Le groupe travaille pour la transparence dans le silicium de confiance

La sécurité est de plus en plus essentielle à mesure que la connectivité des appareils augmente, car les surfaces d'attaque plus grandes facilitent le piratage des systèmes. Le niveau de sécurité le plus fondamental est une racine matérielle de confiance (RoT). Alors que de nombreuses sociétés de puces fournissent RoT dans le matériel, les solutions propriétaires ont été critiquées pour manque de transparence; les entreprises qui conçoivent avec eux doivent leur faire une confiance aveugle.

Un nouveau groupe promet de permettre aux développeurs de concevoir plus facilement une sécurité de confiance dans leurs systèmes au niveau du métal en rendant la sécurité plus accessible et transparente. Le projet OpenTitan indique qu'il fournira la première conception de racine de confiance (RoT) en silicium open source, établissant une nouvelle barre pour la transparence dans le silicium de confiance.

Le projet rassemble une coalition d'entreprises, dont l'ETH Zurich, G+D Mobile Security, Google, Nuvoton Technology et Western Digital, et est géré par l'entreprise indépendante à but non lucratif lowRISC CIC (Cambridge, Royaume-Uni). En utilisant une évolution de la puce Titan de Google et un cœur RISC-V de l'ETH Zurich, le groupe vise à fournir une RoT plus ouverte, transparente et de haute qualité qui ancrera la confiance dans le silicium pour les composants système critiques.

OpenTitan a déclaré que son approche offrirait un niveau de transparence radical, ouvrant pratiquement tout, jusqu'à la "limite de la fonderie". Composé d'ingénieurs représentant les partenaires, le groupe construit de manière transparente la conception logique d'un RoT silicium, y compris un microprocesseur open source (le lowRISC Ibex, une conception basée sur RISC-V de l'ETH Zurich), des coprocesseurs cryptographiques, un matériel aléatoire- générateur de nombres, une hiérarchie de clés sophistiquée, des hiérarchies de mémoire pour le stockage volatile et non volatile, des mécanismes défensifs, des périphériques d'E/S et un démarrage sécurisé. OpenTitan a déclaré qu'il fournirait des directives de conception et d'intégration RoT de haute qualité à utiliser dans les serveurs de centre de données, le stockage, les périphériques et autres appareils.

L'open source de la conception du silicium la rend plus transparente, plus fiable et, en fin de compte, plus sûre. Une RoT sur silicium peut aider à garantir que l'infrastructure matérielle et les logiciels qui s'exécutent sur celle-ci restent dans leur état de confiance prévu en vérifiant que les composants critiques du système démarrent en toute sécurité à l'aide d'un code autorisé et vérifiable. Il permet de s'assurer qu'un serveur ou un appareil démarre avec le bon micrologiciel et n'a pas été infecté par un logiciel malveillant de bas niveau, et il fournit une identité de machine cryptographique unique afin qu'un opérateur puisse vérifier qu'un serveur ou un appareil est légitime. Il protège également les clés de chiffrement contre la falsification, même par ceux qui ont un accès physique à un produit (lors de l'expédition, par exemple), et fournit des enregistrements d'audit fiables et inviolables ainsi que d'autres services de sécurité d'exécution.

"L'intégrité du système doit être ancrée dans le silicium", a déclaré Dominic Rizzo, responsable d'OpenTitan de Google Cloud, lors de l'événement de lancement du projet. "Chez Google, nous avons construit notre propre racine de confiance en silicium avec la famille de puces Titan. C'était la propriété de Google. Nous avons beaucoup appris de son intégration dans nos centres de données, comme l'importance d'une intégration transparente et de l'intégrité des instructions. C'était formidable pour nos clients, mais [était] exclusif, tout comme d'autres racines de confiance. OpenTitan est donc conçu pour être ouvert et flexible. Avec OpenTitan, a-t-il ajouté, « la confiance aveugle des concepteurs n'est plus nécessaire ».

Pourquoi open source ?

Partenaires fondateurs d'OpenTitan (Image :OpenTitan)

Dans une mise en œuvre typique, le RoT est interposé physiquement entre le processeur de démarrage dans le système et la ROM non volatile ou la mémoire flash qui contient le micrologiciel de démarrage initial. Le RoT peut donc valider l'intégrité du micrologiciel tel qu'il est lu par le processeur de démarrage avant que le système ne soit autorisé à démarrer. Le RoT peut également fournir un chemin de récupération si des bogues latents du micrologiciel permettent une certaine compromission. Le module RoT se présente généralement sous la forme d'une puce distincte ou d'une propriété intellectuelle intégrée dans un système sur puce.

Un RoT en silicium peut être utilisé dans les cartes mères de serveur, les cartes réseau, les appareils clients (tels que les ordinateurs portables et les téléphones), les routeurs grand public et les appareils IoT. Google s'est appuyé sur sa puce RoT personnalisée, Titan, pour garantir que les machines des centres de données de Google démarrent à partir d'un état fiable et connu avec un code vérifié.

Google a déclaré :« Reconnaissant l'importance d'ancrer la confiance dans le silicium, nous souhaitons, avec nos partenaires, diffuser les avantages des puces RoT en silicium fiables à nos clients et au reste de l'industrie. Nous pensons que le meilleur moyen d'y parvenir est d'utiliser du silicium open source. »

Selon Richard New, vice-président de la recherche et du développement de Western Digital, toutes les puces RoT utilisées aujourd'hui sont propriétaires. « Parce que les implémentations sont opaques, il n'y a aucun moyen pour un utilisateur final de vérifier de manière indépendante la qualité de l'architecture, du micrologiciel ou de la conception matérielle de la puce RoT. Cela signifie que l'utilisateur final d'un tel appareil doit avoir confiance que le concepteur du RoT l'a correctement mis en œuvre et n'a introduit aucune erreur. »

L'argument avancé par OpenTitan est qu'un RoT silicium open source présente des avantages similaires à ceux des logiciels open source. Il améliore la confiance et la sécurité grâce à la transparence de la conception et de la mise en œuvre, avec la possibilité de découvrir les problèmes tôt, et réduit le besoin d'une confiance aveugle. L'aspect communautaire signifie que l'innovation est activée et encouragée grâce à des contributions à la conception open source. Et bien qu'il ne soit pas présenté comme une norme, il peut aider à offrir un choix de mise en œuvre et à préserver un ensemble d'interfaces communes et de garanties de compatibilité logicielle grâce à une conception de référence commune et ouverte.

OpenTitan s'attend à offrir un niveau de transparence radical, ouvrant pratiquement tout, jusqu'à la « limite de la fonderie ». (Image :OpenTitan)

L'approche OpenTitan repose sur trois principes clés :transparence, qualité et flexibilité. Tout le monde peut inspecter, évaluer et contribuer à la conception et à la documentation d'OpenTitan pour aider à créer un RoT silicium transparent et fiable. Le groupe construit une conception de silicium de haute qualité et logiquement sécurisée, comprenant un micrologiciel de référence, des supports de vérification et une documentation technique. En ce qui concerne la flexibilité, OpenTitan a déclaré que les utilisateurs peuvent réduire les coûts et atteindre plus de clients en utilisant une conception RoT en silicium indépendante du fournisseur et de la plate-forme qui peut être intégrée aux serveurs de centre de données, au stockage, aux périphériques et à d'autres appareils.

S'exprimant lors de la conférence de presse, Gavin Ferris, co-fondateur et membre du conseil d'administration de lowRISC, a déclaré : « Nous avons terminé à environ 40 % à 50 % avec la conception de référence. »

Western Digital's New a déclaré qu'OpenTitan « constituera une partie importante de notre stratégie. Notre société contribue depuis longtemps à l'open source, comme Linux et RISC-V. L'open source est la voie naturelle que l'industrie doit emprunter. Il a déclaré que le point de vue de Western Digital est que les solutions les plus sécurisées sont basées sur des implémentations ouvertes et inspectables combinées à des politiques et des pratiques de sécurité transparentes. « Concrètement, cela signifie que les meilleures architectures de sécurité seront celles qui sont, dans la mesure du possible, ouvertes et inspectables par tous. Il s'agit d'un point de vue non controversé dans les milieux de la sécurité, mais malheureusement peu suivi dans la pratique.

"OpenTitan a le potentiel de perturber le modèle de développement propriétaire et de fournir une conception de référence RoT ouverte et inspectable de haute qualité pour l'industrie dans son ensemble."

Réaction de l'industrie

Alors, qu'en pensent les autres dans l'industrie? « Le RoT est un élément essentiel de l'IoT », a déclaré John Moor, directeur général de l'IoT Security Foundation, à l'EE Times Europe . « Un obstacle majeur à la sécurité est le coût, donc avoir un RoT open source serait utile. » Mais il a mis en garde contre la nécessité d'une diligence raisonnable sur la conception open source. "S'il fait vraiment l'objet d'un examen minutieux, c'est une bonne chose", a-t-il déclaré, ajoutant qu'avoir la puissance de Google derrière l'effort est probablement une autre bonne chose.

Andy Hopper, président de lowRISC et vétéran de l'industrie informatique qui a fondé le précurseur d'Arm en 1978, a déclaré :« La racine de confiance en silicium est une technologie de sécurité fondamentale trop importante pour être propriétaire. Le projet OpenTitan est un autre exemple de la façon dont le développement open source encourage l'innovation et sert de plus grands intérêts en créant un morceau de silicium vraiment digne de confiance. En tant que personne impliquée dans l'industrie informatique et du matériel informatique depuis plusieurs décennies, je suis encouragé de voir des entreprises travailler de manière plus collaborative et transparente avec les chercheurs et la communauté open source pour continuer à innover dans un monde post-Moore's Law. /P>

Haydn Povey, un autre vétéran du monde des puces et membre du conseil d'administration exécutif de l'IoT Security Foundation, a souligné la « nécessité de sensibiliser les gens à la nécessité d'une RoT, qu'elle soit open source ou propriétaire ». Povey, PDG et fondateur de Secure Thingz et auparavant responsable de la sécurité chez Arm, a ajouté :« La sécurité ne sera jamais parfaite, mais il est essentiel que les gens pensent à la sécurité pour s'assurer qu'il n'y a pas de lacunes dans la réflexion. L'open source bien fait peut en fait être plus sécurisé."

La sécurité est la prochaine vague majeure de l'informatique, de la « périphérie à l'entreprise », a déclaré Povey. Il n'avait pas tous les détails sur OpenTitan, mais a déclaré que cela ressemblait à un grand pas en avant dans la sécurité des systèmes informatiques open source.