Google lanceert Titan, een zelfontwikkelde beveiligingschip die het bedrijf helpt de servers en netwerkapparatuur die worden gebruikt voor zijn Google Cloud Platform te beschermen tegen manipulatie. De chip heeft veel weg van een Trusted Platform Module (TPM), maar beschikt ook over enkele features die hedendaagse TPM’s niet bevatten.
Titan wordt op ieder moederbord geïnstalleerd dat in de datacenters van Google wordt gebruikt en controleert de integriteit van essentiële software, waaronder firmware en de BIOS, zodra een systeem wordt opgestart. Hiervoor wordt gebruik gemaakt van cryptografische handtekeningen.
Firmware/software stack verifiëren
“In onze datacenter beschermen we het bootproces met secure boot. Onze machines starten een bekende firmware/software stack en verifiëren deze stack op cryptografische wijze, waarna toegang tot resources op ons netwerk op basis van de status van de verificatie wordt toegewezen (of juist afgewezen)”, schrijft Google in een blogpost. Titan wordt geïntegreerd met dit proces en is bedoeld om een extra beveiligingslaag te creëren.
In zijn aanpak lijkt Titan veel op een TPM, een gestandaardiseerde module die op grote schaal wordt gebruikt door systeemfabrikanten. In tegenstelling tot een TPM is Titan echter in staat de eerste code die bij het opstarten op een machine te controleren. Daarnaast voert Titan iedere keer dat de chip wordt opgestart een memory self-test uit, waarmee wordt gecontroleerd of het geheugen is gemanipuleerd. De chip bestaat uit een beveiligde applicatieprocessor, een cryptografische co-processor, een hardware random number generator, embedded statische RAM, embedded flash opslag en read-only geheugen.
