Moderní elektronika vyžaduje kvůli rostoucí digitalizaci společnosti bezpečná a útokům odolná řešení. Firmy s tím musí počítat již od raného návrhu a musí pokrývat celý životní cyklus produktu. Sjednocení pravidel bezpečného návrhu a nastavení metodologie pro jejich ověření je hlavním cílem projektu HORIZON-ORSHIN. Součástí této skupiny expertů na kyberbezpečnost se poprvé stal i český startup Tropic Square, který poskytne své know-how získané z vývoje svého transparentního secure element čipu. Na tříletý projekt, jenž začal v říjnu tohoto roku, poskytla EU finance ve výši 3,8 milionu eur, z toho 550 tisíc eur (přes 12 milionů korun) získal Tropic Square na vývoj hardwaru odolného proti bezpečnostním hrozbám.
„V Tropic Square dlouhodobě usilujeme o transparentní bezpečnostní řešení v dnešním propojeném světě. Náš první čip bude dalším velkým dílem skládačky, která nás dokáže posunout ve světovém měřítku na špičku. Zastáváme filozofii, že zařízení musí být bezpečné i v rukou nepřítele, pokud k němu získá přístup. Právě transparentnost a otevřenost nám umožňují odhalit bezpečnostní rizika již v době návrhu, nebo před uvedením na trh. V rámci projektu ORSHIN pomůžeme s formalizací návrhu a ověření open source řešení, která jsou kritická pro vývoj bezpečného hardwaru,“ říká CEO Tropic Square Evžen Englberth.
„Spoléhání trhu na hardwarová a softwarová řešení s uzavřeným zdrojovým kódem znamená, že se výrobci nebo zákazníci nedozvědí o bezpečnostních slabinách svých zařízení, nebo dozvědí – ale když už je pozdě. Otevřený zdrojový kód umožňuje nezávislý audit a tím pomáhá odhalit bezpečnostní rizika již v době návrhu, což je zásadní rozdíl. Společně v projektu ORSHIN vyvineme metodiky návrhu bezpečných řešení, formálně ověřitelná bezpečnostní kritéria a testování, které umožní efektivní bezpečnostní audity. Zároveň přineseme metody pro bezpečnou autentizaci a komunikaci pro připojená zařízení v embedded zařízeních. Kybernetická bezpečnost je totiž silná jen tak, jak silný je nejslabší článek řetězce – a to je to místo, které musí zajímat vývojáře,“ dodává Jan Pleskač, CTO Tropic Square.
Koordinace a spolupráce nadnárodních společností
Sdružení, které se soustředí na naplnění cílů projektu ORSHIN – tedy zajistit lepší postavení open source řešení v oblasti bezpečnosti –, vede Technikon, soukromá inženýrská společnost se sídlem v Rakousku. Ta dlouhodobě řídí nadnárodní týmy při organizaci, realizaci a hodnocení výzkumných projektů. Dále na projektu spolupracují renomovaní hardwaroví a softwaroví odborníci na kybernetickou bezpečnost ze společností Security Pattern a Texplained, Katolická univerzita v belgické Lovani, výzkumný ústav EURECOM a evropský výrobce čipů NXP.
Tropic Square je soukromá společnost založená v roce 2020 jako reakce na chybějící nabídku secure element čipů s otevřenou architekturou. Založili ji Evžen Englberth a Jan Pleskač společně se SatoshiLabs. V Praze vystavěli tým, který i nadále rozšiřují o další experty v oboru. Hlavní filozofií vyvíjeného produktu je nezávislá auditovatelnost a transparentnost – trend, jenž začal zhruba před třiceti lety, se však dosud nedostal do světa chip designu, což se snaží oba zakladatelé nyní změnit. Odmítají proto zakládat bezpečnost na utajování technických detailů, ale dávají sílu svého šifrování otestovat expertům i open source komunitě. Cílem je přinést zákazníkům auditovatelný čip, který bude splňovat vysoké nároky na zabezpečení a zároveň bude kýmkoli ověřitelný díky své transparentnosti a open source přístupu. V současnosti pod pracovním názvem TROPIC01 (TRuly OPen Integrated Circuit) probíhá vývoj první generace secure čipu. Více informací na tropicsquare.com.
Je obecně známo, že kybernetická bezpečnost je tak silná, jak silný je nejslabší článek řetězu. Proto je hlavní výzvou identifikovat kritické body infrastruktury internetu věcí. Pro řešení tohoto problému vytváří společnost ORSHIN první obecnou a integrovanou metodiku nazvanou důvěryhodný životní cyklus, která umožňuje vyvíjet bezpečná síťová zařízení založená na open-source komponentách a zároveň řídit celý jejich životní cyklus. Důvěryhodný životní cyklus ORSHIN se skládá z různých fází (návrh, implementace, hodnocení, instalace, údržba a vyřazení), které tvoří řetězec důvěryhodnosti. Tento životní cyklus definuje, jak se bezpečnostní cíle promítají do zásad pro jednotlivé fáze vývoje. Pomocí tohoto holistického pohledu bude ORSHIN řešit kritické vazby, snižovat hrozby a zlepšovat bezpečnost otevřených zařízení.
