«Ein startender Computer ist verletzlich wie ein neugeborenes Baby»

    -     English
Luca Benini (Foto:  ETH Zürich / Giulia Marthaler)

Luca Benini (Foto: ETH Zürich / Giulia Marthaler)

Immer häufiger attackieren Hacker nicht die Software eines IT-Systems, sondern nutzen Schwachstellen in der Hardware. Ein Open-Source-Projekt auf Basis der Titan-Sicherheitstechnologie von Google und des Open-Source-Prozessors «Ibex» der ETH soll diese Lücke schliessen. Luca Benini, Professor am Institut für integrierte Systeme, erklärt wie das geht.

Herr Benini, entscheidend für sichere Hardware sind sogenannte «Root of Trust»-Lösungen, kurz RoT. Wofür steht dieser Begriff?

Luca Benini: Heute ist immer öfter die Hardware eines Systems das Ziel von Angriffen. Denn während Schwachstellen in einem Programm relativ schnell geflickt werden können, ist die Hardware viel statischer. Fehler bleiben in der Regel länger unerkannt und werden - wenn überhaupt - viel später korrigiert. RoT bezeichnet eine Methode, mit der man die Integrität von Hardware überprüfen kann. Bei einer «RoT»-Lösung handelt sich in der Regel um einen Microchip, der kontrolliert, ob sich ein System so verhält, wie wir das erwarten.

Wie macht er das?

Vereinfacht gesagt funktioniert das ähnlich wie beim E-Banking mitZwei-Faktor-Authentifizierung. Das System sendet einen Code an den RoT-Chip und dieser prüft, ob der Code stimmt. Nimmt jemand Veränderungen am überwachten System vor, dann verändert sich dieser Code und der Chip bricht den Prozess ab.

Und das macht auch OpenTitan?

Open Titan überwacht das Aufstarten eines Computers, den sogenannten Bootprozess. Wie ein Baby kurz nach der Geburt muss auch ein Computer in den Sekunden nach dem Start besonders geschützt werden: Die sogenannte Firmware, also die Software die den Bootprozess steuert, wird aktiv, bevor zum Beispiel das Antiviren-Programm arbeitet. Entsprechend konzentrieren sich viele Angriffe auf diese ersten Sekunden und versuchen, die Firmware zu schädigen. Gelingt das, können die Angreifer das System übernehmen, ohne dass man das bemerkt. OpenTitan kontrolliert, ob der Code, den die Firmware generiert, mit dem erwarteten Code übereinstimmt. Ist das nicht der Fall, wird der Bootprozess abgebrochen.

Nun bieten bereits heute verschiedene Firmen solche RoT-Chips an. Reichen die nicht aus?

Die herkömmlichen Systeme sind proprietär und erfordern, dass die Benutzer blindes Vertrauen in eine Technologie setzen, die sie nicht überprüfen können - mit OpenTitan gehen wir einen ganz anderen Weg.

« Was nützt es, wenn die Software quelloffen, der Prozessor auf dem sie läuft jedoch weiterhin eine Blackbox ist, deren potenzielle Lücken ich nicht sehen kann? OpenTitan ist von A-Z transparent. » Luca Benini

Was kann denn Open Source, also eine quelloffene Lösung besser?

In der IT-Sicherheits-Community setzt man zunehmend auf Open Source. Egal ob frei zugänglich oder proprietär, Hacker finden in jedem System eine Schwachstelle. Darum halte ich es für besser, wenn die potenziellen Opfer eines Angriffs zusammenarbeiten, anstatt sich auf einen einzigen Hersteller zu verlassen. Hinzu kommt: Sollte sich ein Partner aus dem OpenTitan-Projekt zurückziehen, kann die Community die Lösung trotzdem weiterentwickeln. Bei einer herkömmlichen Lösung ginge das nicht.

Ihr Open-Source-Prozessor «Ibex» ist ein wichtiges Element des Projekts. Wozu braucht es einen quelloffenen Prozessor? Es ist doch die Software, die dem Chip seine Funktionalität gibt?

Auch hier gilt das Motto, je transparenter desto sicherer. Natürlich kann auch ein RoT-Chip angegriffen werden. Was nützt es also, wenn die Software quelloffen, der Prozessor auf dem sie läuft jedoch weiterhin eine Blackbox ist, deren potenzielle Lücken ich nicht sehen kann? OpenTitan ist von A-Z transparent.

Wer ist am Open-Titan-Projekt beteiligt?

Aktuell sind schon mehrere Organisationen am Projekt beteiligt. Darunter die ETH Zürich, Google, G+D Mobile Security, Nuvoton, Western Digital und die gemeinnützige Organisation «lowRISC». Letztere wurde von den Erfindern des Open-Source-Computers «Raspberry Pi» gegründet, der als erster quelloffener Computer weltweit für Schlagzeilen sorgte und noch heute in vielen Open-Source-Projekten zur Anwendung kommt. Je mehr Partner bei OpenTitan mitmachen, desto sicherer wird die Lösung und desto kleiner wird der Einfluss der einzelnen Partner. Für die ETH ist OpenTitan darum eine ausgezeichnete Gelegenheit, ihre Technologie im Dienst der Gesellschaft zur Anwendung zu bringen.

PULP-Plattform : Die Plattform «Parallel Ultra Low Power» (PULP) wurde 2013 ins Leben gerufen, um neue und effiziente Chip-Architekturen für die Datenverarbeitung bei ultra-niedrigem Stromverbrauch zu entwickeln. Ziel ist es, eine offene und skalierbare Forschungsund Entwicklungsplattform für Hardund Software zu schaffen, um mit einem Energieverbrauch von wenigen Milliwatt eine sehr hohe Energieeffizienz zu gewährleisten und gleichzeitig die für IoT-Anwendungen notwendige Rechenkapazität zur Verfügung zu stellen. www.pulp-platform.org

OpenTitan : OpenTitan ist das erste Open-Source-RoT-Projekt. Im Rahmen des «Silicon-Root-of-Trust»-Projekts sollen neben einem hochwertigen RoT-Design auch Integrationsrichtlinien für die Nutzung auf Servern in Rechenzentren, Speicherlösungen, Peripheriegeräte usw. erarbeitet werden. Durch den Open-Source-Ansatz wird ein Mehr an Transparenz, Vertrauenswürdigkeit und damit auch Sicherheit garantiert. www.opentitan.org

Markus Gross