Gadgetshowto
Anunciado em março no Google Cloud Next '17, o chip de segurança Google Titan é outro bloco de construção na tentativa do Google de aumentar suas credenciais de segurança e estreitar a lacuna com seus concorrentes - principalmente AWS e Microsoft Azure. Depois de testar o chip em seus data centers por um bom tempo, o Google anunciou recentemente seus detalhes técnicos. Então, se você está se deparando com notícias do chip de segurança Titan do Google e se perguntando do que se trata. Bem, neste artigo, examinarei o que é o chip de segurança do Google Titan, como funciona e tudo o mais que você precisa saber sobre ele.
O que é o chip de segurança Titan?
Em palavras simples, o Titan é um chip de segurança que evita o tipo de ataque em que espiões do governo interceptam hardware e inserem um implante de firmware. Atualmente, os invasores fazem isso explorando vulnerabilidades de firmware para superar as defesas do sistema operacional e instalando rootkits que podem persistir mesmo após a reinstalação do sistema operacional.
Titã é uma parte do Google Cloud Platform (GCP) que é projetado, construído e operado com o objetivo de proteger o código e os dados dos clientes. O chip é um microcontrolador seguro e de baixo consumo de energia criado para garantir que os sistemas sempre inicializem a partir do último estado bom conhecido. O chip é do tamanho de um brinco pequeno e já foi instalado em muitos dos servidores de computador e placas de rede que ocupam os enormes centros de dados do Google.
Quando o chip foi revelado pela primeira vez em março deste ano, o Google planejou usar o processador para dar a cada um de seus servidores uma identidade individual. A partir de hoje, o Google atualmente usa os chips de segurança Titan para proteger os servidores que executam seus próprios serviços, como Pesquisa Google, Gmail e YouTube.
O que é composto pelo chip de segurança Titan?
As máquinas nos data centers do Google têm vários componentes, incluindo CPUs, RAM, BMC, Network Interface Controller (NIC), firmware de inicialização, flash de firmware de inicialização e armazenamento persistente. Esses componentes interagem entre si sistematicamente para inicializar as máquinas. Para proteger esse processo de inicialização, o Google usa uma inicialização segura que depende de uma combinação de um firmware de inicialização autenticado e um carregador de inicialização, junto com arquivos de inicialização assinados digitalmente, para fornecer as medidas de segurança desejadas.
Titan é um chip especialmente projetado que não apenas atende a essas expectativas, mas também fornece duas propriedades de segurança adicionais importantes - correção e integridade da primeira instrução. O chip se comunica com a CPU principal através do barramento SPI e se interpõe entre o flash do firmware de inicialização dos componentes como BMC ou PCH. Isso permite que ele observe cada byte do firmware de inicialização.
Para cumprir as medidas de segurança que a Titan promete, compreende vários componentes. Alguns dos mais importantes são mencionados abaixo.
- Um processador de aplicativo seguro
- Um coprocessador criptográfico
- Um gerador de números aleatórios de hardware
- Uma sofisticada hierarquia de chaves
- Uma RAM estática incorporada (SRAM)
- Um flash embutido
- Um bloco de memória somente leitura
- Barramento de interface periférica serial (SPI)
- Controlador de gerenciamento de placa de base (BMC) ou Hub do controlador de plataforma (PHC)
Como funciona o chip de segurança Titan?
A primeira etapa no funcionamento do chip de segurança Titan é execução de código por seus processadores. Isso é feito imediatamente após a máquina host ser ligada. Em seguida, o processo de fabricação estabelece um código imutável que é confiável implicitamente e é validado a cada reinicialização do chip. Posteriormente, o chip executa um autoteste embutido em sua memória. Isso acontece toda vez que ele inicializa para garantir que toda a memória, incluindo ROM, não foi adulterada.
A próxima etapa é carregar o firmware do Titan. Mesmo que este firmware esteja embutido na memória flash on-chip, a ROM de inicialização do Titan não confia nele cegamente. Em vez disso, ele verifica o firmware do Titan usando criptografia de chave pública e mistura a identidade desse código verificado na hierarquia de chave do Titan. Finalmente, a ROM de inicialização carrega o firmware verificado.
Assim que o chip Titan inicializar seu próprio firmware com segurança, o conteúdo do flash do firmware de inicialização do host é então verificado usando criptografia de chave pública. Enquanto esta verificação está em processo, o Titan pode bloquear o acesso do PCH / BMC ao flash do firmware de inicialização. Agora, quando o processo finalmente é concluído, o chip envia um sinal para liberar o resto da máquina da reinicialização. Este sinal fornece ao Google Cloud Platform as informações sobre qual firmware de inicialização e sistema operacional estão sendo inicializados em sua máquina desde a primeira instrução. O Google Cloud Platform também aprende sobre os patches de microcódigo que podem ter sido buscados antes da primeira instrução do firmware de inicialização.
Finalmente, o firmware de inicialização verificado pelo Google configura a máquina e carrega o bootloader. Isso posteriormente verifica e carrega o sistema operacional.
Por que a necessidade do chip de segurança Titan?
Como a maioria dos hardwares e servidores de rede foram feitos no exterior, os operadores de data centers que trabalham para o Google Cloud Platform estavam preocupados com a possibilidade de hackers ou cibercriminosos comprometerem esses dispositivos antes de enviá-los. Chip Titan do Google aborda essas preocupações através de suas verificações contínuas que fornecem segurança adicional para o hardware de computação em nuvem. Isso permite que a empresa mantenha um nível de compreensão em sua cadeia de abastecimento que, de outra forma, não teria.
Outra razão pela qual instalar o chip de segurança Titan em servidores de computador é o combatendo novos ataques de firmware que pode ter como alvo chips de firmware regraváveis. Podem ser chips BIOS ou controladores de disco rígido.
Como o chip de segurança Titan beneficia o Google?
Existem duas maneiras principais pelas quais o chip de segurança Titan beneficia o Google. O primeiro é o ponto de vista da segurança e o segundo é o ponto de vista competitivo.
Do ponto de vista da segurança, o chip Titan beneficia o Google de três maneiras:
- Ele fornece um raiz de confiança baseada em hardware que estabelece uma forte identidade de uma máquina. Isso ajuda o Google a tomar decisões de segurança importantes e validar a integridade do sistema. Como resultado, isso garante uma trilha de auditoria irreversível de todas as alterações feitas.
- Os recursos de registro à prova de violação ajudam a identificar ações realizadas por um insider com acesso root.
- O chip oferece verificação de integridade de componentes de firmware e software.
Do ponto de vista competitivo, o Google Cloud Platform tem atualmente 7% do mercado global de nuvem. Isso a coloca em terceiro lugar em relação a empresas como Amazon Web Services (AWS) (41% do mercado) e Microsoft Azure (13% do mercado). Com o novo chip Titan, O Google está tentando se diferenciar de seus concorrentes e trazer mais empresas focadas em segurança para sua plataforma de computação em nuvem. Este é um movimento importante, pois, de acordo com o Gartner, o mercado mundial de computação em nuvem vale quase US $ 50 bilhões.
Como conseqüência, o Google também desenvolveu um sistema de identidade criptográfica ponta a ponta baseado em Titan. Isso pode atuar ainda mais como a raiz de confiança para várias operações criptográficas em seus data centers.
CONSULTE TAMBÉM: O que é Bluetooth Mesh Networking e como funciona?
O chip de segurança Titan realmente ajudará o Google?
Embora o Google Cloud Platform atualmente fique atrás de seus concorrentes, especialmente a AWS, o chip de segurança Titan parece um ótimo negócio para eles. Com seus resultados de teste impressionantes, tudo se resume a saber se o chip ajudará ou não os serviços do Google Cloud a se destacarem dos outros a longo prazo. Pessoalmente, estou muito interessado em ver como as coisas vão acabar. E você? Deixe-me saber sua opinião sobre isso na seção de comentários abaixo.
