0
Google sagt, dass es entworfen, Titan hardware-Logik inhouse zur Verringerung der Chancen von hardware-backdoors.
Bild: Google
Google hat detaillierte, wie seine custom Titan-der Sicherheits-chip verhindert Cyber-Attacken, die per firmware-basierte Angriffe.
Wie Google erklärt, wenn es enthüllt seine winzige Titan-chip, es würde verwenden Sie es, um jeden server in seine cloud, seine eigene Identität.
Nun, es ist vorgesehen, eine detaillierte übersicht darüber, was das bedeutet und wie Titan und dienen als “hardware root of trust”, um sicherzustellen, dass jede Maschine, die firmware ist sicher zu laden und andere kryptographische Funktionen in seinem Rechenzentrum.
Der chip hat die Aufgabe, zu durchkreuzen die Art von Angriffen, bei denen, sagen Sie, die Regierung Spione abfangen von hardware und legen Sie ein firmware-Implantat. Die Angreifer sind auch die Erkundung firmware-Schwachstellen zu überwinden Betriebssystem Abwehrkräfte und das installieren von rootkits, können bestehen bleiben, auch nach einer Neuinstallation des Betriebssystems.
“Google entwickelt, Titan hardware-Logik inhouse zur Verringerung der Chancen von hardware-backdoors”, erklären die Google-Cloud-Plattform, die Ingenieuren.
Titan verfügt über eine “secure application Prozessor, einen kryptographischen co-Prozessor, einen hardware random number generator, ein ausgeklügeltes Schlüssel-Hierarchie, embedded static RAM (SRAM), embedded flash-und einem nur-lese-Speicher-block.”
Der chip tastet die CPU und andere Komponenten zu überwachen “, jedes byte boot-firmware” und führt code aus Ihrer nur-lese-Speicher, wenn ein server eingeschaltet ist. Es wird auch überprüft, ob die firmware wurde manipuliert.
Titan boot-Speicher verwendet Kryptografie mit öffentlichen Schlüsseln (PKI), um zu überprüfen, seine eigene firmware, bevor Sie geladen werden, und dann verwendet die PKI-überprüfen Sie die host-system-firmware. Google verified-boot-firmware konfiguriert dann die Maschine an und lädt den Bootloader und das Betriebssystem.
Laut Google, diese Prüfungen gehen über das hinaus, was normalerweise geschehen würde unter Secure Boot, prüft die firmware am Start, da kann es auch patch Titan firmware und identifizieren des ersten bytes von code, der beim Start ausgeführt werden.
Google erklärt auch, wie Titan dient zu geben, jede Maschine Ihren eigenen kryptografischen Identität, die auch hilft, patch-Titan-firmware, wenn nötig.
“Der Titan chip-Herstellungsprozesses erzeugt einzigartige keying material für jeden chip, und sicher speichert dieses Materials-neben der Herkunft der information-in einer Registrierungs-Datenbank. Die Inhalte dieser Datenbank sind kryptographisch geschützt mit den Tasten gehalten in einem offline-quorum-basierte Titan Zertifizierungsstelle (Certification Authority, CA).
“Individuelle Titan-chips können” generate Certificate Signing Requests (CSR) richtet sich an die Titan CA, die-unter der Leitung eines Kollegiums von Titan Identität Administratoren — kann die Authentizität des CSRs mit Hilfe der Informationen in der registry-Datenbank vor der Erteilung Identität Zertifikate.”
Dieses system ermöglicht es Google, die back-end-Systeme zur Bereitstellung von Schlüsseln zu Titan-fähigen Maschinen, sowie Zeichen-audit-Protokollen in einer Weise, die zeigt, ob Sie wurden manipuliert, auch durch böswillige insider, die mit root-Zugriff auf eine Maschine.
0