Sie haben vielleicht davon gehört Googles Titan-Sicherheitskette. Diese Idee wurde für die Verwendung in Servern gestartet und dann auf Sicherheitsschlüsselanhänger verschoben, die als Zwei-Faktor-Authentifizierungsgeräte verwendet werden, und mit dem Pixel 3landete in einem Telefon.
Die einfache Erklärung ist, dass Titan der Name des Chips ist, der außerhalb eines Prozessors lebt und Dinge wie Anmeldungen und Verschlüsselung / Entschlüsselung durch diesen geleitet werden. Es gibt jedoch viele Unterschiede zwischen den drei Versionen, und genau deshalb funktioniert alles zusammen - sie sind auf ihren jeweiligen Anwendungsfall spezialisiert.
Es ist interessant genug, darüber zu sprechen, wie alles funktioniert, also werden wir das hier tun.
Serverseitige Sicherheit
Sie wissen es vielleicht nicht, aber Google entwirft und erstellt viele der verwendeten Server. Es entwirft die Hardware, verwendet einen von Google kontrollierten Firmware-Stack, einen eigenen gehärteten Hypervisor und sogar ein von Google kuratiertes Betriebssystem. Darüber hinaus wird die physische Sicherheit der Gebäude selbst streng kontrolliert.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Ein Teil der hardwarebasierten Vertrauensbasis von Google ist der Titan-Chip. Es wird auf zwei verschiedene Arten verwendet, um sicherzustellen, dass Ihre Daten sowie fast alle Teile von Googles Cloud-Plattformist so sicher wie möglich: Sichere Boot- und kryptografische Identität.
Das erste, was Titan tut, ist sicherzustellen, dass die Serversoftware so ist, wie Google es vorschreibt.
Die meisten Computer booten auf die gleiche Weise. Es gibt einige Baseboard-Verwaltungscontroller, die über eine eigene Firmware verfügen, mit der die Party gestartet wird. Anschließend lädt die CPU ein Boot-Firmware-Image. Sobald der Bootloader geladen ist, übernimmt er ein Betriebssystem und lädt es.
EIN Sicherer Startvorgang Der Prozess hängt von mehreren Faktoren ab: einem authentifizierten Boot-Firmware-Image und einem Bootloader-Prozess sowie einer digital signierten Kopie der Betriebssystemdateien. Ihr Telefon tut dies, Ihr Laptop oder Desktop tun dies und die meisten Server tun dies. Google fügt den Titan-Chip hinzu, um den Prozess zu härten.
Titan fungiert als sicheres Element in der Boot-Kette, tut dies aber auch auf einzigartige Weise. Aufgrund der Hardware im Titan-Modul - das vollständig isoliert ist Prozessor und Speicher - Sobald die Board-Controller verfügbar sind, kann der Boot-Prozess überwacht werden gestartet. Titan führt zuerst einen Selbsttest seiner eigenen Firmware durch, dann wird jedes Byte des normalen Startvorgangs in Echtzeit überwacht. Wenn der Server gestartet wird, findet auf keinen Fall etwas Hinterhältiges seinen Weg.
Das Titan-Modul ist auch das Herzstück der kryptografischen Identität eines Servers.
Titan auf dem Server ist auch der Hauptteil eines durchgängigen Prozesses zur Überprüfung der kryptografischen Identität. Jeder Chip hat seinen eigenen Schlüssel und alle kommunizieren über eine Titan-Zertifizierungsstelle, die jeden einzelnen überprüft Auf jedem Chip wird die richtige Firmware ausgeführt und sogar die Systemprotokollierung gesteuert, sodass ohne eine ordnungsgemäße Software nichts passieren kann Aufzeichnung.
Wenn Sie einen Link zu Daten hergestellt haben, die auf einem Google-Server gespeichert sind, werden alle Verschlüsselungs- und Entschlüsselungsanforderungen über das Titan-Modul ausgeführt, um sicherzustellen, dass Sie es sind Stellen Sie sicher, dass Sie die Berechtigung haben, auf die von Ihnen angeforderten gespeicherten Daten zuzugreifen und sicherzustellen, dass der gesamte Server sicher ist, ohne dass unerwünschte Dienste oder Anwendungsprozesse erforderlich sind abspielen.
Google nimmt die Serversicherheit sehr ernst, denn wenn dies nicht der Fall wäre, würde das Geschäft bald eingestellt. Aus diesem Grund wurde Titan auf Servern gestartet. Dies ist eine hervorragende Möglichkeit, nicht nur unsere Daten, sondern alle Daten zu schützen, die von einem Google Cloud Compute-Prozess verwendet werden.
Zwei-Faktor-Authentifizierung
Der nächste Schritt für den Titan-Chip bestand darin, ihn zu verkleinern und zu verwenden ein Zwei-Faktor-Sicherheitsschlüssel. Nicht irgendein Schlüssel, da Titan Keys FIDO-kompatible Schlüssel sind, die verhindern, dass Benutzer auf einen Phishing-Angriff hereinfallen.
Dies bedeutet, dass der Titan M-Chip im Schlüsselanhänger überprüft, ob die Firmware ausgeführt wird, die bei elektrischer Aktivierung vorhanden sein sollte, und dann als Authentifizierungsgerät verwendet wird.
Zwei-Faktor-Authentifizierung: Alles, was Sie wissen müssen
FIDO-Protokolle werden verwendet, um Phishing-Angriffe mithilfe der Kryptografie mit öffentlichem Schlüssel zu verhindern. Die meisten Browser sind FIDO kompatibel und viele arbeiten mit hardwarebasiertem 2FA wie einem Sicherheitsschlüssel. Wenn Sie Chrome öffnen und ein Konto auf einer Website erstellen, kann ein FIDO-kompatibler Schlüssel verwendet werden, um ein öffentliches / privates Schlüsselpaar sowohl auf Ihrem Gerät als auch auf dem Webhost zu erstellen. Öffentliche Schlüssel werden ausgetauscht, und beim nächsten Besuch können Sie sich mit demselben Gerät authentifizieren, mit dem Sie sich registriert haben.
FIDO-Dienste und -Schlüssel stellen sicher, dass Sie nicht phishing werden.
Wenn eine "gefälschte" Site erstellt wird, um Ihr Konto zu fälschen, kann der private Schlüssel des Hosts die Sicherheitsherausforderung nicht bestehen und Sie können sich nicht anmelden. Dies bedeutet, dass jemand Ihren Benutzernamen und Ihr Passwort nicht fälschen kann.
Es gibt viele FIDO-kompatible Schlüssel, aber der Titan-Chip bei Google ist da Stellen Sie sicher, dass das winzige Codebit, das auf einem Sicherheitsschlüssel ausgeführt wird, bei jeder Verwendung das richtige Codebit ist es.
Titan auf deinem Pixel
Mit dem Debüt des Pixel 3 ist der Titan M-Chip nun in jedem Pixel vorwärts.
Dies bedeutet, dass Sie alle Vorteile nutzen können, wenn Sie einen physischen Titan-Sicherheitsschlüssel verwenden und ihn nicht ausgraben Wenn Sie Ihr Telefon zur Authentifizierung einstecken, wird es durch Entsperren des Telefons authentifiziert und aufbewahrt aktiv.
Jetzt brauchen Sie keinen kleinen Anhänger mehr, wenn Sie ein Pixel kaufen.
Wenn Sie ein Pixel mit einem Titan M-Chip verwenden, um sich anzumelden oder auf eine gesicherte Website zuzugreifen, z Amazonas Bei jedem anderen FIDO-kompatiblen Webdienst sind Sie vor Phishing geschützt, als hätten Sie den eigentlichen Titan-Schlüsselanhänger verwendet.
Der Titan M-Chip in Ihrem Pixel funktioniert auch während des kryptografischen Prozesses und fungiert als sicherer Boot-Controller, wie wir auf den tatsächlichen Servern von Google sehen. Sie können die Anforderung deaktivieren, aber wenn diese Option aktiviert ist, überprüft der Titan-Chip die digitale Signatur des Boot-Images und überwacht den Prozess. Er stoppt, wenn etwas nicht so ist, wie es sein sollte.
Außerdem werden Verschlüsselungs- / Entschlüsselungsschlüssel für Daten überprüft, die in Ihr Pixel-Telefon ein- und ausgehen, sodass der gesamte Vorgang gleichzeitig schneller und sicherer ist. Wenn Sie mit einem Google-Server für so etwas wie a kommunizieren Sicherungs- oder WiederherstellungsvorgangWenn zwei Titan-Chips zusammenarbeiten, sind Ihre Daten so sicher wie möglich. Und das war schon so unabhängig überprüft und als wahr befunden.