אולי שמעת על רשת האבטחה של גוגל. זה רעיון שהתחיל לשימוש בשרתים, ואז עבר לתיקוני מפתח אבטחה המשמשים התקני אימות דו-גורמיים, ועם פיקסל 3, הסתיים בתוך טלפון.
ההסבר הפשוט הוא שטיטאן הוא שם השבב שחי מחוץ לכל מעבד ודברים כמו כניסות והצפנה / פענוח עוברים דרכו. אבל יש הרבה הבדלים בין שלוש הגרסאות, וזה מה שגורם להכל לעבוד יחד - הם מתמחים במקרה השימוש הספציפי שלהם.
זה מעניין מספיק כדי לדבר על איך הכל עובד, אז זה מה שאנחנו הולכים לעשות כאן.
אבטחה בצד השרת
אולי אינך יודע זאת, אך גוגל מעצבת ובונה בהתאמה אישית רבים מהשרתים שבהם היא משתמשת. היא מתכננת את החומרה, משתמשת בערמת קושחה עליה שולטת גוגל, היפרוויזורר מוקשה משלה ואפילו במערכת הפעלה שאוצרת על ידי גוגל. מעבר לכך, האבטחה הפיזית על הבניינים עצמם נשלטת היטב.
Verizon מציעה את פיקסל 4a במחיר של 10 דולר לחודש בלבד בקווים חדשים ללא הגבלה
חלק משורש האמון מבוסס החומרה שיש לגוגל הוא שבב Titan. הוא משמש בשתי דרכים שונות כדי לוודא את הנתונים שלך, כמו גם כמעט בכל חלקי פלטפורמת הענן של גוגל, מאובטח ככל שיהיה: אתחול מאובטח וזהות קריפטוגרפית.
הדבר הראשון שטיטאן עושה הוא לוודא שתוכנת השרת היא מה שגוגל אומרת שהיא צריכה להיות.
רוב המחשבים אתחול באותה צורה. יש כמה בקרי ניהול בסיס שיש להם קושחה משלהם שמפעילה את המסיבה ואז המעבד טוען תמונת קושחת אתחול. לאחר טעינת האתחול הוא משתלט וטוען מערכת הפעלה.
א הפעלה בטוחה התהליך תלוי בכמה דברים: תהליך קושחת מאומת של אתחול מאומת ותהליך מטען אתחול ועותק חתום דיגיטלית של קבצי מערכת ההפעלה. הטלפון שלך עושה זאת, המחשב הנייד או שולחן העבודה שלך עושים זאת, ורוב השרתים עושים זאת. גוגל מוסיפה את השבב Titan לתערובת כדי להקשיח את התהליך.
טיטאן משמש כאלמנט המאובטח בשרשרת האתחול אך הוא גם עושה זאת בצורה די ייחודית. בגלל החומרה שבמודול טיטאן - שמבודד לחלוטין עם עצמו מעבד וזיכרון - הוא יכול להתחיל לעקוב אחר תהליך האתחול ברגע שמקבלים בקרי הלוח התחיל. תחילה טיטאן מפעילה בדיקה עצמית של הקושחה שלה, ואז כל בית בתהליך האתחול הרגיל מנוטר בזמן אמת. כאשר אתחול השרת, אין מצב שמשהו ערמומי מצא את דרכו.
מודול הטיטאן הוא גם לב הזהות הקריפטוגרפית של השרת.
טיטאן בשרת הוא גם החלק העיקרי בתהליך אימות זהות קריפטוגרפי מקצה לקצה. לכל שבב מפתח ייחודי משלו וכולם מתקשרים באמצעות רשות אישורים של טיטאן המאמתת כל אחד מהם כל שבב מריץ את הקושחה הנכונה ואף שולט בכניסה למערכת כך ששום דבר לא יכול לקרות ללא תקין תקליט.
כאשר הקמת קישור לנתונים המאוחסנים בשרת של Google, כל בקשות ההצפנה והפענוח עוברות דרך מודול טיטאן כדי לוודא שאתה אתה, בצע ודא שיש לך את הסמכות לגשת לנתונים המאוחסנים שביקשת ולוודא שהשרת כולו מאובטח ללא כל שירותים נוכלים או תהליכי יישום לְשַׂחֵק.
גוגל מתייחסת ברצינות רבה לאבטחת השרתים, כי אם זה לא היה יוצא בקרוב מהעסק. טיטאן התחיל בשרתים בגלל זה, וזו דרך מדהימה להגן לא רק על הנתונים שלנו אלא על כל הנתונים שמשמשים בכל תהליך מחשוב ענן של Google.
אימות דו-גורמי
השלב הבא של שבב הטיטאן היה לכווץ אותו ולהשתמש בו ל מפתח אבטחה דו-גורמי. לא סתם שום מפתח, מכיוון שמפתחות Titan הם מפתחות תואמי FIDO שמונעים ממשתמשים ליפול להתקפת פישינג.
המשמעות של זה היא שבב Titan M בתוך פוב המפתח בודק שהוא מפעיל את הקושחה שהוא אמור להיות כשהוא מופעל חשמלית, ואז הוא משמש כמכשיר אימות.
אימות דו-גורמי: כל מה שאתה צריך לדעת
פרוטוקולי FIDO משמשים למניעת התקפות דיוג באמצעות הצפנת מפתח ציבורי. רוב הדפדפנים הם FIDO תואם ורבים עובדים עם 2FA מבוסס חומרה כמו מפתח אבטחה. כאשר אתה פותח את Chrome ויוצר חשבון באתר אינטרנט, ניתן להשתמש במפתח תואם FIDO לבניית צמד מפתחות ציבורי / פרטי הן במכשיר שלך והן במארח האינטרנט. מפתחות ציבוריים מוחלפים, ובפעם הבאה שתבקר תוכל לאמת באמצעות אותו מכשיר ששימש לרישום.
שירותי FIDO ומפתחות מוודאים שלא עוברים phishing.
אם אתר "מזויף" נבנה כדי לנסות ולנהל דיוג בחשבונך, המפתח הפרטי מהמארח לא יוכל לעבור את אתגר האבטחה ואתה לא מצליח להתחבר. פירוש הדבר שמישהו לא יכול להתחבר לפי שם המשתמש והסיסמה שלך.
יש הרבה מפתחות תואמי FIDO שם, אבל שבב הטיטאן ב- Google נמצא שם כדי להכין ודא שקצת הקוד הזעירה הפועלת על מפתח אבטחה היא החלק הקוד הנכון של קוד בכל פעם שאתה משתמש זה.
טיטאן בפיקסל שלך
עם הופעת הבכורה של פיקסל 3, שבב ה- Titan M נמצא כעת בתוך כל פיקסל קדימה.
פירוש הדבר שאתה מקבל את כל היתרון בשימוש במפתח אבטחה פיזי של טיטאן ובמקום לחפור אותו מכיסך וחיבורו לאימות, ביטול נעילת הטלפון מאמת אותו ושומר עליו פָּעִיל.
עכשיו אתה לא צריך קצת פוב אם אתה קונה פיקסל.
כשאתה משתמש בפיקסלים עם שבב Titan M כדי להירשם או לגשת לאתר מאובטח, כמו בקרות חשבון Google שלך או אֲמָזוֹנָה או כל שירות אינטרנט אחר תואם FIDO, אתה מוגן מפני התחזות ממש כאילו השתמשת בפוב מפתח ה- Titan בפועל.
שבב ה- Titan M בתוך ה- Pixel שלך עובד גם במהלך התהליך ההצפנה ומשמש כבקר אתחול מאובטח כפי שאנו רואים בשרתים האמיתיים של גוגל. אתה יכול לבטל את הדרישה, אך עם אפשרות זו שבב טיטאן בודק את החתימה הדיגיטלית של תמונת האתחול ועוקב אחר התהליך, ועוצר אם משהו אינו מה שהוא אמור להיות.
זה גם מאמת מפתחות הצפנה / פענוח עבור נתונים שעוברים פנימה והחוצה מטלפון ה- Pixel שלך, כך שכל התהליך יכול להיות מהיר ובטוח יותר בו זמנית. כשאתה מתקשר עם שרת Google למשהו כמו a פעולת גיבוי או שחזור, שני שבבי טיטאן העובדים יחד פירושם שהנתונים שלך בטוחים ככל שיהיו. וזה היה מאומת באופן עצמאי ונמצא שנכון.