揭密 Google Titan M 晶片:Pixel 3 的終極保鏢是如何煉成的?

作者 | 發布日期 2018 年 10 月 24 日 8:15 | 分類 Android , Android 手機 , Google follow us in feedly

10 月 9 日,Google Pixel 3 / XL 在紐約正式亮相。無論用單鏡頭吊打(特指 iPhone XS Max)雙鏡頭的 AI 技術,還是 799 美元的起售價,都引起很多爭議。不過有一點無可爭議,Pixel 3 / XL 是一款前所未有搭載 3 款獨立晶片的智慧手機,3 款獨立晶片分別是高通驍龍 845、Pixel Visual Core 和 Titan M。



其中 Titan M 是 Google 專門為智慧手機安全打造的晶片,雖然體積不大,但來頭卻不小。

從 Titan 到 Titan M

關於 Google Pixel 3 / XL Titan M 晶片的來由,還要從 2017 年 3 月 Google Cloud Next 大會說起。

在這場大會,Google 發表名為 Titan 的安全晶片,只有耳環大小,功率也非常小。這是一款用於 Google Cloud Platform(GCP)伺服器的產品,目的是保證顧客代碼和數據的安全,可防止政府間諜竊聽硬體和插入韌體攻擊電腦。

2017 年 8 月,Google 在官網發表文章,深入介紹 Titan 晶片的工作細節。從零件構成角度,Titan 包含一個安全應用處理器、密碼協處理器、硬體隨機數發電機、精良的密鑰層次結構、嵌入式靜態 RAM(SRAM)、嵌入式快閃記憶體、只讀儲存器、串行外設連接埠(SPI)總線、底板管理控制器(BMC)或平台控制器中樞(PHC)。

從工作機制的角度簡單來說,Titan 在硬體層面保護 Google Cloud 資料中心從主機啟動那刻開始的整個啟動加載過程,防止外界透過韌體漏洞來破壞操作系統。

不僅如此,Titan 還提供兩個重要的附加安全屬性──修復和第一指令完整性,可用來監測啟動韌體的所有位元組。

總體來說,Titan 為整個系統提供硬體等級的安全保障,甚至可辨識擁有 Root 權限的內部人士操作,大大提升了安全性。據了解,2018 年 7 月的 Google Cloud 大會,Titan 也有再更新。

當然,就 Google Pixel 3 / XL 搭載的 Titan M 而言,某種意義上是 Titan 的延續,至少命名和用途都是如此(M 是 Mobile 之意)。不過與已很省電的 Titan 相比,Titan M 的體積更小,也更省電──這對智慧手機來說,毫無疑問非常必要。

Google 表示,實際上,Titan M 就是從 Titan(for Data Center)取來的功能,只不過針對 Mobile 再加工。

Titan M 如何保護手機安全?

Google 想在 Pixel 智慧手機採用專用模組來保護資料安全,並非心血來潮;因去年 10 月發表的 Google Pixel 2 / XL,就已有硬體等級的安全模組( Security Modeule),目的是提供企業等級的安全性,由此可知,Pixel 系列某種意義上針對的也是企業用戶。

按照 Google 在 2017 年 11 月 14 日的文章描述,Google Pixel 2 內建的 Security Modeule 可保護智慧手機鎖屏狀態下的資料安全,防止攻擊者繞過用戶設置的密碼竊取數據。據了解,實際上 Pixel 2 / XL 內建的 Security Modeule 是獨立於高通驍龍 835 SoC 的硬體結構,甚至擁有自己的 Flash / RAM / 處理單元等組件。

從這個角度來看,Pixel 3 / XL 內建的 Titan M 顯然是對上述 Security Modeule 的繼承和更新。

Titan M 保護機制與 Titan 有某種相同之處。它對智慧手機的保護從 Boot 層面開始,與 Verified Boot 深度整合,保證 Bootlooder 加載的是正確 Android 版本,阻止任何想降級 Android 的行為;不僅如此,Titan M 還阻止 Android 系統的潛在攻擊者解鎖 Bootloader(這意味著 Pixel 3 的 Bootloader 不能解鎖了?)

除此之外,Titan M 可幫助 Pixel 3 / XL 驗證鎖屏密碼,限制不良程式試圖解鎖手機的次數,防止數據篡改和竊取──這個功能與上文提到的 Security Modeule 功能相似。

Titan M 不僅可保護 Android 操作系統和功能完整,也可以保護第三方應用和涉及安全敏感性的交易(Transaction)。

Android 9 中,Google 提供 StrongBox KeyStore API,應用開發者可經密碼儲存在 Titan M;同時,針對需要透過跳轉完成交易的應用,比如電子投票、轉帳,Google 在 Android 也提供 Protected Confirmation API,同樣可得到 Titan M 在硬體層面的支援。

接受 Wired 採訪時,Google 安全計畫​經理 Xiaowen Xin 表示,Titan M 的韌體將會在未來幾個月開源,這在業界也非常獨特。

另外,關於 Titan M 自身的安全性,Google 也有準備。除非用戶輸入密碼,否則 Titan M 的韌體永遠不會更新,這完全阻斷了攻擊者試圖透過損壞 Titan M 來做壞事的可能性。

總結

發展到今天,Google Pixel 系列已步入第三代;先不說外觀如何,Google Pixel 系列在底層硬體的確做了許多普通消費者難以感知的努力,比如 Pixel Visual Core 和 Titan M。這些努力雖然一時難以轉化為明顯的銷量,但毫無疑問是 Google 走向軟硬體結合之路的重要步伐。而資料安全愈加重要的時代,Titan M 的重要性毋庸置疑。

正如哥倫比亞大學計算機科學家 Simha Sethumadhavan 的評價:

Google 這種層面的硬體改進,我認為非常了不起。這比軟體防護更難取得突破,難度高多了。

(本文由 雷鋒網 授權轉載;首圖來源:Google