Gadgetshowto
Annunciato a marzo al Google Cloud Next '17, il chip di sicurezza di Google Titan è un altro elemento costitutivo del tentativo di Google di rafforzare le sue credenziali di sicurezza e ridurre il divario con i suoi concorrenti, principalmente AWS e Microsoft Azure. Dopo aver testato il chip nei loro data center da un po 'di tempo, Google ha recentemente annunciato i suoi dettagli tecnici. Quindi, se ti sei imbattuto in notizie sul chip di sicurezza Titan di Google e ti stai chiedendo di cosa si tratta. Bene, in questo articolo, esaminerò cos'è il chip di sicurezza Google Titan, come funziona e tutto ciò che devi sapere al riguardo.
Cos'è il Titan Security Chip?
In poche parole, Titan è un chip di sicurezza che previene il tipo di attacchi in cui spie governative intercettano l'hardware e inseriscono un impianto firmware. Attualmente, gli aggressori lo fanno principalmente esplorando le vulnerabilità del firmware per superare le difese del sistema operativo e installando rootkit che possono persistere anche dopo che il sistema operativo è stato reinstallato.
Titano è una parte di Google Cloud Platform (GCP) progettato, costruito e gestito con l'obiettivo di proteggere il codice e i dati dei clienti. Il chip è un file microcontrollore sicuro ea bassa potenza creato per garantire che i sistemi si avviino sempre dall'ultimo stato buono noto. Il chip è di dimensione di un piccolo orecchino della vite prigioniera ed è già stato installato in molti dei server di computer e delle schede di rete che popolano gli enormi data center di Google.
Quando il chip è stato presentato per la prima volta nel marzo di quest'anno, Google ha pianificato di utilizzare il processore per dare a ciascuno dei suoi server un'identità individuale. Ad oggi, Google utilizza attualmente i chip di sicurezza Titan per proteggere i server che eseguono i propri servizi come Ricerca Google, Gmail e YouTube.
Di cosa è composto il Titan Security Chip?
Le macchine nei data center di Google hanno più componenti tra cui CPU, RAM, BMC, controller di interfaccia di rete (NIC), firmware di avvio, flash del firmware di avvio e memoria persistente. Questi componenti interagiscono tra loro in modo sistematico per avviare le macchine. Per proteggere questo processo di avvio, Google utilizza l'avvio protetto che si basa su una combinazione di un firmware di avvio autenticato e un bootloader, insieme a file di avvio con firma digitale, per fornire le misure di sicurezza desiderate.
Titan è un chip appositamente progettato che non solo soddisfa queste aspettative, ma fornisce anche due importanti proprietà di sicurezza aggiuntive: riparazione e integrità della prima istruzione. Il chip comunica con la CPU principale tramite il bus SPI e si interpone tra il flash del firmware di avvio dei componenti come BMC o PCH. Ciò gli consente di osservare ogni byte del firmware di avvio.
Per ottenere le misure di sicurezza che Titan promette, esso comprende diversi componenti. Alcuni di quelli salienti sono menzionati di seguito.
- Un processore per applicazioni sicuro
- Un coprocessore crittografico
- Un generatore di numeri casuali hardware
- Una sofisticata gerarchia di chiavi
- Una RAM statica incorporata (SRAM)
- Un flash incorporato
- Un blocco di memoria di sola lettura
- Bus Serial Peripheral Interface (SPI)
- Baseboard Management Controller (BMC) o Platform Controller Hub (PHC)
Come funziona il chip di sicurezza Titan?
Il primo passo nel funzionamento del chip di sicurezza Titan è esecuzione del codice da parte dei suoi processori. Questa operazione viene eseguita immediatamente dopo l'accensione della macchina host. Quindi il processo di fabbricazione stabilisce un codice immutabile che viene considerato attendibile in modo implicito e viene convalidato ad ogni reset del chip. Successivamente, il chip esegue un autotest integrato nella sua memoria. Ciò accade ogni volta che si avvia per garantire che tutta la memoria, compresa la ROM, non sia stata manomessa.
Il passo successivo è quello di carica il firmware di Titan. Anche se questo firmware è incorporato nella memoria flash su chip, la ROM di avvio di Titan non si fida ciecamente. Invece, verifica il firmware di Titan utilizzando la crittografia a chiave pubblica e mescola l'identità di questo codice verificato nella gerarchia delle chiavi di Titan. Infine, la ROM di avvio carica il firmware verificato.
Una volta che il chip Titan avvia il proprio firmware in modo sicuro, il contenuto del flash del firmware di avvio dell'host viene quindi verificato utilizzando la crittografia a chiave pubblica. Mentre questa verifica è in corso, Titan può bloccare l'accesso per PCH / BMC al flash del firmware di avvio. Ora, quando il processo viene finalmente completato, il chip invia un segnale per rilasciare il resto della macchina dal ripristino. Questo segnale fornisce a Google Cloud Platform le informazioni su quale firmware di avvio e sistema operativo vengono avviati sulla propria macchina sin dalla prima istruzione. Google Cloud Platform apprende anche le patch del microcodice che potrebbero essere state recuperate prima della prima istruzione del firmware di avvio.
Infine, il firmware di avvio verificato da Google configura la macchina e carica il bootloader. Questo successivamente verifica e carica il sistema operativo.
Perché la necessità di Titan Security Chip?
Poiché la maggior parte dell'hardware e dei server di rete sono stati realizzati all'estero, gli operatori di data center che lavorano per Google Cloud Platform erano preoccupati per la possibilità che hacker dello stato nazionale o criminali informatici compromettessero questi dispositivi prima di spedirli. Chip Titan di Google affronta queste preoccupazioni attraverso i suoi continui controlli che forniscono ulteriore sicurezza all'hardware del cloud computing. Ciò consente all'azienda di mantenere un livello di comprensione nella propria catena di fornitura che altrimenti non avrebbe.
Un altro motivo per l'installazione del chip di sicurezza Titan nei server dei computer è il file contrastare nuovi attacchi al firmware che può indirizzare i chip del firmware riscrivibili. Questi potrebbero essere chip BIOS o controller del disco rigido.
In che modo il Titan Security Chip è vantaggioso per Google?
Esistono due modi principali in cui il chip di sicurezza Titan avvantaggia Google. Il primo è il punto di vista della sicurezza e il secondo è il punto di vista competitivo.
Dal punto di vista della sicurezza, il chip Titan avvantaggia Google nei seguenti tre modi:
- Fornisce un file radice di fiducia basata su hardware che stabilisce una forte identità di una macchina. Questo aiuta Google a prendere importanti decisioni sulla sicurezza e a convalidare lo stato di salute del sistema. Di conseguenza, ciò garantisce un audit trail irreversibile di eventuali modifiche apportate.
- Le funzionalità di registrazione a prova di manomissione aiutano a identificare le azioni eseguite da un insider con accesso root.
- Il chip offre la verifica dell'integrità del firmware e dei componenti software.
Dal punto di vista competitivo, Google Cloud Platform detiene attualmente una quota di mercato cloud globale del 7%. Questo lo rende terzo rispetto ad Amazon Web Services (AWS) (quota di mercato del 41%) e Microsoft Azure (quota di mercato del 13%). Con il nuovo chip Titan, Google sta cercando di distinguersi dai suoi concorrenti e portare più aziende focalizzate sulla sicurezza alla sua piattaforma di cloud computing. Questa è una mossa importante poiché, secondo Gartner, il mercato mondiale del cloud computing vale quasi $ 50 miliardi.
Come vantaggio conseguente, Google ha sviluppato anche un file sistema di identità crittografico end-to-end basato su Titano. Questo può inoltre fungere da radice di fiducia per varie operazioni crittografiche nei loro data center.
VEDERE ANCHE: Cos'è la rete mesh Bluetooth e come funziona?
Il Titan Security Chip aiuterà davvero Google??
Sebbene Google Cloud Platform sia attualmente indietro rispetto ai suoi concorrenti, in particolare AWS, il chip di sicurezza Titan suona come un ottimo affare per loro. Con i suoi impressionanti risultati dei test, tutto dipende dal fatto che il chip aiuterà o meno i servizi cloud di Google a distinguersi dagli altri nel lungo periodo. Personalmente, anch'io sono molto interessato a vedere come andranno le cose. E tu? Fammi sapere i tuoi pensieri su questo nella sezione commenti qui sotto.
