Nøkkelmedlemmer i Åpne Compute Project har kommet sammen for å lage en ny åpen spesifikasjon for en silicon Root of Trust, kalt Caliptra, som er designet for å møte de forbedrede sikkerhetskravene til moderne edge og konfidensielle databrukssaker.
Kunngjort i dag på OCP Global Summit i San Jose, California, Caliptra sies å definere en gjenbrukbar drop-in-silisiumkodeblokk for root-of-trust-måling som kan integreres i enhver moderne applikasjonsspesifikk integrert krets eller system-på-brikke, inkludert nye sentralbehandlingsenheter, grafikkbehandlingsenheter, solid state-stasjoner og nettverksgrensesnittkontrollere. Hovedformålet med Caliptra er å gi verifiserbare kryptografiske forsikringer om en ASICs eller SoCs sikkerhetskonfigurasjon, med en in-chip-mekanisme for å sikre at oppstartskoden er klarert.
OCP forklarer at hardware RoT er et konsept som er relatert til et sett med sikkerhetsegenskaper som forankrer sikkerheten til en SoC i maskinvaren. På denne måten garanterer RoT kryptografisk en SoCs sikkerhetskonfigurasjon og beskyttelsesmekanismer for arbeidsbelastning, og sikrer at bare klarert fastvare kan kjøres på brikkesettet.
RoT fungerer derfor som et sett med primitiver som danner grunnlaget for mer avanserte sikkerhetsfunksjoner for SoC-er. Til nå har imidlertid maskinvare RoT alltid blitt brukt inkonsekvent, forklarte grunnlaget, med de fleste løsninger holdt atskilt fra selve SoC. Med fremveksten av edge og skybasert databehandling, og etterspørselen som har skapt etter konfidensielle databehandlingsløsninger – der data forblir kryptert mens de behandles – krever industrien et høyere nivå av konsistens i hvordan RoT-sikkerheten er sikret.
OCP-medlemmer, inkludert Advanced Micro Devices Inc., Google LLC, Microsoft Corp. og Nvidia Corp., sier at Caliptra RoT-standarden de utformet er en stor forbedring i forhold til tidligere standarder som ble implementert separat fra SoC. De forklarte at Caliptra gir et sterkt grunnlag for SoC-innebygd RoT-sikkerhetsatferd og applikasjonsprogrammeringsgrensesnitt, samt en mer pålitelig arkitektur for SoC IP-blokkimplementering.
Viktigst av alt vil det gjøre det mulig for industrien å standardisere sikkerhetsarkitekturen til skydistribuerte servere samtidig som den gjør den mye mer skalerbar, og gir en måte å møte de forbedrede sikkerhetskravene til edge og konfidensiell databehandling. I spesifikke termer vil Caliptra gi enhetlig funksjonalitet og administrasjon for Root of Trust-prosesser på tvers av datasenterenheter og komponenter.
Caliptra-teamet understreket at behovet for en ny standard er ganske presserende. Mens i tradisjonelle datasentre var fysiske sikkerhetstiltak alltid nok til å redusere fysiske interposers som kunne kompromittere sikkerheten, er det ikke lenger tilfelle med edge og konfidensiell databehandling. På kanten står datasenteroperatører overfor nye fysiske trusselvektorer ettersom disse stedene er mye vanskeligere å sikre fysisk, og det er derfor et presserende behov for å beskytte mot fysiske mellomleggere mellom to diskrete pakker. Samtidig krever konfidensiell databehandling attestering på pakkenivå og SoC-nivå for å holde tritt med de mange nye truslene den står overfor.
Holger Mueller fra Constellation Research Inc. sa at sikkerhet er nøkkelen til å sikre personvern for nettskyressursene som driver dagens neste generasjons applikasjoner. “Standarder bidrar til å fremme sikkerheten raskere, og med OCPs nye Caliptra-standard som tiltrekker seg så bred støtte fra begynnelsen, er det en god sjanse for at den vil lykkes og se mye bredere bruk,” sa analytikeren. “Det er godt å se maskinvareprodusenter som AMD og Nvidia allerede om bord, så vel som Azure og Google Cloud.”
“I dag markerer et stort skritt fremover i bransjeomfattende samarbeid om sikkerhet med utgivelsen av Caliptra 0.5-spesifikasjoner av OCP, og tilgjengeligheten av Caliptra 0.5 RTL gjennom CHIPS Alliance,” sa Mark Papermaster, AMDs teknologisjef og konserndirektør for teknologi. og ingeniørfag. Papermaster, som kalte avtalen “bemerkelsesverdig”, sa at han forventer at andre selskaper vil delta i initiativet fremover.
OCP sa at Caliptra 0.5-spesifikasjonen er tilgjengelig for nedlasting nå, og setter de grunnleggende prinsippene og tekniske detaljene for standarden, selv om den ikke er helt klar for beste sendetid. Snarere er utgivelsen en invitasjon til det bredere OCP-fellesskapet for innspill, for å sikre at den oppfyller bredere industribehov. Med andre ord, Caliptra-teamet håper å få tilbakemeldinger fra samfunnet om arbeidet som er gjort så langt for å sikre at den endelige standarden vil møte alles krav innen lanseringen, som er planlagt til første halvdel av neste år.