隨著連網裝置普及，更大的攻擊面使得系統更容易被駭客入侵，安全性也變得越來越重要。硬體信任根(root of trust，RoT)是最基本的安全層級，儘管許多晶片業者都提供硬體信任根，但因為專有解決方案缺乏透明度而備受爭議；採用這些專有解決方案進行設計的公司，不得不盲目信任它們。

為此，一個新成立的產業組織OpenTitan，目標是藉由更易取得且透明化的安全方案，讓開發工程師從系統的晶片層級就能設計可信任安全性。OpenTitan專案將提供首個開放原始碼的晶片信任根，為可信任晶片透明度樹立新標竿。

OpenTitan成員包括瑞士蘇黎世聯邦理工學院(ETH Zurich)、德國行動安全技術供應商G+D Mobile Security、Google、台灣IC設計業者新唐(Nuvoton Technology)和儲存技術大廠Western Digital (WD)在內的多家公司，由位於英國劍橋的獨立非營利性公司lowRISC CIC負責管理。利用Google的Titan晶片和ETH Zurich開發的RISC-V架構核心，該組織旨在提供一種更開放、透明且品質更高的RoT，以鞏固在關鍵系統元件中晶片等級的信任度。

OpenTitan的創始成員夥伴。

OpenTitan表示，他們的方案將提供徹底的透明度，將一切設計開放到進入晶圓代工廠生產之前；該組織成員夥伴工程師代表所組成的團隊，目前正在打造透明的晶片RoT邏輯設計，包括開放源碼微處理器(lowRISC Ibex，由ETH Zurich開發的RISC-V架構核心)、加密協同處理器、硬體亂數產生器、複雜的金鑰層級、揮發性和非揮發性儲存的記憶體層次結構、防禦機制、I/O周邊以及安全啟動(secure boot)。OpenTitan將為資料中心伺服器、儲存裝置、周邊和其他裝置提供高品質RoT設計和整合指南。

開放性的晶片設計會有更透明化、更值得信賴也更安全。晶片信任根可以驗證關鍵系統元件是否採用了經授權和可驗證的代碼安全啟動，從而確保硬體基礎架構以及在上面執行的軟體維持預期的可信任狀態，並幫助確保伺服器或任何裝置採用正確的韌體啟動，不會被低層級的惡意軟體感染；而且它還提供加密的獨有機器ID，讓操作人員可以驗證伺服器或裝置是否為正版。它同時保護加密金鑰不被篡改，即使是那些需要藉由實際接觸產品(例如在運送過程中)進行的篡改；此外也提供授權的篡改證據審計記錄和其他運作時間安全服務。

Google雲端部門的OpenTitan專案負責人Dominic Rizzo該專案發表會上表示：「系統完整性應該立基於晶片；在Google我們已經用Titan系列晶片打造了自己的晶片級信任根，但這是Google的專有技術，在將之整合到資料中心的過程中我們學到了很多經驗，例如透明整合和指令完整性的重要性。這對客戶來說很棒，但與其他信任根一樣，是專有的。而OpenTitan就是為開放和靈活性而設計的；」他補充指出，藉由OpenTitan專案，設計工程師「再也不必盲目信任。」

為什麼要開放？

在一個典型的實作中，RoT在實體上介於系統的啟動處理器和內含初始開機韌體的非揮發性ROM或快閃記憶體之間；因此，在系統被允許啟動之前，RoT可以在啟動處理器讀取韌體之前驗證其完整性，如果潛伏的韌體bug可能產生某種威脅，RoT還可以提供復原路徑。RoT模組通常以獨立晶片或嵌入SoC的IP等形式出現。

晶片RoT可應用於伺服器主機板、網卡、終端設備(如筆記型電腦與手機)、消費性路由器和IoT裝置。Google憑藉其客製化RoT晶片Titan，已經可以藉由驗證過的程式碼，確保其資料中心的電腦是在已知的可信任狀態下啟動。

Google表示：「我們已經認知到將信任根植於矽晶片的重要性，我們希望與合作夥伴一同將可靠的晶片RoT優勢向我們的客戶和整個產業宣傳。我們相信，實現這一目標的最佳方法就是開放源碼架構晶片。」

WD研發副總裁Richard New則表示，目前業界使用的所有RoT晶片都是專有方案，「由於實作是不透明的，終端使用者無法獨立驗證RoT晶片的架構、韌體或硬體設計的品質；這意味著終端使用者只要使用了這些裝置就得信任其RoT設計是正確的、沒有導入任何錯誤。」

OpenTitan提出的論點是，開放源碼晶片RoT具備與開放源碼軟體類似的優勢，透過設計和實作透明度來強化可信度和安全性，可以及早發現問題、降低對盲目信任的需要。而在社群方面，藉由對開放源碼設計的貢獻，可以實現和鼓勵創新。儘管目前還沒有作為標準來推廣，OpenTitan可以提供一個通用的開放式參考設計，協助提供實作上的選擇，同時保留一組通用介面並保證軟體相容性。

OpenTitan希望提供一種徹底的透明度，將進入晶圓代工廠生產之前的所有設計流程開放。
（圖片來源：OpenTitan）

OpenTitan提出的方法植根於三個關鍵原則：透明度、品質和靈活性。任何人都可以檢查、評估OpenTitan的設計和文件，並做出貢獻，以協助建構透明、值得信賴的晶片RoT。該組織正在打造高品質的、在邏輯上安全的晶片設計，包括參考韌體、驗證輔助資料(verification collateral)和技術文件。 至於靈活性，OpenTitan指出，使用者因為不挑供應商和平台、能整合到任何資料中心伺服器、儲存裝置、周邊設備與其他裝置的RoT晶片，可以因此降低成本並吸引更多客戶。

lowRISC的共同創辦人暨董事會成員Gavin Ferris在記者會上表示：「我們已經完成了40%~50%的參考設計。」

WD的New則透露，OpenTitan「將是我們戰略中很重要的一部分；我們的公司長期致力貢獻開放源碼社群，例如Linux和RISC-V。開放源碼是產業發展的必然途徑；」他指出，在WD看來，最安全的解決方案是以開放、可檢閱的實作方案為基礎，同時結合了透明化策略和安全實踐。

「具體來說，這意味著最佳安全性架構應該是盡可能以最大程度對所有人開放、檢閱，這是在安全技術領域毫無爭議的觀點，可惜在實際上並未被廣泛遵循；」New認為：「OpenTitan可望突破各自為政的開發模式，為整個產業提供開放、可供檢閱的高品質RoT參考設計。」

產業界的回應

那麼，產業界其他人士對OpenTitan的看法為何？IoT Security Foundation常務董事John Moor接受EE Times Europe採訪時表示：「RoT是物聯網的關鍵部分，而安全性的一大障礙就是成本，因此一個開放源碼RoT將助益良多；」但他也警告，需要審慎檢驗此開放源碼設計，「如果有做到，才會真正是一件好事。」他補充指出，有Google扮演後盾對產業應該也是幸事。

lowRISC董事長Andy Hopper是一位電腦業資深人士，曾於1978年創立了Arm的前身；他表示：「晶片信任根是一項非常重要的基礎性安全技術，不應該是專有的。OpenTitan專案是一個很好的示範，體現了開放源碼的發展如何鼓勵創新，以及藉由打造真正值得信任的晶片帶來更大的利益。從事電腦科學和硬體產業數十年，我很高興能看到產業界與學界、開放源碼社群之間以更緊密、透明的方式彼此合作，在後摩爾定律時代繼續創新。」

另一位晶片領域資深人士、IoT Security Foundation執委會成員Haydn Povey則強調，「我們需要讓人們更加意識到RoT的必要性，無論它是開放源碼或專有；」他是英國的安全技術供應商Secure Thingz的執行長暨創辦人，先前曾任職於Arm負責安全技術開發。Povey補充：「安全性永遠不可能達到完美，但是要讓人們考慮到安全性並確保一致性，這是至關重要的。如果開放源碼做的正確，確實可以更加安全。」

Povey指出，對安全性的關注會是運算領域的下一波熱潮，從「邊緣到企業」皆然；他尚未仔細研究OpenTitan專案，但認為該專案看來是開放源碼運算系統安全性的重要進展。

本文同步刊登於電子工程專輯雜誌2020年2月號

(參考原文： Silicon Root of Trust Goes Open Source，by Nitin Dahad)

活動簡介

未來寬能隙半導體元件會在哪些應用成為主流？元件供應商又會開發出哪些新的應用寬能隙元件的電路架構，以協助電力系統開發商進一步簡化設計複雜度、提升系統整體效率？TechTaipei「寬能隙元件市場與技術發展研討會」將邀請寬能隙半導體的關鍵供應商一一為與會者解惑。

贊助廠商

立即報名