Google本周发布了首个开源的硅芯片信任根项目OpenTitan,这是个基于硬件的信任根(root of trust,RoT)项目,Google所开源的是硅芯片的设计,可嵌在各种硬件设备上,以确保启动硬件时的透明、可靠与安全性。
Google表示,硅芯片RoT可用来验证重要的系统组件在启动时,是使用经过授权及验证的程序代码,协助确保硬件基础设施及所执行的软件,维持在它原本的可靠状态。
硅芯片RoT技术可被应用在服务器的主板、网卡、笔记本电脑或手机等客户端设备、路由器或IoT设备等,以保障服务器或各种设备在启动时,所执行的是正确的固件,而且未被低端的恶意程序所感染;也能提供加密且独一无二的机器身份,让操作人员能确认设备是合法的;并能防范加密密钥等机密信息遭到篡改;或是提供权威的篡改审核记录与其它运行安全服务。
其实Google已在自家的数据中心采用了定制化的RoT芯片,以保证数据中心的机器是在经过验证的可信任状态下启动,而开源的OpenTitan项目则是由非盈利机构lowRISC负责管理,在过去的18个月以来已与ETH Zürich、G+D Mobile Security、Nuvoton Technology及Western Digital等企业合作,打造了相关的硬件、软件与工具,到有一定的规模后才借由GitHub开源。
私有的RoT除了所使用的协议、APIS、PCB接口与PCB设计是公开的之外,其它的组件都是私有的,然而,OpenTitan除了上述之外,还公开了固件、指令集架构、SoC架构、数字IP、RTL验证与芯片包装,透明化了硅芯片RoT的逻辑设计。
因此,它有开源的微处理器、加密协处理器、硬件随机数字产生器、复杂的密钥架构、挥发与非挥发内存架构、防御机制、IO周边及安全启动等。
负责OpenTitan项目的Dominic Rizzo表示,客户通常在无法理解及检查重大任务系统的私有RoT时,就被要求要信任这些RoT,OpenTitan则能与更广泛的硬件及学术社群合作,基于Google打造Titan芯片的经验,让RoT的设计更加地透明,也方便检查,因为安全永远都不该创建在不透明的基础上。
领取专属 10元无门槛券
私享最新 技术干货