0
Google säger att det utformad Titan hårdvara logik “inhouse” för att minska risken för att hårdvara bakdörrar.
Bild: Google
Google har närmare hur dess egna Titan security chip kommer att förhindra cyberattacker som använder firmware-baserade attacker.
Som förklarade Google när det presenterade sin lilla Titan chip, det skulle använda det för att ge varje server i sina moln sin egen identitet.
Nu, det är som en mer detaljerad genomgång av vad det innebär och hur Titan kommer att fungera som en “hårdvara root of trust” för att se till att varje maskin firmware är säkert att läsa och ge andra kryptografiska funktioner i sina datacenter.
Chip ‘ s roll är att stoppa den här typen av attacker där, säger regeringen spioner avlyssna hårdvara och infoga en firmware-implantat. Angriparna är också utforska firmware sårbarheter för att övervinna operativsystem försvar och installerar rootkits som kan kvarstå även efter ominstallation av operativsystemet.
“Google utformade Titan hårdvara logik “inhouse” för att minska risken för att hårdvara bakdörrar,” förklara för Google Cloud Platform ingenjörer.
Titan består av en “secure application processor, en kryptografisk co-processor, en hårdvara random number generator, en sofistikerad viktiga hierarki, inbäddade statiska RAM (SRAM), inbyggd blixt och en read-only memory block.”
Chip skannar CPU och andra komponenter för att övervaka “varje byte av boot firmware” och exekverar kod från dess read-only memory när en server är påslagen. Det kontrollerar också om firmware har manipulerats.
Titan ‘ s boot-minne använder kryptering med öppen nyckel (PKI) för att kontrollera sin egen firmware innan du laddar det, och då använder PKI för att kontrollera att den mottagande systemets firmware. Google är kontrollerade starta firmware sedan konfigurerar maskinen och massor starthanteraren och operativsystem.
Enligt Google kommer dessa kontroller utöver vad som normalt skulle ske inom ramen för Secure Boot, vilket verifierar firmware på start, sedan kan det även patch Titan firmware och identifiera det första byte-kod som körs vid start.
Google förklarar också hur Titan tjänar till att ge varje maskin sina egna kryptografiska identitet, vilket också hjälper det patch Titan firmware vid behov.
“Titan chip tillverkning process som genererar unika knappa material för varje chip, och lagrar säkert detta material — tillsammans med proveniens information-i ett register databas. Innehållet i denna databas är kryptografiskt med hjälp av hemliga nycklar som upprätthålls i en offline quorum-baserade Titan Certification Authority (CA).
“Enskilda Titan marker kan generera Certificate Signing Förfrågningar (Csr) som riktas mot Titan CA, som — under ledning av en medlem av Titan identitet administratörer, som kan verifiera äktheten av de landsspecifika rekommendationerna med hjälp av informationen i register databas innan de utfärdar identitet certifikat.”
Detta system gör att Google ‘ s back-end system för att tillhandahålla nycklar till Titan-aktiverade maskiner, samt underteckna loggar på ett sätt som visar om de har manipulerats, även av en illvillig insider med root-tillgång till en maskin.
0