امنیت یک فرآیند چند مرحله ای است. زنجیره ای از اعتماد وجود دارد که هر پیوندی توسط پیوند قبلی تأیید و تأیید شده است. اما در نهایت، زنجیره در جایی متوقف می شود. پدال با فلز برخورد می کند.
یا، بر حسب مورد، سیلیکون.
تا همین اواخر، امنیت نیمه هادی بیشتر یک تهدید نظری بود تا واقعی، اما حملات به سیستم عامل افزایش یافته است.
در اوایل سال جاری، وزارت امنیت داخلی هشدار داد که سیستم عامل “سطح حمله بزرگ و همیشه در حال گسترش را ارائه می دهد.”
به گفته این آژانس، شرکت ها اغلب امنیت سیستم عامل را نادیده می گیرند و آن را به یکی از مخفیانه ترین روش ها برای به خطر انداختن دستگاه ها در مقیاس تبدیل می کند. وقتی مهاجمان به سیستمافزار دسترسی پیدا میکنند، میتوانند سیستمهای عامل و هایپروایزرها را زیر و رو کنند، اکثر سیستمهای امنیتی را دور بزنند، و برای مدت طولانی در محیطها باقی بمانند، در حالی که عملیات انجام میدهند و آسیب وارد میکنند.
آژانس گفت: «علیرغم نقش اساسی آن در دستگاههای الکترونیکی، امنیت میانافزار بهطور سنتی اولویت بالایی برای تولیدکنندگان یا کاربران نبوده و همیشه به خوبی محافظت نمیشود».
بهار گذشته، مایکروسافت گزارش داد که بیش از 80 درصد از شرکت ها حداقل یک حمله سیستم عامل را در دو سال گذشته تجربه کرده اند.
محافظت در برابر این تهدید با یک ریشه اعتماد شروع می شود – راهی برای اطمینان از اینکه سیستم های اصلی همان چیزی هستند که باید باشند.
به گفته نایجل ادواردز، یکی از همکاران مهندسی امنیت و معاون رئیس شرکت Hewlett Packard Enterprise، نه تنها هر دستگاهی باید یک ریشه اعتماد داشته باشد، بلکه هر زیرسیستم روی هر دستگاهی.
اگر فناوری root of trust وجود داشت، باتنتهایی مانند Mirai شکست میخوردند، زیرا کدهای غیرقابل اعتماد نمیتوانست روی آن دستگاهها اجرا شود.
استانداردهای ریشه اعتماد شامل OCP Security Root of Trust است. این بر اساس دستورالعملهای انعطافپذیری سفتافزار NIST است که در بهار 2018 منتشر شد.
امنیت از پایه
یکی از شرکتهایی که برای رفع این مشکل تلاش میکند، Microchip است که امروز بهروزرسانی محصول Trust Shield خود را اعلام کرد.
علاوه بر حصول اطمینان از اینکه سرورها هنگام بوت شدن با یک محیط تضمین شده و ایمن شروع به کار می کنند، نسخه جدید، کنترل کننده ریشه اعتماد CEC1736، همچنین از حفاظت زمان اجرا گذرگاه SPI پشتیبانی می کند که ترافیک بین CPU و حافظه فلش آن را نظارت می کند تا اطمینان حاصل شود که مهاجمان فلش را تغییر نمی دهند.
Jeannette Wilson، مدیر ارشد بازاریابی در Microchip میگوید: «سازندگان تراشه اکنون انواع مختلفی از امنیت را دارند. “اما همه آنها ریشه اعتماد ندارند. آنها شروع به اضافه کردن چکمه ایمن کرده اند، اما ماه ها یا حتی سال ها طول می کشد تا ما واقعاً شاهد تولید باشیم.”
در نتیجه، برخی از تولیدکنندگان سرور منتظر نیستند و به ارائه دهندگان شخص ثالث مانند Microchip روی می آورند تا ریشه اعتماد خود را زودتر جلب کنند.
او گفت که مشتریان Microchip فقط شرکتهایی نیستند که مادربردها و سرورها را طراحی میکنند. فروشندگان بزرگ ابر همه به این موضوع نگاه می کنند.
یکی از مزایای داشتن ریشه اعتماد شخص ثالث این است که بسیاری از تولید کنندگان سرور از تراشه های شرکت های مختلف استفاده می کنند. او گفت: “اکنون آنها می توانند همان ریشه اعتماد را به همه سرورهای خود اضافه کنند.”
این فناوری را می توان به سخت افزار موجود اضافه کرد. او گفت که آخرین نسل، CEC1736، برای انجام نظارت در زمان واقعی نیاز به کد اضافی دارد. او گفت: “این چیزی است که می توانید به آن اضافه کنید.”
ویلسون گفت که بیشتر حملات سایبری از راه دور اتفاق می افتد. “یعنی بر اساس طراحی، چه ریشه اعتمادی برای محافظت در برابر آن طراحی شده است.”
اما با نظارت بلادرنگ SPI، سیستم میتواند حتی اگر در یک سناریوی غیرمحتمل، یک مهاجم به سبک ماموریت غیرممکن – یا یک شخص مخرب – به یک مرکز داده نفوذ کرده و به طور فیزیکی حافظه فلش را خاموش کند، تشخیص دهد.
دیگر پیشرفتها در CEC1736 شامل فلش درون بسته است که مشتریان میتوانند تصاویر طلایی را ذخیره کنند. Microchip همچنین یک عملکرد فیزیکی غیرقابل کلون اضافه کرده است که می توان از آن برای ایجاد کلیدهای امن استفاده کرد.
او گفت: «ما همچنین تأییدیه دستگاه و سفتافزار را اضافه کردهایم که به تأیید صحت سایر لوازم جانبی در سیستم کمک میکند. “این یک جزء بسیار مهم در دنیای سرور و مرکز داده است.”
علاوه بر مراکز داده، موارد استفاده دیگر شامل چاپگرهای چند منظوره، مخابرات و زیرساخت های صنعتی است. با این حال، Microchip در حال حاضر هیچ نام مشتری را منتشر نمی کند.
ویلسون گفت: «ما خیلی زود در این فرآیند هستیم. اگرچه ما مشتریانی داریم که در حال حاضر از آن استفاده می کنند، آنها هنوز در حال توسعه هستند و هنوز محصولات خود را اعلام نکرده اند.
ریشه چشم انداز اعتماد
شرکت های بزرگ مقیاس همه در فناوری های ریشه اعتماد سرمایه گذاری می کنند.
به عنوان مثال، گوگل از معماری اختصاصی Titan برای اطمینان از یکپارچگی پلت فرم استفاده می کند. در سال 2019، OpenTitan را راه اندازی کرد، یک پروژه منبع باز منبع اعتماد. شرکای آن عبارتند از تولیدکننده نیمه هادی تایوانی Nuvoton و شرکت های ذخیره سازی Western Digital، Seagate و Winbond. OpenTitan همچنین توسط Intrinsic ID، ارائهدهنده امنیت عملکرد فیزیکی غیرقابل کلونسازی، پشتیبانی میشود.
آمازون از سیستم نیترو برای همه نمونههای مدرن آمازون EC2 استفاده میکند که با استفاده از تراشه امنیتی نیترو بر پایه اعتماد مبتنی بر سختافزار متکی است.
در همین حال، مایکروسافت به پلتفرم Azure Sphere خود که در زیرسیستم امنیتی Pluton مستقر است، ریشه اعتماد مبتنی بر سخت افزار دارد. پلوتون در آستانه ورود به بازار مصرف برای اولین بار است. مایکروسافت این طراحی را در پاییز 2020 اعلام کرد.
اولین کامپیوتر مصرف کننده ای که از فناوری امنیتی جدید استفاده می کند، در اوایل سال جاری معرفی شد، لنوو ThinkPad X13 مجهز به AMD، که قرار است در این ماه وارد بازار شود، اما به نظر می رسد هنوز عرضه نشده است.
ریشه اعتماد شخص ثالث
رقبای میکروچیپ عبارتند از Kameleon، یک استارت آپ نیمه هادی اسرائیلی که با Xilinx، یک شرکت نیمه هادی مستقر در کالیفرنیا همکاری می کند.
ریشه اعتماد Kameleon روی معماریهای Intel، AMD و ARM کار میکند و از گواهیهای جانبی پشتیبانی میکند. این شرکت ادعا می کند که اولین شرکتی است که محصولات root of trust کاملاً مطابق با استاندارد پروژه محاسبات باز را وارد بازار می کند. همچنین با استاندارد NIST 800-193 Platform Firmware Resiliency مطابقت دارد.
جورج وینبلات، معاون محصول Kameleon، گفت: “ما شاهد افزایش تقاضا برای راه حل های منطبق با OCP از سوی مشتریان پیشرفته فناوری، مانند hyperscalers و ارائه دهندگان خدمات ابری هستیم که به این سطح امنیتی اضافی نیاز دارند.”
او گفت، اما بخشهای دیگر نیز شروع به نشان دادن علاقه خود کردهاند دانش مرکز داده. اینها شامل سازندگان تجهیزات اصلی و سازندگان طرح اصلی، و همچنین فروشندگان لوازم خانگی که ماژول های امنیتی سخت افزار، شبکه و سایر دستگاه ها را می سازند، می شود.
یکی دیگر از فروشندگان اعتماد، Lattice Semiconductor، در ماه مارس به بنیاد پروژه محاسبات باز پیوست.
مانند Xilinx، Lattice آرایههای دروازهای قابل برنامهریزی میدانی (FPGA) میسازد – مدارهای مجتمع که برای پیکربندی توسط مشتریان نهایی طراحی شدهاند. پشته راه حل Lattice Sentry آن شامل یک ریشه اعتماد سازگار با NIST و مبتنی بر FPGA است.
یک رقیب دیگر در این زمینه شلوغ، Rambus است که کاتالوگی از راه حل های ریشه ای اعتماد را برای همه چیز، از دستگاه ها و حسگرهای IoT گرفته تا پردازشگرهای امنیتی برای بار کاری ابر و هوش مصنوعی ارائه می دهد.
جدیدترین ریشه اعتماد مشتریانش به چاپگرهای چندکاره Kyocera سری Evolution است.
Silex Insight همچنین اساساً در فضای اینترنت اشیا، ریشههای فناوری اعتماد را ارائه میکند و اخیراً همکاری با شرکت امنیت اینترنت اشیا ZAYA را برای کمک به ایمن کردن میکرو کانتینرها اعلام کرده است.