11月6日消息,据外媒报道,日前谷歌加入了一个名为OpenTitan的项目,旨在设计开源安全芯片,从而撼动目前芯片基于硬件的安全性。日前,谷歌宣布了与多家企业和非营利组织的合作,并发起了一项名为 OpenTitan 的新计划。其旨在开发面向数据中心和基础架构的开源安全芯片设计,且其能够独立验证并进一步增强。
随着黑客对操作系统、处理器甚至固件发动越来越复杂的攻击,制造商越来越多地转向防篡改处理器,或利用通常被称为“安全飞地”的方式来阻止各种攻击。它们将设备上的“信任根”放在不可改变的芯片中,每次系统开始时都依赖它运行加密检查,以确保没有任何东西被恶意修改过。如果出现错误,“安全飞地”将停止机器启动。但这也存在一个令人头疼的问题:如何才能始终确保“安全飞地”本身可以信任? 这是个现实存在的问题。虽然安全的“信任根”方案在许多方面提供了真正的安全改进,但研究人员一再证明,这些芯片依然有被破坏的可能。这就是为什么谷歌和一个由公司、非营利组织和学术机构组成的联盟签署了一项倡议,旨在不断改善“安全飞地”的透明度和安全性。这个项目名为OpenTitan,旨在消除专有机器代码和秘密制造的不透明度,后者使得任何处理器都难以被完全信任。OpenTitan由开源硬件非营利组织lowRISC CIC管理和指导。 据悉,该项目以谷歌数据中心和 Pixel 智能手机中使用的自研 Titan 芯片命名,可从已知的可信赖状态启动、并验证固件是否被篡改。用于验证的加密元素被称作信任根(RoT),同时也是是 OpenTitan 项目的核心。 谷歌表示,OpenTitan 将由非营利性的 LowRisc 负责运行,并且得到了其它合作伙伴的支持。包括苏黎世联邦理工学院(ETH Zurich)、新唐科技(Nuvoton Technology)、捷德移动安全(G+D Mobile Security)、以及西部数据(Western Digital)。 换言之,OpenTitan 项目的开源特性,能够确保它与平台无关、并可适应任何设备。至于 RoT 的基本思想,则是确保软件可在基于“授权且可验证的代码”的安全组件上运行。 lowRISC的联合创始人兼董事加文·菲利斯(Gavin Ferris)说:“OpenTitan项目不仅仅涉及某些知识产权的变动,而且实际上它是个真正致力于设计、并不以牟利为目的工程组织。我们相信,透明度和安全性是相辅相成的,一切都与建立一个开放源码的信任根相一致。来自现有供应商的芯片都是不透明的,里面有很多猫腻。你可以通过操作系统和他们对话,但是下面是什么呢?它下面的组件和架构是什么样的?这些都看不见。” Titan团队 OpenTitan是个松散的架构,它基于谷歌在Pixel 3和Pixel 4手机中使用的专有信任根芯片。但是OpenTitan有自己的芯片架构,并有lowRISC的工程师与ETH Zurich、G+D Mobile Security、Nuvoton Technology、Western Digital以及谷歌的合作伙伴共同开发的大量原理图。
OpenTitan的架构非常类似于高质量、高可靠性的开源软件项目,就像开源操作系统Linux,只是它是个芯片项目。谷歌联盟将利用社区反馈和贡献来开发和改进工业级芯片设计,而lowRISC将管理该项目,并保持建议,这些建议不会随意上线。 你现在可以查看OpenTitan Github存储库,但是原理图还没有完成。谷歌联盟希望在项目开发过程中展示原理图,这样它就可以从早期的公众审查和贡献中受益。你可以在一种叫做现场可编程门阵列(Field Programmable Gate Array)的特殊类型可再编程处理器上,测试OpenTitan架构的部分内容,但完整的OpenTitan芯片不会马上制造出来。发布的确切时间将取决于几个因素,比如项目收到多少社区反馈,以及解决这些问题的难度。 是否有人真的会制造这种开源芯片还有待观察。但是,寻求安全信任根的制造商可以在OpenTitan中获得安全和经济方面的好处。公开提供的选项可能会让公司绕过像ARM这样的硅设计公司收取的授权费。OpenTitan的设计也将帮助揭开芯片设计中历来漏洞百出的部分,比如固件和数据处理流程。 同时,任何希望使用OpenTitan的公司都需要正确地调整和利用OpenTitan,并且不引入新的漏洞,以便与现有软件进行互操作。OpenTitan面临着像微软这样的重量级对手的竞争,微软最近宣布了自己的专有硬件,以绕过固件建立安全的信任根。 谷歌负责技术基础设施的高级副总裁乌尔斯·霍尔泽 (Urs H?lzle)说:“成功意味着它会变得更大,我们的目标是每个人都可以在这方面实现标准化。我们认为OpenTitan是生态系统的基础,你不必只用一种方式使用它。ARM、AMD和英特尔提供这些类型的芯片,但它们都是不透明的。我们不想从那里开始,因为我们无法验证它。” 信任问题 OpenTitan设计的某些部分不会公开,至少在可预见的未来是这样。这些部分都与工厂中芯片的实际物理制造有关,诸如“铸造知识产权”、“芯片制造”和“物理设计工具包”等。他们暗示了在创造开源硬件方面存在的巨大挑战,毕竟制造开源硬件需要大量的专业工厂和专有的硅制造工艺,而不仅仅是笔记本电脑和互联网连接。 如果你没有自己的硅厂,或者没有办法说服现有的制造商为你制造OpenTitan芯片,你将无法得到它们。尽管设备制造商有可能通过OpenTitan之类的东西节省授权费,但征收这些费用的硅制造商可能会抵制这类开源项目。 当被问及一个假想的开源“安全飞地”时,嵌入式设备安全公司Red Balloon的首席科学家、英伟达前工程师贾汀·卡塔里亚(Jatin Kataria)指出,有些基本的制造组件可能会保持封闭。他说:“OpenTitan芯片可能不会开源专有的制造商架构,那促使每个人都会去寻找新的攻击。但通过开源这么多其他层面,社区可以告诉你错误的地方,这将是向前迈出的一大步。” 无论OpenTitan作为信任根硬件的广泛使用蓝图是否完全成功,它都代表着主流开源硬件项目的重要演变,此前由于物理制造的复杂性和较慢速度,这在很大程度上仍然是个未知的领域。 至于 RoT 的优势,谷歌在一篇博客文章中写到: ● 确保设备以正确的固件启动,免受恶意软件感染。● 提供密码唯一的机器身份,以便操作者可验证服务器或设备是否合法。● 对于具有物理访问权限的人员(例如负责运送设备的人员),也能够对其加以防篡改保护(比如通过加密密钥)。● 提供权威的被篡改审核记录,以及其它运行时安全服务(Runtime Security Services)。 该公司希望通过开源 RoT 芯片设计来提升透明度,从而在鼓励创新的同时增加信任度和安全性、今早解决相关问题、并实现基于开放式参考设计的通用接口。 此前,苹果已在自家诸多设备中使用专有的 RoT 芯片(T2),三星也在 Knox 平台中部署了安全启动,另有许多 WindowsPC 也支持这项安全特性。尽管有些人可能对谷歌的动机持怀疑态度,但 Open Titan 项目的目标似乎足够崇高,且有望激励芯片制造商和平台设计人员更轻松地将 RoT 集成到他们的设计中。 |
