向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

OpenTitan项目将提供首个开放原始码的芯片信任根

时间:2020-02-05 作者:Nitin Dahad 阅读:
新成立的产业组织OpenTitan期望藉由更易取得且透明化的安全方案,让开发工程师从系统的芯片层级就能设计可信任安全性。

随着连网装置普及,更大的攻击面使得系统更容易被黑客入侵,安全性也变得越来越重要。硬件信任根(root of trust,RoT)是最基本的安全层级,尽管许多芯片业者都提供硬件信任根,但因为专有解决方案缺乏透明度而备受争议;采用这些专有解决方案进行设计的公司,不得不盲目信任它们。AVUednc

为此,一个新成立的产业组织OpenTitan,目标是藉由更易取得且透明化的安全方案,让开发工程师从系统的芯片层级就能设计可信任安全性。OpenTitan项目将提供首个开放原始码的芯片信任根,为可信任芯片透明度树立新标竿。AVUednc

OpenTitan成员包括瑞士苏黎世联邦理工学院(ETH Zurich)、德国行动安全技术供货商G+D Mobile Security、Google、台湾IC设计业者新唐(Nuvoton Technology)和储存技术大厂Western Digital (WD)在内的多家公司,由位于英国剑桥的独立非营利性公司lowRISC CIC负责管理。利用Google的Titan芯片和ETH Zurich开发的RISC-V架构核心,该组织旨在提供一种更开放、透明且质量更高的RoT,以巩固在关键系统组件中芯片等级的信任度。AVUednc

20020204_OpenTitan_NT31P1AVUednc

OpenTitan的创始成员伙伴。AVUednc

OpenTitan表示,他们的方案将提供彻底的透明度,将一切设计开放到进入晶圆代工厂生产之前;该组织成员伙伴工程师代表所组成的团队,目前正在打造透明的芯片RoT逻辑设计,包括开放源码微处理器(lowRISC Ibex,由ETH Zurich开发的RISC-V架构核心)、加密协同处理器、硬件随机数生成器、复杂的密钥层级、挥发性和非挥发性储存的内存层次结构、防御机制、I/O周边以及安全启动(secure boot)。OpenTitan将为数据中心服务器、储存装置、周边和其他装置提供高质量RoT设计和整合指南。AVUednc

开放性的芯片设计会有更透明化、更值得信赖也更安全。芯片信任根可以验证关键系统组件是否采用了经授权和可验证的代码安全启动,从而确保硬件基础架构以及在上面执行的软件维持预期的可信任状态,并帮助确保服务器或任何装置采用正确的韧体启动,不会被低层级的恶意软件感染;而且它还提供加密的独有机器ID,让操作人员可以验证服务器或装置是否为正版。它同时保护加密密钥不被篡改,即使是那些需要藉由实际接触产品(例如在运送过程中)进行的篡改;此外也提供授权的篡改证据审计记录和其他运作时间安全服务。AVUednc

Google云端部门的OpenTitan项目负责人Dominic Rizzo该项目发表会上表示:「系统完整性应该立基于芯片;在Google我们已经用Titan系列芯片打造了自己的芯片级信任根,但这是Google的专有技术,在将之整合到数据中心的过程中我们学到了很多经验,例如透明整合和指令完整性的重要性。这对客户来说很棒,但与其他信任根一样,是专有的。而OpenTitan就是为开放和灵活性而设计的;」他补充指出,藉由OpenTitan项目,设计工程师「再也不必盲目信任。」AVUednc

为什么要开放?

在一个典型的实作中,RoT在实体上介于系统的启动处理器和内含初始开机韧体的非挥发性ROM或闪存之间;因此,在系统被允许启动之前,RoT可以在启动处理器读取韧体之前验证其完整性,如果潜伏的韧体bug可能产生某种威胁,RoT还可以提供复原路径。RoT模块通常以独立芯片或嵌入SoC的IP等形式出现。AVUednc

芯片RoT可应用于服务器主板、网卡、终端设备(如笔记本电脑与手机)、消费性路由器和IoT装置。Google凭借其客制化RoT芯片Titan,已经可以藉由验证过的程序代码,确保其数据中心的计算机是在已知的可信任状态下启动。AVUednc

Google表示:「我们已经认知到将信任根植于硅芯片的重要性,我们希望与合作伙伴一同将可靠的芯片RoT优势向我们的客户和整个产业宣传。我们相信,实现这一目标的最佳方法就是开放源码架构芯片。」AVUednc

WD研发副总裁Richard New则表示,目前业界使用的所有RoT芯片都是专有方案,「由于实作是不透明的,终端用户无法独立验证RoT芯片的架构、韧体或硬件设计的质量;这意味着终端使用者只要使用了这些装置就得信任其RoT设计是正确的、没有导入任何错误。」AVUednc

OpenTitan提出的论点是,开放源码芯片RoT具备与开放源码软件类似的优势,透过设计和实作透明度来强化可信度和安全性,可以及早发现问题、降低对盲目信任的需要。而在社群方面,藉由对开放源码设计的贡献,可以实现和鼓励创新。尽管目前还没有作为标准来推广,OpenTitan可以提供一个通用的开放式参考设计,协助提供实作上的选择,同时保留一组通用接口并保证软件兼容性。AVUednc

20020204_OpenTitan_NT31P2AVUednc

OpenTitan希望提供一种彻底的透明度,将进入晶圆代工厂生产之前的所有设计流程开放。(图片来源:OpenTitan)AVUednc

OpenTitan提出的方法植根于三个关键原则:透明度、质量和灵活性。任何人都可以检查、评估OpenTitan的设计和文件,并做出贡献,以协助建构透明、值得信赖的芯片RoT。该组织正在打造高质量的、在逻辑上安全的芯片设计,包括参考韧体、验证辅助数据(verification collateral)和技术文件。 至于灵活性,OpenTitan指出,使用者因为不挑供货商和平台、能整合到任何数据中心服务器、储存装置、接口设备与其他装置的RoT芯片,可以因此降低成本并吸引更多客户。AVUednc

lowRISC的共同创办人暨董事会成员Gavin Ferris在记者会上表示:「我们已经完成了40%~50%的参考设计。」AVUednc

WD的New则透露,OpenTitan「将是我们战略中很重要的一部分;我们的公司长期致力贡献开放源码社群,例如Linux和RISC-V。开放源码是产业发展的必然途径;」他指出,在WD看来,最安全的解决方案是以开放、可检阅的实作方案为基础,同时结合了透明化策略和安全实践。AVUednc

「具体来说,这意味着最佳安全性架构应该是尽可能以最大程度对所有人开放、检阅,这是在安全技术领域毫无争议的观点,可惜在实际上并未被广泛遵循;」New认为:「OpenTitan可望突破各自为政的开发模式,为整个产业提供开放、可供检阅的高质量RoT参考设计。」AVUednc

产业界的回应

那么,产业界其他人士对OpenTitan的看法为何?IoT Security Foundation常务董事John Moor接受EE Times Europe采访时表示:「RoT是物联网的关键部分,而安全性的一大障碍就是成本,因此一个开放源码RoT将帮助良多;」但他也警告,需要审慎检验此开放源码设计,「如果有做到,才会真正是一件好事。」他补充指出,有Google扮演后盾对产业应该也是幸事。AVUednc

lowRISC董事长Andy Hopper是一位计算机业资深人士,曾于1978年创立了Arm的前身;他表示:「芯片信任根是一项非常重要的基础性安全技术,不应该是专有的。OpenTitan项目是一个很好的示范,体现了开放源码的发展如何鼓励创新,以及藉由打造真正值得信任的芯片带来更大的利益。从事计算机科学和硬件产业数十年,我很高兴能看到产业界与学界、开放源码社群之间以更紧密、透明的方式彼此合作,在后摩尔定律时代继续创新。」AVUednc

另一位芯片领域资深人士、IoT Security Foundation执委会成员Haydn Povey则强调,「我们需要让人们更加意识到RoT的必要性,无论它是开放源码或专有;」他是英国的安全技术供货商Secure Thingz的执行长暨创办人,先前曾任职于Arm负责安全技术开发。Povey补充:「安全性永远不可能达到完美,但是要让人们考虑到安全性并确保一致性,这是至关重要的。如果开放源码做的正确,确实可以更加安全。」AVUednc

Povey指出,对安全性的关注会是运算领域的下一波热潮,从「边缘到企业」皆然;他尚未仔细研究OpenTitan项目,但认为该项目看来是开放源码运算系统安全性的重要进展。AVUednc

 (原文发表于ASPENCORE旗下EDN姐妹媒体EETimes,参考链接: Silicon Root of Trust Goes Open Source,本文同步刊登于电子工程专辑杂志2020年2月号)AVUednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Nitin Dahad
EE Times欧洲记者。Nitin Dahad是EE Times的欧洲记者。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
您可能感兴趣的文章
  • 一种降低烟感产品误报率的解决方案 现有的烟感方案如电离传感器,光电传感器构成的产品,可以很好的测量烟雾。一般电离传感器方案,会比较快的对传统烟雾进行报警,这取决于烟腔迷宫的设计。而光电传感器,可以更早的对阴燃物体产生的烟雾进行报警,从而提前预防火灾的发生。但这两种方式,对烧焦的汉堡或水蒸气干扰情况的辨识度较差,容易发生误报,需要很有经验的软件人员将其与真实的烟雾区分出来。
  • 智能手机主宰了人们,但应该用它来控制汽车吗? 智能手机主宰了我们的生活和整个世界,目前可以用来远程锁门、锁车、开灯关灯以及控制窗帘开关,甚至还可以应门和监测心率。但是,消费级手机设计是否足够安全,是否可用来控制任务关键型系统?或者更直接地说,我们是否考虑清楚了承担使用消费类智能手机可能带来的所有潜在威胁和后果,例如远程召唤一辆车?
  • 一文看懂手机防水原理:华为/小米做了哪些“无良”小动 有些手机不防水,通过内置了“进液标识”,放置在接口附近,目的就是为了对消费者质保时,对质保进行拒绝。这个不管什么品牌,这样的做法都有些过分。而目前看到这个做法最严重的是小米、华为。
  • Semtech关于2019年物联网发展的六项预测 2019年将进入借助采用特定物联网(IoT)技术的垂直集成解决方案来简化开发和大规模部署的一年。随着众多行业依靠物联网解决方案来解决其日常挑战,我们将开始看到多个发展趋势。在看过多个试点和概念验证项目(POC)由于各种原因没有扩展到大规模部署之后,我们将最终看到具有清晰投资回报(Rol)的、被大规模部署的应用案例。数据隐私、安全性、员工安全和不断演进的监管环境将推动诸如智能建筑和工厂等特定领域中的应用。
  • 集成式潮湿环境接线系统改善工作人员安全与安全合规 作为任何安全计划的一个核心组成部分,电源设备都必须集成接地故障保护功能,适合恶劣条件使用,从而针对灰尘和水分的侵入提供充分的保护。
  • 丰田再三召回混合动力车,谈谈电动汽车安全风险 我们需要仔细控制电动汽车安全风险,把它控制在一个合理的范围之内。
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告