Co je bezpečnostní čip Google Titan a jak funguje?

Bezpečnostní čip Google Titan, který byl ohlášen v březnu na Google Cloud Next '17, je dalším stavebním kamenem ve snaze společnosti Google udeřit své bezpečnostní pověření a zmenšit propast u svých konkurentů - především AWS a Microsoft Azure. Po delší době testování čipu v jejich datových centrech Google nedávno oznámil své technické podrobnosti. Pokud jste tedy narazili na novinky o bezpečnostním čipu Google Titan a zajímalo vás, o co jde. V tomto článku se podívám na to, co je bezpečnostní čip Google Titan, jak funguje a vše, co o něm potřebujete vědět.

Co je bezpečnostní čip Titanu?

Stručně řečeno, Titan je bezpečnostní čip, který zabrání typu útoků, kdy vládní špióni zachytí hardware a vloží implantát firmwaru. V současné době to útočníci dělají hlavně zkoumáním zranitelností firmwaru, aby překonali obranu operačního systému, a instalací rootkitů, které mohou přetrvávat i po přeinstalování operačního systému..

Titan je součást Google Cloud Platform (GCP) který je navržen, postaven a provozován s cílem chránit kód a data zákazníků. Čip je a bezpečný mikroprocesor s nízkou spotřebou vytvořeno s cílem zajistit, aby se systémy vždy spouštěly z posledního známého dobrého stavu. Čip je z velikost a malá náušnice a již byla nainstalována na mnoha počítačových serverech a síťových kartách, které naplňují masivní datová centra Google.

Když byl čip poprvé představen v březnu tohoto roku, Google plánoval použít procesor k tomu, aby každému ze svých serverů poskytl individuální identitu. K dnešnímu dni Google v současné době používá bezpečnostní čipy Titan k ochraně serverů provozujících své vlastní služby, jako je Google Search, Gmail a YouTube.

Z čeho se skládá bezpečnostní čip Titan?

Stroje v datových centrech společnosti Google mají více komponent, včetně CPU, RAM, BMC, řadiče síťového rozhraní (NIC), zaváděcího firmwaru, spouštěcího firmwaru flash a trvalého úložiště. Tyto komponenty navzájem systematicky interagují a zavádějí stroje. K ochraně tohoto zaváděcího procesu používá Google zabezpečené zavádění, které při zajištění požadovaných bezpečnostních opatření spoléhá na kombinaci ověřeného zaváděcího firmwaru a zavaděče spolu s digitálně podepsanými zaváděcími soubory..

Titan je speciálně navržený čip, který nejen splňuje tato očekávání, ale také poskytuje dvě důležité další vlastnosti zabezpečení - nápravu a integritu první instrukce. Čip komunikuje s hlavním procesorem přes sběrnici SPI a vkládá se mezi záblesk bootovacího firmwaru komponent, jako jsou BMC nebo PCH. To mu umožňuje sledovat každý bajt bootovacího firmwaru.

Aby bylo dosaženo bezpečnostních opatření, která Titan slibuje, je to se skládá z několika komponent. Některé z hlavních jsou uvedeny níže.

• Zabezpečený aplikační procesor
• Kryptografický koprocesor
• Hardwarový generátor náhodných čísel
• Propracovaná klíčová hierarchie
• Integrovaná statická RAM (SRAM)
• Vestavěný blesk
• Blok paměti jen pro čtení
• Sběrnice SPI (Serial Peripheral Interface)
• Řadič správy základní desky (BMC) nebo Platform Controller Hub (PHC)

Jak funguje bezpečnostní čip Titan?

Prvním krokem v práci na bezpečnostním čipu Titan je provedení kódu jeho procesory. To se provádí okamžitě po zapnutí hostitelského počítače. Proces výroby potom stanoví neměnný kód, který je implicitně důvěryhodný a je ověřen při každém resetu čipu. Poté čip provede autotest, který je zabudován do jeho paměti. K tomu dochází pokaždé, když se spustí, aby bylo zajištěno, že nebyla narušena veškerá paměť, včetně ROM.

Dalším krokem je nahrajte firmware Titanu. I když je tento firmware zabudován do flash paměti na čipu, bootovací ROM Titan mu slepě nedůvěřuje. Místo toho ověřuje firmware Titanu pomocí kryptografie veřejného klíče a míchá identitu tohoto ověřeného kódu do klíčové hierarchie Titanu. Nakonec zaváděcí ROM načte ověřený firmware.

Jakmile čip Titan bezpečně spustí vlastní firmware, poté se ověří obsah flash firmwaru hostitele pomocí kryptografie veřejného klíče. Zatímco toto ověřování probíhá, může Titan bránit přístup pro PCH / BMC do flash bootovacího firmwaru. Nyní, když je proces konečně dokončen, čip odešle signál, aby uvolnil zbytek stroje z resetu. Tento signál poskytuje platformě Google Cloud Platform informace o tom, jaký bootovací firmware a OS se na jejich počítači zavádějí od první instrukce. Google Cloud Platform se také dozví o opravách mikrokódu, které mohly být načteny před první instrukcí zaváděcího firmwaru.

Nakonec zaváděcí firmware ověřený Googlem nakonfiguruje stroj a načte bootloader. To následně ověří a načte operační systém.

Proč je potřeba bezpečnostní čip Titan?

Protože většina síťového hardwaru a serverů byla vyrobena v zámoří, měli provozovatelé datových center pracujících pro Google Cloud Platform obavy z možnosti, že by národní zařízení hackeři nebo počítačoví zločinci kompromitovali tato zařízení před jejich odesláním. Čip Google Titan řeší tyto obavy prostřednictvím svých neustálých kontrol které poskytují další zabezpečení hardwaru cloud computingu. To společnosti umožňuje udržovat úroveň porozumění ve svém dodavatelském řetězci, kterou by jinak neměli.

Dalším důvodem, proč je instalace bezpečnostního čipu Titan na počítačové servery, je čelit novým firmwarovým útokům které se mohou zaměřit na přepisovatelné čipy firmwaru. Mohou to být buď čipy BIOS, nebo řadiče pevných disků.

Jak prospěje bezpečnostní čip Titan společnosti Google?

Existují dva hlavní způsoby, kterými bezpečnostní čip Titan přináší výhody společnosti Google. Prvním je bezpečnostní hledisko a druhým konkurenční hledisko.

Z hlediska zabezpečení přináší čip Titan společnosti Google následující tři způsoby:

• Poskytuje hardwarový kořen důvěry která vytváří silnou identitu stroje. To pomáhá Googlu přijímat důležitá bezpečnostní rozhodnutí a ověřovat stav systému. Výsledkem je nezvratný audit trail všech provedených změn.
• Funkce protokolování evidentní neoprávněné manipulace pomáhají identifikovat akce prováděné zasvěceným uživatelem s přístupem root.
• Čip nabízí ověření integrity firmwaru a softwarových komponent.

Z hlediska konkurence má Google Cloud Platform v současnosti 7% podíl na globálním cloudovém trhu. Díky tomu je na třetím místě jako Amazon Web Services (AWS) (41% podíl na trhu) a Microsoft Azure (13% podíl na trhu). S novým čipem Titan, Google se snaží odlišit od svých konkurentů a přivést na svou cloudovou výpočetní platformu více společností zaměřených na zabezpečení. Jedná se o důležitý krok, protože podle společnosti Gartner má celosvětový trh cloud computingu hodnotu téměř 50 miliard dolarů.

V důsledku toho společnost Google vyvinula také end-to-end systém kryptografické identity na základě Titanu. To může dále působit jako kořen důvěryhodnosti pro různé kryptografické operace v jejich datových centrech.

VIZ TÉŽ: Co je Bluetooth Mesh Networking a jak to funguje?

Pomůže bezpečnostní čip Titanu společnosti Google?

Zatímco Google Cloud Platform v současné době zaostává za svými konkurenty, zejména AWS, bezpečnostní čip Titan pro ně zní jako skvělá věc. Díky svým působivým výsledkům testů záleží na tom, zda čip pomůže Google Cloud Services v dlouhodobém horizontu vyniknout od ostatních. Osobně mě také velmi zajímá, jak to dopadne. Co o tobě? Dejte mi vědět, co si o tom myslíte, v sekci komentáře níže.