团体致力于提高可信芯片的透明度

随着设备连接性的提高，安全性变得越来越重要，因为更大的攻击面使系统更容易被黑客入侵。最基本的安全级别是硬件信任根 (RoT)。虽然许多芯片公司在硬件中提供 RoT，但专有解决方案因缺乏透明度而受到抨击。与他们一起设计的公司必须盲目信任他们。

一个新组织承诺通过使安全性更易于访问和透明，使开发人员更容易在金属级别将可信安全性设计到他们的系统中。 OpenTitan 项目表示，它将提供第一个开源硅信任根 (RoT) 设计，为可信硅的透明度设置新标准。

该项目汇集了多家公司——包括苏黎世联邦理工学院、捷德移动安全、谷歌、新唐科技和西部数据——并由独立的非营利性公司 lowRISC CIC（英国剑桥）管理。该小组使用谷歌 Titan 芯片的进化版本和苏黎世联邦理工学院的 RISC-V 内核，旨在提供更加开放、透明和高质量的 RoT，从而为关键系统组件建立对硅的信任。

OpenTitan 表示，其方法将提供极高的透明度，几乎开放所有内容，直到“代工厂边界”。该团队由代表合作伙伴的工程师组成，正在透明地构建硅 RoT 的逻辑设计，包括开源微处理器（lowRISC Ibex，来自苏黎世联邦理工学院的基于 RISC-V 的设计）、密码协处理器、硬件随机-数字生成器、复杂的密钥层次结构、用于易失性和非易失性存储的存储器层次结构、防御机制、I/O 外围设备和安全启动。 OpenTitan 表示，它将提供高质量的 RoT 设计和集成指南，用于数据中心服务器、存储、外围设备和其他设备。

开源芯片设计使其更加透明、值得信赖，并最终更加安全。硅 RoT 可以通过使用授权和可验证代码验证关键系统组件是否安全启动，帮助确保硬件基础设施和在其上运行的软件保持其预期的、可信赖的状态。它有助于确保服务器或设备以正确的固件启动并且没有被低级恶意软件感染，并且它提供了加密唯一的机器身份，以便操作员可以验证服务器或设备是否合法。它还可以防止加密密钥被篡改，即使是那些可以物理访问产品的人（例如在运输过程中），并提供权威的、防篡改的审计记录和其他运行时安全服务。

“系统完整性应该以芯片为基础，”Google Cloud 的 OpenTitan 负责人 Dominic Rizzo 在项目启动仪式上说。 “在 Google，我们使用 Titan 系列芯片建立了自己的硅信任根。这是谷歌的专利。我们从将它集成到我们的数据中心中学到了很多东西，例如透明集成和指令完整性的重要性。这对我们的客户来说很好，但 [是] 专有的，其他信任根源也是如此。所以 OpenTitan 的设计是开放和灵活的。”他补充说，有了 OpenTitan，设计师“不再需要盲目信任。”

为什么要开源？

OpenTitan 创始合伙人（图片：OpenTitan）

在典型的实现中，RoT 物理地插入系统中的引导处理器和包含初始引导固件的非易失性 ROM 或闪存之间。 RoT 因此可以验证固件的完整性，因为它在系统被允许引导之前被引导处理器读取。如果潜在的固件错误允许发生某些妥协，RoT 还可以提供恢复路径。 RoT 模块通常以单独的芯片或嵌入在片上系统中的知识产权的形式出现。

硅 RoT 可用于服务器主板、网卡、客户端设备（例如笔记本电脑和电话）、消费类路由器和 IoT 设备。谷歌依靠其定制的 RoT 芯片 Titan 来确保谷歌数据中心的机器从已知的可信状态和经过验证的代码启动。

谷歌表示：“认识到建立对硅的信任的重要性，我们希望与我们的合作伙伴一起将可靠的硅 RoT 芯片的好处传播给我们的客户和行业其他人。我们相信实现这一目标的最佳方式是通过开源芯片。”

根据西部数据研发副总裁 Richard New 的说法，今天使用的所有 RoT 芯片都是专有的。 “由于实施是不透明的，最终用户无法独立验证 RoT 芯片的架构、固件或硬件设计的质量。这意味着任何此类设备的最终用户都需要相信 RoT 的设计者已正确实施它并且没有引入任何错误。”

OpenTitan 提出的论点是，开源硅 RoT 与开源软件具有类似的好处。它通过设计和实施透明度增强信任和安全性，能够及早发现问题，并减少盲目信任的需要。社区方面意味着通过对开源设计的贡献来实现和鼓励创新。虽然它没有作为标准进行推广，但它可以帮助提供实现选择，并通过通用、开放的参考设计保留一组通用接口和软件兼容性保证。

OpenTitan 期望提供彻底的透明度，开放几乎所有内容，直到“代工厂边界”。 （图片：OpenTitan）

OpenTitan 方法植根于三个关键原则：透明度、质量和灵活性。任何人都可以检查、评估 OpenTitan 的设计和文档并为其做出贡献，以帮助构建透明、值得信赖的硅 RoT。该小组正在构建高质量、逻辑安全的芯片设计，包括参考固件、验证资料和技术文档。至于灵活性，OpenTitan 表示，采用者可以通过使用与供应商和平台无关的硅 RoT 设计来降低成本并吸引更多客户，该设计可以集成到数据中心服务器、存储、外围设备和其他设备中。

在新闻发布会上，lowRISC 的联合创始人兼董事会成员 Gavin Ferris 说：“我们已经完成了大约 40% 到 50% 的参考设计。”

西部数据的 New 表示，OpenTitan“将成为我们战略的重要组成部分。我们公司在为 Linux 和 RISC-V 等开源做出贡献方面有着悠久的历史。开源是行业需要走的自然道路。”他表示，Western Digital 的观点是，最安全的解决方案是基于开放和可检查的实施，并结合透明的政策和安全实践。 “具体来说，这意味着最好的安全架构将是那些在最大程度上对每个人开放和检查的架构。这在安全界是一个没有争议的观点，但遗憾的是在实践中并没有被广泛遵循。

“OpenTitan 有可能颠覆专有开发模式，并为整个行业提供开放且可检查的高质量 RoT 参考设计。”

行业反应

那么业内其他人怎么看呢？ “RoT 是物联网的重要组成部分，”物联网安全基金会董事总经理约翰摩尔告诉 EE Times Europe . “安全的一个主要障碍是成本，因此拥有开源 RoT 会有所帮助。”但他告诫需要对开源设计进行尽职调查。 “如果真的受到审查，这是一件好事，”他说，并补充说，有谷歌的力量支持这项工作可能是另一件好事。

安迪·霍珀 (Andy Hopper) 是 lowRISC 的董事长，也是计算行业的资深人士，他于 1978 年创立了 Arm 的前身，他说：“硅信任根是一项非常重要的基础安全技术，不能成为专有技术。 OpenTitan 项目是开源开发如何通过创建真正值得信赖的芯片来鼓励创新和服务于更大利益的另一个例子。作为从事计算机科学和硬件行业几十年的人，我很高兴看到公司以更加协作和透明的方式与研究人员和开源社区合作，在后摩尔定律的世界中继续创新。”

芯片领域的另一位资深人士、物联网安全基金会执行指导委员会成员 Haydn Povey 强调“需要让人们更加意识到对 RoT 的需求，无论它是开源的还是专有的。”波维是 Secure Thingz 的首席执行官兼创始人，曾在 Arm 负责安全，他补充说：“安全永远不会是完美的，但让人们考虑安全以确保思想上没有漏洞至关重要。正确的开源实际上可以更安全。”

Povey 说，安全是下一个主要的计算浪潮，从“边缘到企业”。他没有关于 OpenTitan 的完整细节，但表示这看起来像是在开源计算系统安全方面向前迈出的一大步。