Čo je bezpečnostný čip Google Titan a ako funguje?

Vyhlásené v marci o Google Cloud Next ’17, zabezpečenie Google Titan čip je ďalším stavebným kameňom v snahe spoločnosti Google posilniť svoje bezpečnostné poverenia a zmenšiť priepasť medzi konkurentmi – predovšetkým AWS a Microsoft Azure. Po dlhšom testovaní čipu vo svojich dátových centrách Google nedávno oznámil svoje technické detaily. Ak ste teda narazili na správy o bezpečnostnom čipe Titan od spoločnosti Google a zaujímalo by vás, o čo ide. V tomto článku sa budem zaoberať tým, čo je bezpečnostný čip Google Titan, ako funguje a všetko ostatné, čo o ňom potrebujete vedieť.

Čo je bezpečnostný čip Titan?

Najjednoduchšie povedané, Titan je bezpečnostný čip, ktorý zabraňuje typu útokov, pri ktorých vládni špióni zachytia hardvér a vložia firmvérový implantát. V súčasnosti to útočníci robia hlavne skúmaním slabých miest firmvéru, aby prekonali prevádzku obrana systému a inštalácia rootkitov, ktoré môžu pretrvávať aj po tom, čo bol operačný systém odstránený preinštalovaný.

Titan je súčasť Google Cloud Platform (GCP)

ktorý je navrhnutý, skonštruovaný a prevádzkovaný s cieľom chrániť kód a údaje zákazníkov. Čip je a bezpečný mikrokontrolér s nízkou spotrebou energie vytvorené s cieľom zabezpečiť, aby sa systémy vždy spúšťali z posledného známeho dobrého stavu. Čip je z veľkosť a malá napichovacia náušnica a už bol nainštalovaný na mnohých počítačových serveroch a sieťových kartách, ktoré zapĺňajú rozsiahle dátové centrá Google.

Keď bol čip prvýkrát predstavený v marci tohto roku, Google plánoval použiť procesor, aby každému zo svojich serverov dal individuálnu identitu. Od dnešného dňa spoločnosť Google v súčasnosti používa bezpečnostné čipy Titan na ochranu serverov prevádzkujúcich jej vlastné služby, ako sú Vyhľadávanie Google, Gmail a YouTube.

Čo obsahuje bezpečnostný čip Titan?

Počítače v dátových centrách Google majú viacero komponentov vrátane CPU, RAM, BMC, Network Interface Controller (NIC), bootovacieho firmvéru, bootovacieho firmvéru flash a trvalého úložiska. Tieto komponenty navzájom systematicky interagujú a spúšťajú počítače. Na ochranu tohto procesu zavádzania používa spoločnosť Google bezpečné spustenie, ktoré sa spolieha na kombináciu overenia zavádzací firmvér a bootloader spolu s digitálne podpísanými zavádzacími súbormi, ktoré poskytujú požadované zabezpečenie Opatrenia.

Titan je špeciálne navrhnutý čip, ktorý nielenže spĺňa tieto očakávania, ale poskytuje aj dve dôležité dodatočné bezpečnostné vlastnosti – nápravu a integritu prvej inštrukcie. Čip komunikuje s hlavným CPU cez SPI zbernicu a vkladá sa medzi flash firmware bootovania komponentov ako BMC alebo PCH. To mu umožňuje sledovať každý bajt zavádzacieho firmvéru.

Na dosiahnutie bezpečnostných opatrení, ktoré Titan sľubuje, to pozostáva z niekoľkých komponentov. Niektoré z najvýznamnejších sú uvedené nižšie.

• Bezpečný aplikačný procesor
• Kryptografický koprocesor
• Hardvérový generátor náhodných čísel
• Sofistikovaná hierarchia kľúčov
• Vstavaná statická RAM (SRAM)
• Vstavaný blesk
• Blok pamäte iba na čítanie
• Zbernica Serial Peripheral Interface (SPI).
• Baseboard Management Controller (BMC) alebo Platform Controller Hub (PHC)

Ako funguje bezpečnostný čip Titan?

Prvým krokom vo fungovaní bezpečnostného čipu Titan je vykonávanie kódu jeho procesormi. Toto sa vykoná ihneď po zapnutí hostiteľského počítača. Potom proces výroby stanoví nemenný kód, ktorý je implicitne dôveryhodný a je overený pri každom resete čipu. Potom čip spustí samočinný test, ktorý je zabudovaný do jeho pamäte. Stáva sa to vždy, keď sa zavádza, aby sa zabezpečilo, že celá pamäť vrátane ROM nebola narušená.

Ďalším krokom je načítať firmvér Titanu. Aj keď je tento firmvér vložený do flash pamäte na čipe, boot ROM Titan mu slepo neverí. Namiesto toho overí firmvér Titanu pomocou kryptografie verejného kľúča a zmieša identitu tohto overeného kódu do hierarchie kľúčov Titanu. Nakoniec boot ROM načíta overený firmvér.

Akonáhle čip Titan bezpečne zavedie svoj vlastný firmvér, obsah flash bootovacieho firmvéru hostiteľa sa potom overí pomocou kryptografie s verejným kľúčom. Kým prebieha toto overovanie, Titan môže zabezpečiť prístup pre PCH/BMC k flash firmvéru zavádzania. Teraz, keď sa proces konečne dokončí, čip vyšle signál, aby uvoľnil zvyšok stroja z resetovania. Tento signál poskytuje platforme Google Cloud Platform informácie o tom, aký firmvér a OS sa spúšťajú na ich počítači od prvého pokynu. Google Cloud Platform sa tiež dozvie o záplatách mikrokódu, ktoré mohli byť načítané pred prvou inštrukciou zavádzacieho firmvéru.

Nakoniec, Google-overený zavádzací firmvér nakonfiguruje stroj a načíta bootloader. To následne overí a načíta operačný systém.

Prečo je potrebný bezpečnostný čip Titan?

Keďže väčšina sieťového hardvéru a serverov bola vyrobená v zámorí, operátori dátových centier pracujúci pre Google Cloud Platform áno obavy z možnosti hackerov z národných štátov alebo počítačových zločincov ohroziť tieto zariadenia pred odoslaním ich. Čip Titan spoločnosti Google rieši tieto obavyprostredníctvom svojich neustálych kontrol ktoré poskytujú dodatočné zabezpečenie hardvéru cloud computingu. To umožňuje spoločnosti udržať si úroveň porozumenia vo svojom dodávateľskom reťazci, ktorú by inak nemala.

Ďalším dôvodom, prečo nainštalovať bezpečnostný čip Titan do počítačových serverov, je čeliť novým útokom firmvéru ktoré môžu cieliť na prepisovateľné firmvérové ​​čipy. Môžu to byť čipy systému BIOS alebo radiče pevných diskov.

Aký úžitok má bezpečnostný čip Titan pre spoločnosť Google?

Existujú dva hlavné spôsoby, ktorými bezpečnostný čip Titan prospieva spoločnosti Google. Prvým je hľadisko bezpečnosti a druhým konkurenčné hľadisko.

Z bezpečnostného hľadiska je čip Titan prínosom pre Google týmito tromi spôsobmi:

• Poskytuje a hardvérový koreň dôvery ktorý vytvára silnú identitu stroja. Pomáha to Googlu robiť dôležité bezpečnostné rozhodnutia a overovať stav systému. Výsledkom je, že sa tým zabezpečí nezvratný audit trail o všetkých vykonaných zmenách.
• Schopnosti protokolovania s evidenčným neoprávneným zásahom pomáhajú identifikovať akcie vykonávané zasväteným používateľom s prístupom root.
• Čip ponúka overenie integrity firmvéru a softvérových komponentov.

Z pohľadu konkurencie má Google Cloud Platform v súčasnosti 7 % podiel na globálnom cloudovom trhu. Vďaka tomu je na treťom mieste za Amazon Web Services (AWS) (41 % podiel na trhu) a Microsoft Azure (13 % podiel na trhu). S novým čipom Titan Google sa snaží odlíšiť od svojich konkurentov a priviesť na svoju platformu cloud computingu viac spoločností zameraných na bezpečnosť. Ide o dôležitý krok, keďže podľa spoločnosti Gartner má celosvetový trh cloud computingu hodnotu takmer 50 miliárd dolárov.

Ako následnú výhodu spoločnosť Google vyvinula aj end-to-end kryptografický identifikačný systém na základe Titanu. To môže ďalej pôsobiť ako základ dôvery pre rôzne kryptografické operácie v ich dátových centrách.

POZRI TIEŽ: Čo je to sieť Bluetooth Mesh a ako to funguje?

Naozaj pomôže bezpečnostný čip Titan spoločnosti Google?

Zatiaľ čo Google Cloud Platform v súčasnosti zaostáva za svojimi konkurentmi, najmä AWS, bezpečnostný čip Titan pre nich znie veľmi dobre. Vďaka pôsobivým výsledkom testov všetko závisí od toho, či čip pomôže cloudovým službám Google vyniknúť z dlhodobého hľadiska od ostatných. Mňa osobne tiež veľmi zaujíma, ako sa veci vyvinú. čo ty? Dajte mi vedieť svoje myšlienky v sekcii komentárov nižšie.