このコンテンツの最終更新日は 2025 年 1 月で、作成時点の状況を表しています。お客様の保護を継続的に改善するために、Google のセキュリティ ポリシーとシステムは変更される場合があります。
Titan チップは、 Google Cloud データセンター内のプラットフォームのハードウェアのルート オブ トラストを確立する専用チップです。Titan チップは、サーバー、ネットワーク インフラストラクチャ、その他のデータセンター周辺機器などのプラットフォームにデプロイされる消費電力の小さいマイクロコントローラです。
Titan チップは、Titanium ハードウェア セキュリティ アーキテクチャの重要なコンポーネントです。このアーキテクチャは、物理的な攻撃やユーザーデータに対する脅威を防ぐ基盤となるセキュリティ レイヤを備えています。Titan チップにより、Google はプラットフォームのファームウェアと構成を安全に識別、測定できます。これは、マシンの起動プロセス以降の特権ソフトウェア攻撃とルートキットを防ぐように設計されています。
このドキュメントでは、Titan チップのチップ アーキテクチャとセキュリティ上の利点について説明します。Titan チップは最小限のトラステッド コンピューティング ベース(TCB)をサポートしており、このチップには次の利点があります。
- マシンの強固な ID を作成するハードウェアのルート オブ トラスト
- 起動時と更新時の両方でのプラットフォーム ファームウェアの完全性検証
- Google のマシン認証情報管理システムの基盤となるリモート認証情報シーリング フロー
Titan チップ ファミリー
最初の Titan チップは 2014 年に設計されました。後の世代で、度重なる製造、統合、デプロイのプロセスで得られた経験が反映されました。Google が Titan チップに関する知識をオープンソースのハードウェア セキュリティ コミュニティにどのように提供しているかについては、opentitan.org をご覧ください。
Titan チップには、次のコンポーネントが含まれています。
- セキュア プロセッサ
- AES と SHA の暗号コプロセッサ
- ハードウェア乱数ジェネレータ
- 高度な鍵の階層
- 埋め込み静的 RAM(SRAM)、フラッシュ、ROM
Titan 製造 ID
Titan チップの製造プロセスでは、各 Titan チップが一意の鍵マテリアルを生成します。この鍵マテリアルは認証されており、承認レコードの生成に使用されます。これらの承認レコードは 1 つ以上のレジストリ データベースに保存され、エアギャップ制御とマルチパーティ制御を使用して暗号で保護されます。
Titan 対応プラットフォームが Google 本番環境ネットワークに統合されると、バックエンド システムは、これらのプラットフォームに正規の Titan チップが搭載されていることを確認できます。正規の Titan チップには、Titan の製造プロセス中に登録および認定された鍵がプロビジョニングされています。サービスが Titan ID システムを使用する方法の詳細については、認証情報シーリング プロセスをご覧ください。
後の世代の Titan チップ ID は、Device Identifier Composition Engine(DICE)などの業界標準に従って生成および認定されます。元の Titan チップは、関連する業界標準が導入される前に製造されたため、Google のカスタム設計を使用して認定されました。Google は、安全なハードウェアの製造とデプロイの経験を活かして、標準プロセスへの参加を強化しています。DICE、トラステッド プラットフォーム モジュール(TPM)、Security Protocol and Data Mode(SPDM)などの新しい標準には、Google の経験を反映した変更が含まれています。
Titan との統合
Titan チップがプラットフォームに統合されると、アプリケーション プロセッサ(AP)にセキュリティ保護が実装されます。たとえば、Titan は、ワークロードを実行する CPU、ベースボード管理コントローラ(BMC)、ML などのワークロード用アクセラレータとペア設定できます。
Titan は、シリアル ペリフェラル インターフェース(SPI)バスを使用して AP と通信します。Titan は AP と AP の起動ファームウェア フラッシュ チップの間に挿入され、起動時にファームウェアが実行される前に、Titan がそのファームウェアの各バイトを読み取って測定できるようにします。
Titan 対応プラットフォームの電源を入れると、次の手順が実行されます。
- Titan の内部アプリケーション プロセッサが埋め込みの読み取り専用メモリから不変のコード(起動 ROM)を実行する間、Titan が CPU をリセットモードに保ちます。
- Titan が組み込みのセルフテストを実行し、すべてのメモリ(ROM を含む)が改ざんされていないことを確認します。
- Titan の起動 ROM が公開鍵暗号を使用して Titan のファームウェアを検証し、検証されたファームウェアの ID を Titan の鍵階層に混ぜ合わせます。
- Titan の起動 ROM が Titan の検証済みファームウェアを読み込みます。
- Titan ファームウェアが公開鍵暗号を使用して AP の起動ファームウェア フラッシュの内容を検証します。Titan は、検証プロセスが正常に完了するまで、AP の起動ファームウェア フラッシュへのアクセスをブロックします。
- 検証後、Titan チップが AP をリセットから解放し、AP を起動できるようにします。
- AP ファームウェアが追加の構成を行います。ここで、追加の起動イメージが起動される場合があります。AP は、これらの起動イメージの測定値をキャプチャし、安全なモニタリングが行われるよう測定値を Titan に送信できます。
Google は、起動サイクル中に実行される最初の命令から、マシンで起動された起動ファームウェアと OS を特定できるため、上記の手順により、最初の命令の完全性が実現されます。マイクロコードの更新を受け入れる CPU を搭載した AP の場合、起動プロセスにより、起動ファームウェアの最初の命令の前に取得されたマイクロコード パッチも Google に通知されます。詳細については、メジャード ブート プロセスをご覧ください。
このフローは、TPM を搭載したプラットフォームにより実行される起動プロセスに似ています。ただし、Titan チップには、次のセクションで説明のとおり、標準の TPM では一般提供されていない機能(Titan の内部ファームウェアの自己証明書や AP ファームウェアのアップグレード セキュリティなど)が含まれています。
標準の TPM 統合は、物理的なインターポーザ攻撃に対して脆弱になる可能性があります。Google の新しい Titan 統合では、統合されたルート オブ トラストを使用して、このような攻撃を軽減します。詳細については、TPM トランスポート セキュリティ: DICE によるアクティブ インターポーザの無効化(YouTube)をご覧ください。
Titan ファームウェアの安全なアップグレード
Titan チップのファームウェアは、オフライン HSM に保持されている鍵で署名されています。この鍵は、クォーラムに基づく制御によって保護されています。Titan の起動 ROM は、チップが起動するたびに Titan ファームウェアの署名を検証します。
Titan ファームウェアは、イメージのセキュリティ状態を伝えるセキュリティ バージョン番号(SVN)で署名されています。ファームウェア イメージに脆弱性の修正が含まれている場合、イメージの SVN が増加します。Titan ハードウェアにより、古いファームウェアに脆弱性があっても、本番環境ネットワークが Titan のファームウェアの SVN を確実に証明できます。このアップグレード プロセスにより、これらの脆弱性が Titan 独自のファームウェアに影響する場合でも、これらの脆弱性を大規模に解消できます。詳細については、ルート オブ トラスト ファームウェアの脆弱性からの復旧をご覧ください。
Google は、TPM ライブラリ仕様の最新バージョンに貢献しました。この仕様には、他の TPM が同様の自己証明書保証を提供できるようにする機能が追加されています。詳細については、TPM アーキテクチャ仕様のバージョン 1.83 の TPM ファームウェア制限付きオブジェクトと SVN 制限付きオブジェクトのセクション(PDF)をご覧ください。これらの TPM 機能は、最新の Titan チップに実装され、デプロイされています。
AP ファームウェアの安全なアップグレード
Google では、Titan のファームウェアに加えて、AP で動作するファームウェアにも暗号署名を行っています。Titan は、プラットフォームの起動プロセスの一環としてこの署名を検証します。また、AP ファームウェアが更新されるたびにこの署名を検証し、正規の AP ファームウェア イメージのみが AP の起動ファームウェア フラッシュ チップに書き込まれるように強制します。この検証プロセスにより、永続的なバックドアのインストールやプラットフォームの起動不能化を試みる攻撃を軽減できます。署名検証は、CPU がその独自のマイクロコード認証メカニズムに脆弱性を持つ場合に、Google のプラットフォームに対し多層防御も提供します。
次のステップ
起動完全性プロセスに関する詳細を確認する。