Titan-Hardwarechip

Dieser Inhalt wurde zuletzt im Januar 2025 aktualisiert und stellt den Stand bei der Erstellung dar. Die Sicherheitsrichtlinien und -systeme von Google Cloud können sich aber in Zukunft ändern, da wir den Schutz unserer Kundinnen und Kunden kontinuierlich verbessern.

Der Titan-Chip ist ein spezieller Chip, der die Hardware-Root-of-Trust für Plattformen in Google Cloud -Rechenzentren bildet. Der Titan-Chip ist ein energieeffizienter Mikrocontroller, der auf Plattformen wie Servern, Netzwerkinfrastrukturen und anderen Rechenzentrumsperipheriegeräten eingesetzt wird.

Der Titan-Chip ist eine wichtige Komponente der Titanium-Hardware-Sicherheitsarchitektur, die eine grundlegende Sicherheitsebene bietet, die vor physischen Angriffen und Bedrohungen für Nutzerdaten schützt. Mit dem Titan-Chip kann Google die Plattform-Firmware und -Konfiguration sicher identifizieren und messen. Er soll vor Angriffen mit privilegierter Software und Rootkits schützen, und zwar ab dem Startvorgang des Computers.

In diesem Dokument werden die Chiparchitektur und die Sicherheitsvorteile des Titan-Chips beschrieben. Der Titan-Chip unterstützt eine minimale Trusted Computing Base (TCB), die dem Chip folgende Vorteile bietet:

  • Eine Hardware Root of Trust, die eine starke Identität für einen Computer erstellt
  • Integritätsprüfung der Plattform-Firmware sowohl beim Starten als auch beim Aktualisieren
  • Remote-Anmeldedatenversiegelung, die das Anmeldedatenverwaltungssystem von Google unterstützt

Die Titan-Chipfamilie

Die ersten Titan-Chips wurden 2014 entwickelt. Bei späteren Generationen wurden die Erfahrungen aus iterativen Herstellungs-, Integrations- und Bereitstellungsprozessen einbezogen. Weitere Informationen dazu, wie Google sein Wissen über den Titan-Chip der Open-Source-Community für Hardwaresicherheit zur Verfügung stellt, finden Sie unter opentitan.org.

Titan-Chips enthalten die folgenden Komponenten:

  • Sicherer Prozessor
  • AES- und SHA-Kryptoprozessor
  • Hardware-Zufallszahlengenerator
  • Komplexe Schlüsselhierarchie
  • Eingebettetes statisches RAM (SRAM), Flash und ROM

Titan-Herstelleridentität

Während der Herstellung von Titan-Chips wird für jeden Titan-Chip eindeutiges Schlüsselmaterial generiert. Dieses Schlüsselmaterial wird zertifiziert und zum Erstellen von Bestätigungseinträgen verwendet. Diese Datensätze werden in einer oder mehreren Registry-Datenbanken gespeichert und mithilfe von Air-Gapped- und Multi-Party-Kontrollen kryptografisch geschützt.

Wenn Titan-kompatible Plattformen in das Google-Produktionsnetzwerk eingebunden werden, können die Backend-Systeme prüfen, ob diese Plattformen mit authentischen Titan-Chips ausgestattet sind. Authentische Titan-Chips sind mit Schlüsseln versehen, die während des Titan-Herstellungsprozesses registriert und zertifiziert wurden. Weitere Informationen dazu, wie Dienste das Titan-Identitätssystem verwenden, finden Sie unter Verfahren zum Versiegeln von Anmeldedaten.

Die Identitäten von Titan-Chips der neuesten Generation werden gemäß Branchenstandards wie der Device Identifier Composition Engine (DICE) generiert und zertifiziert. Die ursprünglichen Titan-Chips wurden mit einem benutzerdefinierten Google-Design zertifiziert, da sie vor der Einführung der relevanten Branchenstandards hergestellt wurden. Die Erfahrung von Google bei der Herstellung und Bereitstellung sicherer Hardware motiviert uns, die Teilnahme an Standards-Prozessen zu steigern. Neuere Standards wie DICE, Trusted Platform Module (TPM) und Security Protocol and Data Mode (SPDM) enthalten Änderungen, die unsere Erfahrung widerspiegeln.

Titan-Integration

Wenn der Titan-Chip in eine Plattform integriert ist, bietet er einem Anwendungsprozessor (AP) Schutzmaßnahmen. Titan kann beispielsweise mit einer CPU, einem Baseboard Management Controller (BMC) oder einem Beschleuniger für Arbeitslasten wie maschinelles Lernen kombiniert werden.

Titan kommuniziert über den SPI-Bus (Serial Peripheral Interface) mit dem ZP. Titan wird zwischen dem ZP und dem Boot-Firmware-Flash-Chip des ZP geschaltet, damit Titan jedes Byte dieser Firmware lesen und messen kann, bevor die Firmware beim Start ausgeführt wird.

Wenn eine Titan-kompatible Plattform eingeschaltet wird, geschieht Folgendes:

  1. Titan hält die CPU im Reset-Modus, während der interne Anwendungsprozessor von Titan unveränderlichen Code (das Boot-ROM) aus seinem eingebetteten Nur-Lese-Speicher ausführt.
  2. Titan führt einen integrierten Selbsttest durch, um zu prüfen, ob der gesamte Speicher (einschließlich des ROM) manipuliert wurde.
  3. Das Boot-ROM von Titan überprüft die Firmware von Titan mithilfe der Public-Key-Kryptografie und mischt die Identität der geprüften Firmware in die Schlüsselhierarchie von Titan ein.
  4. Das Boot-ROM von Titan lädt die bestätigte Firmware von Titan.
  5. Die Titan-Firmware überprüft den Inhalt des Boot-Firmware-Flash des ZP mithilfe der Public-Key-Kryptografie. Titan blockiert den Zugriff des ZP auf seinen Boot-Firmware-Flash, bis der Überprüfungsprozess erfolgreich abgeschlossen ist.
  6. Nach der Überprüfung hebt der Titan-Chip den Reset des ZP auf, sodass er starten kann.
  7. Die AP-Firmware führt eine zusätzliche Konfiguration durch, die das Starten weiterer Boot-Images umfassen kann. Der ZP kann Messungen dieser Boot-Images erfassen und die Messwerte zur sicheren Überwachung an Titan senden.

Durch diese Schritte wird die Integrität der ersten Anweisung erreicht, da Google die Boot-Firmware und das Betriebssystem, das auf dem Computer gestartet wurde, anhand der allerersten Anweisung identifizieren kann, die während des Startzyklus ausgeführt wird. Bei ZPs mit CPUs, die Microcode-Updates akzeptieren, wird Google während des Bootvorgangs auch darüber informiert, welche Microcode-Patches vor der ersten Anweisung der Boot-Firmware abgerufen wurden. Weitere Informationen finden Sie unter Gemessener Bootvorgang.

Dieser Ablauf ähnelt dem Bootvorgang, der auf Plattformen mit TPM ausgeführt wird. Titan-Chips bieten jedoch Funktionen, die bei Standard-TPMs nicht allgemein verfügbar sind, z. B. die interne Firmware-Selbstattestierung von Titan oder die Sicherheit beim Firmware-Upgrade von APs, wie in den folgenden Abschnitten beschrieben.

Standard-TPM-Integrationen können anfällig für physische Interposer-Angriffe sein. Neuere Titan-Integrationen bei Google verringern diese Angriffe durch integrierte Vertrauenswürdigkeitsquellen. Weitere Informationen finden Sie unter TPM Transport Security: Defeating Active Interposers with DICE (YouTube).

Sicheres Titan-Firmware-Upgrade

Die Firmware des Titan-Chips wird mit einem Schlüssel signiert, der in einem Offline-HSM gespeichert ist, das durch quorumbasierte Kontrollen geschützt ist. Das Boot-ROM von Titan überprüft die Signatur der Titan-Firmware jedes Mal, wenn der Chip gestartet wird.

Die Titan-Firmware ist mit einer Sicherheitsversionsnummer (Security Version Number, SVN) signiert, die den Sicherheitsstatus des Images angibt. Wenn ein Firmware-Image eine Sicherheitslücke behebt, wird die SVN-Version des Images erhöht. Mit Titan-Hardware kann das Produktionsnetzwerk den SVN der Titan-Firmware mit hoher Wahrscheinlichkeit bestätigen, auch wenn ältere Firmware Sicherheitslücken aufweist. Durch das Upgrade können wir diese Sicherheitslücken in großem Umfang beheben, auch wenn sie sich auf die Firmware von Titan auswirken. Weitere Informationen finden Sie unter Wiederherstellung nach Sicherheitslücken in der Root-of-Trust-Firmware.

Google hat an der neuesten Version der TPM-Bibliotheksspezifikation mitgewirkt, die jetzt Funktionen enthält, mit denen andere TPMs ähnliche Selbstattestationssicherheitsvorkehrungen bieten können. Weitere Informationen finden Sie im Abschnitt TPM Firmware-Limited and SVN-Limited Objects (PDF) (TPM-Firmware-eingeschränkte und SVN-eingeschränkte Objekte) der Version 1.83 der TPM-Architekturspezifikation. Diese TPM-Funktionen wurden in unseren neuesten Titan-Chips implementiert und bereitgestellt.

Sicheres Firmware-Upgrade des Zugangspunkts

Zusätzlich zur Firmware von Titan wird auch die Firmware, die auf dem ZP ausgeführt wird, kryptografisch signiert. Titan überprüft diese Signatur im Rahmen des Plattformstartvorgangs. Außerdem wird diese Signatur jedes Mal überprüft, wenn die ZP-Firmware aktualisiert wird. So wird sichergestellt, dass nur authentische ZP-Firmware-Images auf den Boot-Firmware-Flash-Chip des ZP geschrieben werden können. Durch diesen Überprüfungsprozess werden Angriffe abgewehrt, bei denen versucht wird, persistente Backdoors zu installieren oder die Plattform unbootfähig zu machen. Die Signaturprüfung bietet auch eine Defense-in-Depth-Lösung für die Plattformen von Google, falls eine CPU eine Sicherheitslücke in ihrem eigenen Microcode-Authentifizierungsmechanismus aufweist.

Nächste Schritte

Weitere Informationen zum Boot-Integritätsprozess