¿Qué es el chip de seguridad Titan de Google y cómo funciona?

Anunciado en marzo en Google Cloud Next '17, el chip de seguridad Google Titan es otro elemento fundamental en el intento de Google de mejorar sus credenciales de seguridad y reducir la brecha con sus competidores, principalmente AWS y Microsoft Azure. Después de probar el chip en sus centros de datos durante bastante tiempo, Google anunció recientemente sus detalles técnicos. Entonces, si se ha encontrado con noticias sobre el chip de seguridad Titan de Google y se pregunta de qué se trata. Bueno, en este artículo, repasaré qué es el chip de seguridad de Google Titan, cómo funciona y todo lo que necesita saber al respecto..

¿Qué es el chip de seguridad Titan??

En las palabras más simples, Titan es un chip de seguridad que previene el tipo de ataques en los que los espías del gobierno interceptan el hardware e insertan un implante de firmware. Actualmente, los atacantes hacen esto principalmente explorando las vulnerabilidades del firmware para superar las defensas del sistema operativo e instalando rootkits que pueden persistir incluso después de que se haya reinstalado el sistema operativo..

Titán es una parte de Google Cloud Platform (GCP) que está diseñado, construido y operado con el objetivo de proteger el código y los datos de los clientes. El chip es un microcontrolador seguro de bajo consumo creado para garantizar que los sistemas siempre se inicien desde el último estado bueno conocido. El chip es del tamaño de un arete pequeño y ya se ha instalado en muchos de los servidores informáticos y tarjetas de red que pueblan los enormes centros de datos de Google..

Cuando el chip se presentó por primera vez en marzo de este año, Google planeaba usar el procesador para darle a cada uno de sus servidores una identidad individual. A partir de hoy, Google utiliza actualmente los chips de seguridad Titan para proteger los servidores que ejecutan sus propios servicios como Búsqueda de Google, Gmail y YouTube..

¿De qué se compone el chip de seguridad Titan??

Las máquinas de los centros de datos de Google tienen varios componentes que incluyen CPU, RAM, BMC, controlador de interfaz de red (NIC), firmware de arranque, flash de firmware de arranque y almacenamiento persistente. Estos componentes interactúan entre sí de forma sistemática para arrancar las máquinas. Para proteger este proceso de arranque, Google utiliza un arranque seguro que se basa en una combinación de un firmware de arranque autenticado y un cargador de arranque, junto con archivos de arranque firmados digitalmente, para proporcionar las medidas de seguridad deseadas..

Titan es un chip especialmente diseñado que no solo cumple con estas expectativas, sino que también proporciona dos importantes propiedades de seguridad adicionales: corrección e integridad en la primera instrucción. El chip se comunica con la CPU principal a través del bus SPI y se interpone entre la memoria flash del firmware de arranque de los componentes como BMC o PCH. Esto le permite observar cada byte del firmware de arranque..

Para lograr las medidas de seguridad que promete Titán, consta de varios componentes. Algunos de los más destacados se mencionan a continuación..

• Un procesador de aplicaciones seguro
• Un coprocesador criptográfico
• Un generador de números aleatorios por hardware
• Una jerarquía de claves sofisticada
• Una RAM estática incorporada (SRAM)
• Un flash incrustado
• Un bloque de memoria de solo lectura
• Bus de interfaz de periféricos en serie (SPI)
• Controlador de administración de placa base (BMC) o concentrador de controlador de plataforma (PHC)

¿Cómo funciona el chip de seguridad Titan??

El primer paso en el funcionamiento del chip de seguridad Titan es ejecución de código por sus procesadores. Esto se hace inmediatamente después de que se enciende la máquina host. Luego, el proceso de fabricación establece un código inmutable en el que se confía implícitamente y se valida en cada reinicio del chip. Posteriormente, el chip ejecuta una autoprueba que está integrada en su memoria. Esto sucede cada vez que arranca para garantizar que toda la memoria, incluida la ROM, no haya sido manipulada..

El siguiente paso es cargar el firmware de Titan. Aunque este firmware está integrado en la memoria flash en el chip, la ROM de arranque de Titan no confía ciegamente en él. En cambio, verifica el firmware de Titan utilizando criptografía de clave pública y mezcla la identidad de este código verificado en la jerarquía de claves de Titan. Finalmente, la ROM de arranque carga el firmware verificado.

Una vez que el chip Titan inicia su propio firmware de forma segura, A continuación, se verifica el contenido de la memoria flash del firmware de arranque del host. utilizando criptografía de clave pública. Mientras esta verificación está en proceso, Titan puede bloquear el acceso de PCH / BMC a la memoria flash del firmware de arranque. Ahora, cuando el proceso finalmente se completa, el chip envía una señal para liberar el resto de la máquina del reinicio. Esta señal proporciona a Google Cloud Platform la información sobre qué firmware de arranque y sistema operativo se están iniciando en su máquina desde la primera instrucción. Google Cloud Platform también aprende sobre los parches de microcódigo que pueden haberse obtenido antes de la primera instrucción del firmware de arranque..

Finalmente, el firmware de arranque verificado por Google configura la máquina y carga el cargador de arranque. Esto posteriormente verifica y carga el sistema operativo..

Por qué la necesidad de un chip de seguridad Titan?

Dado que la mayoría de los servidores y el hardware de red se fabricaron en el extranjero, los operadores de centros de datos que trabajaban para Google Cloud Platform estaban preocupados por la posibilidad de que los piratas informáticos o los ciberdelincuentes del estado nacional pusieran en peligro estos dispositivos antes de enviarlos. El chip Titan de Google aborda estas preocupaciones a través de sus continuos controles que brindan seguridad adicional al hardware de computación en la nube. Esto permite a la empresa mantener un nivel de comprensión en su cadena de suministro que de otra manera no tendrían..

Otra razón por la que instalar el chip de seguridad Titan en servidores informáticos es la contrarrestar nuevos ataques de firmware que puede apuntar a chips de firmware regrabables. Estos pueden ser chips de BIOS o controladores de disco duro.

¿Cómo beneficia el chip de seguridad Titan a Google??

Hay dos formas principales en las que el chip de seguridad Titan beneficia a Google. Primero está el punto de vista de la seguridad y segundo es el punto de vista competitivo.

Desde el punto de vista de la seguridad, el chip Titan beneficia a Google de las siguientes tres formas:

• Proporciona un raíz de confianza basada en hardware que establece una fuerte identidad de máquina. Esto ayuda a Google a tomar decisiones de seguridad importantes y a validar el estado del sistema. Como resultado, esto asegura una pista de auditoría irreversible de cualquier cambio realizado..
• Las capacidades de registro a prueba de manipulaciones ayudan a identificar las acciones realizadas por un interno con acceso de root.
• El chip ofrece verificación de integridad de componentes de software y firmware.

Desde la perspectiva competitiva, Google Cloud Platform tiene actualmente una cuota de mercado global de la nube del 7%. Esto lo coloca en tercer lugar detrás de Amazon Web Services (AWS) (41% de participación de mercado) y Microsoft Azure (13% de participación de mercado). Con el nuevo chip Titan, Google busca diferenciarse de sus competidores y traer más empresas centradas en la seguridad a su plataforma de computación en la nube. Este es un movimiento importante ya que, según Gartner, el mercado mundial de la computación en la nube tiene un valor de casi $ 50 mil millones..

Como beneficio consiguiente, Google también ha desarrollado un sistema de identidad criptográfica de un extremo a otro basado en Titán. Esto puede actuar además como la raíz de la confianza para diversas operaciones criptográficas en sus centros de datos..

VEA TAMBIÉN: ¿Qué es la red de malla Bluetooth y cómo funciona??

¿El chip de seguridad Titan realmente ayudará a Google??

Si bien Google Cloud Platform actualmente se queda atrás de sus competidores, especialmente AWS, el chip de seguridad Titan les parece una gran oferta. Con sus impresionantes resultados de prueba, todo se reduce a si el chip ayudará o no a que Google Cloud Services se destaque de los demás a largo plazo. Personalmente, a mí también me interesa mucho ver cómo van a salir las cosas. ¿Y usted? Hágame saber sus pensamientos sobre esto en la sección de comentarios a continuación.