, Reino Unido). Usando uma evolução do chip Titan do Google e um núcleo RISC-V da ETH Zurich, o grupo visa fornecer um RoT mais aberto, transparente e de alta qualidade que irá ancorar a confiança em silício para componentes críticos do sistema.

A OpenTitan disse que sua abordagem fornecerá um nível radical de transparência, abrindo praticamente tudo, até o "limite da fundição". Formado por engenheiros que representam os parceiros, o grupo está construindo de forma transparente o design lógico de um RoT de silício, incluindo um microprocessador de código aberto (o lowRISC Ibex, um design baseado em RISC-V da ETH Zurich), coprocessadores criptográficos, um hardware aleatório gerador de números, uma sofisticada hierarquia de chaves, hierarquias de memória para armazenamento volátil e não volátil, mecanismos de defesa, periféricos de E / S e inicialização segura. A OpenTitan disse que entregará um design RoT de alta qualidade e diretrizes de integração para uso em servidores de data center, armazenamento, periféricos e outros dispositivos.

O código aberto do design de silício o torna mais transparente, confiável e, em última análise, seguro. Um RoT de silício pode ajudar a garantir que a infraestrutura de hardware e o software que é executado permaneçam em seu estado pretendido e confiável, verificando se os componentes críticos do sistema inicializam com segurança usando código autorizado e verificável. Ajuda a garantir que um servidor ou dispositivo inicialize com o firmware correto e não tenha sido infectado por um malware de baixo nível, e fornece uma identidade de máquina criptograficamente exclusiva para que um operador possa verificar se um servidor ou dispositivo é legítimo. Ele também protege as chaves de criptografia contra violação, mesmo por aqueles com acesso físico a um produto (durante o envio, por exemplo), e fornece registros de auditoria com autoridade e à prova de violação e outros serviços de segurança de tempo de execução.

“A integridade do sistema deve ser ancorada no silício”, disse o líder da OpenTitan do Google Cloud, Dominic Rizzo, falando no evento de lançamento do projeto. “No Google, construímos nossa própria raiz de confiança de silício com a família de chips Titan. Isso era propriedade do Google. Aprendemos muito com a integração em nossos data centers, como a importância da integração transparente e da integridade das instruções. Isso era ótimo para nossos clientes, mas [era] proprietário, assim como outras raízes de confiança. Portanto, o OpenTitan foi projetado para ser aberto e flexível. ” Com o OpenTitan, ele acrescentou, "a confiança cega dos designers não é mais necessária".

Por que código aberto?

Parceiros fundadores da OpenTitan (Imagem:OpenTitan)

Em uma implementação típica, o RoT é interposto fisicamente entre o processador de inicialização no sistema e a ROM não volátil ou flash que contém o firmware de inicialização inicial. O RoT pode, portanto, validar a integridade do firmware enquanto ele está sendo lido pelo processador de inicialização antes que o sistema seja autorizado a inicializar. O RoT também pode fornecer um caminho para a recuperação se bugs latentes de firmware permitirem que ocorra algum comprometimento. O módulo RoT normalmente vem na forma de um chip separado ou propriedade intelectual embutida em um system-on-chip.

Um RoT de silício pode ser usado em placas-mãe de servidor, placas de rede, dispositivos clientes (como laptops e telefones), roteadores de consumidor e dispositivos IoT. O Google confiou em seu chip RoT personalizado, Titan, para garantir que as máquinas nos data centers do Google inicializem a partir de um estado confiável conhecido com código verificado.

O Google disse:“Reconhecendo a importância de ancorar a confiança no silício, juntamente com nossos parceiros, queremos espalhar os benefícios dos chips RoT de silício confiáveis ​​para nossos clientes e para o resto da indústria. Acreditamos que a melhor maneira de conseguir isso é por meio do silício de código aberto. ”

De acordo com Richard New, vice-presidente de pesquisa e desenvolvimento da Western Digital, todos os chips RoT em uso hoje são proprietários. “Como as implementações são opacas, não há como um usuário final verificar de forma independente a qualidade da arquitetura, firmware ou design de hardware do chip RoT. Isso significa que o usuário final de qualquer dispositivo precisa confiar que o designer do RoT o implementou corretamente e não introduziu nenhum erro. ”

O argumento apresentado pela OpenTitan é que uma RoT de silício de código aberto tem benefícios semelhantes aos do software de código aberto. Ele aumenta a confiança e a segurança por meio da transparência de design e implementação, com a capacidade de descobrir problemas antecipadamente e reduz a necessidade de confiança cega. O aspecto da comunidade significa que a inovação é ativada e incentivada por meio de contribuições para o design de código aberto. E embora não seja promovido como um padrão, pode ajudar a fornecer opções de implementação e preservar um conjunto de interfaces comuns e garantias de compatibilidade de software por meio de um design de referência aberto e comum.

A OpenTitan espera fornecer um nível radical de transparência, abrindo praticamente tudo, até o “limite da fundição”. (Imagem:OpenTitan)

A abordagem OpenTitan é baseada em três princípios fundamentais:transparência, qualidade e flexibilidade. Qualquer pessoa pode inspecionar, avaliar e contribuir com o design e a documentação do OpenTitan para ajudar a construir um RoT de silício transparente e confiável. O grupo está construindo um projeto de silício de alta qualidade e logicamente seguro, incluindo firmware de referência, material de verificação e documentação técnica. Quanto à flexibilidade, a OpenTitan disse que os adotantes podem reduzir custos e alcançar mais clientes usando um design RoT de silício independente de fornecedor e plataforma que pode ser integrado a servidores de data center, armazenamento, periféricos e outros dispositivos.

Falando na conferência de imprensa, Gavin Ferris, cofundador e membro do conselho da lowRISC, disse:“Já concluímos com o design de referência cerca de 40% a 50%.”

New Western Digital disse que a OpenTitan “será uma parte significativa de nossa estratégia. Nossa empresa tem uma longa história de contribuição para código aberto, como Linux e RISC-V. O código aberto é o caminho natural que a indústria precisa seguir. ” Ele disse que a visão da Western Digital é que as soluções mais seguras são baseadas em implementações abertas e inspecionáveis ​​combinadas com políticas transparentes e práticas de segurança. “Especificamente, isso significa que as melhores arquiteturas de segurança serão aquelas que são, na medida do possível, abertas e inspecionáveis ​​por todos. Esta é uma visão não controversa nos círculos de segurança, mas infelizmente não é amplamente seguida na prática.

“O OpenTitan tem o potencial de interromper o modelo de desenvolvimento proprietário e fornecer um design de referência RoT de alta qualidade aberto e inspecionável para a indústria em geral.”

Reação da indústria

Então, o que as outras pessoas do setor pensam? “O RoT é uma parte crítica da IoT”, disse John Moor, diretor administrativo da IoT Security Foundation, ao EE Times Europe . “Um grande obstáculo à segurança é o custo, portanto, ter um RoT de código aberto seria útil.” Mas ele alertou sobre a necessidade de devida diligência no design de código aberto. “Se for genuinamente analisado, é uma coisa boa”, disse ele, acrescentando que ter o poder do Google por trás do esforço é provavelmente outra coisa boa.

Andy Hopper, presidente da lowRISC e veterano da indústria de computação que fundou o precursor do Arm em 1978, disse:“A raiz de silício da confiança é uma tecnologia de segurança fundamental muito importante para ser proprietária. O projeto OpenTitan é outro exemplo de como o desenvolvimento de código aberto incentiva a inovação e atende a interesses maiores, criando uma peça de silício verdadeiramente confiável. Como alguém envolvido na indústria de informática e hardware por várias décadas, sou encorajado a ver as empresas trabalhando de uma forma mais colaborativa e transparente com pesquisadores e a comunidade de código aberto para continuar inovando em um mundo pós-Lei de Moore. ”

Haydn Povey, outro veterano do mundo dos chips e membro do conselho diretor executivo da IoT Security Foundation, enfatizou a "necessidade de tornar as pessoas mais cientes da necessidade de um RoT, seja de código aberto ou proprietário". Povey, que é CEO e fundador da Secure Thingz e anteriormente era responsável pela segurança da Arm, acrescentou:“A segurança nunca será perfeita, mas é vital que as pessoas pensem sobre segurança para garantir que não haja lacunas no pensamento. O código aberto feito da maneira certa pode realmente ser mais seguro. ”

A segurança é a próxima grande onda da computação, da "ponta à empresa", disse Povey. Ele não tinha detalhes completos sobre o OpenTitan, mas disse que parecia um grande passo à frente na segurança do sistema de computação de código aberto.