Вы могли слышать о Цепочка безопасности Google Titan. Эта идея началась для использования на серверах, а затем перешла к брелокам безопасности, используемым в качестве устройств двухфакторной аутентификации, и с Пиксель 3, оказались внутри телефона.
Простое объяснение состоит в том, что Titan - это имя чипа, который живет вне любого процессора, и такие вещи, как логины и шифрование / дешифрование, проходят через него. Но между тремя версиями есть много различий, и именно поэтому все работает вместе - они специализированы для своего конкретного случая использования.
Достаточно интересно поговорить о том, как все это работает, и этим мы и займемся.
Безопасность на стороне сервера
Возможно, вы этого не знаете, но Google разрабатывает и настраивает многие из используемых серверов. Он разрабатывает оборудование, использует стек микропрограмм, которым управляет Google, собственный усиленный гипервизор и даже операционную систему, курируемую Google. Кроме того, физическая безопасность самих зданий строго контролируется.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
Частью аппаратного корня доверия Google является чип Titan. Он используется двумя разными способами, чтобы убедиться, что ваши данные, а также почти каждая часть Облачная платформа Google, настолько безопасен, насколько это возможно: безопасная загрузка и криптографическая идентификация.
Первое, что делает Titan, - это убедитесь, что серверное программное обеспечение соответствует требованиям Google.
Большинство компьютеров загружаются одинаково. Есть некоторые контроллеры управления материнской платой, у которых есть собственная прошивка, которая запускает вечеринку, а затем ЦП загружает образ загрузочной прошивки. После загрузки загрузчик берет на себя и загружает операционную систему.
А Безопасная загрузка Процесс зависит от нескольких вещей: аутентифицированного образа загрузочной прошивки и процесса загрузчика, а также копии файлов операционной системы с цифровой подписью. Ваш телефон делает это, ваш ноутбук или настольный компьютер делает это, и большинство серверов делают это. Google добавляет в смесь чип Titan, чтобы упростить процесс.
Titan действует как безопасный элемент в загрузочной цепочке, но также делает это довольно уникальным способом. Из-за оборудования внутри модуля Титан, который полностью изолирован собственным процессор и память - он может начать мониторинг процесса загрузки, как только контроллеры платы получат началось. Titan сначала выполняет самопроверку своей прошивки, затем каждый байт нормального процесса загрузки отслеживается в реальном времени. Когда сервер загружается, никакая подлость не может проникнуть внутрь.
Модуль Titan также является основой криптографической идентификации сервера.
Titan на сервере также является основной частью процесса сквозной криптографической проверки личности. Каждый чип имеет свой уникальный ключ, и все они общаются через центр сертификации Titan, который проверяет каждый и на каждой микросхеме установлена правильная прошивка и даже контролируется системный журнал, поэтому без надлежащего запись.
Когда вы установили ссылку на данные, хранящиеся на сервере Google, все запросы на шифрование и дешифрование проходят через модуль Titan, чтобы убедиться, что это вы, убедитесь, что у вас есть полномочия для доступа к запрошенным вами сохраненным данным и убедитесь, что весь сервер защищен без каких-либо мошеннических служб или процессов приложений в играть.
Google очень серьезно относится к безопасности серверов, потому что, если бы этого не было, компания скоро прекратила бы свою деятельность. Из-за этого Titan запустился на серверах, и это отличный способ защитить не только наши данные, но и все данные, используемые любым процессом Google Cloud Compute.
Двухфакторная аутентификация
Следующим шагом для чипа Titan было его уменьшение и использование для двухфакторный ключ безопасности. Не просто любой ключ, поскольку Titan Keys - это ключи, совместимые с FIDO, которые предотвращают попадание пользователей на фишинговую атаку.
Это означает, что микросхема Titan M внутри брелока проверяет, что на нем запущена прошивка, которой она должна быть при электрической активации, а затем используется в качестве устройства аутентификации.
Двухфакторная аутентификация: все, что вам нужно знать
Протоколы FIDO используются для предотвращения фишинговых атак с использованием криптографии с открытым ключом. Большинство браузеров FIDO совместимы, и многие из них работают с аппаратной 2FA как ключ безопасности. Когда вы открываете Chrome и создаете учетную запись на веб-сайте, совместимый с FIDO ключ можно использовать для создания пары открытого / закрытого ключей как на вашем устройстве, так и на веб-хосте. Обмен открытыми ключами происходит, и при следующем посещении вы можете пройти аутентификацию, используя то же устройство, которое использовалось для регистрации.
Сервисы и ключи FIDO гарантируют, что вы не попадете под фишинг.
Если создан «фальшивый» сайт для попытки фишинга вашей учетной записи, закрытый ключ от хоста не сможет пройти проверку безопасности, и вы не сможете войти в систему. Это означает, что кто-то не сможет подделать ваше имя пользователя и пароль.
Существует много ключей, совместимых с FIDO, но чип Titan в Google предназначен для убедитесь, что крошечный фрагмент кода, который запускается с ключом безопасности, является правильным фрагментом кода каждый раз, когда вы используете Это.
Титан на вашем пикселе
С дебютом Pixel 3 чип Titan M теперь внутри каждого пикселя, идущего вперед.
Это означает, что вы получаете все преимущества использования физического ключа безопасности Titan вместо того, чтобы выкапывать его вашего кармана и подключите его для аутентификации, разблокировка телефона аутентифицирует его и сохраняет его активный.
Теперь вам не понадобится маленький брелок, если вы купите Pixel.
Когда вы используете Pixel с чипом Titan M для регистрации или доступа к защищенному веб-сайту, например, к элементам управления вашей учетной записи Google или Amazon или любой другой веб-сервис, совместимый с FIDO, вы защищены от фишинга, как если бы вы использовали настоящий брелок Titan.
Чип Titan M внутри вашего Pixel также работает во время криптографического процесса и действует как контроллер безопасной загрузки, как мы видим на реальных серверах Google. Вы можете отключить это требование, но при его включении чип Titan проверяет цифровую подпись загрузочного образа и отслеживает процесс, останавливаясь, если что-то не так, как должно быть.
Он также проверяет ключи шифрования / дешифрования данных, поступающих на ваш телефон Pixel и исходящих из него, поэтому весь процесс может быть быстрее и безопаснее одновременно. Когда вы общаетесь с сервером Google для чего-то вроде операция резервного копирования или восстановления, два чипа Titan, работающие вместе, означают, что ваши данные настолько безопасны, насколько это возможно. И это было независимо проверенный и оказалось правдой.