广告

OpenTitan项目将提供首个开放原始码的芯片信任根

2020-02-05 12:34:31 Nitin Dahad 阅读:
新成立的产业组织OpenTitan期望藉由更易取得且透明化的安全方案,让开发工程师从系统的芯片层级就能设计可信任安全性。

随着连网装置普及,更大的攻击面使得系统更容易被黑客入侵,安全性也变得越来越重要。硬件信任根(root of trust,RoT)是最基本的安全层级,尽管许多芯片业者都提供硬件信任根,但因为专有解决方案缺乏透明度而备受争议;采用这些专有解决方案进行设计的公司,不得不盲目信任它们。Glcednc

为此,一个新成立的产业组织OpenTitan,目标是藉由更易取得且透明化的安全方案,让开发工程师从系统的芯片层级就能设计可信任安全性。OpenTitan项目将提供首个开放原始码的芯片信任根,为可信任芯片透明度树立新标竿。Glcednc

OpenTitan成员包括瑞士苏黎世联邦理工学院(ETH Zurich)、德国行动安全技术供货商G+D Mobile Security、Google、台湾IC设计业者新唐(Nuvoton Technology)和储存技术大厂Western Digital (WD)在内的多家公司,由位于英国剑桥的独立非营利性公司lowRISC CIC负责管理。利用Google的Titan芯片和ETH Zurich开发的RISC-V架构核心,该组织旨在提供一种更开放、透明且质量更高的RoT,以巩固在关键系统组件中芯片等级的信任度。Glcednc

20020204_OpenTitan_NT31P1Glcednc

OpenTitan的创始成员伙伴。Glcednc

OpenTitan表示,他们的方案将提供彻底的透明度,将一切设计开放到进入晶圆代工厂生产之前;该组织成员伙伴工程师代表所组成的团队,目前正在打造透明的芯片RoT逻辑设计,包括开放源码微处理器(lowRISC Ibex,由ETH Zurich开发的RISC-V架构核心)、加密协同处理器、硬件随机数生成器、复杂的密钥层级、挥发性和非挥发性储存的内存层次结构、防御机制、I/O周边以及安全启动(secure boot)。OpenTitan将为数据中心服务器、储存装置、周边和其他装置提供高质量RoT设计和整合指南。Glcednc

开放性的芯片设计会有更透明化、更值得信赖也更安全。芯片信任根可以验证关键系统组件是否采用了经授权和可验证的代码安全启动,从而确保硬件基础架构以及在上面执行的软件维持预期的可信任状态,并帮助确保服务器或任何装置采用正确的韧体启动,不会被低层级的恶意软件感染;而且它还提供加密的独有机器ID,让操作人员可以验证服务器或装置是否为正版。它同时保护加密密钥不被篡改,即使是那些需要藉由实际接触产品(例如在运送过程中)进行的篡改;此外也提供授权的篡改证据审计记录和其他运作时间安全服务。Glcednc

Google云端部门的OpenTitan项目负责人Dominic Rizzo该项目发表会上表示:「系统完整性应该立基于芯片;在Google我们已经用Titan系列芯片打造了自己的芯片级信任根,但这是Google的专有技术,在将之整合到数据中心的过程中我们学到了很多经验,例如透明整合和指令完整性的重要性。这对客户来说很棒,但与其他信任根一样,是专有的。而OpenTitan就是为开放和灵活性而设计的;」他补充指出,藉由OpenTitan项目,设计工程师「再也不必盲目信任。」Glcednc

为什么要开放?

在一个典型的实作中,RoT在实体上介于系统的启动处理器和内含初始开机韧体的非挥发性ROM或闪存之间;因此,在系统被允许启动之前,RoT可以在启动处理器读取韧体之前验证其完整性,如果潜伏的韧体bug可能产生某种威胁,RoT还可以提供复原路径。RoT模块通常以独立芯片或嵌入SoC的IP等形式出现。Glcednc

芯片RoT可应用于服务器主板、网卡、终端设备(如笔记本电脑与手机)、消费性路由器和IoT装置。Google凭借其客制化RoT芯片Titan,已经可以藉由验证过的程序代码,确保其数据中心的计算机是在已知的可信任状态下启动。Glcednc

Google表示:「我们已经认知到将信任根植于硅芯片的重要性,我们希望与合作伙伴一同将可靠的芯片RoT优势向我们的客户和整个产业宣传。我们相信,实现这一目标的最佳方法就是开放源码架构芯片。」Glcednc

WD研发副总裁Richard New则表示,目前业界使用的所有RoT芯片都是专有方案,「由于实作是不透明的,终端用户无法独立验证RoT芯片的架构、韧体或硬件设计的质量;这意味着终端使用者只要使用了这些装置就得信任其RoT设计是正确的、没有导入任何错误。」Glcednc

OpenTitan提出的论点是,开放源码芯片RoT具备与开放源码软件类似的优势,透过设计和实作透明度来强化可信度和安全性,可以及早发现问题、降低对盲目信任的需要。而在社群方面,藉由对开放源码设计的贡献,可以实现和鼓励创新。尽管目前还没有作为标准来推广,OpenTitan可以提供一个通用的开放式参考设计,协助提供实作上的选择,同时保留一组通用接口并保证软件兼容性。Glcednc

20020204_OpenTitan_NT31P2Glcednc

OpenTitan希望提供一种彻底的透明度,将进入晶圆代工厂生产之前的所有设计流程开放。(图片来源:OpenTitan)Glcednc

OpenTitan提出的方法植根于三个关键原则:透明度、质量和灵活性。任何人都可以检查、评估OpenTitan的设计和文件,并做出贡献,以协助建构透明、值得信赖的芯片RoT。该组织正在打造高质量的、在逻辑上安全的芯片设计,包括参考韧体、验证辅助数据(verification collateral)和技术文件。 至于灵活性,OpenTitan指出,使用者因为不挑供货商和平台、能整合到任何数据中心服务器、储存装置、接口设备与其他装置的RoT芯片,可以因此降低成本并吸引更多客户。Glcednc

lowRISC的共同创办人暨董事会成员Gavin Ferris在记者会上表示:「我们已经完成了40%~50%的参考设计。」Glcednc

WD的New则透露,OpenTitan「将是我们战略中很重要的一部分;我们的公司长期致力贡献开放源码社群,例如Linux和RISC-V。开放源码是产业发展的必然途径;」他指出,在WD看来,最安全的解决方案是以开放、可检阅的实作方案为基础,同时结合了透明化策略和安全实践。Glcednc

「具体来说,这意味着最佳安全性架构应该是尽可能以最大程度对所有人开放、检阅,这是在安全技术领域毫无争议的观点,可惜在实际上并未被广泛遵循;」New认为:「OpenTitan可望突破各自为政的开发模式,为整个产业提供开放、可供检阅的高质量RoT参考设计。」Glcednc

产业界的回应

那么,产业界其他人士对OpenTitan的看法为何?IoT Security Foundation常务董事John Moor接受EE Times Europe采访时表示:「RoT是物联网的关键部分,而安全性的一大障碍就是成本,因此一个开放源码RoT将帮助良多;」但他也警告,需要审慎检验此开放源码设计,「如果有做到,才会真正是一件好事。」他补充指出,有Google扮演后盾对产业应该也是幸事。Glcednc

lowRISC董事长Andy Hopper是一位计算机业资深人士,曾于1978年创立了Arm的前身;他表示:「芯片信任根是一项非常重要的基础性安全技术,不应该是专有的。OpenTitan项目是一个很好的示范,体现了开放源码的发展如何鼓励创新,以及藉由打造真正值得信任的芯片带来更大的利益。从事计算机科学和硬件产业数十年,我很高兴能看到产业界与学界、开放源码社群之间以更紧密、透明的方式彼此合作,在后摩尔定律时代继续创新。」Glcednc

另一位芯片领域资深人士、IoT Security Foundation执委会成员Haydn Povey则强调,「我们需要让人们更加意识到RoT的必要性,无论它是开放源码或专有;」他是英国的安全技术供货商Secure Thingz的执行长暨创办人,先前曾任职于Arm负责安全技术开发。Povey补充:「安全性永远不可能达到完美,但是要让人们考虑到安全性并确保一致性,这是至关重要的。如果开放源码做的正确,确实可以更加安全。」Glcednc

Povey指出,对安全性的关注会是运算领域的下一波热潮,从「边缘到企业」皆然;他尚未仔细研究OpenTitan项目,但认为该项目看来是开放源码运算系统安全性的重要进展。Glcednc

 (原文发表于ASPENCORE旗下EDN姐妹媒体EETimes,参考链接: Silicon Root of Trust Goes Open Source,本文同步刊登于电子工程专辑杂志2020年2月号)Glcednc

本文为电子技术设计原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Nitin Dahad
EE Times欧洲记者。Nitin Dahad是EE Times的欧洲记者。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 智能楼宇不只是能源管理 新冠疫情的到来,引发了我们在如何在办公室、工厂和商店等室内环境更智能、安全地进行社交和协作方面更多的思考与讨论。
  • 满足 21世纪电气化需求,实现净零排放的未来 随着新兴市场和前沿的经济体步入工业化阶段,这种以化石燃料为主的集中式电力和运输网络是不可持续的,需要未来下一代的能源网络...
  • 10A电子保险丝可为48V电源提供紧凑型过流保护 传统上,过流保护使用的是保险丝。但是,保险丝体积庞大,响应速度慢,跳闸电流公差大,需要在一次或几次跳闸后更换。本文介绍一种外形紧凑、纤薄、响应速度快的10 A电子保险丝,它没有上述这些无源保险丝缺点。电子保险丝可在高达48 V的DC电源轨上提供过流保护。
  • 蓝牙安全性——如何构建下一代安全密钥管理 在半导体领域,安全密钥存储在密钥存储和管理设备中。然而,这些存储就像一个保险库,需要密钥来确保蓝牙密钥的安全存储。这让我们回到原点并留给我们一个问题——我们如何存储密钥?
  • 复旦大学认证?剖析从疫情中诞生的“无人配送汽车”的历 复旦大学引入了美团的自动送餐配送车,为全校师生提供三餐无接触的配送服务,已经不是美团第一次助力疫情了,这项技术已经落地近2年而且不断地发展壮大,与各社会企业进行融合..
  • 四个必须避免的汽车功能安全错误 在汽车生态系统中,一个利益相关者的疏忽也会影响到其他利益相关者。如果一级供应商没有大面积进行危害分析,那么未识别的危害以及相关的风险可能会充斥着整个架构设计。同样,在从事安全关键型项目时使用未受过ISO 26262标准培训的资源也有其自身的风险。本篇,我们整理了一组必须要不惜一切代价来避免的此类功能安全(FuSa)管理错误。
  • ISO/SAE 21434汽车网络安全标准:新时代的黎明? 恩智浦半导体(NXP)通过TÜV SÜD认证,符合新的汽车网络安全标准ISO/SAE 21434的消息,预示着一个新时代的到来。这可能让人想起过去十年来ISO 26262功能安全标准是如何重塑汽车行业的。
  • 汽车激光雷达及其工作原理是什么? 汽车系统利用激光雷达来控制车速和制动系统,从而响应交通状况的突变。激光雷达在碰撞警告和避让系统、车道保持辅助、车道偏离警告、盲点监视器和自适应巡航控制等半自动或全自动汽车辅助功能中起到重要作用。汽车激光雷达正在取代早期汽车自动化系统中的雷达系统。
  • 使用C2000实时MCU实现功能安全和网络安全的电动汽车动 本技术文章系与Prometo功能安全和网络安全高级顾问Jürgen Belz共同编写。
  • 电动车的电路保护、功率控制如何设计才更安全? 在对抗污染和减缓气候变化方面,两轮和三轮电动车(EV)的发展与四轮和更大EV的发展一样重要。与汽车和卡车相比,大量采用燃烧技术的两轮和三轮车辆对于燃烧控制较少,并且产生大量污染。两轮和三轮EV的设计人员面临着与四轮和更高等级EV设计人员相同的困难挑战,包括最大化两次充电之间的里程数、车辆高可靠性和车辆安全性。
  • 支持FIDO应用的SECORA ID为线上身份验证提供更灵活、 英飞凌展出了支持FIDO应用、以便于使用的令牌形式对门户网站的访问进行安全身份验证的SECORA ID解决方案。
  • Enea Qosmos增强加密网络的可见性和对网络攻击的保护 Enea今天宣布对Qosmos DPI进行增强,提高在加密网络环境中实现更顺畅的网络操作和更有效的网络安全。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了