GyroidOS ดูแลโดย Fraunhofer AISEC, เป็นโซลูชันระบบปฏิบัติการเสมือน (OS-level Virtualization) แบบโอเพ่นซอร์ส รองรับหลายสถาปัตยกรรม (multi-arch) ออกแบบมาสำหรับอุปกรณ์ฝังตัวที่มีคุณสมบัติด้านความปลอดภัยระดับฮาร์ดแวร์ และมุ่งรองรับกระบวนการรับรองความปลอดภัย เช่น Common Criteria (ISO/IEC 15408), Common Criteria และ IEC-62443
โซลูชัน Virtualization นี้ใช้ความสามารถเฉพาะของ Linux เช่น namespaces, cgroups และ capabilities เพื่อแยกการทำงาน (isolation) ของสแตกระบบปฏิบัติการ guest หลายชุดบนเคอร์เนล Linux เดียวที่ใช้ร่วมกัน เมื่อเทียบกับโซลูชันคอนเทนเนอร์อื่น ๆ เช่น Docker แล้วระบบ GyroidOS มีขนาดเล็กกว่า และให้การแยกส่วนของอินสแตนซ์ที่มีสิทธิ์ระดับสูง (privileged instances) ได้มากกว่า
คุณสมบัติด้านความปลอดภัยของ GyroidOS
- การแยกคอนเทนเนอร์ (Container isolation) บนสถาปัตยกรรมเวอร์ชวลไลเซชันระดับระบบปฏิบัติการแบบโมดูลาร์
- Secure Boot (เช่น UEFI บนสถาปัตยกรรม x86)
- การลงลายเซ็นดิจิทัลโมดูลเคอร์เนล (Kernel module signing)
- GuestOS (คอนเทนเนอร์) ที่มีการลงลายเซ็นดิจิทัล
- Measured Boot และ Remote Attestation
- การเข้ารหัสดิสก์ทั้งระบบ (Full Disk Encryption) ทำงานร่วมกับ TPM และ Secure Boot
- จำกัดสิทธิ์ผู้ดูแลระบบ (superuser) ภายในคอนเทนเนอร์ด้วย Linux capabilities
- ควบคุมการเข้าถึงอุปกรณ์แบบละเอียดด้วย device cgroups whitelist
- รองรับ Secure Element สำหรับการยืนยันตัวตนแบบสองปัจจัย (เช่น ตอนเริ่มต้นคอนเทนเนอร์)
- (อยู่ระหว่างพัฒนา) การย้ายกุญแจเข้ารหัสและอัลกอริทึมการเข้ารหัสไปยัง Trusted Execution Environments (TEEs) เช่น Kernel Crypto API
จุดเด่นหลักของ GyroidOS คือเป็นซอฟต์แวร์โอเพ่นซอร์สเต็มรูปแบบที่พกพาได้ (portable software stack) มีฟังก์ชันแปลงคอนเทนเนอร์จาก Docker แบบทดลอง (experimental converter) รองรับการจัดการระยะไกลที่ยืดหยุ่น และรองรับโครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) สำหรับการลงลายเซ็นซอฟต์แวร์และยืนยันตัวตนอุปกรณ์ กรณีการใช้งานหลักมี 2 รูปแบบ ได้แก่ การแยกแอปพลิเคชัน (Application Separation) ลักษณะคล้าย Docker และ อุปกรณ์ IoT Edge ที่ใช้เวอร์ชันขนาดเล็ก ซึ่งมีเพียงเคอร์เนลและ ramdisk ขนาดเล็กทำหน้าที่เป็น Virtualization layer
โซลูชัน Virtualization นี้ทำงานได้บนแพลตฟอร์มต่อไปนี้:
- x86 แบบ 32/64-bit พร้อม UEFI Secure Boot หรือ QEMU TianoCore (จำลอง UEFI Secure Boot และ sTPM)
- ARM64
- Raspberry Pi 4 และ Raspberry Pi 5 พร้อม RPi Secure Boot
- Raspberry Pi 3 พร้อม U-Boot Verified Boot
- TQ-Systems TQMa8MPxL พร้อม U-boot Verified Boot
- ARM32 – Raspberry Pi 2 พร้อม U-boot Verified Boot
- RISC-V 64-bit – BeagleV-Fire พร้อม Uboot Verified Boot
Fraunhofer AISEC ดูเหมือนจะเริ่มพัฒนาโครงการนี้มาตั้งแต่ช่วงปี 2010 แต่ชื่อโครงการ GyroidOS เพิ่งเริ่มปรากฏประมาณปี 2022 เราพบโครงการนี้ผ่านหนึ่งในคลาสที่จะจัดขึ้นในงาน Embedded World 2026 ในหัวข้อ “Embedded Linux Security Exercised on the Secure Platform GyroidOS” ซึ่งเป็นคลาสระยะเวลา 3 ชั่วโมง ครอบคลุมเนื้อหาทฤษฎีเกี่ยวกับกลไกของ Linux kernel วิธีการสนับสนุนด้านฮาร์ดแวร์และบูตโหลดเดอร์ ตลอดจนการเรียนรู้วิธีใช้ GyroidOS เป็นพื้นฐาน (baseline) สำหรับแพลตฟอร์มที่ปลอดภัยพร้อมบริการของตนเอง แม้จะมีการพัฒนามายาวนานหลายปี แต่ดูเหมือนว่ายังไม่ได้ถูกใช้งานอย่างแพร่หลาย แต่ GyroidOS ถูกใช้เป็นตัวอย่างอ้างอิง (reference implementation) สำหรับ Trusted Connector ในโครงการ International Data Spaces Association (IDS) สามารถดูรายละเอียดเพิ่มเติมได้จากเว็บไซต์เอกสารประกอบ และบัญชี GitHub เฉพาะของโครงการ
แปลจากบทความภาษาอังกฤษ : GyroidOS virtualization solution aims to secure embedded devices, ease cybersecurity certification
บรรณาธิการข่าวและบทความภาษาไทย CNX Software ได้มีความสนใจในด้านเทคโนโลยี โดยเฉพาะ Smart Home และ IoT