记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

谷歌把安全融入主机芯片

2017-08-29 02:30

小芯片大能耐,守护服务器和云端安全。

谷歌透露更多细节,揭其定制安全硅芯片如何巩固服务器和云服务完整性。

谷歌定制Titan芯片,为该互联网巨头的重计算负载主机,提供硬件验证的启动和端到端认证的信任根。

谷歌高级技术人员在博客中解释道:“我们在多个层面上强化了我们的架构,包括谷歌设计的硬件、谷歌控制的固件栈、谷歌策展的操作系统镜像、谷歌强化的管理程序,以及数据中心物理安全和服务。”

3月份的Cloud Next ’17 大会上,谷歌首次公布了其硬件安全要求,Titan就是按该要求特别设计的安全低功耗微控制器。

该芯片是在谷歌服务器定制芯片中融入安全的长期安全理念的延伸。

Titan的设计目的,就是要确保机器从使用可验证代码的已知良好状态启动,为后续操作提供安全基础,消除基于固件的rootkit或其他类似恶意软件的可能性。

谷歌团队写道:“我们的机器从已知固件/软件栈启动,加密验证该栈,然后基于该验证状态确定是否有权访问我们网络上的资源。Titan集成了该过程,提供了额外的防护层。”

安全启动通常依靠经验证的启动固件,和带数字签名启动文件的引导加载程序。此外,安全元素可以提供私钥存储和管理。Titan则附加了2个安全控制——修复和首指令完整性。

修复,提供了在Titan固件中找到并补上漏洞时,重新建立信任的机制。首指令完整性,让谷歌可以识别出每台机器启动周期中最早运行的代码。

Titan综合了很多组件:一个安全应用处理器,一个加密协处理器,一个硬件随机数生成器,一个密钥体系,嵌入式静态RAM,嵌入式闪存和只读内存块。

实际上,谷歌是在将其硬件安全启动验证,从上到下一路推行到裸机芯片上。谷歌采取了步步紧缩的做法交付安全启动——依赖自产专业技术而非第三方。

英国约克大学技术专家亚瑟·克鲁指出:“他们明显信不过供应链。”

正如克鲁提到的,今年拉斯维加斯黑客大会上演示的固件漏洞研究,可能被用于植入软件后门。谷歌承认,此类外部干扰是其试图杜绝的一个风险。

谷歌自行设计Titan的硬件逻辑,以减少硬件后门的风险。Titan生态系统可确保生产基础设施,以可验证的授权代码安全启动。

除了安全启动,谷歌还开发了基于Titan的端到端加密身份系统,为其数据中心的各种加密操作提供信任根。该系统的强身份,赋予了谷歌不可否认的审计线索,可暴露出对系统所做的任意修改。防篡改日志记录功能,帮助识别所进行的任何动作,甚至有root权限的内部人所做的动作也逃不掉。

谷歌总结道:通过对系统固件和软件组件的验证,以及建立基于硬件的强系统身份,Titan提供了安全所需的信任根。

相关阅读

史上最强CPU级多因素认证技术解析
微软强制Windows10的硬件必须使用可信平台2.0

 

知识来源: www.aqniu.com/tools-tech/27680.html

阅读:81902 | 评论:0 | 标签:技术产品 Titan芯片 加密 安全 认证 谷歌

想收藏或者和大家分享这篇好文章→复制链接地址

“谷歌把安全融入主机芯片”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云