Hvad er Google Titan Security Chip og hvordan det fungerer?

Google Titan-sikkerhedschippen, der blev annonceret i marts på Google Cloud Next '17, er en anden byggesten i Googles forsøg på at udjævne sine sikkerhedsoplysninger og indsnævre kløften med sine konkurrenter - primært AWS og Microsoft Azure. Efter at have testet chippen i deres datacentre i et stykke tid nu, annoncerede Google for nylig sine tekniske detaljer. Så hvis du har stødt på nyheder om Googles Titan-sikkerhedschip og spekulerer på, hvad det handler om. Nå, i denne artikel vil jeg gå over, hvad Google Titan sikkerhedschip er, hvordan fungerer det og alt andet, du har brug for at vide om det.

Hvad er Titan Security Chip?

I de enkleste ord er Titan en sikkerhedschip, der forhindrer den type angreb, hvor regeringens spioner opfanger hardware og indsætter et firmwareimplantat. I øjeblikket gør angriberne dette hovedsageligt ved at udforske sårbarheder i firmware for at overvinde operativsystemforsvar og installere rootkits, der kan fortsætte, selv efter at operativsystemet er blevet geninstalleret.

Titan er en del af Google Cloud Platform (GCP) som er designet, bygget og betjent med det mål at beskytte kundernes kode og data. Chippen er en sikker mikro-controller med lav effekt oprettet for at sikre, at systemer altid starter fra den sidst kendte gode tilstand. Chippen er af størrelse på en lille ørepynt og er allerede installeret i mange af de computerservere og netværkskort, der befolker Googles massive datacentre.

Da chippen først blev afsløret i marts i år, planlagde Google at bruge processoren til at give hver af sine servere en individuel identitet. Fra i dag bruger Google i øjeblikket Titan-sikkerhedschips til at beskytte de servere, der kører sine egne tjenester som Google Søgning, Gmail og YouTube.

Hvad består Titan Security Chip af?

Maskinerne i Googles datacentre har flere komponenter, herunder CPU'er, RAM, BMC, Network Interface Controller (NIC), boot firmware, boot firmware flash og vedvarende lagring. Disse komponenter interagerer systematisk med hinanden for at starte maskinerne. For at beskytte denne opstartsproces bruger Google sikker boot, der er afhængig af en kombination af en godkendt boot-firmware og en bootloader sammen med digitalt signerede boot-filer for at give de ønskede sikkerhedsforanstaltninger.

Titan er en specielt designet chip, der ikke kun imødekommer disse forventninger, men også giver to vigtige yderligere sikkerhedsegenskaber - afhjælpning og førsteinstruktionsintegritet. Chippen kommunikerer med hoved-CPU'en via SPI-bussen og interagerer mellem boot-firmware-flashen fra komponenterne som BMC eller PCH. Dette gør det muligt at observere hver byte af boot-firmwaren.

For at opnå de sikkerhedsforanstaltninger, som Titan lover, det består af flere komponenter. Nogle af de fremtrædende er nævnt nedenfor.

• En sikker applikationsprocessor
• En kryptografisk co-processor
• En hardware tilfældig talgenerator
• Et sofistikeret nøglehierarki
• En indlejret statisk RAM (SRAM)
• En indlejret flash
• En skrivebeskyttet hukommelsesblok
• Serial Peripheral Interface (SPI) bus
• Baseboard Management Controller (BMC) eller Platform Controller Hub (PHC)

Hvordan fungerer Titan Security Chip?

Det første trin i arbejdet med Titan-sikkerhedschippen er udførelse af kode af dets processorer. Dette gøres straks efter opstart af værtsmaskinen. Derefter fastlægger fremstillingsprocessen en uforanderlig kode, der er tillid til implicit og valideres ved hver nulstilling af chip. Derefter kører chippen en selvtest, der er indbygget i hukommelsen. Dette sker hver gang det starter for at sikre, at al hukommelsen, inklusive ROM, ikke er blevet manipuleret med.

Det næste trin er at indlæse Titans firmware. Selvom denne firmware er indlejret i flash-hukommelsen på chip, stoler Titan boot ROM ikke på det blindt. I stedet verificerer den Titans firmware ved hjælp af offentlig nøglekryptografi og blander identiteten af ​​denne verificerede kode i Titans nøglehierarki. Endelig indlæser boot-ROM'en den verificerede firmware.

Når Titan-chippen starter sin egen firmware sikkert, indholdet af værtens opstartsfirmware-flash verificeres derefter ved hjælp af offentlig nøglekryptografi. Mens denne verifikation er i gang, kan Titan gate adgangen til PCH / BMC til boot firmware flash. Nu når processen endelig er afsluttet, sender chippen et signal om at frigøre resten af ​​maskinen fra nulstilling. Dette signal giver Google Cloud Platform information om, hvilken boot-firmware og hvilket operativsystem der startes på deres maskine fra den allerførste instruktion. Google Cloud Platform lærer også om de mikrokodefilter, der muligvis er hentet inden boot firmwares første instruktion.

Endelig startede den Google-bekræftede firmware konfigurerer maskinen og indlæser bootloaderen. Dette bekræfter og indlæser derefter operativsystemet.

Hvorfor behovet for Titan Security Chip?

Da de fleste netværkshardware og servere blev fremstillet i udlandet, var datacenteroperatører, der arbejder for Google Cloud Platform, bekymrede over muligheden for, at nationalstatens hackere eller cyberkriminelle kompromitterer disse enheder, inden de sendes. Googles Titan-chip løser disse bekymringer gennem dens løbende kontrol som giver ekstra sikkerhed til cloud computing hardware. Dette giver virksomheden mulighed for at opretholde et niveau af forståelse i deres forsyningskæde, som de ellers ikke ville have.

En anden grund til, at installation af Titan sikkerhedschip på computerservere er modvirkning af nye firmwareangreb som kan målrette mod omskrivbare firmwarechips. Disse kunne enten være BIOS-chips eller harddiskcontrollere.

Hvordan gavner Titan Security Chip Google?

Der er to primære måder, hvorpå Titan-sikkerhedschippen kommer Google til gode. For det første er sikkerhedssynspunktet, og det andet det konkurrencemæssige synspunkt.

Fra sikkerhedssynspunktet kommer Titan-chippen til fordel for Google på følgende tre måder:

• Det giver en hardwarebaseret rod af tillid der skaber en stærk identitet af en maskine. Dette hjælper Google med at træffe vigtige sikkerhedsbeslutninger og validere systemets sundhed. Som et resultat sikrer dette et irreversibelt revisionsspor for eventuelle foretagne ændringer.
• De manipulationssynlige logfunktioner hjælper med at identificere handlinger udført af en insider med rootadgang.
• Chippen tilbyder integritetsverifikation af firmware- og softwarekomponenter.

Set ud fra et konkurrenceperspektiv har Google Cloud Platform i øjeblikket en global markedsandel på 7%. Dette gør det til en tredjeplads sammenlignet med Amazon Web Services (AWS) (41% markedsandel) og Microsoft Azure (13% markedsandel). Med den nye Titan-chip, Google søger at adskille sig fra sine konkurrenter og bringe flere sikkerhedsfokuserede virksomheder til sin cloud computing-platform. Dette er et vigtigt skridt, da det verdensomspændende cloud computing-marked ifølge Gartner er næsten 50 milliarder dollars værd.

Som en deraf følgende fordel har Google også udviklet en ende-til-ende kryptografisk identitetssystem baseret på Titan. Dette kan yderligere fungere som grunden til tillid til forskellige kryptografiske operationer i deres datacentre.

SE OGSÅ: Hvad er Bluetooth Mesh Networking og hvordan det fungerer?

Vil Titan Security Chip virkelig hjælpe Google?

Mens Google Cloud Platform i øjeblikket falder bag sine konkurrenter, især AWS, lyder Titan-sikkerhedschippen meget for dem. Med sine imponerende testresultater kommer det hele ned på, om chippen hjælper Google Cloud Services med at skille sig ud fra de andre på længere sigt. Personligt er jeg også meget interesseret i at se, hvordan tingene vil blive. Hvad med dig? Lad mig vide dine tanker om dette i kommentarfeltet nedenfor.