在發表Pixel 3手機后,Google在11月上市前陸續揭露Pixel 3的秘密,近期釋出了Pixel 3的企業級安全芯片Titan M的細節,Titan M是由Google設計制造的第二代低功耗安全模組,作為Titan家族的其中一部分,被用在行動裝置上,保護敏感的使用者以及作業系統資料。
從去年Pixel 2開始,Google就為其加入了防篡改硬件安全模組,以保護螢幕鎖定以及磁碟加密,而在剛發表的Pixel 3上,更是加載了新一代的企業級安全芯片Titan M。
Titan M有5大功能,第一,能夠保護開機載入程式(Bootloader)的安全性,為了避免Android受外部竄改,Google將Titan M整合進Pixel 3的安全啟動程序Verified Boot。Titan M在手機開機的時候會驗證才載入Android的程式,以防止攻擊者嘗試解鎖開機載入程式。
Titan M的第二個功能便是裝置螢幕鎖定保護和磁碟加密,Pixel 3使用Titan M來保護使用者的螢幕鎖定密碼,并透過限制錯誤嘗試的次數以及輸入的速度,降低裝置遭到暴力破解的風險,在使用者輸入正確密碼后,Titan M才會進行解密。
Titan M不僅能保護Android作業系統本身,同時還保護了第三方應用程式的安全交易,在Android 9中,開發者現在可以利用StrongBox KeyStore API,在Titan M中產生并儲存私鑰,另外,對于仰賴使用者回應確認交易的應用程式,Titan M還支援Trusted User Presence和Protected Confirmation,以保護關鍵安全操作,由于Titan M與Pixel 3側面的按鈕有直接的電子連接,因此遠端駭客無法假冒按下按鈕的行為,能進一步保護電子投票或是P2P資金轉移等線上交易流程。這系列API可以幫助確保是用戶而非惡意軟件進行操作。Google也表示,Pixel 3是第一款具備保護該功能的裝置。
而Titan M第四個特性,也是Google在Titan家族主打的功能,便是其內建防止內部攻擊的防篡改能力,除非使用者輸入密碼,否則Titan M無法被更新韌體,這意思是駭客無法繞過螢幕鎖定,將韌體更換為惡意版本。
Titan M是塊獨立的芯片,物理隔離的設計可以減少Rowhammer、Spectre和Meltdown這類硬件層級的漏洞,也由于Titan M的處理器、快取、記憶體以及磁碟都不與手機系統的其他部分共享,因此駭客幾乎無法進行側通道攻擊。Titan M的處理器使用ARM Cortex-M3,也特別針對側通道攻擊強化防御功能,能夠檢測和回應異常情況。
系統啟動后,Titan M會以芯片內建的公鑰驗證快閃記憶體中的韌體簽章,當簽章一旦有效,快閃記憶體便會被鎖定無法修改,而后韌體才會開始被執行。Titan M還具備多種硬件加速器,包含AES、SHA和可用于公鑰演算法的可程式化大數協作處理器。Google提到,這些加速器非常靈活,可以使用韌體提供的金鑰、使用金鑰管理器模組產生的芯片專用金鑰或是硬件綁定的金鑰進行初始化。
Titan M不僅是一個強化的安全為控制器,同時也是考慮Pixel裝置全生命周期設計的安全方法, Titan M的安全設計涵蓋了Android從外到內的功能,包括物理以及電子電路設計,還擴及裝置生產供應鏈以及制造程序,并提供了低功耗、低延遲、硬件加速加密、竄改偵測以及即時的韌體更新等特性。
為了透明,Google將開源Titan M韌體原始碼,雖然Google擁有簽署Titan M韌體的根金鑰,但為了二位元透明目的,會以公開來源重新產生二位元建置。
-
芯片
+關注
關注
455文章
50721瀏覽量
423165 -
谷歌
+關注
關注
27文章
6164瀏覽量
105307
原文標題:谷歌自研芯片再添新成員,這次是獨立安全芯片
文章出處:【微信號:ic-china,微信公眾號:ICExpo】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論