ARM, Intercede, Solacia, Symantec等科技廠商 共同開發「OTrP開放信任協定」(Open Trust Protocol)

多家科技安全領導廠商指出，數十億台的連網裝置可能面臨風險，除非將安全敏感軟體提升至電子商務等級的安全標準。

ARM, Intercede, Solacia 和 Symantec等科技廠商，聯手針對數十億台裝置跨產業互連所衍生的安全挑戰進行評估，產業別包括工業、家庭、醫療和交通等。結論是，除非建立系統級信任根（root of trust），否則任何一個系統都可能遭受損害。

為了防杜風險，這些廠商共同開發「開放信任協定」（Open Trust Protocol，OTrP），使用經過大型銀行實證的技術，以及智慧型手機和平板電腦等消費市場裝置的敏感資料應用程式，將安全架構與可信任程式管理（trusted code management）結合起來。

ARM安全系統副總裁Marc Canel表示：「在網路互連時代，建立所有裝置和服務供應商之間的信任機制刻不容緩。電信商必須信任與他們的系統互連的裝置，OTrP可以簡單的方式實現；它結合了電子商務信任架構與高層次協定，可輕易與任何既有的平台整合。」

其他加入OTrP合作夥伴協議（Joint Stakeholder Agreement）的會員還包括Beanpod、Sequitur Labs、Sprint、Thundersoft、Trustkernel和Verimatrix。

威脅升高

賽門鐵克估計2015年每天約有100萬起網路攻擊事件。調研機構Gartner亦指出，物聯網（IoT）擴大了攻擊面，安全已成為開發任何聯網裝置時的首要考量。

OTrP簡介

OTrP是高層次管理協定，搭配安全解決方案執行，例如可保護行動運算裝置免受惡意攻擊的ARM® TrustZone®信任執行環境。該協定即日起於IETF website開放下載，設計人員可立即展開原型設計和測試。

該協定為開放式互通標準打先鋒，無需集中式資料庫，只要重覆使用既有的電子商務安全架構即可管理信任軟體。該管理協定用於公鑰基礎架構 (Key Infrastructure, PKI) 和基於認證機構的信任基礎架構 (Certificate Authority-based trust architectures)，因此服務供應商、應用程式開發商以及OEM廠商可以使用自己的金鑰來認證和管理信任軟體和資產。OTrP是高層次的簡易協定，可輕易與既有的信任執行環境或RAS加密微控制器平台進行整合。

OTrP以IETF資訊規格（informational）公佈，後續將由標準制訂組織持續研發，使之成為可以大量普及的互通標準。

合作夥伴證言

OTPA秘書長暨未來長Lubna Dajani：「連網服務的信任鏈必須建立在人和裝置皆擁有強大的數位身份，以確保資料和應用在開放和互通下保有完整性。OTrP的發佈是一個大躍進，讓產業透過基礎的合作即可有效率的運作，把競爭的焦點專注在創造價值上。」

Intercede數位信任專門小組執行長Richard Parris：「公佈OTrP成為可供審閱的IETF資訊規格文件，是提供行動和IoT連網裝置從晶片到服務通用數位信任的重要一步。它讓網路營運商和應用開發商可以基於互通性、政策和預算等考量，選擇硬體安全模組和加密金鑰供應商，而且只需一個共同的平台，即可管理各種五花八門的裝置。」

Solacia 執行長SangJin Park：「為可信任應用打造OTrP生態圈至關緊要，可確保跨市場之間商業運作的彈性。我們致力於讓整個安全產業採用開放標準，並且推出SecriTEE來實現此一目標，透過廣泛部署ARM TrustZone技術，讓行動安全機制更普及。」

Sprint技術副總裁Dr. Ron Marquardt：「身為無線通訊營運商，提供安全可靠的通訊和資料生態系統是我們至高無上的使命。隨著全球連網裝置和行動應用持續成長，安全將成為更棘手的問題。OTrP為日益升高的挑戰提供一帖強效良方，透過它的靈活性為服務生態圈提供和維持系統級的信任根。」

賽門鐵克IoT安全部門資深總監Brian Witten：「新科技通常伴隨更多的安全威脅，物聯網和智慧行動科技正朝百花齊放的應用邁進。當務之急是要制訂一套開放協定減緩威脅，並加速硬體支持的安全機制普及化，讓內建加密金鑰獲得充分的保護。」