El grupo trabaja para la transparencia en el silicio confiable

La seguridad es cada vez más esencial a medida que aumenta la conectividad del dispositivo porque las superficies de ataque más grandes facilitan la piratería de los sistemas. El nivel de seguridad más fundamental es una raíz de confianza (RoT) de hardware. Si bien muchas empresas de chips proporcionan RoT en hardware, las soluciones propietarias han sido criticadas por falta de transparencia; las empresas que diseñan con ellos deben confiar ciegamente en ellos.

Un nuevo grupo promete facilitar a los desarrolladores el diseño de seguridad confiable en sus sistemas a nivel de metal al hacer que la seguridad sea más accesible y transparente. El proyecto OpenTitan dice que entregará el primer diseño de raíz de confianza (RoT) de silicio de código abierto, estableciendo un nuevo estándar para la transparencia en el silicio confiable.

El proyecto reúne a una coalición de empresas, incluidas ETH Zurich, G + D Mobile Security, Google, Nuvoton Technology y Western Digital, y está gestionado por la empresa independiente sin fines de lucro lowRISC CIC (Cambridge, Reino Unido). Utilizando una evolución del chip Titan de Google y un núcleo RISC-V de ETH Zurich, el grupo tiene como objetivo ofrecer un RoT más abierto, transparente y de alta calidad que anclará la confianza en el silicio para los componentes críticos del sistema.

OpenTitan dijo que su enfoque brindará un nivel radical de transparencia, abriendo prácticamente todo, hasta el "límite de la fundición". Integrado por ingenieros que representan a los socios, el grupo está construyendo de manera transparente el diseño lógico de un RoT de silicio, incluido un microprocesador de código abierto (el lowRISC Ibex, un diseño basado en RISC-V de ETH Zurich), coprocesadores criptográficos, un hardware aleatorio. generador de números, una jerarquía de claves sofisticada, jerarquías de memoria para almacenamiento volátil y no volátil, mecanismos defensivos, periféricos de E / S y arranque seguro. OpenTitan dijo que entregará un diseño de RoT de alta calidad y pautas de integración para su uso en servidores de centros de datos, almacenamiento, periféricos y otros dispositivos.

El código abierto del diseño de silicio lo hace más transparente, confiable y, en última instancia, seguro. Un RoT de silicio puede ayudar a garantizar que la infraestructura de hardware y el software que se ejecuta en él permanezcan en su estado previsto y confiable al verificar que los componentes críticos del sistema se inicien de forma segura utilizando un código autorizado y verificable. Ayuda a garantizar que un servidor o un dispositivo se inicie con el firmware correcto y no haya sido infectado por un malware de bajo nivel, y proporciona una identidad de máquina criptográficamente única para que un operador pueda verificar que un servidor o un dispositivo es legítimo. También protege las claves de cifrado contra la manipulación, incluso por parte de aquellos con acceso físico a un producto (durante el envío, por ejemplo), y proporciona registros de auditoría autorizados y a prueba de manipulaciones y otros servicios de seguridad en tiempo de ejecución.

"La integridad del sistema debe estar anclada en el silicio", dijo Dominic Rizzo, líder de OpenTitan de Google Cloud, en el evento de lanzamiento del proyecto. “En Google, construimos nuestra propia raíz de confianza de silicio con la familia de chips Titan. Esto fue propiedad de Google. Aprendimos mucho de su integración en nuestros centros de datos, como la importancia de la integración transparente y la integridad de la instrucción. Esto fue excelente para nuestros clientes, pero [era] propietario, al igual que otras raíces de confianza. Por eso, OpenTitan está diseñado para ser abierto y flexible ". Con OpenTitan, agregó, la "confianza ciega de los diseñadores ya no es necesaria".

¿Por qué el código abierto?

Socios fundadores de OpenTitan (Imagen:OpenTitan)

En una implementación típica, el RoT se interpone físicamente entre el procesador de arranque del sistema y la ROM o flash no volátil que contiene el firmware de arranque inicial. Por lo tanto, el RoT puede validar la integridad del firmware a medida que lo lee el procesador de arranque antes de que se permita arrancar el sistema. El RoT también puede proporcionar una ruta de recuperación si los errores de firmware latentes permiten que se produzca algún compromiso. El módulo RoT generalmente viene en forma de un chip separado o propiedad intelectual incrustada en un sistema en chip.

Un RoT de silicio se puede utilizar en placas base de servidor, tarjetas de red, dispositivos de cliente (como computadoras portátiles y teléfonos), enrutadores de consumo y dispositivos de IoT. Google ha confiado en su chip RoT hecho a medida, Titan, para garantizar que las máquinas de los centros de datos de Google se inicien desde un estado confiable conocido con código verificado.

Google dijo:“Reconociendo la importancia de anclar la confianza en el silicio, junto con nuestros socios queremos difundir los beneficios de los chips RoT de silicio confiables a nuestros clientes y al resto de la industria. Creemos que la mejor manera de lograrlo es a través del silicio de código abierto ”.

Según Richard New, vicepresidente de investigación y desarrollo de Western Digital, todos los chips RoT que se utilizan actualmente son propietarios. “Debido a que las implementaciones son opacas, no hay forma de que un usuario final verifique de forma independiente la calidad de la arquitectura, el firmware o el diseño del hardware del chip RoT. Esto significa que el usuario final de cualquier dispositivo de este tipo debe confiar en que el diseñador del RoT lo ha implementado correctamente y no ha introducido ningún error ".

El argumento de OpenTitan es que un RoT de silicio de código abierto tiene beneficios similares al software de código abierto. Mejora la confianza y la seguridad a través de la transparencia del diseño y la implementación, con la capacidad de descubrir problemas con anticipación y reduce la necesidad de una confianza ciega. El aspecto de la comunidad significa que la innovación se habilita y se fomenta a través de contribuciones al diseño de código abierto. Y aunque no se promociona como estándar, puede ayudar a brindar opciones de implementación y preservar un conjunto de interfaces comunes y garantías de compatibilidad de software a través de un diseño de referencia abierto común.

OpenTitan espera ofrecer un nivel radical de transparencia, abriendo prácticamente todo, hasta el "límite de la fundición". (Imagen:OpenTitan)

El enfoque de OpenTitan se basa en tres principios clave:transparencia, calidad y flexibilidad. Cualquiera puede inspeccionar, evaluar y contribuir al diseño y la documentación de OpenTitan para ayudar a construir un RoT de silicio transparente y confiable. El grupo está construyendo un diseño de silicio lógicamente seguro y de alta calidad, que incluye firmware de referencia, material de verificación y documentación técnica. En cuanto a la flexibilidad, OpenTitan dijo que los adoptantes pueden reducir costos y llegar a más clientes mediante el uso de un diseño RoT de silicio independiente del proveedor y de la plataforma que se puede integrar en los servidores del centro de datos, el almacenamiento, los periféricos y otros dispositivos.

Hablando en la conferencia de prensa, Gavin Ferris, cofundador y miembro de la junta de lowRISC, dijo:"Hemos terminado entre un 40% y un 50% con el diseño de referencia".

New de Western Digital dijo que OpenTitan “será una parte importante de nuestra estrategia. Nuestra empresa tiene una larga trayectoria en la contribución al código abierto, como Linux y RISC-V. El código abierto es el camino natural que debe tomar la industria ". Dijo que la opinión de Western Digital es que las soluciones más seguras se basan en implementaciones abiertas e inspeccionables combinadas con políticas y prácticas de seguridad transparentes. “Específicamente, esto significa que las mejores arquitecturas de seguridad serán aquellas que estén, en la mayor medida posible, abiertas e inspeccionables por todos. Este es un punto de vista no controvertido en los círculos de seguridad, pero desafortunadamente uno que no se sigue ampliamente en la práctica.

"OpenTitan tiene el potencial de interrumpir el modelo de desarrollo patentado y proporcionar un diseño de referencia de RoT de alta calidad abierto e inspeccionable para la industria en general".

Reacción de la industria

Entonces, ¿qué piensan otros en la industria? "El RoT es una parte fundamental del IoT", dijo John Moor, director gerente de IoT Security Foundation, a EE Times Europe . "Un impedimento importante para la seguridad es el costo, por lo que sería útil tener un RoT de código abierto". Pero advirtió la necesidad de la debida diligencia en el diseño de código abierto. "Si realmente tiene un escrutinio, es algo bueno", dijo, y agregó que tener el poder de Google detrás del esfuerzo es probablemente otra cosa buena.

Andy Hopper, presidente de lowRISC y un veterano de la industria informática que fundó el precursor de Arm en 1978, dijo:“La raíz de silicio de la confianza es una tecnología de seguridad fundamental demasiado importante para ser patentada. El proyecto OpenTitan es otro ejemplo de cómo el desarrollo de código abierto fomenta la innovación y sirve a mayores intereses al crear una pieza de silicio verdaderamente confiable. Como alguien involucrado en la industria de la informática y el hardware durante varias décadas, me alienta ver que las empresas trabajan de manera más colaborativa y transparente con los investigadores y la comunidad de código abierto para continuar innovando en un mundo posterior a la Ley de Moore ”.

Haydn Povey, otro veterano del mundo de los chips y miembro de la junta directiva ejecutiva de la IoT Security Foundation, enfatizó la "necesidad de hacer que las personas sean más conscientes de la necesidad de un RoT, ya sea de código abierto o propietario". Povey, quien es CEO y fundador de Secure Thingz y anteriormente fue responsable de seguridad en Arm, agregó:“La seguridad nunca será perfecta, pero es vital que la gente piense en la seguridad para garantizar que no haya brechas en el pensamiento. El código abierto bien hecho puede ser más seguro ".

La seguridad es la próxima gran ola de computación, desde el “borde hasta la empresa”, dijo Povey. No tenía todos los detalles sobre OpenTitan, pero dijo que parecía un gran paso adelante en la seguridad del sistema informático de código abierto.