Du har kanskje hørt om Googles Titan-sikkerhetskjede. Det er en idé som startet for bruk på servere, og deretter flyttet til sikkerhetsnøkkelbrikker brukt som tofaktorautentiseringsenheter, og med Pixel 3, havnet inne i en telefon.
Den enkle forklaringen er at Titan er navnet på brikken som lever utenfor enhver prosessor, og ting som pålogginger og kryptering / dekryptering blir trukket gjennom den. Men det er mange forskjeller mellom de tre versjonene, og det er det som gjør at alt fungerer sammen - de er spesialiserte for deres spesielle brukstilfelle.
Det er interessant nok å snakke om hvordan det hele fungerer, så det er det vi skal gjøre her.
Serversikkerhet
Du vet kanskje ikke det, men Google designer og skreddersyr mange av serverne den bruker. Den designer maskinvaren, bruker en firmwarestabel som Google kontrollerer, sin egen herdede hypervisor og til og med et Google-kuratert operativsystem. Utover det er den fysiske sikkerheten på selve bygningene tett kontrollert.
Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer
En del av den maskinvarebaserte roten til tillit Google har, er Titan-brikken. Den brukes på to forskjellige måter for å sikre at dataene dine, så vel som nesten alle deler av Googles skyplattform, er så sikker som den kan være: Secure Boot og kryptografisk identitet.
Det første Titan gjør er å sørge for at serverprogramvaren er det Google sier at den skal være.
De fleste datamaskiner starter på samme måte. Det er noen baseboard-styringskontroller som har sin egen firmware som får festen i gang, og deretter laster CPUen opp et firmware-image for oppstart. Når bootloaderen er lastet inn tar den over og laster inn et operativsystem.
EN Sikker oppstart prosessen avhenger av et par ting: en autentisert firmware-image for oppstart og bootloader og en digitalt signert kopi av operativsystemfilene. Telefonen din gjør dette, den bærbare eller stasjonære datamaskinen gjør dette, og de fleste servere gjør dette. Google legger til Titan-brikken i blandingen for å herde prosessen.
Titan fungerer som det sikre elementet i bagasjekjeden, men det gjør det også på en ganske unik måte. På grunn av maskinvaren inne i Titan-modulen - som er helt isolert med sin egen prosessor og minne - det kan begynne å overvåke oppstartsprosessen så snart styringskontrollene får det startet. Titan kjører først en selvkontroll av sin egen firmware, deretter overvåkes hver byte i den normale oppstartsprosessen i sanntid. Når serveren er startet opp, er det ingen måte noe skjult fant veien inn.
Titan-modulen er også hjertet i serverens kryptografiske identitet.
Titan på serveren er også hoveddelen av en prosess for verifisering av kryptografisk identitet. Hver brikke har sin egen unike nøkkel, og de kommuniserer alle gjennom en Titan Certification Authority som verifiserer hver og en hver brikke kjører riktig firmware og styrer til og med systemlogging, slik at ingenting kan skje uten en ordentlig ta opp.
Når du har opprettet en lenke til data lagret på en Google-server, går alle krypterings- og dekrypteringsforespørsler gjennom Titan-modulen for å sikre at du er deg, gjør at du har myndighet til å få tilgang til de lagrede dataene du ba om, og å sørge for at hele serveren er sikker uten falske tjenester eller applikasjonsprosesser i spille.
Google tar serversikkerhet veldig seriøst, for hvis det ikke gjorde det, ville det snart gå ut av virksomheten. Titan startet på servere på grunn av dette, og det er en fantastisk måte å beskytte ikke bare dataene våre, men alle dataene som brukes av en hvilken som helst Google Cloud Compute-prosess.
To-faktor autentisering
Det neste trinnet for Titan-brikken var å krympe den ned og bruke den til en tofaktors sikkerhetsnøkkel. Ikke bare hvilken som helst nøkkel, siden Titan Keys er FIDO-kompatible nøkler som forhindrer brukere fra å falle for et phishing-angrep.
Hva det betyr er at Titan M-brikken inne i nøkkelfoben kontrollerer at den kjører fastvaren som den skal være når den er elektrisk aktivert, så brukes den som en godkjenningsenhet.
To-faktor autentisering: Alt du trenger å vite
FIDO-protokoller brukes til å forhindre phishing-angrep ved hjelp av kryptering med offentlig nøkkel. De fleste nettlesere er det FIDO kompatibel og mange jobber med maskinvarebasert 2FA som en sikkerhetsnøkkel. Når du åpner Chrome og oppretter en konto på et nettsted, kan en FIDO-kompatibel nøkkel brukes til å bygge et offentlig / privat nøkkelpar på både enheten din og webhotellet. Offentlige nøkler byttes ut, og neste gang du besøker kan du godkjenne ved hjelp av samme enhet som ble brukt til å registrere.
FIDO-tjenester og nøkler sørger for at du ikke blir phishing.
Hvis et "falskt" nettsted er bygget for å prøve å fiske kontoen din, vil ikke den private nøkkelen fra verten klare å passere sikkerhetsutfordringen, og du kan ikke logge inn. Dette betyr at noen ikke kan phishe brukernavnet og passordet ditt.
Det er mange FIDO-kompatible nøkler der ute, men Titan-brikken på Googles er der for å lage sørg for at den lille koden som kjører på en sikkerhetsnøkkel, er den rette koden hver gang du bruker den.
Titan på Pixel
Med debut av Pixel 3 er Titan M-brikken nå inne i hver Pixel fremover.
Dette betyr at du får alle fordelene ved å bruke en fysisk Titan-sikkerhetsnøkkel og i stedet for å grave den ut av lommen og koble den til for å autentisere, låse opp telefonen din, autentiserer den og beholder den aktiv.
Nå trenger du ikke litt fob hvis du kjøper en Pixel.
Når du bruker en Pixel med en Titan M-brikke for å registrere deg eller få tilgang til et sikret nettsted, som Google-kontokontrollene dine eller Amazon eller en hvilken som helst annen FIDO-kompatibel nettjeneste, er du beskyttet mot phishing akkurat som om du brukte den faktiske Titan-nøkkelen.
Titan M-brikken inne i Pixel fungerer også under den kryptografiske prosessen og fungerer som en sikker oppstartkontroller som vi ser på Googles faktiske servere. Du kan slå av kravet, men med det aktivert sjekker Titan-brikken den digitale signaturen til oppstartsbildet og overvåker prosessen, og stopper hvis noe ikke er hva det skal være.
Det verifiserer også krypterings- / dekrypteringsnøkler for data som flytter inn og ut av Pixel-telefonen din, slik at hele prosessen kan være raskere og tryggere samtidig. Når du kommuniserer med en Google-server for noe sånt som en sikkerhetskopiering eller gjenoppretting, to Titan-sjetonger som fungerer sammen, betyr at dataene dine er omtrent like trygge som de kan være. Og det har vært uavhengig verifisert og funnet å være sant.