Tilkendt i marts i Google Cloud Next '17 er Google Titan-sikkerhedsknappen en anden byggesten i Googles forsøg på at slå sikkerhedens referencer op og reducere kløften med sine konkurrenter - primært AWS og Microsoft Azure. Efter at have testet chipet i deres datacentre i et stykke tid nu, meddelte Google for nylig sine tekniske detaljer. Så hvis du har været på tværs af nyheder om Googles Titan-sikkerhedschip og spekulerer på, hvad handler det om. Nå, i denne artikel, vil jeg gå over, hvad Google Titan sikkerhed chip er, hvordan virker det, og alt andet, du behøver at vide om det.
Hvad er Titan Security Chip?
I det enkleste af ord er Titan en sikkerhedschip, der forhindrer typen af angreb, hvor regeringens spioner aflyser hardware og indsætter et firmware-implantat . I øjeblikket gør angriberne det primært ved at undersøge sårbarheder i firmware for at overvinde operativsystemværdier og installere rootkits, der kan fortsætte, selvom operativsystemet er blevet geninstalleret.
Titan er en del af Google Cloud Platform (GCP), som er designet, bygget og drives med det formål at beskytte kundernes kode og data. Chippen er en sikker, lavmikro mikrocontroller skabt for at sikre, at systemer altid starter fra den sidst kendte gode tilstand. Chippen er af størrelsen af en lille ørestikker og har allerede været installeret i mange af computerserverne og netværkskortene, der fylder Googles massive datacentre.
Da chippen først blev afsløret i marts i år, planlagde Google at bruge processoren til at give hver af sine servere en individuel identitet. Fra og med i dag bruger Google i øjeblikket Titans sikkerhedschips til at beskytte serverne, der kører sine egne tjenester som Google Search, Gmail og YouTube.
Hvad består Titan Security Chip af?
Maskinerne i Googles datacentre har flere komponenter, herunder CPU'er, RAM, BMC, Network Interface Controller (NIC), boot firmware, boot firmware flash og vedvarende lagring. Disse komponenter interagerer med hinanden systematisk for at starte maskinerne. For at beskytte denne opstartsproces bruger Google sikker boot, der bygger på en kombination af en godkendt boot-firmware og en bootloader sammen med digitalt signerede boot-filer for at give de ønskede sikkerhedsforanstaltninger.
Titan er en specielt designet chip, der ikke kun opfylder disse forventninger, men giver også to vigtige ekstra sikkerhedsegenskaber - afhjælpning og første instruktion integritet. Chippen kommunikerer med hoved-CPU'en via SPI-bussen og indgriber mellem boot-firmware-flash af komponenterne som BMC eller PCH. Dette gør det muligt at observere hver byte af boot firmware.
For at opnå de sikkerhedsforanstaltninger, Titan lover, består den af flere komponenter . Nogle af de fremtrædende er nævnt nedenfor.
- En sikker applikationsprocessor
- En kryptografisk samprocessor
- En hardware tilfældig talgenerator
- Et sofistikeret nøglehierarki
- En integreret statisk RAM (SRAM)
- En integreret flash
- En skrivebeskyttet hukommelsesblok
- Serial Peripheral Interface (SPI) bus
- Baseboard Management Controller (BMC) eller Platform Controller Hub (PHC)
Hvordan virker Titan Security Chip?
Det første skridt i arbejdet med Titans sikkerhedschip er udførelse af kode fra dets processorer . Dette gøres umiddelbart efter, at værtsmaskinen er tændt. Derefter lægger fremstillingsprocessen en uforanderlig kode, der er implicit betroet og valideres ved hver nulstilling af chip. Herefter kører chippen en selvtest, der er indbygget i sin hukommelse. Dette sker hver gang det starter for at sikre, at al hukommelse, inklusive ROM, ikke er blevet manipuleret.
Det næste trin er at indlæse Titans firmware . Selv om denne firmware er integreret i flash-hukommelsen på flash, stoler Titan boot ROM ikke på det blindt. I stedet verificerer det Titans firmware ved brug af public key-kryptering og blander identiteten af denne verificerede kode til Titans nøglehierarki. Endelig indlæser boot ROM den verificerede firmware.
Når Titan-chippen har startet sin egen firmware sikkert, bekræftes indholdet af værtsens boot-firmware-flash ved hjælp af public key-kryptering. Mens denne verifikation er under behandling, kan Titan indlæse adgangen til PCH / BMC til boot-firmware-flashen. Nu når processen endelig bliver afsluttet, sender chipet et signal for at frigive resten af maskinen fra nulstilling. Dette signal giver Google Cloud Platform informationen om, hvad boot firmware og OS, der startes på deres maskine fra den allerførste instruktion. Google Cloud Platform lærer også om de mikrokodepatcher, der muligvis er blevet hentet, før opstartsfirmaets første instruktion.
Endelig konfigurerer den Google-verificerede boot-firmware maskinen og læser bootloaderen . Dette efterfølgende verificerer og indlæser operativsystemet.
Hvorfor behovet for Titan Security Chip?
Da de fleste netværkshardware og servere blev lavet i udlandet, var datacentreoperatører, der arbejder for Google Cloud Platform, bekymrede over muligheden for, at landstatshackere eller cyberkriminelle ødelægger disse enheder, før de afsendes. Googles Titan-chip adresserer disse bekymringer gennem sine løbende checks, som giver yderligere sikkerhed til cloud computing-hardware. Dette gør det muligt for virksomheden at opretholde et forståelsesniveau i deres forsyningskæde, som de ellers ikke ville have.
En anden grund til at installere Titans sikkerhedschip i computerservere er at modvirke nye firmwareangreb, som kan målrette om genskrivbare firmwarechips. Disse kan enten være BIOS chips eller harddisk controllere.
Hvordan fordeler Titan Security Chip Google?
Der er to primære måder, hvorpå Titans sikkerhedschip fordeler Google. For det første er sikkerhedspunktet for synspunkt, og det andet er det konkurrencedygtige synspunkt.
Fra sikkerhedspunktet til synspunkt fordeler Titanchip Google på følgende tre måder:
- Det giver en hardwarebaseret root af tillid, der etablerer en stærk identitet af en maskine. Dette hjælper Google med at tage vigtige sikkerhedsbeslutninger og validere systemets sundhed. Som et resultat sikrer dette et irreversibelt revisionsspor af eventuelle ændringer.
- De manipulerende evner til manipulering hjælper med at identificere handlinger udført af en insider med rootadgang.
- Chippen tilbyder integritetsbekræftelse af firmware og softwarekomponenter.
Fra konkurrenceprincippet har Google Cloud Platform i øjeblikket en global markedsandel på 7%. Dette gør det til en tredjedel for Amazon Web Services (AWS) (41% markedsandel) og Microsoft Azure (13% markedsandel). Med den nye Titan-chip søger Google at skille sig fra sine konkurrenter og bringe flere sikkerhedsorienterede virksomheder til sin cloud computing platform. Dette er et vigtigt skridt, som ifølge Gartner er det verdensomspændende cloud computing-marked værd at næsten 50 milliarder dollars.
Som en følge heraf har Google også udviklet et end-to-end kryptografisk identitetssystem baseret på Titan. Dette kan yderligere fungere som grundlaget for tillid til forskellige kryptografiske operationer i deres datacentre.
Vil Titan Security Chip virkelig hjælpe Google?
Mens Google Cloud Platform i øjeblikket falder bag sine konkurrenter, især AWS, lyder Titans sikkerhedschip som en stor del for dem. Med sine imponerende testresultater kommer det hele til, om chippen vil hjælpe Google Cloud Services med at skille sig ud fra de andre på længere sigt. Personligt er jeg meget interesseret også til at se, hvordan tingene vil vise sig. Hvad med dig? Lad mig vide dine tanker om dette i kommentarfeltet nedenfor.
