Gadgetshowto
Tillkännagavs i mars på Google Cloud Next '17, Google Titan-säkerhetschipet är en annan byggsten i Googles försök att slå upp sina säkerhetsuppgifter och minska klyftan med sina konkurrenter - främst AWS och Microsoft Azure. Efter att ha testat chipet i deras datacenter ganska länge meddelade Google nyligen sina tekniska detaljer. Så om du har stött på nyheter om Googles säkerhetschip Titan och undrar vad det handlar om. I den här artikeln kommer jag att gå igenom vad Google Titan säkerhetschip är, hur fungerar det och allt annat du behöver veta om det.
Vad är Titan Security Chip?
I de enklaste orden är Titan ett säkerhetschip som förhindrar den typ av attacker där regeringsspioner avlyssnar hårdvara och sätter in ett firmwareimplantat. För närvarande gör angriparna detta främst genom att utforska sårbarheter i firmware för att övervinna försvaret av operativsystemet och installera rootkits som kan bestå även efter att operativsystemet har installerats om.
Titan är en del av Google Cloud Platform (GCP) som är designad, byggd och drivs med målet att skydda kundernas kod och data. Chipet är en säker mikrostyrenhet med låg effekt skapas för att säkerställa att system alltid startar från det senaste kända goda tillståndet. Chipet är av storleken på en liten örhänge och har redan installerats i många av de datorservrar och nätverkskort som finns i Googles stora datacenter.
När chipet presenterades för första gången i mars i år planerade Google att använda processorn för att ge var och en av dess servrar en individuell identitet. Från och med idag använder Google för närvarande Titans säkerhetschips för att skydda servrarna som kör sina egna tjänster som Google Sök, Gmail och YouTube.
Vad består Titan Security Chip av?
Maskinerna i Googles datacenter har flera komponenter inklusive processorer, RAM, BMC, nätverksgränssnittskontroll (NIC), start firmware, start firmware flash och ihållande lagring. Dessa komponenter samverkar systematiskt med varandra för att starta maskinerna. För att skydda denna startprocess använder Google säker start som förlitar sig på en kombination av en autentiserad start firmware och en bootloader, tillsammans med digitalt signerade startfiler, för att tillhandahålla önskade säkerhetsåtgärder.
Titan är ett specialdesignat chip som inte bara uppfyller dessa förväntningar utan också ger två viktiga ytterligare säkerhetsegenskaper - sanering och förstainstruktionens integritet. Chipet kommunicerar med huvudprocessorn via SPI-bussen och ansluter mellan firmware-flashen för start på komponenterna som BMC eller PCH. Detta gör det möjligt att observera varje byte i start firmware.
För att uppnå de säkerhetsåtgärder som Titan lovar, det består av flera komponenter. Några av de framträdande nämns nedan.
- En säker applikationsprocessor
- En kryptografisk samprocessor
- En generator för slumpmässiga nummer för hårdvara
- En sofistikerad nyckelhierarki
- En inbäddad statisk RAM (SRAM)
- En inbäddad blixt
- Ett skrivskyddat minnesblock
- SPI-buss (Serial Peripheral Interface)
- Baseboard Management Controller (BMC) eller Platform Controller Hub (PHC)
Hur fungerar Titan Security Chip?
Det första steget i arbetet med Titan säkerhetschip är exekvering av kod av dess processorer. Detta görs omedelbart efter att värddatorn har startats. Därefter fastställer tillverkningsprocessen en oföränderlig kod som implicit är betrodd och validerad vid varje chipåterställning. Därefter kör chipet ett självtest som är inbyggt i dess minne. Detta händer varje gång det startar för att säkerställa att allt minne, inklusive ROM, inte har manipulerats.
Nästa steg är att ladda Titans firmware. Även om den här firmware är inbäddad i flashminnet på chipet, litar inte Boot-ROM-skivan Titan på det blint. Istället verifierar det Titans firmware med hjälp av kryptografi med offentlig nyckel och blandar identiteten för den verifierade koden i Titans nyckelhierarki. Slutligen laddar start-ROM: n den verifierade firmware.
När Titan-chipet startar sin egen firmware säkert, Innehållet i värdens firmware-flash för start verifieras sedan använder kryptografi med offentlig nyckel. Medan den här verifieringen pågår kan Titan låsa åtkomst för PCH / BMC till start firmware flash. Nu när processen äntligen är klar skickar chipet en signal för att frigöra resten av maskinen från återställning. Denna signal ger Google Cloud Platform information om vilken start firmware och operativsystem som startas på sin maskin från den allra första instruktionen. Google Cloud Platform lär sig också om de mikrokodkorrigeringar som kan ha hämtats innan startprogramvarans första instruktion.
Slutligen startade den Google-verifierade firmware konfigurerar maskinen och laddar startladdaren. Detta verifierar och laddar därefter operativsystemet.
Varför behovet av Titan Security Chip?
Eftersom de flesta nätverkshårdvaror och servrar tillverkades utomlands, var datacenteroperatörer som arbetade för Google Cloud Platform oroade över möjligheten att nationalstatshackare eller cyberbrottslingar komprometterar dessa enheter innan de skickas. Googles Titan-chip hanterar dessa problem genom sina ständiga kontroller som ger extra säkerhet för molnhårdvaran. Detta gör det möjligt för företaget att upprätthålla en nivå av förståelse i sin leveranskedja som de annars inte skulle ha.
En annan anledning till att installera Titan säkerhetschip på datorservrar är motverka nya firmwareattacker som kan riktas mot återskrivbara firmwarechips. Dessa kan antingen vara BIOS-chips eller hårddiskstyrenheter.
Hur gagnar Titan Security Chip Google?
Det finns två primära sätt på vilka Titan säkerhetschip gynnar Google. För det första är säkerhetsperspektivet och det andra är konkurrenskraftens synvinkel.
Ur säkerhetssynpunkt gynnar Titan-chipet Google på följande tre sätt:
- Det ger en hårdvarubaserad rot till förtroende som skapar en stark identitet hos en maskin. Detta hjälper Google att fatta viktiga säkerhetsbeslut och validera systemets hälsa. Som ett resultat säkerställer detta en oåterkallelig granskning av alla ändringar som gjorts.
- De manipulerande loggningsfunktionerna hjälper till att identifiera åtgärder som utförs av en insider med root-åtkomst.
- Chipet erbjuder integritetsverifiering av firmware och mjukvarukomponenter.
Ur konkurrenssynpunkt har Google Cloud Platform för närvarande en global marknadsandel på 7%. Detta gör att den står tredje än Amazon Web Services (AWS) (41% marknadsandel) och Microsoft Azure (13% marknadsandel). Med det nya Titan-chipet, Google vill skilja sig från sina konkurrenter och föra fler säkerhetsfokuserade företag till sin molndatorplattform. Detta är ett viktigt steg, enligt Gartner är den globala marknaden för cloud computing värt nästan 50 miljarder dollar.
Som en följd av detta har Google också utvecklat en end-to-end kryptografiskt identitetssystem baserat på Titan. Detta kan vidare fungera som roten till förtroende för olika kryptografiska operationer i deras datacenter.
SE OCH: Vad är Bluetooth Mesh Networking och hur det fungerar?
Kommer Titan Security Chip verkligen att hjälpa Google?
Medan Google Cloud Platform för närvarande hamnar bakom sina konkurrenter, särskilt AWS, låter Titan-säkerhetschipet som en hel del för dem. Med sina imponerande testresultat handlar allt om huruvida chipet kommer att hjälpa Google Cloud Services att sticka ut från de andra på längre sikt. Personligen är jag också mycket intresserad av att se hur saker kommer att bli. Hur är det med dig? Låt mig veta dina tankar om detta i kommentarfältet nedan.
