0
Google siger, at det er designet Titan ‘ s hardware logik inhouse at reducere chancerne for hardware bagdøre.
Billede: Google
Google har beskrevet, hvordan de tilpassede Titan security chip vil forhindre cyberangreb at bruge firmware-baserede angreb.
Som Google forklares, når det afsløret sin lille Titan chip, der ville bruge det til at give hver server i sin sky sin egen identitet.
Nu, det er givet en mere detaljeret gennemgang af hvad det betyder og hvordan Titan vil fungere som en “hardware roden af tillid” til sikre, at hver maskines firmware er sikkert at indlæse og give andre kryptografiske funktioner i sine data center.
Chip ‘ s rolle er at forpurre den type angreb, hvor sige, regeringens spioner opfange hardware og indsætte en firmware implantat. – Angribere er også ved at undersøge, firmware-sårbarheder til at overvinde operativsystem forsvar og installere rootkits, der kan vare ved, selv efter at geninstallere operativsystemet.
“Google designet af Titan’ s hardware logik inhouse at reducere chancerne for hardware bagdøre,” forklarer Google Cloud Platform ingeniører.
Titan består af en “sikker anvendelse processor, en kryptografisk co-processor, en hardware-generator af tilfældige tal, en avanceret nøgle hierarki, indbyggede statiske RAM (SRAM), indbygget flash og et read-only memory block.”
Chip scanner CPU og andre komponenter til at overvåge “hver byte af boot-firmware” og udfører kode fra sin read-only memory, når en server er tændt. Den undersøger også, om firmwaren er blevet manipuleret med.
Titan ‘ s boot-hukommelse bruger public key cryptography (PKI) til at kontrollere sin egen firmware, før du lægger det, og derefter anvender PKI til at kontrollere host-systemets firmware. Google er kontrolleret starte firmware derefter konfigurerer maskinen og masser boot-loader og operativsystemet.
Ifølge Google, disse kontroller ud over, hvad der normalt ville ske under Secure Boot, som kontrollerer firmware på start, da det kan også patch Titan firmware og identificere de første byte-kode, der køres ved start.
Google forklarer også, hvordan Titan tjener til at give hver maskine har sin egen kryptografiske identitet, hvilket også hjælper til med det plaster Titan firmware, når det er nødvendigt.
“Titan chippen fremstillingsprocessen skaber unikke indtastning materiale for hver chip, og sikkert gemmer dette materiale-sammen med proveniens information-i et register database. Indholdet af denne database er kryptografisk beskyttet ved hjælp af tasterne holdes i en offline kvorum-baseret Titan Certification Authority (CA).
“Enkelte Titan chips kan generere Anmodninger om certifikatunderskrift (Kundeservicerepræsentanter), der er rettet mod Titan CA, som — under ledelse af et kvorum af Titan identitet administratorer — kan kontrollere ægtheden af de landespecifikke henstillinger, der bruger de oplysninger i registreringsdatabasen, før den udsteder identitet-certifikater.”
Dette system gør det muligt for Google ‘ s back-end systemer til levering af nøgler til Titan-aktiveret maskiner, samt tilmelde audit logs på en måde, der viser, om de har været manipuleret med, selv af en ondsindet insider med root-adgang til maskinen.
0