S-ar putea să fi auzit despre Lanțul de securitate Google Titan. Este o idee care a început să fie utilizată pe servere, apoi sa mutat pe cheile de securitate folosite ca dispozitive de autentificare cu doi factori și cu Pixel 3, a ajuns în interiorul unui telefon.
Explicația simplă este că Titan este numele cipului care trăiește în afara oricărui procesor și lucruri precum conectările și criptarea / decriptarea sunt canalizate prin el. Dar există o mulțime de diferențe între cele trei versiuni și asta face ca totul să funcționeze împreună - sunt specializați pentru cazul lor de utilizare.
Este destul de interesant să vorbim despre cum funcționează totul, deci asta vom face aici.
Securitate pe server
S-ar putea să nu știți, dar Google proiectează și personalizează multe dintre serverele pe care le folosește. Proiectează hardware-ul, folosește un stack de firmware pe care Google îl controlează, propriul său hipervizor întărit și chiar un sistem de operare curatat de Google. Dincolo de aceasta, securitatea fizică a clădirilor în sine este strict controlată.
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
O parte din rădăcina de încredere bazată pe hardware pe care Google o are este cipul Titan. Este utilizat în două moduri diferite pentru a vă asigura că datele dvs., precum și aproape fiecare parte a acestuia Google Cloud Platform, este cât se poate de sigur: boot sigur și identitate criptografică.
Primul lucru pe care îl face Titan este să se asigure că software-ul server este ceea ce Google spune că ar trebui să fie.
Majoritatea computerelor pornesc în același mod. Există unele controlere de gestionare a plăcii care au propriul firmware care începe petrecerea, apoi CPU încarcă o imagine de firmware de boot. Odată ce bootloader-ul este încărcat, acesta preia și încarcă un sistem de operare.
A Încărcare sigură procesul depinde de câteva lucruri: o imagine autentificată a firmware-ului și un proces de încărcare și o copie semnată digital a fișierelor sistemului de operare. Telefonul dvs. face acest lucru, laptopul sau desktopul face acest lucru și majoritatea serverelor fac acest lucru. Google adaugă cipul Titan în mix pentru a întări procesul.
Titan acționează ca elementul sigur al lanțului de boot, dar îl face și într-un mod destul de unic. Datorită hardware-ului din modulul Titan - care este complet izolat cu al său procesor și memorie - poate începe monitorizarea procesului de pornire de îndată ce controlorii plăcii obțin a început. Titan execută mai întâi o auto-verificare a propriului firmware, apoi fiecare octet al procesului normal de pornire este monitorizat în timp real. Când serverul este pornit, nu există nicio modalitate în care ceva furtun și-a găsit drumul.
Modulul Titan este, de asemenea, inima identității criptografice a unui server.
Titanul de pe server este, de asemenea, partea principală a unui proces de verificare a identității criptografice end-to-end. Fiecare cip are propria sa cheie unică și toate comunică printr-o autoritate de certificare Titan care le verifică pe fiecare și fiecare cip rulează firmware-ul corect și controlează chiar înregistrarea sistemului, astfel încât nimic nu se poate întâmpla fără un sistem adecvat record.
Când ați stabilit un link către datele stocate pe un server Google, toate cererile de criptare și decriptare trec prin modulul Titan pentru a vă asigura că sunteți dvs., faceți asigurați-vă că aveți autoritatea de a accesa datele stocate pe care le-ați solicitat și de a vă asigura că întregul server este sigur, fără niciun serviciu necinstit sau procese de aplicații în Joaca.
Google ia foarte în serios securitatea serverului, pentru că, în caz contrar, ar ieși din afaceri în curând. Titan a început pe servere din acest motiv și este un mod minunat de a proteja nu doar datele noastre, ci toate datele utilizate de orice proces Google Cloud Compute.
Autentificare cu doi factori
Următorul pas pentru cipul Titan a fost să-l micșorăm și să-l folosim pentru o cheie de securitate cu doi factori. Cu toate acestea, nu orice cheie, deoarece Titan Keys sunt chei compatibile cu FIDO care împiedică utilizatorii să cadă pentru un atac de phishing.
Ceea ce înseamnă asta este că cipul Titan M din interiorul cheii de comandă verifică dacă rulează firmware-ul care ar trebui să fie atunci când este activat electric, apoi este folosit ca dispozitiv de autentificare.
Autentificare cu doi factori: tot ce trebuie să știți
Protocoalele FIDO sunt utilizate pentru a preveni atacurile de phishing folosind criptografie cu cheie publică. Cele mai multe browsere sunt FIDO compatibil și mulți funcționează cu 2FA bazat pe hardware, ca o cheie de securitate. Când deschideți Chrome și creați un cont pe un site web, o cheie compatibilă cu FIDO poate fi utilizată pentru a crea o pereche de chei publice / private atât pe dispozitivul dvs., cât și pe gazda web. Cheile publice sunt schimbate, iar data viitoare când veți vizita vă puteți autentifica folosind același dispozitiv folosit pentru înregistrare.
Serviciile și cheile FIDO vă asigură că nu sunteți phishing.
Dacă un site „fals” este construit pentru a încerca să pătrundă contul dvs., cheia privată de la gazdă nu va putea trece provocarea de securitate și nu vă puteți conecta. Acest lucru înseamnă că cineva nu vă poate phish numele de utilizator și parola.
Există o mulțime de chei compatibile FIDO acolo, dar cipul Titan de pe Google este acolo pentru a face asigurați-vă că bitul de cod care rulează pe o cheie de securitate este bitul de cod potrivit de fiecare dată când îl utilizați aceasta.
Titan pe Pixel
Odată cu debutul Pixel 3, cipul Titan M este acum în interiorul fiecărui pixel care merge înainte.
Acest lucru înseamnă că obțineți toate avantajele utilizării unei chei de securitate fizice Titan și în loc să o scoateți din buzunar și conectarea acestuia pentru autentificare, deblocarea telefonului îl autentifică și îl păstrează activ.
Acum nu mai aveți nevoie de un mic fob dacă cumpărați un Pixel.
Când utilizați un Pixel cu un cip Titan M pentru a vă înregistra sau accesa un site securizat, cum ar fi comenzile contului dvs. Google sau Amazon sau orice alt serviciu web compatibil cu FIDO, sunteți protejat de phishing la fel ca și cum ați utiliza actualul portofoliu Titan.
Cipul Titan M din Pixel funcționează, de asemenea, în timpul procesului criptografic și acționează ca un controler de boot sigur, așa cum vedem pe serverele reale de la Google. Puteți dezactiva cerința, dar cu aceasta activată, cipul Titan verifică semnătura digitală a imaginii de boot și monitorizează procesul, oprind dacă ceva nu este ceea ce ar trebui să fie.
De asemenea, verifică cheile de criptare / decriptare pentru datele care intră și ies din telefonul dvs. Pixel, astfel încât întregul proces să fie mai rapid și mai sigur în același timp. Când comunicați cu un server Google pentru ceva de genul operațiunea de backup sau restaurare, două cipuri Titan care funcționează împreună înseamnă că datele dvs. sunt cât se poate de sigure. Și asta a fost verificat independent și s-a constatat că este adevărat.