谷歌透露更多细节,揭其定制安全硅芯片如何巩固服务器和云服务完整性。

谷歌定制Titan芯片,为该互联网巨头的重计算负载主机,提供硬件验证的启动和端到端认证的信任根。

谷歌高级技术人员在博客中解释道:“我们在多个层面上强化了我们的架构,包括谷歌设计的硬件、谷歌控制的固件栈、谷歌策展的操作系统镜像、谷歌强化的管理程序,以及数据中心物理安全和服务。”

3月份的Cloud Next ’17 大会上,谷歌首次公布了其硬件安全要求,Titan就是按该要求特别设计的安全低功耗微控制器。

谷歌把安全融入主机芯片_第1张图片

该芯片是在谷歌服务器定制芯片中融入安全的长期安全理念的延伸。

Titan的设计目的,就是要确保机器从使用可验证代码的已知良好状态启动,为后续操作提供安全基础,消除基于固件的rootkit或其他类似恶意软件的可能性。

谷歌团队写道:“我们的机器从已知固件/软件栈启动,加密验证该栈,然后基于该验证状态确定是否有权访问我们网络上的资源。Titan集成了该过程,提供了额外的防护层。”

安全启动通常依靠经验证的启动固件,和带数字签名启动文件的引导加载程序。此外,安全元素可以提供私钥存储和管理。Titan则附加了2个安全控制——修复和首指令完整性。

修复,提供了在Titan固件中找到并补上漏洞时,重新建立信任的机制。首指令完整性,让谷歌可以识别出每台机器启动周期中最早运行的代码。

Titan综合了很多组件:一个安全应用处理器,一个加密协处理器,一个硬件随机数生成器,一个密钥体系,嵌入式静态RAM,嵌入式闪存和只读内存块。

实际上,谷歌是在将其硬件安全启动验证,从上到下一路推行到裸机芯片上。谷歌采取了步步紧缩的做法交付安全启动——依赖自产专业技术而非第三方。

英国约克大学技术专家亚瑟·克鲁指出:“他们明显信不过供应链。”

正如克鲁提到的,今年拉斯×××***大会上演示的固件漏洞研究,可能被用于植入软件后门。谷歌承认,此类外部干扰是其试图杜绝的一个风险。

谷歌自行设计Titan的硬件逻辑,以减少硬件后门的风险。Titan生态系统可确保生产基础设施,以可验证的授权代码安全启动。

除了安全启动,谷歌还开发了基于Titan的端到端加密身份系统,为其数据中心的各种加密操作提供信任根。该系统的强身份,赋予了谷歌不可否认的审计线索,可暴露出对系统所做的任意修改。防篡改日志记录功能,帮助识别所进行的任何动作,甚至有root权限的内部人所做的动作也逃不掉。

谷歌总结道:通过对系统固件和软件组件的验证,以及建立基于硬件的强系统身份,Titan提供了安全所需的信任根。