Chip de hardware Titan

Este contenido se actualizó por última vez en enero de 2025 y representa el statu quo en el momento de su redacción. Es posible que cambien las políticas y los sistemas de seguridad de Google en el futuro, ya que mejoramos la protección de nuestros clientes de forma continua.

El chip Titan es un chip diseñado específicamente para establecer la raíz de confianza de hardware para las plataformas en los centros de datos de Google Cloud . El chip Titan es un microcontrolador de bajo consumo que se implementa en plataformas como servidores, infraestructura de red y otros periféricos de centros de datos.

El chip Titan es un componente importante de la arquitectura de seguridad del hardware de titanio, que proporciona una capa de seguridad fundamental que ayuda a proteger contra ataques físicos y amenazas a los datos del usuario. El chip Titan permite que Google identifique y mida de forma segura el firmware y la configuración de la plataforma. Está diseñado para proteger contra ataques de software con privilegios y rootkits, desde el proceso de inicio de la máquina en adelante.

En este documento, se describe la arquitectura del chip y los beneficios de seguridad del chip Titan. El chip Titan admite una base de procesamiento confiable (TCB) mínima que le permite proporcionar los siguientes beneficios:

  • Una raíz de confianza de hardware que crea una identidad sólida para una máquina
  • Verificación de integridad del firmware de la plataforma, tanto en el momento del inicio como en el momento de la actualización
  • Flujos de sellado de credenciales remoto que respaldan el sistema de administración de credenciales de máquinas de Google

La familia de chips Titan

Los primeros chips Titan se diseñaron en 2014. Las generaciones posteriores incorporaron la experiencia que se obtuvo durante los procesos iterativos de fabricación, integración y despliegue. Para obtener más información sobre cómo Google contribuyó con su conocimiento sobre el chip Titan a la comunidad de seguridad de hardware de código abierto, consulta opentitan.org.

Los chips Titan incluyen los siguientes componentes:

  • Procesador seguro
  • Coprocesador criptográfico AES y SHA
  • Generador de números aleatorios de hardware
  • Jerarquía de claves sofisticada
  • RAM estática (SRAM), memoria flash y ROM integradas

Identidad de fabricación de Titan

Durante el proceso de fabricación del chip Titan, cada chip Titan genera material de claves único. Este material de clave está certificado y se usa para producir registros de respaldo. Estos registros de certificación se almacenan en una o más bases de datos de registro y están protegidos de forma criptográfica con controles de separación física y de varias partes.

Cuando las plataformas compatibles con Titan se integran en la red de producción de Google, los sistemas de backend pueden verificar que estas plataformas estén equipadas con chips de Titan auténticos. Los chips de Titan auténticos se aprovisionan con claves que se registraron y certificaron durante el proceso de fabricación de Titan. Para obtener más información sobre cómo los servicios usan el sistema de identidad de Titan, consulta el proceso de sellado de credenciales.

Las identidades de chips Titan de nueva generación se generan y certifican de acuerdo con los estándares de la industria, como el Device Identifier Composition Engine (DICE). Los chips Titan originales se certificaron con un diseño personalizado de Google, ya que estos chips se fabricaron antes de que se introdujeran los estándares de la industria relevantes. La experiencia de Google en la fabricación y la implementación de hardware seguro nos motiva a aumentar la participación en los procesos de estándares, y los estándares más nuevos, como DICE, el Módulo de plataforma confiable (TPM) y el protocolo de seguridad y el modo de datos (SPDM), incluyen cambios que reflejan nuestra experiencia.

Integración de Titan

Cuando el chip Titan se integra en una plataforma, proporciona protecciones de seguridad a un procesador de aplicaciones (AP). Por ejemplo, Titan se puede vincular con una CPU que ejecuta cargas de trabajo, un controlador de administración de la placa base (BMC) o un acelerador para cargas de trabajo como el aprendizaje automático.

Titan se comunica con el AP a través del bus de interfaz periférica serial (SPI). Titan se interpone entre el AP y el chip de memoria flash del firmware de inicio del AP, lo que garantiza que Titan pueda leer y medir cada byte de ese firmware antes de que se ejecute en el momento del inicio.

Los siguientes pasos ocurren cuando se enciende una plataforma compatible con Titan:

  1. Titan mantiene la CPU en modo de restablecimiento mientras el procesador de aplicaciones interno de Titan ejecuta código inmutable (la ROM de inicio) desde su memoria solo de lectura integrada.
  2. Titan ejecuta una autoprueba integrada para verificar que no se haya manipulado toda la memoria (incluida la ROM).
  3. La ROM de arranque de Titan verifica el firmware de Titan con criptografía de clave pública y combina la identidad del firmware verificado en la jerarquía de claves de Titan.
  4. La ROM de inicio de Titan carga el firmware verificado de Titan.
  5. El firmware de Titan verifica el contenido de la memoria flash del firmware de inicio del AP con criptografía de clave pública. Titan bloquea el acceso del AP a la memoria flash del firmware de inicio hasta que se completa el proceso de verificación correctamente.
  6. Después de la verificación, el chip Titan libera el AP del restablecimiento, lo que permite que el AP se inicie.
  7. El firmware del AP realiza una configuración adicional, que puede incluir el inicio de más imágenes de arranque. El AP puede capturar mediciones de estas imágenes de inicio y enviarlas a Titan para una supervisión segura.

Estos pasos logran la integridad de la primera instrucción porque Google puede identificar el firmware de arranque y el SO que se inició en la máquina desde la primera instrucción que se ejecuta durante el ciclo de inicio. En el caso de los AP con CPUs que aceptan actualizaciones de microcódigo, el proceso de inicio también le permite a Google saber qué parches de microcódigo se recuperaron antes de la primera instrucción del firmware de inicio. Para obtener más información, consulta Proceso de inicio medido.

Este flujo es similar al proceso de inicio que realizan las plataformas que están equipadas con un TPM. Sin embargo, los chips Titan incluyen funciones que, por lo general, no están disponibles en los TPM estándar, como la autocertificación del firmware interno de Titan o la seguridad de la actualización de firmware del AP, como se describe en las siguientes secciones.

Las integraciones de TPM estándar pueden ser vulnerables a ataques de interposición física. Las integraciones más recientes de Titan en Google mitigan estos ataques mediante la integración de raíces de confianza. Para obtener más información, consulta TPM Transport Security: Defeating Active Interposers with DICE (YouTube).

Actualización segura del firmware de Titan

El firmware del chip Titan está firmado por una clave que se almacena en un HSM sin conexión, que está protegido por controles basados en quórum. La ROM de inicio de Titan verifica la firma del firmware de Titan cada vez que se inicia el chip.

El firmware de Titan está firmado con un número de versión de seguridad (SVN), que indica el estado de seguridad de la imagen. Si una imagen de firmware incluye una corrección de vulnerabilidad, se incrementa el SVN de la imagen. El hardware de Titan permite que la red de producción certifique de forma sólida el SVN del firmware de Titan, incluso si el firmware anterior podría haber tenido vulnerabilidades. El proceso de actualización nos permite recuperarnos de estas vulnerabilidades a gran escala, incluso si afectan el firmware de Titan. Para obtener más información, consulta Cómo recuperarse de vulnerabilidades en el firmware de la raíz de confianza.

Google contribuyó a la versión más reciente de la especificación de la biblioteca de TPM, que ahora incluye funciones que permiten que otros TPM proporcionen garantías de autocertificación similares. Para obtener más información, consulta la sección Objetos limitados por firmware y SVN del TPM (PDF) de la versión 1.83 de la especificación de la arquitectura del TPM. Estas funciones de TPM se implementaron y se implementaron en nuestros chips Titan más recientes.

Actualización segura del firmware del AP

Además del firmware de Titan, también firmamos de forma criptográfica el firmware que se ejecuta en el AP. Titan verifica esta firma como parte del proceso de inicio de la plataforma. También verifica esta firma cada vez que se actualiza el firmware del AP, lo que aplica la regla de que solo se pueden escribir imágenes de firmware de AP auténticas en el chip de memoria flash de firmware de inicio del AP. Este proceso de verificación mitiga los ataques que intentan instalar puertas traseras persistentes o hacer que la plataforma no se pueda iniciar. La verificación de firmas también proporciona una defensa en profundidad para las plataformas de Google en caso de que una CPU tenga una vulnerabilidad en su propio mecanismo de autenticación de microcódigo.

¿Qué sigue?

Obtén más información sobre nuestro proceso de integridad del inicio.