Wat is de Google Titan-beveiligingschip en hoe werkt het?

De Google Titan-beveiligingschip, die in maart op Google Cloud Next '17 werd aangekondigd, is een andere bouwsteen in de poging van Google om zijn beveiligingsreferenties te verbeteren en de kloof met zijn concurrenten te verkleinen - voornamelijk AWS en Microsoft Azure. Na een tijdje de chip in hun datacenters te hebben getest, maakte Google onlangs de technische details bekend. Dus, als u nieuws over de Titan-beveiligingschip van Google bent tegengekomen en u zich afvraagt ​​waar het allemaal over gaat. Welnu, in dit artikel zal ik bespreken wat de Google Titan-beveiligingschip is, hoe deze werkt en al het andere dat u erover moet weten.

Wat is de Titan-beveiligingschip?

In de eenvoudigste woorden, Titan is een beveiligingschip die voorkomt het soort aanvallen waarbij overheidsspionnen hardware onderscheppen en een firmware-implantaat plaatsen. Momenteel doen de aanvallers dit voornamelijk door firmware-kwetsbaarheden te onderzoeken om de verdediging van het besturingssysteem te omzeilen en rootkits te installeren die kunnen blijven bestaan, zelfs nadat het besturingssysteem opnieuw is geïnstalleerd..

Titan is een onderdeel van Google Cloud Platform (GCP) die is ontworpen, gebouwd en gebruikt met het doel de code en gegevens van klanten te beschermen. De chip is een veilige, energiezuinige microcontroller gemaakt om ervoor te zorgen dat systemen altijd opstarten vanaf de laatst bekende goede staat. De chip is van de grootte van een kleine stud oorbel en is al geïnstalleerd in veel van de computerservers en netwerkkaarten die de enorme datacenters van Google bevolken.

Toen de chip in maart van dit jaar voor het eerst werd onthuld, was Google van plan de processor te gebruiken om elk van zijn servers een individuele identiteit te geven. Vanaf vandaag gebruikt Google momenteel de Titan-beveiligingschips om de servers te beschermen die zijn eigen services gebruiken, zoals Google Zoeken, Gmail en YouTube.

Waaruit bestaat de Titan-beveiligingschip?

De machines in de datacenters van Google hebben meerdere componenten, waaronder CPU's, RAM, BMC, Network Interface Controller (NIC), opstartfirmware, opstartfirmwareflash en permanente opslag. Deze componenten werken systematisch met elkaar samen om de machines op te starten. Om dit opstartproces te beschermen, gebruikt Google beveiligd opstarten dat afhankelijk is van een combinatie van geverifieerde opstartfirmware en een opstartlader, samen met digitaal ondertekende opstartbestanden, om de gewenste beveiligingsmaatregelen te bieden.

Titan is een speciaal ontworpen chip die niet alleen aan deze verwachtingen voldoet, maar ook twee belangrijke aanvullende beveiligingseigenschappen biedt: herstel en eerste instructie-integriteit. De chip communiceert met de hoofd-CPU via de SPI-bus en plaatst zich tussen de opstartfirmwareflits van de componenten zoals BMC of PCH. Hierdoor kan het elke byte van de opstartfirmware observeren.

Om de veiligheidsmaatregelen te bereiken die Titan belooft, is het bestaat uit verschillende componenten. Enkele van de meest opvallende worden hieronder genoemd.

• Een veilige applicatieprocessor
• Een cryptografische co-processor
• Een hardware-generator voor willekeurige getallen
• Een verfijnde sleutelhiërarchie
• Een ingebedde statische RAM (SRAM)
• Een ingebouwde flitser
• Een alleen-lezen geheugenblok
• Seriële perifere interface (SPI) bus
• Baseboard Management Controller (BMC) of Platform Controller Hub (PHC)

Hoe werkt de Titan-beveiligingschip??

De eerste stap in de werking van de Titan-beveiligingschip is uitvoering van code door zijn verwerkers. Dit gebeurt onmiddellijk nadat de gastmachine is opgestart. Vervolgens legt het fabricageproces een onveranderlijke code vast die impliciet wordt vertrouwd en die bij elke chipreset wordt gevalideerd. Daarna voert de chip een zelftest uit die in het geheugen is ingebouwd. Dit gebeurt elke keer dat het opstart om ervoor te zorgen dat er niet met al het geheugen, inclusief ROM, is geknoeid.

De volgende stap is om laad de firmware van Titan. Hoewel deze firmware is ingebed in het flash-geheugen op de chip, vertrouwt de Titan-opstart-ROM deze niet blindelings. In plaats daarvan verifieert het de firmware van Titan met behulp van cryptografie met openbare sleutels en mengt de identiteit van deze geverifieerde code in de sleutelhiërarchie van Titan. Ten slotte laadt het opstart-ROM de geverifieerde firmware.

Zodra de Titan-chip zijn eigen firmware veilig opstart, de inhoud van de opstartfirmwareflits van de host wordt vervolgens geverifieerd met behulp van openbare sleutelcryptografie. Terwijl deze verificatie wordt uitgevoerd, kan Titan de toegang voor PCH / BMC tot de opstartfirmwareflits blokkeren. Wanneer het proces nu eindelijk is voltooid, stuurt de chip een signaal om de rest van de machine vrij te geven van reset. Dit signaal geeft Google Cloud Platform de informatie over welke opstartfirmware en OS vanaf de allereerste instructie op hun computer worden opgestart. Google Cloud Platform leert ook over de microcode-patches die mogelijk zijn opgehaald vóór de eerste instructie van de opstartfirmware.

Eindelijk, de door Google geverifieerde opstartfirmware configureert de machine en laadt de bootloader. Dit verifieert en laadt vervolgens het besturingssysteem.

Waarom de behoefte aan een Titan-beveiligingschip?

Aangezien de meeste netwerkhardware en -servers in het buitenland werden gemaakt, maakten datacenter-operators die voor Google Cloud Platform werkten zich zorgen over de mogelijkheid dat hackers van een nationale staat of cybercriminelen deze apparaten in gevaar brengen voordat ze worden verzonden. De Titan-chip van Google lost deze zorgen op door zijn voortdurende controles die extra beveiliging bieden aan de cloud computing-hardware. Dit stelt het bedrijf in staat om een ​​niveau van begrip in hun toeleveringsketen te behouden dat ze anders niet zouden hebben.

Een andere reden waarom de Titan-beveiligingschip in computerservers wordt geïnstalleerd, is de het tegengaan van nieuwe firmware-aanvallen die zich kunnen richten op herschrijfbare firmware-chips. Dit kunnen BIOS-chips of hardeschijfcontrollers zijn.

Welke voordelen heeft de Titan-beveiligingschip voor Google??

Er zijn twee belangrijke manieren waarop de Titan-beveiligingschip Google ten goede komt. Het eerste is het veiligheidsstandpunt en het tweede is het concurrentievermogen.

Vanuit het oogpunt van veiligheid biedt de Titan-chip Google op de volgende drie manieren voordelen:

• Het biedt een op hardware gebaseerde root of trust dat vestigt een sterke identiteit van een machine. Dit helpt Google bij het nemen van belangrijke beveiligingsbeslissingen en het valideren van de gezondheid van het systeem. Als gevolg hiervan zorgt dit voor een onomkeerbaar auditspoor van eventuele aangebrachte wijzigingen.
• De tamper-evident logging-mogelijkheden helpen bij het identificeren van acties die worden uitgevoerd door een insider met root-toegang.
• De chip biedt integriteitsverificatie van firmware- en softwarecomponenten.

Vanuit concurrentieperspectief heeft Google Cloud Platform momenteel een wereldwijd marktaandeel van 7% in de cloud. Hiermee staat het op de derde plaats na Amazon Web Services (AWS) (41% marktaandeel) en Microsoft Azure (13% marktaandeel). Met de nieuwe Titan-chip, Google wil zich onderscheiden van zijn concurrenten en meer op beveiliging gerichte bedrijven naar zijn cloud computing-platform brengen. Dit is een belangrijke stap, want volgens Gartner is de wereldwijde cloud computing-markt bijna $ 50 miljard waard.

Als gevolg hiervan heeft Google ook een end-to-end cryptografisch identiteitssysteem gebaseerd op Titan. Dit kan verder fungeren als de basis van vertrouwen voor uiteenlopende cryptografische bewerkingen in hun datacenters.

ZIE OOK: Wat is Bluetooth Mesh Networking en hoe het werkt?

Zal de Titan-beveiligingschip Google echt helpen??

Hoewel Google Cloud Platform momenteel achterloopt op zijn concurrenten, met name AWS, klinkt de Titan-beveiligingschip als een goede deal voor hen. Met zijn indrukwekkende testresultaten komt het er allemaal op aan of de chip Google Cloud Services zal helpen om zich op de langere termijn te onderscheiden van de anderen. Persoonlijk ben ik ook erg benieuwd hoe het zal aflopen. En jij dan? Laat me je mening hierover weten in de comments hieronder.