Hva er Google Titan Security Chip og hvordan det fungerer?

Google Titan-sikkerhetsbrikken ble kunngjort i mars på Google Cloud Next '17, og er en annen byggestein i Googles forsøk på å slå opp sikkerhetsinformasjonen og redusere gapet med konkurrentene - først og fremst AWS og Microsoft Azure. Etter å ha testet brikken i deres datasentre en god stund nå, kunngjorde Google nylig sine tekniske detaljer. Så hvis du har kommet over nyheter om Googles Titan sikkerhetsbrikke og lurer på hva det handler om. Vel, i denne artikkelen vil jeg gå gjennom hva Google Titan-sikkerhetsbrikken er, hvordan fungerer den og alt annet du trenger å vite om den.

Hva er Titan Security Chip?

I de enkleste ordene er Titan en sikkerhetsbrikke som forhindrer den type angrep der regjeringsspioner avlytter maskinvare og setter inn et firmwareimplantat. For øyeblikket gjør angriperne dette hovedsakelig ved å utforske fastvaresårbarheter for å overvinne forsvarets operativsystem og installere rootkits som kan vedvare selv etter at operativsystemet er installert på nytt..

Titan er en del av Google Cloud Platform (GCP) som er designet, bygget og drevet med det mål å beskytte kundenes kode og data. Brikken er en sikker, lite strøm mikrokontroller opprettet for å sikre at systemene alltid starter fra den siste kjente gode tilstanden. Brikken er av størrelse på en liten ørepynt og har allerede blitt installert i mange av dataserverne og nettverkskortene som befolker Googles enorme datasentre.

Da brikken først ble avduket i mars i år, planla Google å bruke prosessoren til å gi hver av serverne en individuell identitet. Per i dag bruker Google for tiden Titan-sikkerhetsbrikkene for å beskytte serverne som kjører egne tjenester som Google Søk, Gmail og YouTube.

Hva består Titan Security Chip av?

Maskinene i Googles datasentre har flere komponenter, inkludert CPUer, RAM, BMC, Network Interface Controller (NIC), firmware for oppstart, firmware-flash for boot og vedvarende lagring. Disse komponentene samhandler systematisk med hverandre for å starte maskinene. For å beskytte denne oppstartsprosessen bruker Google sikker oppstart som er avhengig av en kombinasjon av en autentisert oppstartsfastvare og en oppstartslaster, sammen med digitalt signerte oppstartsfiler, for å gi de ønskede sikkerhetstiltakene.

Titan er en spesialdesignet brikke som ikke bare oppfyller disse forventningene, men som også gir to viktige ekstra sikkerhetsegenskaper - sanering og førsteinstruks integritet. Brikken kommuniserer med hoved-CPU-en via SPI-bussen og interposerer mellom firmware-flashen til oppstarten av komponentene som BMC eller PCH. Dette gjør det mulig å observere hver byte av firmware for oppstart.

For å oppnå sikkerhetstiltakene som Titan lover, det består av flere komponenter. Noen av de fremtredende er nevnt nedenfor.

• En sikker applikasjonsprosessor
• En kryptografisk prosessor
• En tilfeldig tallgenerator for maskinvare
• Et sofistikert nøkkelhierarki
• En innebygd statisk RAM (SRAM)
• En innebygd blits
• En skrivebeskyttet minneblokk
• Serial Peripheral Interface (SPI) bus
• Baseboard Management Controller (BMC) eller Platform Controller Hub (PHC)

Hvordan fungerer Titan Security Chip?

Det første trinnet i arbeidet med Titan-sikkerhetsbrikken er utførelse av kode av prosessorer. Dette gjøres umiddelbart etter at vertsmaskinen er slått på. Deretter legger fabrikasjonsprosessen en uforanderlig kode som er stilt underforstått og valideres ved hver tilbakestilling av brikken. Etterpå kjører brikken en selvtest som er innebygd i minnet. Dette skjer hver gang det starter for å sikre at alt minne, inkludert ROM, ikke har blitt tuklet med.

Det neste trinnet er å last inn Titans fastvare. Selv om denne fastvaren er innebygd i flash-minnet på chip, stoler ikke Titan boot ROM blindt på det. I stedet verifiserer den Titans firmware ved hjelp av kryptografi med offentlig nøkkel og blander identiteten til denne bekreftede koden i Titans nøkkelhierarki. Til slutt laster oppstart-ROM-en den bekreftede fastvaren.

Når Titan-brikken starter sin egen firmware sikkert, innholdet i vertens firmware-flash for oppstart blir deretter bekreftet ved hjelp av kryptografi med offentlig nøkkel. Mens denne verifiseringen er under prosess, kan Titan låse tilgangen til PCH / BMC til firmware-flashen. Nå når prosessen endelig er fullført, sender brikken et signal for å frigjøre resten av maskinen fra tilbakestilling. Dette signalet gir Google Cloud Platform informasjon om hvilken firmware og hvilket operativsystem som startes på maskinen sin fra den aller første instruksjonen. Google Cloud Platform lærer også om mikrokodeplastre som kan ha blitt hentet før firmwareens første instruksjon.

Til slutt startet den Google-verifiserte fastvaren konfigurerer maskinen og laster opp bootloaderen. Dette verifiserer og laster deretter operativsystemet.

Hvorfor behovet for Titan Security Chip?

Siden det meste av nettverksmaskinvare og servere ble produsert i utlandet, var datasenteroperatører som jobbet for Google Cloud Platform bekymret for muligheten for at nasjonalstatlige hackere eller nettkriminelle kompromitterte disse enhetene før de sendte dem. Googles Titan-brikke adresserer disse bekymringene gjennom sine kontinuerlige kontroller som gir ekstra sikkerhet til cloud computing-maskinvaren. Dette gjør at selskapet kan opprettholde et nivå av forståelse i forsyningskjeden som de ellers ikke ville hatt.

En annen grunn til at installering av Titan sikkerhetsbrikke på dataservere er motvirke nye firmwareangrep som kan målrette omskrivbare firmwarebrikker. Disse kan enten være BIOS-brikker eller harddiskstyrere.

Hvordan gagner Titan Security Chip Google?

Det er to primære måter som Titan-sikkerhetsbrikken gagner Google. Det første er sikkerhetsperspektivet og det andre er det konkurransedyktige synspunktet.

Fra et sikkerhetsmessig synspunkt fordeler Titan-brikken Google på følgende tre måter:

• Det gir en maskinvarebasert rot av tillit som etablerer en sterk identitet til en maskin. Dette hjelper Google med å ta viktige sikkerhetsbeslutninger og validere helsen til systemet. Som et resultat sikrer dette en irreversibel revisjonsspor av eventuelle endringer som er gjort.
• De manipulerende loggingsfunksjonene hjelper deg med å identifisere handlinger utført av en innsider med root-tilgang.
• Brikken tilbyr integritetsverifisering av firmware og programvarekomponenter.

Fra et konkurranseperspektiv har Google Cloud Platform for øyeblikket en global markedsandel på 7%. Dette gjør at den står på tredjeplass i likhet med Amazon Web Services (AWS) (41% markedsandel) og Microsoft Azure (13% markedsandel). Med den nye Titan-brikken, Google ønsker å skille seg ut fra konkurrentene og bringe flere sikkerhetsfokuserte selskaper til cloud computing-plattformen. Dette er et viktig grep, ifølge Gartner er det verdensomspennende cloud computing-markedet verdt nesten 50 milliarder dollar.

Som en fordel, har Google også utviklet en end-to-end kryptografisk identitetssystem basert på Titan. Dette kan videre fungere som tilliten til forskjellige kryptografiske operasjoner i deres datasentre.

SE OGSÅ: Hva er Bluetooth Mesh Networking og hvordan det fungerer?

Vil Titan Security Chip virkelig hjelpe Google?

Mens Google Cloud Platform for øyeblikket faller bak konkurrentene, spesielt AWS, høres Titan-sikkerhetsbrikken ut som en god del for dem. Med sine imponerende testresultater kommer alt ned til om brikken vil hjelpe Google Cloud Services til å skille seg ut fra de andre på lengre sikt. Personlig er jeg også veldig interessert i å se hvordan ting vil bli. Hva med deg? Gi meg beskjed om dine tanker om dette i kommentarfeltet nedenfor.