Caliptra, un proyecto para la construcción de chips IP confiables

Caliptra, es una especificación abierta para incorporar mecanismos de seguridad dentro de los chips

Hace poco Google, AMD, NVIDIA y Microsoft dieron a conocer mediante una publicación de blog, la noticia del proyecto en conjunto «Caliptra», con el cual han desarrollado un bloque de diseño de chip abierto (bloque IP) para incorporar herramientas en chips para crear componentes de hardware confiables (RoT, Root of Trust).

Caliptra es una unidad de hardware separada con su propia memoria, procesador e implementación de primitivas criptográficas, que proporciona verificación del proceso de arranque, el firmware utilizado y la configuración del dispositivo almacenada en la memoria no volátil.

Caliptra se puede utilizar para integrar en varios chips una unidad de hardware independiente que realiza comprobaciones de integridad y garantiza que el dispositivo utiliza firmware verificado y autorizado por el fabricante. Caliptra puede simplificar y unificar significativamente la integración de mecanismos de verificación criptográfica de hardware incorporados en CPU, GPU, SoC, ASIC, adaptadores de red, unidades SSD y otros equipos.

La implementación básica del bloque IP se basa en el procesador abierto RISC-V SWeRV EL2 y está equipado con 384 KB de RAM (128 KB DCCM, 128 KB ICCM0 y 128 KB SRAM) y 32 KB de ROM. Los algoritmos criptográficos admitidos incluyen SHA256, SHA384, SHA512 ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC y AES256-GCM.

El proyecto Caliptra gira en torno al establecimiento de una raíz de confianza (RoT): construir capas de seguridad en el silicio para que los datos se cifren y no estén expuestos mientras viajan en los centros de datos o en la nube.

«El día de hoy marca un gran paso adelante en la colaboración de seguridad de toda la industria con el lanzamiento de las especificaciones de Caliptra 0.5 por parte de OCP y la disponibilidad de Caliptra 0.5 RTL a través de CHIPS Alliance. AMD seguirá siendo un participante activo en Caliptra y Open Compute Project. en apoyo de nuestros clientes y socios en todo el ecosistema». Mark Papermaster, CTO y vicepresidente ejecutivo de tecnología e ingeniería de AMD

«Los ecosistemas abiertos y los proyectos son fundamentales para el negocio de Google y lo han sido desde el primer día», dijo Partha Ranganathan, vicepresidente y miembro de ingeniería de Google Cloud y miembro de la junta de OCP. «Con Caliptra, estamos llevando la velocidad del desarrollo de código abierto a la seguridad de la infraestructura, lo que permite a la comunidad fortalecer colectivamente un sólido bloque de IP en el que todos podemos confiar en un conjunto diverso de ofertas de silicio». 

«Se necesita una mayor transparencia y consistencia en la seguridad del hardware de bajo nivel. Estamos abriendo Caliptra con nuestros socios para abordar estas necesidades». Mark Russinovich, director de tecnología y miembro técnico de Microsoft Azure.

Los medios de verificación criptográfica de integridad y autenticidad proporcionados por la plataforma protegerán los componentes de hardware de la introducción de cambios maliciosos en el firmware y asegurarán el proceso de carga y almacenamiento de la configuración para evitar que el sistema principal se vea comprometido como resultado de ataques a componentes de hardware o sustitución de cambios maliciosos en las cadenas de suministro de chips.

Caliptra también brinda la capacidad de autenticar actualizaciones de firmware y datos relacionados con la plataforma (RTU, Root of Trust for Update), detectar daños en el firmware y datos críticos (RTD, Root of Trust for Detection), restaurar firmware y datos dañados (RTRec, Root de Fideicomiso para la Recuperación).

Caliptra se está desarrollando sobre la plataforma del proyecto conjunto Open Comput , cuyo objetivo es desarrollar especificaciones abiertas para equipos para equipar centros de datos.

Las especificaciones relacionadas con Caliptra se distribuyen mediante el Acuerdo de Fundación Web Abierta (OWFa), diseñado para promover estándares abiertos (similar a una licencia de fuente abierta para especificaciones). El uso de OWFa hace posible crear sus propios productos e implementaciones derivadas basadas en la especificación sin deducir regalías y permite que cualquier organización participe en el desarrollo de la especificación.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.