Grup bekerja untuk transparansi dalam silikon tepercaya
Keamanan semakin penting karena konektivitas perangkat meningkat karena permukaan serangan yang lebih besar memudahkan sistem untuk diretas. Tingkat keamanan yang paling mendasar adalah root of trust (RoT) perangkat keras. Sementara banyak perusahaan chip menyediakan RoT dalam perangkat keras, solusi eksklusif mendapat kecaman karena kurangnya transparansi; perusahaan yang merancang dengan mereka harus menaruh kepercayaan buta pada mereka.
Grup baru menjanjikan untuk memudahkan pengembang merancang keamanan tepercaya ke dalam sistem mereka di tingkat logam dengan membuat keamanan lebih mudah diakses dan transparan. Proyek OpenTitan mengatakan akan menghadirkan desain root of trust (RoT) silikon sumber terbuka pertama, menetapkan standar baru untuk transparansi dalam silikon tepercaya.
Proyek ini menyatukan koalisi perusahaan — termasuk ETH Zurich, G+D Mobile Security, Google, Nuvoton Technology, dan Western Digital — dan dikelola oleh perusahaan independen nirlaba lowRISC CIC (Cambridge, Inggris). Menggunakan evolusi chip Titan Google dan inti RISC-V dari ETH Zurich, grup ini bertujuan untuk menghadirkan RoT yang lebih terbuka, transparan, dan berkualitas tinggi yang akan menopang kepercayaan pada silikon untuk komponen sistem penting.
OpenTitan mengatakan pendekatannya akan memberikan tingkat transparansi yang radikal, membuka hampir segalanya, sampai ke "batas pengecoran." Dikelola oleh para insinyur yang mewakili mitra, grup ini secara transparan membangun desain logis dari silikon RoT, termasuk mikroprosesor open-source (lowRISC Ibex, desain berbasis RISC-V dari ETH Zurich), koprosesor kriptografi, perangkat keras acak- generator nomor, hierarki kunci yang canggih, hierarki memori untuk penyimpanan yang mudah menguap dan tidak mudah menguap, mekanisme pertahanan, periferal I/O, dan boot aman. OpenTitan mengatakan akan memberikan desain RoT dan pedoman integrasi berkualitas tinggi untuk digunakan di server pusat data, penyimpanan, periferal, dan perangkat lainnya.
Sumber terbuka desain silikon membuatnya lebih transparan, dapat dipercaya dan, pada akhirnya, aman. RoT silikon dapat membantu memastikan bahwa infrastruktur perangkat keras dan perangkat lunak yang berjalan di atasnya tetap dalam kondisi yang diinginkan dan dapat dipercaya dengan memverifikasi bahwa komponen sistem penting dapat di-boot dengan aman menggunakan kode resmi dan dapat diverifikasi. Ini membantu memastikan bahwa server atau perangkat melakukan booting dengan firmware yang benar dan belum terinfeksi oleh malware tingkat rendah, dan ini memberikan identitas mesin yang unik secara kriptografis sehingga operator dapat memverifikasi bahwa server atau perangkat itu sah. Ini juga melindungi kunci enkripsi dari gangguan, bahkan oleh mereka yang memiliki akses fisik ke suatu produk (selama pengiriman, misalnya), dan memberikan catatan audit yang otoritatif dan terbukti tidak dapat dirusak dan layanan keamanan runtime lainnya.
“Integritas sistem harus berlabuh di silikon,” kata pemimpin OpenTitan Google Cloud, Dominic Rizzo, berbicara di acara peluncuran proyek. “Di Google, kami membangun akar kepercayaan silikon kami sendiri dengan keluarga chip Titan. Ini adalah milik Google. Kami belajar banyak dari mengintegrasikannya ke pusat data kami, seperti pentingnya integrasi transparan dan integritas instruksi. Ini bagus untuk pelanggan kami tetapi [adalah] kepemilikan, seperti juga akar kepercayaan lainnya. Jadi OpenTitan dirancang untuk terbuka dan fleksibel.” Dengan OpenTitan, tambahnya, “kepercayaan buta tidak lagi diperlukan” oleh desainer.
Mengapa open source?
Mitra pendiri OpenTitan (Gambar:OpenTitan)
Dalam implementasi tipikal, RoT disisipkan secara fisik antara prosesor boot dalam sistem dan ROM atau flash non-volatil yang berisi firmware boot awal. Oleh karena itu, RoT dapat memvalidasi integritas firmware saat sedang dibaca oleh prosesor boot sebelum sistem diizinkan untuk melakukan booting. RoT juga dapat menyediakan jalur menuju pemulihan jika bug firmware laten memungkinkan beberapa kompromi terjadi. Modul RoT biasanya hadir dalam bentuk chip terpisah atau kekayaan intelektual yang tertanam dalam sistem-on-chip.
RoT silikon dapat digunakan di motherboard server, kartu jaringan, perangkat klien (seperti laptop dan telepon), router konsumen, dan perangkat IoT. Google mengandalkan chip RoT yang dibuat khusus, Titan, untuk memastikan bahwa mesin di pusat data Google melakukan booting dari status tepercaya yang diketahui dengan kode terverifikasi.
Google mengatakan, “Mengakui pentingnya menambatkan kepercayaan pada silikon, bersama dengan mitra kami, kami ingin menyebarkan manfaat chip RoT silikon yang andal kepada pelanggan kami dan seluruh industri. Kami percaya bahwa cara terbaik untuk mencapainya adalah melalui silikon sumber terbuka.”
Menurut Richard New, wakil presiden penelitian dan pengembangan Western Digital, semua chip RoT yang digunakan saat ini adalah hak milik. “Karena implementasinya buram, tidak ada cara bagi pengguna akhir untuk memverifikasi secara independen kualitas arsitektur chip RoT, firmware, atau desain perangkat keras. Ini berarti bahwa pengguna akhir perangkat semacam itu perlu percaya bahwa perancang RoT telah mengimplementasikannya dengan benar dan tidak menimbulkan kesalahan apa pun.”
Argumen yang dibuat oleh OpenTitan adalah bahwa RoT silikon sumber terbuka memiliki manfaat yang serupa dengan perangkat lunak sumber terbuka. Ini meningkatkan kepercayaan dan keamanan melalui transparansi desain dan implementasi, dengan kemampuan untuk menemukan masalah lebih awal, dan mengurangi kebutuhan akan kepercayaan buta. Aspek komunitas berarti inovasi diaktifkan dan didorong melalui kontribusi pada desain sumber terbuka. Dan meskipun tidak dipromosikan sebagai standar, ini dapat membantu memberikan pilihan implementasi dan mempertahankan serangkaian antarmuka umum dan jaminan kompatibilitas perangkat lunak melalui desain referensi umum yang terbuka.
OpenTitan berharap dapat memberikan tingkat transparansi yang radikal, membuka hampir semua hal, hingga "batas pengecoran". (Gambar:OpenTitan)
Pendekatan OpenTitan berakar pada tiga prinsip utama:transparansi, kualitas, dan fleksibilitas. Siapa pun dapat memeriksa, mengevaluasi, dan berkontribusi pada desain dan dokumentasi OpenTitan untuk membantu membangun RoT silikon yang transparan dan tepercaya. Grup ini sedang membangun desain silikon berkualitas tinggi yang aman secara logis, termasuk firmware referensi, jaminan verifikasi, dan dokumentasi teknis. Untuk fleksibilitas, OpenTitan mengatakan pengadopsi dapat mengurangi biaya dan menjangkau lebih banyak pelanggan dengan menggunakan desain RoT silikon agnostik vendor dan platform yang dapat diintegrasikan ke server pusat data, penyimpanan, periferal, dan perangkat lain.
Berbicara pada konferensi pers, Gavin Ferris, salah satu pendiri dan anggota dewan di lowRISC, mengatakan, “Kami telah menyelesaikan sekitar 40% hingga 50% dengan desain referensi.”
New Western Digital mengatakan OpenTitan “akan menjadi bagian penting dari strategi kami. Perusahaan kami memiliki sejarah panjang dalam berkontribusi pada open source, seperti Linux dan RISC-V. Open source adalah jalur alami yang harus diambil industri.” Dia mengatakan pandangan Western Digital adalah bahwa solusi paling aman didasarkan pada implementasi terbuka dan dapat diperiksa yang dikombinasikan dengan kebijakan dan praktik keamanan yang transparan. “Secara khusus, ini berarti bahwa arsitektur keamanan terbaik adalah yang, sejauh mungkin, terbuka untuk dan dapat diperiksa oleh semua orang. Ini adalah pandangan yang tidak kontroversial di kalangan keamanan, tetapi sayangnya tidak diikuti secara luas dalam praktiknya.
“OpenTitan berpotensi mengganggu model pengembangan eksklusif dan menyediakan desain referensi RoT berkualitas tinggi yang terbuka dan dapat diperiksa untuk industri pada umumnya.”
Reaksi industri
Jadi apa yang orang lain di industri ini pikirkan? “RoT adalah bagian penting dari IoT,” John Moor, direktur pelaksana IoT Security Foundation, mengatakan kepada EE Times Europe . “Hambatan utama keamanan adalah biaya, jadi memiliki RoT open-source akan sangat membantu.” Namun dia mengingatkan perlunya uji tuntas pada desain sumber terbuka. “Jika itu benar-benar diawasi, itu hal yang baik,” katanya, menambahkan bahwa memiliki kekuatan Google di balik upaya itu mungkin merupakan hal baik lainnya.
Andy Hopper, ketua lowRISC dan veteran industri komputasi yang mendirikan pendahulu Arm pada tahun 1978, mengatakan, “Akar kepercayaan silikon terlalu penting sebagai teknologi keamanan dasar untuk dimiliki. Proyek OpenTitan adalah contoh lain bagaimana pengembangan sumber terbuka mendorong inovasi dan melayani kepentingan yang lebih besar dengan menciptakan sepotong silikon yang benar-benar dapat dipercaya. Sebagai seseorang yang terlibat dalam ilmu komputer dan industri perangkat keras selama beberapa dekade, saya terdorong untuk melihat perusahaan bekerja dengan cara yang lebih kolaboratif dan transparan dengan peneliti dan komunitas sumber terbuka untuk terus berinovasi di dunia pasca-Moore's Law.”
Haydn Povey, veteran lain dari dunia chip dan anggota dewan pengarah eksekutif IoT Security Foundation, menekankan "perlunya membuat orang lebih sadar akan kebutuhan akan RoT, baik itu open-source atau proprietary." Povey, yang merupakan CEO dan pendiri Secure Thingz dan sebelumnya bertanggung jawab atas keamanan di Arm, menambahkan, “Keamanan tidak akan pernah sempurna, tetapi sangat penting untuk membuat orang berpikir tentang keamanan untuk memastikan tidak ada kesenjangan dalam berpikir. Sumber terbuka yang dilakukan dengan benar sebenarnya bisa lebih aman.”
Keamanan adalah gelombang utama komputasi berikutnya, dari "ujung ke perusahaan," kata Povey. Dia tidak memiliki rincian lengkap tentang OpenTitan tetapi mengatakan itu tampak seperti langkah maju yang besar dalam keamanan sistem komputasi sumber terbuka.