Google putter sikkerhed i server-chips

Illustration: Scanrail
Beskyttelse mod rootkits kræver sikkerhed indbygget i hardware.

Google har indbygget sikkerhed i firmaets Titan-chips, som benyttes til at styre komponenterne i firmaets servere.

Chippen så dagens lys sidste år og er ifølge firmaet en microcontroller med lavt strømforbrug, som er skabt med henblik på Googles egne anvendelser i firmaets datacentre.

I et nyt blogindlæg fortæller Google om, hvordan Titan-chippen sikrer, at en maskine starter fra et sikkert og kendt udgangspunkt, hvor koden verificeres, og der dermed oprettes, hvad firmaet kalder 'hardware-baseret rod-tillid' (hardware root of trust).

Behovet for sikker hardware-start er stigende, da der kommer flere og flere angreb fra rootkits og software, der har privilegier ud over det almindelige.

Google uddyber 'hardware root of trust' på denne måde:

»Googles servere bruger en række teknologier til at sikre, at serveren starter den korrekte software stack. Vi bruger kryptografiske signaturer over komponenter på lavt niveau som BIOS, bootloader, kernel og styresystem-image. Disse signaturer kan valideres under hver boot eller opdatering. Komponenterne er alle kontrollerede, bygget og hærdet af Google.«

Kryptografisk tjek af software-stak

Maskinerne i Googles datacenter indeholder mange komponenter, såsom en eller flere CPU'er, hukommelse, en såkaldt Baseboard Management Controller (BMC), netværksgrænseflade, firmware til opstart og vedvarende lagring.

Maskinens opstartsproces går i gang, når BMC-enheden lader CPU'en gå i gang. Dernæst indlæser CPU'en boot-softwaren, eksempelvis UEFI, fra firmware-flash-hukommelsen. Når maskinen er konfigureret i tilstrækkeligt omfang, indlæses det program, der skal sætte styresystemet i sving, fra den vedvarende lagring. Dernæst indlæses styresystemet fra et image og sættes i gang.

Boot-processen er sikker, da maskinerne starter en kendt firmware- og software-pakke, som bliver kryptografisk tjekket. Kun hvis tjekket går godt, kan systemet få lov at tilgå resurser på netværket. Og her er Titan-chippen integreret i hele processen, skriver Google på blogindlægget.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere