Може би сте чували за Веригата за сигурност на Google Titan. Това е идея, която започва да се използва в сървъри, след това се премества на ключове за сигурност, използвани като двуфакторни устройства за удостоверяване, и с Пиксел 3, завърши в телефона.
Простото обяснение е, че Titan е името на чипа, който живее извън всеки процесор и неща като влизания и криптиране / дешифриране се пренасят през него. Но има много разлики между трите версии и точно това кара всичко да работи заедно - те са специализирани за конкретния си случай на употреба.
Достатъчно интересно е да говорим за това как работи всичко, така че това ще направим тук.
Защита от страна на сървъра
Може да не го знаете, но Google проектира и персонализира изграждането на много от сървърите, които използва. Той проектира хардуера, използва стек от фърмуер, който Google контролира, собствен закален хипервизор и дори подготвена от Google операционна система. Освен това физическата охрана на самите сгради е строго контролирана.
Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии
Част от хардуерния корен на доверието на Google е чипът Titan. Използва се по два различни начина, за да е сигурен, че вашите данни, както и почти всяка част от Облачната платформа на Google, е възможно най-сигурно: Сигурно зареждане и криптографска идентичност.
Първото нещо, което Titan прави, е да се увери, че сървърният софтуер е такъв, какъвто Google казва, че трябва да бъде.
Повечето компютри се зареждат по същия начин. Има някои контролери за управление на дънни платки, които имат свой собствен фърмуер, който стартира партито, след което процесорът зарежда образ на фърмуера за зареждане. След като буутлоудъра се зареди, той поема и зарежда операционна система.
A Сигурно зареждане процесът зависи от няколко неща: удостоверено изображение на фърмуера за зареждане и процес на bootloader и цифрово подписано копие на файловете на операционната система. Вашият телефон прави това, вашият лаптоп или настолен компютър и повечето сървъри правят това. Google добавя чипа Titan към сместа, за да втвърди процеса.
Titan действа като защитен елемент във веригата за зареждане, но го прави и по доста уникален начин. Заради хардуера вътре в модула Titan - който е напълно изолиран със собствен процесор и памет - той може да започне да наблюдава процеса на зареждане веднага щом контролерите на борда получат започна. Titan първо изпълнява самопроверка на собствения си фърмуер, след което всеки байт от нормалния процес на зареждане се наблюдава в реално време. Когато сървърът се стартира, няма начин нещо подло да намери пътя си.
Модулът Titan е и сърцето на криптографската идентичност на сървъра.
Titan на сървъра също е основната част от процеса на проверка на криптографска идентичност от край до край. Всеки чип има свой уникален ключ и всички те комуникират чрез сертифициращ орган на Titan, който проверява всеки и всеки чип работи с правилния фърмуер и дори контролира регистрирането на системата, така че нищо не може да се случи без подходящо запис.
Когато сте установили връзка към данни, съхранявани на сървър на Google, всички заявки за криптиране и дешифриране минават през модула Titan, за да се уверите, че сте вие, направете уверете се, че имате правото да осъществявате достъп до съхранените данни, които сте поискали, и да се уверите, че целият сървър е защитен, без никакви измамни услуги или процеси на приложение в играйте.
Google се отнася много сериозно към сигурността на сървърите, защото ако не го направи, скоро ще излезе от бизнес. Titan стартира на сървъри поради това и това е страхотен начин да защитим не само нашите данни, но и всички данни, използвани от всеки процес на Google Cloud Compute.
Двуфакторно удостоверяване
Следващата стъпка за чипа Titan беше да го намалите и да го използвате за двуфакторен ключ за сигурност. Не просто какъвто и да е ключ, тъй като Titan Keys са съвместими с FIDO ключове, които предпазват потребителите от падане за фишинг атака.
Това означава, че чипът Titan M вътре в ключодържателя проверява дали работи с фърмуера, какъвто трябва да бъде, когато е електрически активиран, след което се използва като устройство за удостоверяване.
Двуфакторно удостоверяване: Всичко, което трябва да знаете
Протоколите FIDO се използват за предотвратяване на фишинг атаки с помощта на криптография с публичен ключ. Повечето браузъри са FIDO съвместими и много от тях работят с хардуерно базирани 2FA като ключ за сигурност. Когато отворите Chrome и създадете акаунт в уебсайт, FIDO-съвместим ключ може да се използва за изграждане на двойка публичен / частен ключ както на вашето устройство, така и на уеб хоста. Обменните ключове се обменят и при следващото ви посещение можете да удостоверите самоличността с помощта на същото устройство, използвано за регистрация.
Услугите и ключовете на FIDO гарантират, че няма да получите фишинг.
Ако е създаден "фалшив" сайт, за да се опита да фишира акаунта ви, частният ключ от хоста няма да може да премине предизвикателството за сигурност и вие не можете да влезете. Това означава, че някой не може да фишира вашето потребителско име и парола.
Има много ключове, съвместими с FIDO, но чипът Titan на Google трябва да се направи уверете се, че малкият бит код, който работи на защитен ключ, е правилният бит код всеки път, когато използвате то.
Титан на вашия Pixel
С дебюта на Pixel 3, чипът Titan M вече е във всеки Pixel напред.
Това означава, че получавате всички предимства от използването на физически ключ за сигурност на Titan и вместо да го изкопавате от джоба ви и го включете за удостоверяване, отключването на телефона ви го удостоверява и запазва активен.
Сега не ви трябва малко фоб, ако си купите Pixel.
Когато използвате Pixel с чип Titan M, за да се регистрирате или да получите достъп до защитен уебсайт, като например контролите на вашия акаунт в Google или Amazon или която и да е друга съвместима с FIDO уеб услуга, вие сте защитени от фишинг, точно както ако сте използвали истинския ключодържател Titan.
Чипът Titan M във вашия Pixel също работи по време на криптографския процес и действа като сигурен контролер за зареждане, както виждаме на действителните сървъри на Google. Можете да изключите изискването, но с активиран чип Titan проверява цифровия подпис на изображението за зареждане и следи процеса, спирайки, ако нещо не е това, което трябва да бъде.
Той също така проверява ключовете за криптиране / дешифриране за данни, които се преместват във и извън вашия телефон Pixel, така че целият процес може да бъде по-бърз и по-безопасен едновременно. Когато комуникирате със сървър на Google за нещо като операция за архивиране или възстановяване, два чипа Titan, работещи заедно, означават, че вашите данни са колкото е възможно по-безопасни. И това е било независимо проверено и се установи, че е истина.