Lehet, hogy hallottál róla A Google Titan biztonsági láncát. Ez egy ötlet, amelyet a szerverekben kezdtek el használni, majd kétfaktoros hitelesítő eszközként használt biztonsági kulcstartókba költöztek, és a Pixel 3, egy telefon belsejében kötött ki.
Az egyszerű magyarázat az, hogy a Titan annak a chipnek a neve, amely minden processzoron kívül él, és olyan dolgok kerülnek átadásra, mint a bejelentkezés és a titkosítás / visszafejtés. De rengeteg különbség van a három változat között, és ettől minden együtt működik - speciális felhasználási esetükre szakosodtak.
Elég érdekes arról beszélni, hogy mindez hogyan működik, tehát itt fogjuk ezt megtenni.
Kiszolgálóoldali biztonság
Lehet, hogy nem tudja, de a Google megtervezi és testre szabja az általa használt szerverek közül sokat. Megtervezi a hardvert, a Google által vezérelt firmware-stacket, a saját edzett hipervizorát és még a Google által gondozott operációs rendszert is használja. Ezen túlmenően az épületek fizikai biztonságát szigorúan ellenőrzik.
A Verizon a Pixel 4a-t mindössze 10 USD / hó áron kínálja az új Unlimited vonalakon
A Google hardveralapú bizalmának része a Titan chip. Kétféle módon használják, hogy megbizonyosodjanak az adatokról, valamint szinte minden részükről Google Cloud Platform, a lehető legbiztonságosabb: Biztonságos rendszerindítás és kriptográfiai identitás.
A Titan első dolga az, hogy megbizonyosodjon arról, hogy a kiszolgálószoftver olyan, amilyennek a Google mondja.
A legtöbb számítógép ugyanúgy indul. Van néhány alaplap-kezelő vezérlő, amelynek saját firmware-je van, amely elindítja a bulit, majd a CPU betölt egy boot firmware-képet. A rendszerbetöltő betöltése után átveszi és betölti az operációs rendszert.
A Biztonságos indítás A folyamat néhány dologtól függ: hitelesített rendszerindító firmware-kép és bootloader folyamat, valamint az operációs rendszer fájljainak digitálisan aláírt másolata. Telefonja, laptopja vagy asztala és a legtöbb szerver ezt teszi. A Google megnöveli a Titan chipet a keverékbe, hogy megkeményítse a folyamatot.
A Titan a csomagtartó lánc biztonságos elemeként működik, de elég egyedi módon is. A Titan modul belsejében lévő hardver miatt - amely teljesen elszigetelt a sajátjától processzor és memória - azonnal elkezdheti figyelni a rendszerindítási folyamatot, amint a lapvezérlők megkapják megkezdődött. A Titan először ellenőrzi saját firmware-jét, majd a normál indítási folyamat minden bájtját valós időben ellenőrzi. A szerver indításakor semmilyen furfangos dolog nem találta meg az utat.
A Titan modul egyben a szerver kriptográfiai identitásának a szíve is.
A szerveren lévő Titan szintén a végpontok közötti kriptográfiai azonosító folyamat fő része. Mindegyik chipnek megvan a maga egyedi kulcsa, és mindannyian egy Titan tanúsító hatóságon keresztül kommunikálnak, amely ellenőrzi mindegyiket és minden chip megfelelő firmware-t futtat, és még a rendszer naplózását is ellenőrzi, így megfelelő nélkül semmi sem történhet rekord.
Miután létrehozott egy linket egy Google szerveren tárolt adatokra, az összes titkosítási és visszafejtési kérelem átmegy a Titan modulon, hogy megbizonyosodjon arról, hogy Ön vagy-e, biztosan rendelkezik jogosultsággal a kért tárolt adatokhoz való hozzáféréshez, valamint annak biztosításához, hogy a teljes szerver biztonságban legyen bármilyen szélhámos szolgáltatás vagy alkalmazásfolyamat nélkül játék.
A Google nagyon komolyan veszi a szerverek biztonságát, mert ha nem így lenne, hamarosan megszűnik. A Titan emiatt indult a szervereken, és ez fantasztikus módja annak, hogy megvédjük nemcsak adatainkat, hanem a Google Cloud Compute bármely folyamatában használt összes adatot.
Kétfaktoros hitelesítés
A Titan chip következő lépése az volt, hogy lecsökkentette és felhasználta kétfaktoros biztonsági kulcs. Nem akármilyen kulcs, mivel a Titan Keys FIDO-kompatibilis kulcsok, amelyek megakadályozzák a felhasználókat abban, hogy adathalász támadásba essenek.
Ez azt jelenti, hogy a kulcstartó belsejében lévő Titan M chip ellenőrzi, hogy futtatja-e azt a firmware-t, amilyennek lennie kell, amikor elektromosan aktiválódik, majd hitelesítő eszközként használják.
Kétfaktoros hitelesítés: Minden, amit tudnia kell
A FIDO protokollokat az adathalász támadások megakadályozására használják nyilvános kulcsú titkosítással. A legtöbb böngésző FIDO kompatibilis, és sokan olyan hardver alapú 2FA-val dolgoznak, mint egy biztonsági kulcs. Amikor megnyitja a Chrome-ot, és fiókot hoz létre egy webhelyen, egy FIDO-kompatibilis kulcs segítségével nyilvános / privát kulcspár készíthető mind az eszközön, mind az internetes gazdagépen. A nyilvános kulcsok kicserélődnek, és amikor legközelebb meglátogatja, azonosítani tudja a regisztrációhoz használt eszközt.
A FIDO szolgáltatásai és kulcsai biztosítják, hogy ne kapjanak adathalászatot.
Ha egy "hamis" webhelyet építenek a fiókja adathalászatára, akkor a gazdagép privát kulcsa nem tudja átadni a biztonsági kihívást, és nem tud bejelentkezni. Ez azt jelenti, hogy valaki nem tudja adathalászni a felhasználónevét és jelszavát.
Sok FIDO-kompatibilis kulcs van ott, de a Titan chipet a Google-n kell elkészíteni biztos, hogy a biztonsági kulcson futó aprócska kód minden használatkor a megfelelő bit azt.
Titan a Pixel-en
A Pixel 3 debütálásával a Titan M chip most megvan minden pixel belsejében.
Ez azt jelenti, hogy minden előnyét megkapja, ha egy fizikai Titan biztonsági kulcsot használ, és ahelyett, hogy kiásná zsebében, és csatlakoztassa a hitelesítéshez, a telefon feloldása hitelesíti és megtartja aktív.
Most nem kell egy kis fob, ha Pixelt vásárol.
Amikor Titan M lapkával ellátott Pixelt használ egy biztonságos webhelyre való regisztrációhoz vagy eléréshez, például a Google-fiókja vezérlői vagy amazon vagy bármely más FIDO-kompatibilis webszolgáltatás, ugyanúgy védett az adathalászat ellen, mintha a tényleges Titan kulcstartót használnád.
A Titan M chip a Pixel belsejében a kriptográfiai folyamat során is működik, és biztonságos rendszerindító vezérlőként működik, amint azt a Google tényleges szerverein látjuk. Kikapcsolhatja a követelményt, de engedélyezve a Titan chip ellenőrzi a rendszerindító kép digitális aláírását és figyeli a folyamatot, leállítva, ha valami nem az, aminek lennie kellene.
Ezenkívül ellenőrzi a Pixel telefonba be- és onnan mozgó adatok titkosítási / visszafejtési kulcsait, így az egész folyamat egyszerre gyorsabb és biztonságosabb lehet. Amikor egy Google szerverrel kommunikál olyasmi miatt, mint a biztonsági mentés vagy visszaállítás, két Titan chip együttes működése azt jelenti, hogy az adatai a lehető legbiztonságosabbak. És ez történt függetlenül ellenőrizni és igaznak találták.