Es posible que hayas oído hablar de Cadena de seguridad Titan de Google. Es una idea que comenzó para usarse en servidores, luego se trasladó a llaveros de seguridad utilizados como dispositivos de autenticación de dos factores, y con el Pixel 3, terminó dentro de un teléfono.
La explicación simple es que Titan es el nombre del chip que vive fuera de cualquier procesador y cosas como inicios de sesión y cifrado / descifrado se canalizan a través de él. Pero hay muchas diferencias entre las tres versiones, y eso es lo que hace que todo funcione en conjunto: están especializadas para su caso de uso particular.
Es bastante interesante hablar sobre cómo funciona todo, así que eso es lo que vamos a hacer aquí.
Seguridad del lado del servidor
Puede que no lo sepas, pero Google diseña y crea de forma personalizada muchos de los servidores que utiliza. Diseña el hardware, utiliza una pila de firmware que controla Google, su propio hipervisor reforzado e incluso un sistema operativo seleccionado por Google. Más allá de eso, la seguridad física de los propios edificios está estrictamente controlada.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Parte de la raíz de confianza basada en hardware que tiene Google es el chip Titan. Se utiliza de dos formas diferentes para asegurarse de que sus datos, así como casi todas las partes de Plataforma en la nube de Google, es lo más seguro posible: arranque seguro e identidad criptográfica.
Lo primero que hace Titan es asegurarse de que el software del servidor sea lo que Google dice que debería ser.
La mayoría de las computadoras arrancan de la misma manera. Hay algunos controladores de administración de placa base que tienen su propio firmware que inicia la fiesta, luego la CPU carga una imagen de firmware de arranque. Una vez que se carga el gestor de arranque, se hace cargo y carga un sistema operativo.
UN Arranque seguro El proceso depende de un par de cosas: una imagen de firmware de arranque autenticada y un proceso de cargador de arranque y una copia firmada digitalmente de los archivos del sistema operativo. Su teléfono hace esto, su computadora portátil o de escritorio lo hace y la mayoría de los servidores lo hacen. Google agrega el chip Titan a la mezcla para fortalecer el proceso.
Titan actúa como el elemento seguro en la cadena de botas, pero también lo hace de una manera bastante única. Debido al hardware dentro del módulo Titan, que está completamente aislado con su propio procesador y memoria: puede comenzar a monitorear el proceso de arranque tan pronto como los controladores de la placa empezado. Titan primero ejecuta una autocomprobación de su propio firmware, luego cada byte del proceso de arranque normal se monitorea en tiempo real. Cuando se arranca el servidor, no hay forma de que algo engañoso haya entrado.
El módulo Titan también es el corazón de la identidad criptográfica de un servidor.
Titan en el servidor también es la parte principal de un proceso de verificación de identidad criptográfica de extremo a extremo. Cada chip tiene su propia clave única y todos se comunican a través de una Autoridad de Certificación Titan que verifica cada uno y cada chip está ejecutando el firmware correcto e incluso controla el registro del sistema para que nada pueda suceder sin una adecuada grabar.
Cuando haya establecido un enlace a los datos almacenados en un servidor de Google, todas las solicitudes de cifrado y descifrado pasan por el módulo Titan para asegurarse de que es usted, asegúrese de tener la autoridad para acceder a los datos almacenados que solicitó y para asegurarse de que todo el servidor esté seguro sin ningún servicio o proceso de aplicación malicioso en jugar.
Google se toma la seguridad del servidor muy en serio porque si no lo hiciera pronto dejaría de funcionar. Titan comenzó en servidores debido a esto, y es una manera increíble de proteger no solo nuestros datos, sino también todos los datos utilizados por cualquier proceso de Google Cloud Compute.
Autenticación de dos factores
El siguiente paso para el chip Titan fue encogerlo y usarlo para una llave de seguridad de dos factores. Sin embargo, no cualquier clave, ya que las Titan Keys son claves compatibles con FIDO que evitan que los usuarios caigan en un ataque de phishing.
Lo que eso significa es que el chip Titan M dentro del llavero verifica que esté ejecutando el firmware que debería estar cuando está activado eléctricamente, luego se usa como un dispositivo de autenticación.
Autenticación de dos factores: todo lo que necesita saber
Los protocolos FIDO se utilizan para prevenir ataques de phishing mediante criptografía de clave pública. La mayoría de los navegadores son FIDO compatible y muchos funcionan con 2FA basado en hardware como una llave de seguridad. Cuando abre Chrome y crea una cuenta en un sitio web, se puede usar una clave compatible con FIDO para crear un par de claves pública / privada tanto en su dispositivo como en el servidor web. Las claves públicas se intercambian y la próxima vez que lo visite, puede autenticarse utilizando el mismo dispositivo que utilizó para registrarse.
Los servicios y claves de FIDO aseguran que no sea víctima de suplantación de identidad.
Si se crea un sitio "falso" para intentar hacer phishing en su cuenta, la clave privada del host no podrá pasar el desafío de seguridad y usted no podrá iniciar sesión. Esto significa que nadie puede suplantar su nombre de usuario y contraseña.
Hay muchas claves compatibles con FIDO, pero el chip Titan de Google está ahí para hacer asegúrese de que el pequeño fragmento de código que se ejecuta en una llave de seguridad sea el código correcto cada vez que utilice eso.
Titan en tu Pixel
Con el debut del Pixel 3, el chip Titan M ahora dentro de cada Pixel en el futuro.
Esto significa que obtiene todos los beneficios de usar una llave de seguridad física Titan y en lugar de desenterrarla de su bolsillo y enchufarlo para autenticar, desbloquear su teléfono lo autentica y lo mantiene activo.
Ahora no necesitas un pequeño llavero si compras un Pixel.
Cuando usa un Pixel con un chip Titan M para registrarse o acceder a un sitio web seguro, como los controles de su cuenta de Google o Amazonas o cualquier otro servicio web compatible con FIDO, está protegido contra el phishing como si usara el llavero Titan real.
El chip Titan M dentro de su Pixel también funciona durante el proceso criptográfico y actúa como un controlador de arranque seguro como vemos en los servidores reales de Google. Puede desactivar el requisito, pero con él habilitado, el chip Titan verifica la firma digital de la imagen de arranque y monitorea el proceso, deteniéndose si algo no es lo que debería ser.
También verifica las claves de cifrado / descifrado de los datos que entran y salen de su teléfono Pixel para que todo el proceso sea más rápido y seguro al mismo tiempo. Cuando se comunica con un servidor de Google para algo así como operación de copia de seguridad o restauración, dos chips Titan trabajando juntos significan que sus datos están lo más seguros posible. Y eso ha sido verificado independientemente y resultó ser cierto.