广告

OpenTitan项目将提供首个开放原始码的芯片信任根

2020-02-05 Nitin Dahad 阅读:
OpenTitan项目将提供首个开放原始码的芯片信任根
新成立的产业组织OpenTitan期望藉由更易取得且透明化的安全方案,让开发工程师从系统的芯片层级就能设计可信任安全性。

随着连网装置普及,更大的攻击面使得系统更容易被黑客入侵,安全性也变得越来越重要。硬件信任根(root of trust,RoT)是最基本的安全层级,尽管许多芯片业者都提供硬件信任根,但因为专有解决方案缺乏透明度而备受争议;采用这些专有解决方案进行设计的公司,不得不盲目信任它们。PDkednc

为此,一个新成立的产业组织OpenTitan,目标是藉由更易取得且透明化的安全方案,让开发工程师从系统的芯片层级就能设计可信任安全性。OpenTitan项目将提供首个开放原始码的芯片信任根,为可信任芯片透明度树立新标竿。PDkednc

OpenTitan成员包括瑞士苏黎世联邦理工学院(ETH Zurich)、德国行动安全技术供货商G+D Mobile Security、Google、台湾IC设计业者新唐(Nuvoton Technology)和储存技术大厂Western Digital (WD)在内的多家公司,由位于英国剑桥的独立非营利性公司lowRISC CIC负责管理。利用Google的Titan芯片和ETH Zurich开发的RISC-V架构核心,该组织旨在提供一种更开放、透明且质量更高的RoT,以巩固在关键系统组件中芯片等级的信任度。PDkednc

20020204_OpenTitan_NT31P1PDkednc

OpenTitan的创始成员伙伴。PDkednc

OpenTitan表示,他们的方案将提供彻底的透明度,将一切设计开放到进入晶圆代工厂生产之前;该组织成员伙伴工程师代表所组成的团队,目前正在打造透明的芯片RoT逻辑设计,包括开放源码微处理器(lowRISC Ibex,由ETH Zurich开发的RISC-V架构核心)、加密协同处理器、硬件随机数生成器、复杂的密钥层级、挥发性和非挥发性储存的内存层次结构、防御机制、I/O周边以及安全启动(secure boot)。OpenTitan将为数据中心服务器、储存装置、周边和其他装置提供高质量RoT设计和整合指南。PDkednc

开放性的芯片设计会有更透明化、更值得信赖也更安全。芯片信任根可以验证关键系统组件是否采用了经授权和可验证的代码安全启动,从而确保硬件基础架构以及在上面执行的软件维持预期的可信任状态,并帮助确保服务器或任何装置采用正确的韧体启动,不会被低层级的恶意软件感染;而且它还提供加密的独有机器ID,让操作人员可以验证服务器或装置是否为正版。它同时保护加密密钥不被篡改,即使是那些需要藉由实际接触产品(例如在运送过程中)进行的篡改;此外也提供授权的篡改证据审计记录和其他运作时间安全服务。PDkednc

Google云端部门的OpenTitan项目负责人Dominic Rizzo该项目发表会上表示:「系统完整性应该立基于芯片;在Google我们已经用Titan系列芯片打造了自己的芯片级信任根,但这是Google的专有技术,在将之整合到数据中心的过程中我们学到了很多经验,例如透明整合和指令完整性的重要性。这对客户来说很棒,但与其他信任根一样,是专有的。而OpenTitan就是为开放和灵活性而设计的;」他补充指出,藉由OpenTitan项目,设计工程师「再也不必盲目信任。」PDkednc

为什么要开放?

在一个典型的实作中,RoT在实体上介于系统的启动处理器和内含初始开机韧体的非挥发性ROM或闪存之间;因此,在系统被允许启动之前,RoT可以在启动处理器读取韧体之前验证其完整性,如果潜伏的韧体bug可能产生某种威胁,RoT还可以提供复原路径。RoT模块通常以独立芯片或嵌入SoC的IP等形式出现。PDkednc

芯片RoT可应用于服务器主板、网卡、终端设备(如笔记本电脑与手机)、消费性路由器和IoT装置。Google凭借其客制化RoT芯片Titan,已经可以藉由验证过的程序代码,确保其数据中心的计算机是在已知的可信任状态下启动。PDkednc

Google表示:「我们已经认知到将信任根植于硅芯片的重要性,我们希望与合作伙伴一同将可靠的芯片RoT优势向我们的客户和整个产业宣传。我们相信,实现这一目标的最佳方法就是开放源码架构芯片。」PDkednc

WD研发副总裁Richard New则表示,目前业界使用的所有RoT芯片都是专有方案,「由于实作是不透明的,终端用户无法独立验证RoT芯片的架构、韧体或硬件设计的质量;这意味着终端使用者只要使用了这些装置就得信任其RoT设计是正确的、没有导入任何错误。」PDkednc

OpenTitan提出的论点是,开放源码芯片RoT具备与开放源码软件类似的优势,透过设计和实作透明度来强化可信度和安全性,可以及早发现问题、降低对盲目信任的需要。而在社群方面,藉由对开放源码设计的贡献,可以实现和鼓励创新。尽管目前还没有作为标准来推广,OpenTitan可以提供一个通用的开放式参考设计,协助提供实作上的选择,同时保留一组通用接口并保证软件兼容性。PDkednc

20020204_OpenTitan_NT31P2PDkednc

OpenTitan希望提供一种彻底的透明度,将进入晶圆代工厂生产之前的所有设计流程开放。(图片来源:OpenTitan)PDkednc

OpenTitan提出的方法植根于三个关键原则:透明度、质量和灵活性。任何人都可以检查、评估OpenTitan的设计和文件,并做出贡献,以协助建构透明、值得信赖的芯片RoT。该组织正在打造高质量的、在逻辑上安全的芯片设计,包括参考韧体、验证辅助数据(verification collateral)和技术文件。 至于灵活性,OpenTitan指出,使用者因为不挑供货商和平台、能整合到任何数据中心服务器、储存装置、接口设备与其他装置的RoT芯片,可以因此降低成本并吸引更多客户。PDkednc

lowRISC的共同创办人暨董事会成员Gavin Ferris在记者会上表示:「我们已经完成了40%~50%的参考设计。」PDkednc

WD的New则透露,OpenTitan「将是我们战略中很重要的一部分;我们的公司长期致力贡献开放源码社群,例如Linux和RISC-V。开放源码是产业发展的必然途径;」他指出,在WD看来,最安全的解决方案是以开放、可检阅的实作方案为基础,同时结合了透明化策略和安全实践。PDkednc

「具体来说,这意味着最佳安全性架构应该是尽可能以最大程度对所有人开放、检阅,这是在安全技术领域毫无争议的观点,可惜在实际上并未被广泛遵循;」New认为:「OpenTitan可望突破各自为政的开发模式,为整个产业提供开放、可供检阅的高质量RoT参考设计。」PDkednc

产业界的回应

那么,产业界其他人士对OpenTitan的看法为何?IoT Security Foundation常务董事John Moor接受EE Times Europe采访时表示:「RoT是物联网的关键部分,而安全性的一大障碍就是成本,因此一个开放源码RoT将帮助良多;」但他也警告,需要审慎检验此开放源码设计,「如果有做到,才会真正是一件好事。」他补充指出,有Google扮演后盾对产业应该也是幸事。PDkednc

lowRISC董事长Andy Hopper是一位计算机业资深人士,曾于1978年创立了Arm的前身;他表示:「芯片信任根是一项非常重要的基础性安全技术,不应该是专有的。OpenTitan项目是一个很好的示范,体现了开放源码的发展如何鼓励创新,以及藉由打造真正值得信任的芯片带来更大的利益。从事计算机科学和硬件产业数十年,我很高兴能看到产业界与学界、开放源码社群之间以更紧密、透明的方式彼此合作,在后摩尔定律时代继续创新。」PDkednc

另一位芯片领域资深人士、IoT Security Foundation执委会成员Haydn Povey则强调,「我们需要让人们更加意识到RoT的必要性,无论它是开放源码或专有;」他是英国的安全技术供货商Secure Thingz的执行长暨创办人,先前曾任职于Arm负责安全技术开发。Povey补充:「安全性永远不可能达到完美,但是要让人们考虑到安全性并确保一致性,这是至关重要的。如果开放源码做的正确,确实可以更加安全。」PDkednc

Povey指出,对安全性的关注会是运算领域的下一波热潮,从「边缘到企业」皆然;他尚未仔细研究OpenTitan项目,但认为该项目看来是开放源码运算系统安全性的重要进展。PDkednc

 (原文发表于ASPENCORE旗下EDN姐妹媒体EETimes,参考链接: Silicon Root of Trust Goes Open Source,本文同步刊登于电子工程专辑杂志2020年2月号)PDkednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Nitin Dahad
EE Times欧洲记者。Nitin Dahad是EE Times的欧洲记者。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 为什么与软件安全方案相比,物联网更需要硬件安全机制? 在电子设计中,安全性至关重要,对于资源受限、高度连通的复杂的物联网(IoT)而言,更是如此。用软件方法实现物联网安全性无法达到合格的保障和防护等级,而硬件方法成为设计和实现物联网方案的重要一环。
  • 从ADAS到驱动器更换:实际雷达性能是否足够好? 雷达不仅必须能够进行物体检测,还必须能够进行物体分类。这就要求雷达图像的分辨率比目前先进系统的分辨率更高。
  • 44年后的唐山大地震余震,是怎么预报的? 昨天(7月12日),河北唐山发生了里氏5.1级地震,电视上我们成功的提前得到了此次地震的预警,虽然时间很短,但对于很难预测的地震来说已经很难得。我们来看看地震是怎样预警预测的,专家又是怎么解读这是唐山大地震44年后的余震的。
  • 如何解决可穿戴式患者监护仪的五大设计挑战 如今的可穿戴医疗产品不仅可以测量生命体征,而且还可用作个人应急系统。由于这是一种复杂的终端设备,致使患者监护仪将面临五大常见的主要设计挑战:功耗(或电池寿命)、便携性(或大小)、患者安全、数据安全传送和集成。
  • 基于阿里云应用的食品光谱分析安全检测方案 虽然世卫组织明确了COVID-19不是食品安全问题,但此次疫情却给食品行业带来新的变化,切实推动了云服务在食品检测行业的发展。针对防疫所带来的更多基于云服务的大数据分析需求,食品检测行业需要新的解决方案来满足这一需求。
  • 物联网设备面临的安全威胁分析 本文中的案例研究介绍了如何确定网络摄像头物联网设备的安全要求。顾名思义,这种设备已经实现互联,并广泛应用于众多应用,从简单的家庭网络摄像头到复杂的工业系统,不一而足。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了