Bezpečnostní čip Google Titan, který byl oznámen v březnu na serveru Google Cloud Next '17, je dalším stavebním kamenem snahy společnosti Google o zvýšení bezpečnosti a zúžení propasti mezi konkurenty - především AWS a Microsoft Azure. Po chvíli testování čipu v datových centrech společnost Google nedávno oznámila své technické podrobnosti. Takže, pokud jste se dostali přes novinky z bezpečnostního čipu Google Titan a přemýšlel, o co jde. No, v tomto článku, půjdu přes to, co Google Titan bezpečnostní čip je, jak to funguje, a všechno ostatní, co potřebujete vědět o tom.
Co je Titan Security Chip?
Nejjednodušší slova, Titan je bezpečnostní čip, který zabraňuje typu útoků, kde vládní špioni zachytí hardware a vloží implantát firmwaru . V současné době to útočníci dělají hlavně prozkoumáním chyb zabezpečení firmwaru, aby se předešlo obranám operačního systému a instalaci rootkitů, které mohou přetrvávat i po přeinstalaci operačního systému.
Titan je součástí Google Cloud Platform (GCP), která je navržena, postavena a provozována s cílem chránit kód a data zákazníků. Čip je bezpečný mikroprocesor s nízkým výkonem, který zajišťuje, že systémy budou vždy spouštěny z posledního známého dobrého stavu. Čip je velikosti malé náušnice a již byl instalován v mnoha počítačových serverů a síťových karet, které naplňují masivní datová centra společnosti Google.
Když byl čip poprvé odhalen v březnu letošního roku, společnost Google plánovala použít procesor, aby každému ze svých serverů poskytla individuální identitu. K dnešnímu dni Google v současné době používá bezpečnostní čipy Titan k ochraně serverů provozujících vlastní služby, jako jsou Vyhledávání Google, Gmail a YouTube.
Z čeho se skládá Titan Security Chip?
Stroje v datových centrech Google mají více komponent, včetně CPU, RAM, BMC, Network Interface Controller (NIC), spouštěcího firmwaru, spouštěcího firmwaru flash a trvalého ukládání. Tyto komponenty vzájemně spolupracují a zavádějí stroje. Pro ochranu tohoto zaváděcího procesu používá Google zabezpečené spouštění, které je založeno na kombinaci ověřeného zaváděcího firmwaru a zavaděče, spolu s digitálně podepsanými spouštěcími soubory, které poskytují požadovaná bezpečnostní opatření.
Titan je speciálně navržený čip, který nejen splňuje tato očekávání, ale poskytuje také dvě důležité další bezpečnostní vlastnosti - nápravu a integritu první instrukce. Čip komunikuje s hlavním procesorem přes sběrnici SPI a vkládá se mezi flash firmware bootování komponent jako BMC nebo PCH. To mu umožňuje sledovat každý bajt bootovacího firmwaru.
K dosažení bezpečnostních opatření, která Titan slibuje, se skládá z několika složek . Některé z těch nejvýznamnějších jsou uvedeny níže.
- Procesor zabezpečené aplikace
- Kryptografický co-procesor
- Generátor hardwarových náhodných čísel
- Sofistikovaná klíčová hierarchie
- Vestavěná statická paměť RAM (SRAM)
- Zabudovaný blesk
- Blok paměti pouze pro čtení
- Sběrnice sériových periferních rozhraní (SPI)
- Controller základní desky (BMC) nebo Platform Controller Hub (PHC)
Jak funguje Titan Security Chip?
Prvním krokem v práci bezpečnostního čipu Titan je provádění kódu jeho procesory . To se provede ihned po zapnutí hostitelského počítače. Proces výroby pak stanoví neměnný kód, který je implicitně důvěryhodný a je validován při každém resetu čipu. Poté čip provede vlastní test, který je zabudován do paměti. To se děje pokaždé, když se zavede, aby se zajistilo, že se s ní neporušila veškerá paměť, včetně paměti ROM.
Dalším krokem je načtení firmwaru Titanu . I když je tento firmware zabudován do flash paměti, není bootovací ROM Titan slepě věřit. Místo toho ověřuje firmware Titanu pomocí kryptografie veřejného klíče a mísí identitu tohoto ověřeného kódu do hierarchie klíčových titulů Titanu. Zaváděcí ROM nakonec načte ověřený firmware.
Jakmile čip Titan bezpečně zavede svůj vlastní firmware, pak je obsah flash disku hostitele ověřen pomocí kryptografie veřejného klíče. Zatímco toto ověření probíhá, Titan může bránit přístupu PCH / BMC ke spouštěcímu firmwaru flash. Když se proces konečně dokončí, čip vyšle signál k uvolnění zbytku stroje z resetu. Tento signál poskytuje službě Google Cloud Platform informace o tom, jaký spouštěcí firmware a operační systém jsou na svém počítači spouštěny od prvního instrukce. Platforma Google Cloud Platform se také dozví o opravách mikrokódů, které mohly být načteny před první instrukcí spouštěcího firmwaru.
Nakonec zaváděcí firmware společnosti Google nakonfiguruje zařízení a načte zavaděč . To následně ověří a načte operační systém.
Proč je potřeba Titan Security Chip?
Vzhledem k tomu, že většina síťového hardwaru a serverů byla vyrobena v zahraničí, operátoři datových center, kteří pracují pro platformu Google Cloud Platform, byli znepokojeni možností národních hackerů nebo kybernetických zločinců ohrožujících tato zařízení před jejich odesláním. Čip společnosti Google Titan tyto obavy řeší prostřednictvím průběžných kontrol, které poskytují další zabezpečení hardwaru cloud computingu. To umožňuje společnosti udržet si úroveň porozumění ve svém dodavatelském řetězci, kterou by jinak neměli.
Dalším důvodem, proč instalovat bezpečnostní čip Titan do počítačových serverů, jsou nové útoky na firmware, které mohou cílit na přepisovatelné firmwarové čipy. Mohou to být buď čipy BIOS nebo řadiče pevných disků.
Jak má Titan Security Chip výhodu Google?
Existují dva základní způsoby, jak bezpečnostní čip Titan prospívá společnosti Google. Za prvé je to bezpečnostní hledisko a za druhé konkurenční hledisko.
Z hlediska bezpečnosti přináší čip Titan společnosti Google následující tři způsoby:
- Poskytuje kořen důvěryhodnosti založený na hardwaru, který vytváří silnou identitu počítače. To pomáhá společnosti Google provádět důležitá bezpečnostní rozhodnutí a ověřovat zdravotní stav systému. Tím se zajistí nezvratný auditní záznam o provedených změnách.
- Schopnosti zaznamenávat neoprávněné zásahy pomáhají identifikovat akce prováděné zasvěcencem s přístupem uživatele root.
- Čip nabízí ověření integrity firmwaru a softwarových komponent.
Z pohledu konkurence má Google Cloud Platform v současnosti 7% podíl na globálním cloudovém trhu. To je třetí místo na trhu jako jsou služby Amazon Web Services (AWS) (41% podíl na trhu) a Microsoft Azure (13% podíl na trhu). Díky novému čipu Titan se společnost Google snaží odlišit od svých konkurentů a přivést na platformu cloud computing více společností zaměřených na zabezpečení. To je důležitý krok, protože podle společnosti Gartner stojí celosvětový trh s cloud computingem téměř 50 miliard dolarů.
V důsledku toho společnost Google vyvinula také systém end-to-end kryptografické identity založený na Titanu. To může dále působit jako kořen důvěry pro různé kryptografické operace v jejich datových centrech.
Bude Titan Security Chip opravdu pomoci Google?
Zatímco Google Cloud Platform v současné době zaostává za svými konkurenty, zejména AWS, bezpečnostní čip Titan pro ně zní jako hodně. S jeho působivými výsledky testů to vše závisí na tom, zda čip pomůže služby Google Cloud Services vyčnívat z ostatních v delším časovém horizontu. Osobně mám velký zájem také vidět, jak to dopadne. Co o tobě? Dejte mi vědět své myšlenky na to v komentáři níže.