0
Google zegt dat het ontworpen Titan ‘ s hardware logica inhouse om de kans van hardware backdoors.
Afbeelding: Google
Google heeft gedetailleerde hoe de aangepaste Titan beveiligings-chip wordt voorkomen dat de cyberaanvallen die gebruik maken van firmware-gebaseerde aanvallen.
Als Google uitgelegd als het onthulde haar kleine Titan chip, zou gebruiken om te geven voor elke server in de cloud zijn eigen identiteit.
Nu, het is een meer gedetailleerd overzicht van wat dat betekent en hoe Titan zal dienen als een “hardware” root of trust” om te zorgen dat elke machine is de firmware van het veilig laden en het verstrekken van andere cryptografische functies in het data center.
De chip ‘ s rol is om het dwarsbomen van de soort aanvallen waar, zeg, de overheid spionnen onderscheppen van hardware en plaats een firmware-implantaat. Aanvallers zijn ook het verkennen van firmware kwetsbaarheden te overwinnen besturingssysteem verdediging en installeren van rootkits die kan blijven bestaan, zelfs na het opnieuw installeren van het besturingssysteem.
“Google ontworpen Titan’ s hardware logica inhouse om de kans van hardware achterdeuren,” legt Google Cloud Platform ingenieurs.
Titan heeft een “veilige toepassing processor, een cryptografische co-processor, een hardware random number generator, een verfijnde toets hiërarchie, ingesloten statische RAM (SRAM), ingebouwde flitser en een alleen-lezen geheugen blok.”
De chip scant de processor en andere componenten te monitoren “van elke byte van de boot firmware” en voert de code van zijn alleen-lezen geheugen als een server is ingeschakeld. Het controleert ook of de firmware is geknoeid.
Titan ‘ s boot geheugen maakt gebruik van cryptografie met openbare sleutels (PKI) om te controleren of de eigen firmware voor het laden en vervolgens maakt gebruik van PKI om te controleren of de host-systeem firmware. Google ‘ s verified boot firmware vervolgens configureert het apparaat en laadt de boot loader en het besturingssysteem.
Volgens Google zijn deze controles verder gaan dan wat normaal zou gebeuren onder de Secure Boot, die controleert firmware bij het opstarten, omdat het kan ook patch Titan firmware en het identificeren van de eerste bytes van code die tijdens het opstarten worden uitgevoerd.
Google legt ook uit hoe de Titan serveert elke machine zijn eigen cryptografische identiteit, die ook helpt het patch Titan firmware wanneer dat nodig is.
“De Titan chip productie proces genereert een unieke sleutelmateriaal voor elke chip, veilig en slaat dit materiaal — samen met de herkomst van informatie-in een register database. De inhoud van deze database zijn cryptografisch beveiligd met sleutels onderhouden in een offline quorum op basis van Titan Certificatie Autoriteit (CA).
“Individuele Titan chips kunnen genereren Certificate Signing Requests (lsa’ s) gericht op de Titan-CA — onder leiding van een quorum van Titan identiteit beheerders — controleren van de echtheid van de lsa ‘ s van het gebruik van de informatie in het register database voor de uitgifte van identiteit certificaten.”
Dit systeem maakt Google ‘ s back-end systemen tot bepaling toetsen om te Titan-compatibele machines, evenals teken van audit logs worden op een manier die laat zien of ze hebben geknoeid is, zelfs door een kwaadaardige insider met root-toegang tot een machine.
0