谷歌公司推出的基于Google Pixel手機安全芯片的開源項目為數(shù)據(jù)中心硬件發(fā)展帶來了希望。
日前據(jù)悉,谷歌公司發(fā)布了其計算機安全芯片。新的OpenTitan項目有望使計算成本更低廉、更安全。但谷歌公司的專家表示,谷歌以外的數(shù)據(jù)中心要想從中獲益還需要一段時間。
早在2017年,該公司就為其數(shù)據(jù)中心的服務(wù)器推出了一款名為Titan的定制專用安全芯片。該公司表示,新的開源芯片架構(gòu)大致基于為Google Pixel手機供電的安全芯片,但該技術(shù)可用于數(shù)據(jù)中心IT硬件。每個芯片中都有一個安全元件,其中存儲密鑰支付和身份驗證信息,并在其中進(jìn)行解密和加密處理。
例如,智能手機掃描主人的指紋并將掃描結(jié)果發(fā)送到安全區(qū)域。在安全區(qū)域內(nèi),將掃描與先前保存的掃描進(jìn)行比較,如果匹配,則發(fā)送回確認(rèn)消息。同樣,如果使用手機在商店結(jié)賬時付款,則付款信息在離開安全區(qū)域之前會被加密。即使黑客可以在手機上植入間諜軟件,他們也將無法獲得私人信息。
蘋果公司也有自己的這種技術(shù)版本,而且不僅限于智能手機。英特爾公司為其芯片創(chuàng)建了類似的功能,稱為SGX(軟件保護(hù)擴(kuò)展)。Arm公司擁有TrustZone,而AMD公司擁有安全加密虛擬化。但是這些都是專有的技術(shù),這增加了客戶的成本,并減緩了市場競爭。而從頭開始設(shè)計新芯片非常昂貴。
現(xiàn)在,谷歌公司希望改變這種狀況。OpenTitan的目標(biāo)是像Linux公司那樣為芯片開發(fā)操作系統(tǒng),并為用戶提供可靠且安全的開源平臺。
除了提供基于硬件的安全區(qū)域來加密和解密數(shù)據(jù)(谷歌公司稱之為“信任根”)之外,OpenTitan芯片架構(gòu)還可以確保服務(wù)器使用未經(jīng)篡改的正確固件啟動。
總部位于圣何塞的網(wǎng)絡(luò)安全服務(wù)商Virsec Systems公司創(chuàng)始人兼首席技術(shù)官Satya Gupta說,“它還為每臺服務(wù)器提供了加密的唯一身份,以防止未經(jīng)授權(quán)的更改。”
OpenTitan對機器本身進(jìn)行身份驗證,并提供一組安全的審核記錄和其他安全服務(wù)。
Gupta表示,“這應(yīng)該為數(shù)據(jù)中心管理人員提供一定的保證,確保他們的系統(tǒng)不會在處理器級別被黑客入侵。但是,它不會改變針對易受攻擊的軟件、無文件和基于內(nèi)存的惡意軟件攻擊的攻擊者的動態(tài)。”
OpenTitan項目將由英國劍橋的非營利組織lowRISC管理。
除了谷歌公司之外,早期的支持者還包括瑞士ETHZürich大學(xué)、網(wǎng)絡(luò)安全服務(wù)商G + D Mobile Security公司,半導(dǎo)體制造商Nuvoton Technology公司和存儲供應(yīng)商Western Digital公司。
Western Digital公司研究副總裁Richard New表示,當(dāng)今所有具有“信任根”(RoT)功能的安全芯片都是專有的。
他在博客中寫道:“由于實施方式不透明,最終用戶無法獨立驗證RoT芯片的架構(gòu)、固件或硬件設(shè)計的質(zhì)量。”
專有方法既有優(yōu)點也有缺點。一方面,網(wǎng)絡(luò)攻擊者很難發(fā)現(xiàn)安全問題。另一方面,如果網(wǎng)絡(luò)攻擊者確實發(fā)現(xiàn)了安全問題,他們可以在沒有任何人發(fā)現(xiàn)的情況下發(fā)起攻擊。任何人都可以在開源項目中發(fā)現(xiàn)問題,技術(shù)社區(qū)也可以快速解決這些問題。
谷歌公司的OpenTitan負(fù)責(zé)人和lowRISC的OpenTitan項目主管Dominic Rizzo在一份聲明中說:“客戶被要求對關(guān)鍵任務(wù)系統(tǒng)的專有硬件RoT芯片充滿信心,而他們卻無法完全理解、檢查和信任它們。通過與更廣泛的硬件和學(xué)術(shù)界共同創(chuàng)建OpenTitan,我們可以利用用于創(chuàng)建谷歌自己的Titan芯片的經(jīng)驗和安全原則,使硬件RoT設(shè)計對整個行業(yè)的其他成員來說更加透明、可檢查和可訪問。安全永遠(yuǎn)不應(yīng)建立在不透明的基礎(chǔ)上。”
根據(jù)谷歌云副總裁兼OpenTitan負(fù)責(zé)人Rizzo和Royal Hansen的說法,OpenTitan可用于數(shù)據(jù)中心服務(wù)器、存儲設(shè)備、網(wǎng)卡、路由器、物聯(lián)網(wǎng)設(shè)備、客戶端設(shè)備(例如筆記本電腦和電話)以及外圍設(shè)備。
Constellation Research公司首席分析師兼創(chuàng)始人Ray Wang說,“這將是一個巨大的挑戰(zhàn)。這實際上與使芯片制造方式民主化有關(guān)。”
從理論上來說,OpenTitan可以將新的競爭對手帶入芯片制造行業(yè)并刺激技術(shù)創(chuàng)新。他說:“考慮將芯片推向市場有多昂貴,人們正在尋找其他選擇。”
Ray Wang說,要想產(chǎn)生任何影響,至少要花12個月的時間,因為制造商評估和采用該技術(shù)需要時間。他說,數(shù)據(jù)中心成本將會下降,并且提高整體安全性。
OpenTitan不是第一個開源芯片項目。例如,OCP托管了微軟公司的開源Cerberus安全芯片項目,并且近年來,開源RISC-V處理器指令集體系結(jié)構(gòu)得到了極大的發(fā)展。
OpenTitan專注于安全性,與OCP的競爭較少,而與Intel SGX等產(chǎn)品的競爭則更多。
如果有足夠的制造商參與,則低成本和高效率(OCP等項目的幕后推動者)可能有助于采用OpenTitan。
總部位于猶他州的科技廠商SaltStack公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人Thomas Hatch說:“在開源方面存在挑戰(zhàn)。它既不能保證廣泛采用它,也不能保證它會得到定期審核。”但他說,總體而言,OpenTitan是出色的設(shè)計和安全芯片的基礎(chǔ)。
他說,“即使這不是解決問題的最終方法,這也是朝著正確方向邁出的重要一步。我對這個項目的開展充滿期待。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。