Chip de hardware Titan

Este conteúdo foi atualizado pela última vez em janeiro de 2025 e representa o estado do momento em que foi escrito. Os sistemas e as políticas de segurança do Google podem mudar no futuro à medida que melhoramos continuamente a proteção dos clientes.

O chip Titan é um chip criado especificamente para estabelecer a raiz de confiança do hardware para plataformas em Google Cloud data centers. O chip Titan é um microcontrolador de baixo consumo implantado em plataformas, como servidores, infraestrutura de rede e outros periféricos de data center.

O chip Titan é um componente importante da arquitetura de segurança de hardware Titanium, que oferece uma camada de segurança básica que ajuda a proteger contra ataques físicos e ameaças aos dados do usuário. O chip Titan permite que o Google identifique e meça com segurança o firmware e a configuração da plataforma. Ele foi projetado para proteger contra ataques de software privilegiados e rootkits, desde o processo de inicialização da máquina em diante.

Este documento descreve a arquitetura do chip e os benefícios de segurança do chip Titan. O chip Titan oferece suporte a uma base mínima de computação confiável (TCB, na sigla em inglês) que permite que o chip ofereça os seguintes benefícios:

  • Uma raiz de confiança de hardware que cria uma identidade forte para uma máquina
  • Verificação de integridade do firmware da plataforma, tanto no momento da inicialização quanto da atualização
  • Fluxos de fechamento remoto de credenciais que são a base do sistema de gerenciamento de credenciais de máquina do Google

Família de chips Titan

Os primeiros chips Titan foram projetados em 2014. Gerações posteriores incorporaram a experiência adquirida durante os processos iterativos de fabricação, integração e implantação. Para mais informações sobre como o Google contribuiu com nosso conhecimento sobre o chip Titan para a comunidade de segurança de hardware de código aberto, acesse opentitan.org.

Os chips Titan incluem os seguintes componentes:

  • Processador seguro
  • Coprocessador criptográfico AES e SHA
  • Gerador de números aleatórios de hardware
  • Hierarquia de chaves sofisticada
  • RAM estática (SRAM), flash e ROM incorporados

Identidade de fabricação do Titan

Durante o processo de fabricação do chip Titan, cada chip Titan gera um material de chave exclusivo. Esse material de chave é certificado e usado para produzir registros de endosso. Esses registros de endosso são armazenados em um ou mais bancos de dados de registro e são protegidos criptograficamente usando controles de separação física e de várias partes.

Quando plataformas compatíveis com o Titan são integradas à rede de produção do Google, os sistemas de back-end podem verificar se elas têm chips Titan autênticos. Os chips Titan autênticos são provisionados com chaves que foram registradas e certificadas durante o processo de fabricação do Titan. Para mais informações sobre como os serviços usam o sistema de identidade do Titan, consulte o processo de lacração de credenciais.

As identidades de chips Titan de última geração são geradas e certificadas de acordo com os padrões do setor, como o mecanismo de composição do identificador do dispositivo (DICE). Os chips Titan originais foram certificados usando um design personalizado do Google, porque foram fabricados antes da introdução de padrões do setor relevantes. A experiência do Google na fabricação e implantação de hardware seguro nos motiva a aumentar a participação nos processos de padronização, e os padrões mais recentes, como o DICE, o Módulo de plataforma confiável (TPM) e o protocolo de segurança e modo de dados (SPDM), incluem mudanças que refletem nossa experiência.

Integração do Titan

Quando o chip Titan é integrado a uma plataforma, ele oferece proteções de segurança a um processador de aplicativos (AP). Por exemplo, o Titan pode ser pareado com uma CPU que executa cargas de trabalho, um controlador de gerenciamento de baseboard (BMC) ou um acelerador para cargas de trabalho, como o aprendizado de máquina.

O Titan se comunica com o AP usando o barramento de interface periférica serial (SPI). O Titan se interpõe entre o AP e o chip flash do firmware de inicialização do AP, garantindo que o Titan possa ler e medir cada byte desse firmware antes que ele seja executado no momento da inicialização.

As etapas a seguir ocorrem quando uma plataforma ativada pelo Titan é inicializada:

  1. O Titan mantém a CPU no modo de redefinição, enquanto o processador de aplicativo interno do Titan executa o código imutável (a ROM de inicialização) da memória somente leitura incorporada.
  2. O Titan executa um autoteste integrado para verificar se toda a memória (incluindo a ROM) não foi adulterada.
  3. A ROM de inicialização do Titan verifica o firmware do Titan usando criptografia de chave pública e mistura a identidade do firmware verificado na hierarquia de chaves do Titan.
  4. A ROM de inicialização do Titan carrega o firmware verificado do Titan.
  5. O firmware do Titan verifica o conteúdo do flash do firmware de inicialização do AP usando criptografia de chave pública. O Titan bloqueia o acesso do AP ao flash do firmware de inicialização até que o processo de verificação seja concluído.
  6. Após a verificação, o chip Titan libera o AP da redefinição, permitindo que o AP seja inicializado.
  7. O firmware do AP executa outras configurações, que podem incluir o lançamento de outras imagens de inicialização. O AP pode capturar medições dessas imagens de inicialização e enviar as medições para o Titan para monitoramento seguro.

Essas etapas alcançam a integridade da primeira instrução porque o Google pode identificar o firmware de inicialização e o SO que foi inicializado na máquina desde a primeira instrução executada durante o ciclo de inicialização. Para APs com CPUs que aceitam atualizações de microcódigo, o processo de inicialização também informa ao Google quais patches de microcódigo foram buscados antes da primeira instrução do firmware de inicialização. Para mais informações, consulte Processo de inicialização medido.

Esse fluxo é semelhante ao processo de inicialização realizado por plataformas equipadas com um TPM. No entanto, os chips Titan incluem recursos que geralmente não estão disponíveis em TPMs padrão, como a autoatestação do firmware interno do Titan ou a segurança de upgrade do firmware do AP, conforme descrito nas seções a seguir.

As integrações padrão do TPM podem ser vulneráveis a ataques de interposiçã o físico. As integrações mais recentes do Titan no Google mitigam esses ataques usando raízes de confiança integradas. Para mais informações, consulte TPM Transport Security: Defeating Active Interposers with DICE (YouTube).

Fazer upgrade do firmware do Titan de forma segura

O firmware do chip Titan é assinado por uma chave mantida em um HSM off-line, que é protegido por controles baseados em quórum. A ROM de inicialização do Titan verifica a assinatura do firmware do Titan sempre que o chip é inicializado.

O firmware do Titan é assinado com um número de versão de segurança (SVN, na sigla em inglês), que transmite o estado de segurança da imagem. Se uma imagem de firmware incluir uma correção de vulnerabilidade, o SVN da imagem será incrementado. O hardware Titan permite que a rede de produção ateste fortemente o SVN do firmware do Titan, mesmo que o firmware mais antigo tenha vulnerabilidades. O processo de upgrade nos permite recuperar essas vulnerabilidades em grande escala, mesmo que afetem o próprio firmware do Titan. Para mais informações, consulte Como se recuperar de vulnerabilidades no firmware da raiz de confiança.

O Google contribuiu para a versão mais recente da especificação da biblioteca do TPM, que agora inclui recursos que permitem que outros TPMs forneçam garantias de autoatestado semelhantes. Para mais informações, consulte a seção Objetos limitados a firmware do TPM e limitados a SVN (PDF) da versão 1.83 da especificação da arquitetura do TPM. Esses recursos do TPM foram implementados e implantados nos nossos chips Titan mais recentes.

Upgrade seguro do firmware do AP

Além do firmware do Titan, também assinamos criptograficamente o firmware que é executado no AP. O Titan verifica essa assinatura como parte do processo de inicialização da plataforma. Ele também verifica essa assinatura sempre que o firmware do AP é atualizado, forçando que apenas imagens autênticas do firmware do AP possam ser gravadas no chip flash do firmware de inicialização do AP. Esse processo de verificação mitiga ataques que tentam instalar backdoors persistentes ou tornar a plataforma não inicializável. A verificação de assinatura também oferece defesa em profundidade para as plataformas do Google caso uma CPU tenha uma vulnerabilidade no próprio mecanismo de autenticação de microcódigo.

A seguir

Saiba mais sobre nosso processo de integridade de inicialização.