Fue por allá del año 2019 cuando compartíamos aquí en el blog, la noticia del inicio del desarrollo de la plataforma abierta OpenTitan, en la cual Google se había asociado con varias compañías para su desarrollo y ahora tras más de seis años de desarrollo, Google dado luz verde para la producción de estos.

Para quienes desconocen de OpenTitan, deben saber que este es un marco robusto y comprobado que se utiliza para construir componentes de hardware de confianza, o «root of trust», esenciales para garantizar la integridad tanto del hardware como del software de un sistema. Al ofrecer una solución lista para usar, el proyecto ayuda a reducir significativamente los costes y la complejidad en el desarrollo de chips especializados.

Aplicaciones de OpenTitan

OpenTitan permite su aplicación en una amplia gama de dispositivos, desde placas base en servidores y tarjetas de red hasta equipos de consumo, routers y dispositivos IoT. Estos chips tienen la capacidad de verificar el firmware y los cargadores de arranque, generar identificadores criptográficamente únicos para prevenir manipulaciones y ofrecer servicios de seguridad cruciales, como el aislamiento de claves criptográficas frente a accesos físicos no autorizados.

Además, la plataforma integra una serie de bloques lógicos esenciales para chips de confianza, incluyendo un microprocesador de código abierto basado en la arquitectura RISC-V (RV32IMCB Ibex), coprocesadores especializados en tareas criptográficas, un generador de números aleatorios de hardware y un administrador de claves con soporte para DICE.

También se incorporan mecanismos avanzados para el almacenamiento seguro de datos en memorias operativa y permanente, junto a componentes críticos para un arranque seguro. Adicional a ello, el dispositivo dispone de módulos que implementan algoritmos de cifrado estándar, como AES y HMAC-SHA256, y cuenta con un acelerador que optimiza las operaciones matemáticas utilizadas en algoritmos de firma digital basados en criptografía de clave pública.

Transparencia y la colaboración

El proyecto OpenTitan tuvo su inicio bajo el auspicio de Google, aunque pronto fue transferido a la organización sin ánimo de lucro lowRISC, marcando un cambio estratégico hacia un enfoque comunitario y colaborativo. Con el tiempo, el desarrollo fue ganando importancia gracias a la suma de importantes marcas de la industria. Esta amplia alianza se sustenta en la transparencia y en la apertura del conocimiento, ya que todo el código y las especificaciones de hardware se publican bajo la licencia Apache 2.0, lo que facilita la verificación independiente de cada uno de los componentes.

Las tecnologías que inspiran OpenTitan provienen de soluciones previamente probadas, como los tokens USB criptográficos Google Titan y los chips TPM que se utilizan para garantizar un arranque verificado en los servidores de Google, así como en dispositivos como Chromebooks y Pixel.

A diferencia de otras implementaciones de root of trust, OpenTitan se basa sobre la premisa de que la seguridad se fortalece mediante la transparencia total. Lo que significa que tanto el código como los diseños de hardware están disponibles públicamente y que no solo permite una auditoría constante por parte de la comunidad, sino que también elimina la dependencia de proveedores o fabricantes exclusivos. La apertura del proceso de desarrollo es, en sí misma, una garantía de que el sistema se construye con altos estándares de calidad y responsabilidad compartida.

Una característica importante de OpenTitan es su capacidad para incorporar, por primera vez en una raíz de confianza de código abierto, un mecanismo de arranque seguro post-cuántico basado en el algoritmo de generación de firma digital SLH-DSA (Sphincs+). Esto es fundamental, ya que está diseñada para resistir ataques de fuerza bruta incluso en el contexto de la computación cuántica, lo que posiciona a OpenTitan como una opcion de seguridad digital en la era post-cuántica.

Cabe mencionar que los primeros chips serán fabricados por Nuvoton y se presentan como aptos para proyectos de producción, habiéndose lanzado ya un lote de prueba para su evaluación mientras se anticipa que la producción en masa comience esta primavera.