Mit Hackern, die ausgeklügelte Angriffe gegen Betriebssysteme, Prozessoren und sogar Firmware einsetzen, haben sich die Hersteller zunehmend einem manipulationssicheren Prozessor zugewandt - oder einem Teil davon -, der oft als "sichere Enklave" bezeichnet wird, um alle Arten von Angriffen zu unterbinden. Sie platzieren in diesem unveränderlichen Chip die "Wurzel des Vertrauens" auf einem Gerät und verlassen sich darauf, dass bei jedem Systemstart kryptografische Überprüfungen durchgeführt werden, um sicherzustellen, dass nichts subtil und böswillig geändert wurde. Wenn etwas nicht stimmt, verhindert die sichere Enklave, dass die Maschine hochfährt. Was zu einer heiklen Frage führt: Wie können Sie immer sicher sein, dass Sie der sicheren Enklave selbst vertrauen können?
Es ist keine Hypothese. Während sichere Root-of-Trust-Schemata in vielerlei Hinsicht echte Sicherheitsverbesserungen bieten, haben Forscher wiederholt gezeigt, dass es möglich sein kann, diese Chips zu untergraben. Aus diesem Grund haben Google und ein Konsortium aus Unternehmen, gemeinnützigen Organisationen und akademischen Einrichtungen eine Initiative unterzeichnet, um die Transparenz und letztendlich die Sicherheit sicherer Enklaven zu verbessern. Das als OpenTitan bekannte Projekt zielt darauf ab, die Verschleierung von proprietärem Maschinencode und heimlicher Fertigung zu beseitigen, die es schwierig macht, jedem Prozessor uneingeschränkt zu vertrauen. Es wird von der Open-Source-Hardware LowRISC CIC verwaltet und geleitet.
"Dies ist nicht nur ein Stück geistigen Eigentums, sondern tatsächlich ein echtes Design und eine echte technische Organisation, die nicht auf Gewinn ausgerichtet ist", sagt Gavin Ferris, Mitbegründer und Direktor von lowRISC. „Wir glauben, dass Transparenz und Sicherheit Hand in Hand gehen und dass alles mit einer Open-Source-Wurzel des Vertrauens übereinstimmt. Chips von existierenden Anbietern sind undurchsichtig, es gibt eine Menge mysteriöses Fleisch in Bezug auf das, was los ist. Sie können von Ihrem Betriebssystem aus mit ihnen sprechen, aber was steht dort unten? Was sind die Komponenten darunter und die Architektur? Nichts davon ist sichtbar. “
Team Titan
OpenTitan basiert lose auf einem proprietären Root-of-Trust-Chip, den Google für seine Pixel 3- und 4-Telefone verwendet. OpenTitan ist jedoch eine eigene Chiparchitektur und ein umfangreiches Schema, das von Ingenieuren von lowRISC zusammen mit Partnern an der ETH Zürich, G + D Mobile Security, Nuvoton Technology, Western Digital und natürlich Google entwickelt wurde.
ERFAHREN SIE MEHR
Der WIRED-Leitfaden zu Open Source
OpenTitan ist so strukturiert, dass es ähnlich wie ein qualitativ hochwertiges, hochzuverlässiges Open Source-Softwareprojekt ausgeführt wird. Denken Sie an Linux, aber an Chips. Das Konsortium wird das Feedback und die Beiträge der Community nutzen, um das branchenübliche Chip-Design zu entwickeln und zu verbessern, und lowRISC wird das Projekt verwalten und Vorschläge und vorgeschlagene Änderungen verhindern, dass sie willkürlich in Betrieb gehen.
Sie können das OpenTitan Github-Repository jetzt auschecken, aber die Schaltpläne sind noch nicht fertig. Das Konsortium wollte das Projekt in der Mitte seiner Entwicklung debütieren, damit es von einer frühen öffentlichen Prüfung und von Beiträgen profitieren kann. Sie können Teile der OpenTitan-Architektur auf einem speziellen Typ eines umprogrammierbaren Prozessors testen, der als Field Programmable Gate Array bezeichnet wird. Vollständige OpenTitan-Chips können jedoch nicht sofort hergestellt werden. Der genaue Zeitpunkt der Veröffentlichung hängt von einigen Faktoren ab, wie viel Community-Feedback das Projekt erhält und wie schwierig es ist, diese Probleme zu lösen.
Es bleibt auch abzuwarten, ob jemand sie tatsächlich herstellen wird. Hersteller, die auf der Suche nach einer sicheren Vertrauensbasis sind, könnten in OpenTitan sowohl Sicherheits- als auch wirtschaftliche Vorteile finden. Die öffentlich zugängliche Option ermöglicht es Unternehmen möglicherweise, die von Siliziumdesignern wie ARM erhobenen Lizenzgebühren zu umgehen. Und das OpenTitan-Design wird den Vorhang für historisch fehlerhafte und daher potenziell anfällige Teile des Chip-Designs wie Firmware- und Datenverarbeitungsabläufe zurückziehen.
Gleichzeitig muss jedes Unternehmen, das OpenTitan verwenden möchte, es korrekt anpassen und implementieren, ohne neue Schwachstellen einzuführen, um mit vorhandener Software zusammenarbeiten zu können. Und OpenTitan ist der Konkurrenz von großen Unternehmen wie Microsoft ausgesetzt, die kürzlich ihre eigene proprietäre Hardware angekündigt haben, um die Firmware bei der Schaffung einer sicheren Vertrauensbasis zu umgehen.
"Erfolg bedeutet, dass er viel größer wird - unser Ziel ist, dass jeder dies vereinheitlichen kann", sagt Urs Hölzle, Senior Vice President für technische Infrastruktur bei Google. "Wir betrachten OpenTitan als die Basis eines Ökosystems. Sie müssen es nicht genau so verwenden. ARM, AMD und Intel bieten diese Arten von Chips an, aber sie sind alle undurchsichtig. Wir wollen nicht dort anfangen.", weil wir es nicht verifizieren können."
Vertrauensprobleme
Es gibt Teile des OpenTitan-Designs, die zumindest auf absehbare Zeit nicht öffentlich sein werden. Diese beziehen sich alle auf die tatsächliche physische Herstellung von Chips in einer Fabrik, unter anderem auf Kategorien wie "geistiges Eigentum der Gießerei", "Chipherstellung" und "Physical Design Kit". Sie verweisen auf die immensen Herausforderungen, die bei der Erstellung von Open Source-Hardware bestehen - für deren Herstellung massive, spezialisierte Fabriken und proprietäre Siliziumherstellungsprozesse erforderlich sind, nicht nur ein Laptop und eine Internetverbindung. Wenn Sie keine Siliziumfabrik besitzen oder die Hebelkraft haben, bestehende Hersteller davon zu überzeugen, OpenTitan-Chips für Sie herzustellen, können Sie diese nicht erhalten. Und obwohl Gerätehersteller einen Anreiz haben, mit etwas wie OpenTitan Geld für Lizenzgebühren zu sparen, können Siliziumhersteller, die diese Gebühren erheben, widerstehen, sie fallen zu lassen.
