Najavljen u ožujku na usluzi Google Cloud Next '17, sigurnosni čip za Google Titan još je jedan temeljni element u pokušaju Googlea da iskoristi svoje sigurnosne vjerodajnice i smanji jaz sa svojim konkurentima - prvenstveno AWS i Microsoft Azure. Nakon testiranja čipa u svojim podatkovnim centrima već neko vrijeme, Google je nedavno objavio svoje tehničke detalje. Dakle, ako ste dolazili preko vijesti o Googleovom Titan sigurnosnom čipu i pitate se o čemu se ovdje radi. Pa, u ovom članku, ja ću ići preko onoga što je Google Titan sigurnosni čip, kako to radi, i sve ostalo što trebate znati o tome.
Što je Titan sigurnosni čip?
Najjednostavnije rečeno, Titan je sigurnosni čip koji sprječava vrste napada gdje vladini špijuni presreću hardver i umetnu implantat firmware-a . Trenutno, napadači to rade uglavnom istražujući ranjivosti firmware-a kako bi prevladali obrambeni sustav i instalirali rootkite koji mogu postojati čak i nakon ponovnog instaliranja operativnog sustava.
Titan je dio platforme Google Cloud Platform (GCP) koja je dizajnirana, izgrađena i upravljana s ciljem zaštite korisničkog koda i podataka. Čip je siguran, mikro-kontroler male snage stvoren kako bi osigurao da se sustavi uvijek pokreću s posljednjeg poznatog dobrog stanja. Čip je veličine male naušnice i već je instaliran na mnogim računalnim poslužiteljima i mrežnim karticama koje naseljavaju masivne podatkovne centre tvrtke Google.
Kada je čip prvi put otkriven u ožujku ove godine, Google je planirao koristiti procesor kako bi svakom svojem poslužitelju dao individualni identitet. Od danas Google trenutačno koristi Titanove sigurnosne čipove kako bi zaštitio poslužitelje koji pokreću vlastite usluge kao što su Google Search, Gmail i YouTube.
Što Titan sigurnosni čip obuhvaća?
Strojevi u Googleovim podatkovnim centrima imaju više komponenti uključujući CPU, RAM, BMC, kontroler mrežnog sučelja (NIC), firmware za pokretanje, flash firmware za pokretanje i trajnu pohranu. Ove komponente sustavno međusobno djeluju kako bi pokrenule strojeve. Kako bi zaštitio ovaj proces pokretanja, Google koristi sigurno pokretanje koje se oslanja na kombinaciju provjerene firmware-a i bootloadera, zajedno s digitalno potpisanim boot datotekama, kako bi pružilo željene sigurnosne mjere.
Titan je posebno dizajniran čip koji ne samo da ispunjava ta očekivanja, već pruža i dvije važne dodatne sigurnosne značajke - sanaciju i integritet prve instrukcije. Čip komunicira s glavnim CPU-om preko SPI sabirnice i posreduje između bljeskalice firmware-a komponenata kao što su BMC ili PCH. To mu omogućuje da promatra svaki bajt firmwarea za pokretanje.
Da bi se postigle sigurnosne mjere koje Titan obećava, ona se sastoji od nekoliko komponenti . Neki od najvažnijih su navedeni u nastavku.
- Siguran procesor aplikacija
- Kriptografski suprocesor
- Generator hardverskih slučajnih brojeva
- Sofisticirana ključna hijerarhija
- Ugrađeni statički RAM (SRAM)
- Ugrađena bljeskalica
- Blok memorije samo za čitanje
- Bus serijskog perifernog sučelja (SPI)
- Upravljački modul upravljačke ploče (BMC) ili Hub kontrolera platforme (PHC)
Kako radi Titan sigurnosni čip?
Prvi korak u radu sigurnosnog čipa Titan je izvršavanje koda od strane njegovih procesora . To je učinjeno odmah nakon što se domaćin uključi. Tada proces izrade postavlja nepromjenjivi kod koji se implicitno pouzdano potvrđuje pri svakom resetiranju čipa. Nakon toga, čip pokreće samotest koji je ugrađen u njegovu memoriju. To se događa svaki put kad se pokrene kako bi se osiguralo da sva memorija, uključujući ROM, nije mijenjana.
Sljedeći korak je učitavanje Titanovog firmvera . Iako je ovaj firmware ugrađen u flash memoriju na čipu, Titan boot ROM ne vjeruje slijepo. Umjesto toga, on provjerava Titanov firmware pomoću kriptografije javnog ključa i miješa identitet ovog provjerenog koda u hijerarhiji ključa Titana. Konačno, boot ROM učitava verificirani firmware.
Nakon što Titan čip učita svoj vlastiti firmware sigurno, sadržaj hostove firmware bljeskalice se zatim provjerava pomoću kriptografije javnog ključa. Dok je ova provjera u tijeku, Titan može pokrenuti pristup za PCH / BMC bljeskalici firmwarea za pokretanje. Sada, kada se proces konačno dovrši, čip šalje signal za vraćanje ostatka stroja iz resetiranja. Ovaj signal Googleovoj platformi za oblake pruža informacije o tome koji se firmver za pokretanje sustava i OS pokreću na njihovom računalu od prve instrukcije. Google Cloud Platform također sazna za zakrpe za mikrokode koje su možda dohvaćene prije prve instrukcije firmvera za pokretanje.
Konačno, Google-ov provjereni program za pokretanje konfigurira stroj i učitava bootloader . To naknadno provjerava i učitava operativni sustav.
Zašto trebate Titan sigurnosni čip?
Kako je većina mrežnog hardvera i poslužitelja napravljena u inozemstvu, operateri podatkovnih centara koji rade za Google Cloud Platform zabrinuti su zbog mogućnosti hakera na nacionalnoj razini ili cyber kriminalaca koji ugrožavaju te uređaje prije slanja. Googleov Titan čip rješava ove probleme kroz svoje kontinuirane provjere koje pružaju dodatnu sigurnost hardveru za računalstvo u oblaku. To omogućuje tvrtki da održi razinu razumijevanja u svom lancu opskrbe koju inače ne bi imali.
Drugi razlog zašto je instaliranje Titan sigurnosnog čipa u računalnim poslužiteljima je suprotstavljanje novim firmware napadima koji mogu ciljati ponovno pisane firmware čipove. To mogu biti čipovi BIOS-a ili kontroleri tvrdih diskova.
Kako Titan Security Chip koristi Google?
Postoje dva osnovna načina na koji Titan sigurnosni čip koristi Googleu. Prva je sigurnosna točka gledišta, a druga je konkurentna točka gledišta.
Sa sigurnosne točke gledišta, Titan čip koristi Googleu na sljedeća tri načina:
- On pruža korijen povjerenja utemeljen na hardveru koji uspostavlja snažan identitet stroja. To pomaže Googleu da donese važne sigurnosne odluke i potvrdi zdravlje sustava. Kao rezultat toga, to osigurava nepovratan revizijski trag svih napravljenih promjena.
- Mogućnosti zapisivanja koje je očigledno zlonamjerno pomažu u identificiranju radnji koje izvrši upućeni korisnik s root pristupom.
- Čip nudi provjeru integriteta firmware i softverskih komponenti.
Iz konkurentske perspektive, Google Cloud Platform trenutno ima 7% globalnog tržišnog udjela u oblaku. To ga čini trećim mjestom poput Amazon Web Services (AWS) (41% tržišnog udjela) i Microsoft Azure (13% tržišnog udjela). S novim Titanovim čipom, Google se nastoji izdvojiti od svojih konkurenata i donijeti više sigurnosnih tvrtki na svoju platformu za računalstvo u oblaku. Ovo je važan potez jer, prema Gartneru, svjetsko tržište cloud computinga vrijedi gotovo 50 milijardi dolara.
Kao posljedica toga, Google je također razvio cjeloviti sustav kriptografskog identiteta temeljen na Titanu. To nadalje može poslužiti kao korijen povjerenja za različite kriptografske operacije u njihovim podatkovnim centrima.
Hoće li Titan Security Chip stvarno pomoći Googleu?
Iako Google Cloud Platform trenutno zaostaje za konkurentima, osobito AWS, Titan sigurnosni čip zvuči kao velik posao za njih. Sa svojim impresivnim testnim rezultatima, sve se svodi na to da li će čip pomoći Google Cloud Services izdvojiti se od ostalih na duge staze. Osobno me jako zanima i kako će stvari ispasti. A ti? Obavijestite me o tome u odjeljku za komentare u nastavku.
