Open Compute: Microsoft legt Root of Trust für Server offen

Im Zuge des Open Compute Summits, der zurzeit virtuell stattfindet, hat Microsoft das Project Cerberus als Open Source veröffentlicht. Dabei handelt es sich um eine langjährige Kooperationsarbeit mit Chipherstellern wie Intel, AMD, Broadcom, Nuvoton, Mellanox, und NXP für die Azure-Cloud von Microsoft. Cerberus soll dabei konkret die Plattform-Firmware von Servern durch einen sogenannten Root of Trust absichern.

Ideen für diese Art Technik sind dabei nicht neu. Konkurrent Google hat zum Beispiel seine eigenen Titan-Chips bereits im Jahr 2017 ausführlich vorgestellt. Auch die Arbeiten von Microsoft an Cerberus reichen ins Jahr 2017 zurück. Bisher ist es aber sehr selten, dass die Technik vollständig offen dokumentiert und von anderen nutzbar ist.

Hauptbestandteil von Cerberus ist ein Microcontroller mit kryptografischen Fähigkeiten, der dazu genutzt wird, die austauschbaren und aktualisierbaren Software-Komponenten der Firmware "zu messen", wie es in der Ankündigung heißt, also etwa Hashwerte dafür zu berechnen. So sollen unerwartete Manipulationen der Firmware etwa durch Angreifer erkannt werden. Das wiederum soll die Integrität des Gesamtsystems gewährleisten.

Als mögliche Angriffsszenarien, gegen die Cerberus schützen soll, listet Microsoft bösartige Insider mit Zugriff auf die Hardware, externe Angreifer, die Sicherheitslücken des Betriebssystems ausnutzen, Angriffe in der Zulieferkette sowie auch kompromittierte Firmware-Binärdateien auf.

Die veröffentlichten Bestandteile von Cerberus umfassen Quellcode, Werkzeuge, Dokumentation zur Referenz-Architektur sowie auch die Firmware selbst. Microsoft hofft, dass die Offenlegung zu einer größeren Community-Kooperation führt und noch in diesem Jahr Produkte auf den Markt kommen, die auf Cerberus basieren.