Chip hardware Titan

Questi contenuti sono stati aggiornati per l'ultima volta a gennaio 2025 e rappresentano lo status quo al momento della loro redazione. I criteri e i sistemi di sicurezza di Google potranno variare in futuro, in virtù del costante miglioramento della protezione per i nostri clienti.

Il chip Titan è un chip appositamente progettato che stabilisce la radice hardware della fiducia per le piattaforme nei data center di Google Cloud . Il chip Titan è un microcontrollore a basso consumo di energia di cui viene eseguito il deployment su piattaforme come server, infrastrutture di rete e altre periferiche dei data center.

Il chip Titan è un componente importante dell'architettura di sicurezza hardware di Titanium, che fornisce un livello di sicurezza di base che aiuta a proteggersi da attacchi fisici e minacce ai dati utente. Il chip Titan consente a Google di identificare e misurare in modo sicuro il firmware e la configurazione della piattaforma. È progettato per proteggere da attacchi di software privilegiati e rootkit, dalla procedura di avvio della macchina in poi.

Questo documento descrive l'architettura del chip e i vantaggi in termini di sicurezza del chip Titan. Il chip Titan supporta una base di calcolo attendibile (TCB) minima che consente al chip di offrire i seguenti vantaggi:

  • Una radice di attendibilità hardware che crea un'identità solida per una macchina
  • Verifica dell'integrità del firmware della piattaforma, sia all'avvio sia al momento dell'aggiornamento
  • Flussi di sigillo delle credenziali da remoto che costituiscono la base del sistema di gestione delle credenziali delle macchine di Google

La famiglia di chip Titan

I primi chip Titan sono stati progettati nel 2014. Le generazioni successive hanno incorporato l'esperienza acquisita durante i processi iterativi di produzione, integrazione e implementazione. Per saperne di più su come Google ha contribuito con le sue conoscenze sul chip Titan alla community di sicurezza hardware open source, visita il sito opentitan.org.

I chip Titan includono i seguenti componenti:

  • Processore sicuro
  • Coprocessore crittografico AES e SHA
  • Generatore di numeri casuali hardware
  • Gerarchia delle chiavi sofisticata
  • RAM statica incorporata (SRAM), flash e ROM

Identità di produzione di Titan

Durante il processo di produzione del chip Titan, ogni chip genera materiale per chiavi univoco. Questo materiale delle chiavi è certificato e viene utilizzato per produrre record di raccomandazione. Questi record di raccomandazione vengono archiviati in uno o più database del registry e sono protetti tramite crittografia utilizzando controlli con isolamento in rete e multipartito.

Quando le piattaforme compatibili con Titan vengono integrate nella rete di produzione di Google, i sistemi di backend possono verificare che queste piattaforme siano dotate di chip Titan autentici. Per i chip Titan autentici viene eseguito il provisioning con chiavi registrate e certificate durante il processo di produzione di Titan. Per ulteriori informazioni su come i servizi utilizzano il sistema di identità Titan, consulta la Procedura di sigillatura delle credenziali.

Le identità dei chip Titan di ultima generazione vengono generate e certificate in conformità con gli standard di settore, come Device Identifier Composition Engine (DICE). I chip Titan originali sono stati certificati utilizzando un design personalizzato di Google, perché questi chip sono stati prodotti prima dell'introduzione degli standard di settore pertinenti. L'esperienza di Google nella produzione e nell'implementazione di hardware sicuro ci spinge ad aumentare la partecipazione ai processi di definizione degli standard e gli standard più recenti, come DICE, Trusted Platform Module (TPM) e Security Protocol and Data Mode (SPDM), includono modifiche che riflettono la nostra esperienza.

Integrazione di Titan

Quando il chip Titan è integrato in una piattaforma, fornisce protezione di sicurezza a un processore di applicazioni (AP). Ad esempio, Titan potrebbe essere accoppiato con una CPU che esegue carichi di lavoro, un controller di gestione della base di supporto (BMC) o un acceleratore per carichi di lavoro come il machine learning.

Titan comunica con l'AP utilizzando il bus SPI (Serial Peripheral Interface). Titan si interpone tra l'AP e il chip flash del firmware di avvio dell'AP, garantendo che possa leggere e misurare ogni byte del firmware prima che venga eseguito all'avvio.

Quando una piattaforma compatibile con Titan si accende, vengono eseguiti i seguenti passaggi:

  1. Titan mantiene la CPU in modalità di reimpostazione mentre il suo processore di applicazioni interno esegue codice immutabile (la ROM di avvio) dalla sua memoria di sola lettura incorporata.
  2. Titan esegue un'autodiagnosi integrata per verificare che tutta la memoria (inclusa la ROM) non sia stata manomessa.
  3. La ROM di avvio di Titan verifica il firmware di Titan utilizzando la crittografia con chiave pubblica e integra l'identità del firmware verificato nella gerarchia delle chiavi di Titan.
  4. La ROM di avvio di Titan carica il firmware verificato di Titan.
  5. Il firmware di Titan verifica i contenuti del firmware di avvio dell'AP utilizzando la crittografia con chiave pubblica. Titan blocca l'accesso dell'AP al flash del firmware di avvio finché la procedura di verifica non viene completata correttamente.
  6. Dopo la verifica, il chip Titan rilascia l'AP dal ripristino, consentendo all'AP di avviarsi.
  7. Il firmware dell'AP esegue una configurazione aggiuntiva, che potrebbe includere il lancio di ulteriori immagini di avvio. L'AP può acquisire le misurazioni di queste immagini di avvio e inviarle a Titan per il monitoraggio sicuro.

Questi passaggi garantiscono l'integrità della prima istruzione perché Google può identificare il firmware di avvio e il sistema operativo avviati sulla macchina fin dalla prima istruzione eseguita durante il ciclo di avvio. Per gli AP con CPU che accettano aggiornamenti del microcodice, il processo di avvio consente inoltre a Google di sapere quali patch del microcodice sono state recuperate prima della prima istruzione del firmware di avvio. Per ulteriori informazioni, consulta la sezione Procedura di avvio misurata.

Questo flusso è simile alla procedura di avvio eseguita dalle piattaforme dotate di un TPM. Tuttavia, i chip Titan includono funzionalità non disponibili generalmente sui TPM standard, come l'autoattestazione del firmware interno di Titan o la sicurezza dell'upgrade del firmware dell'AP, come descritto nelle sezioni seguenti.

Le integrazioni TPM standard possono essere vulnerabili agli attacchi di interposizione fisica. Le più recenti integrazioni di Titan in Google mitigano questi attacchi utilizzando le radici di attendibilità integrate. Per ulteriori informazioni, consulta TPM Transport Security: Defeating Active Interposers with DICE (YouTube).

Upgrade sicuro del firmware di Titan

Il firmware del chip Titan è firmato da una chiave conservata in un HSM offline, protetto da controlli basati sul quorum. La ROM di avvio di Titan verifica la firma del firmware di Titan ogni volta che il chip si avvia.

Il firmware di Titan è firmato con un numero di versione di sicurezza (SVN), che indica lo stato di sicurezza dell'immagine. Se un'immagine del firmware include una correzione di una vulnerabilità, la versione SVN dell'immagine viene incrementata. L'hardware di Titan consente alla rete di produzione di verificare in modo affidabile l'SVN del firmware di Titan, anche se le versioni precedenti del firmware potrebbero avere avuto vulnerabilità. La procedura di upgrade ci consente di recuperare da queste vulnerabilità su larga scala, anche se interessano il firmware di Titan. Per ulteriori informazioni, vedi Recupero da vulnerabilità nel firmware del root-of-trust.

Google ha contribuito alla stesura della versione più recente della specifica della libreria TPM, che ora include funzionalità che consentono ad altri TPM di fornire garanzie di autocertificazione simili. Per ulteriori informazioni, consulta la sezione Oggetti con limitazioni per firmware TPM e SVN (PDF) della versione 1.83 della specifica dell'architettura TPM. Queste funzionalità TPM sono state implementate e implementate sui nostri chip Titan più recenti.

Upgrade del firmware dell'AP sicuro

Oltre al firmware di Titan, firmiamo anche tramite crittografia il firmware che viene eseguito sull'AP. Titan verifica questa firma nell'ambito della procedura di avvio della piattaforma. Verifica inoltre questa firma ogni volta che viene aggiornato il firmware dell'AP, in modo che solo le immagini del firmware dell'AP autentiche possano essere scritte nel chip flash del firmware di avvio dell'AP. Questa procedura di verifica riduce gli attacchi che tentano di installare backdoor persistenti o di rendere la piattaforma non avviabile. La verifica della firma fornisce anche una difesa in profondità per le piattaforme di Google nel caso in cui una CPU presenti una vulnerabilità nel proprio meccanismo di autenticazione del microcodice.

Passaggi successivi

Scopri di più sulla nostra procedura di verifica dell'integrità del bootloader.