Titan 硬件芯片

本页内容的上次更新时间为 2025 年 1 月,代表截至本文撰写之时的状况。由于我们会不断改善对客户的保护机制,Google 的安全政策和系统今后可能会发生变化。

Titan 芯片是一种专用芯片,可为 Google Cloud 数据中心中的平台建立硬件信任根。Titan 芯片是一种低功耗微控制器,可部署在服务器、网络基础架构和其他数据中心外围设备等平台上。

Titan 芯片是 Titanium 硬件安全架构的重要组成部分,可提供基础安全层,有助于防范针对用户数据的物理攻击和威胁。借助 Titan 芯片,Google 可以安全地识别和衡量平台固件和配置。它旨在从机器启动过程开始,保护系统免受特权软件攻击和 rootkit 的侵扰。

本文档介绍了 Titan 芯片的芯片架构和安全优势。Titan 芯片支持最小可信计算基 (TCB),可让该芯片提供以下优势:

  • 为机器创建强身份的硬件信任根
  • 在启动时和更新时对平台固件进行完整性验证
  • 远程凭据密封流程,为 Google 的机器凭据管理系统提供支持

Titan 芯片系列

最早的 Titan 芯片设计于 2014 年。后续几代产品则融入了在迭代制造、集成和部署流程中获得的经验。如需详细了解 Google 如何向开源硬件安全社区贡献我们对 Titan 芯片的知识,请访问 opentitan.org

Titan 芯片包含以下组件:

  • 安全处理器
  • AES 和 SHA 加密协处理器
  • 硬件随机数生成器
  • 复杂的密钥层次结构
  • 嵌入式静态 RAM (SRAM)、闪存和 ROM

Titan 制造身份

在 Titan 芯片制造过程中,每个 Titan 芯片都会生成唯一的密钥材料。此密钥材料已通过认证,用于生成背书记录。这些背书记录存储在一个或多个注册表数据库中,并使用空气隔离和多方控制进行加密保护。

当支持 Titan 的平台集成到 Google 生产网络中时,后端系统可以验证这些平台是否配备了真实的 Titan 芯片。真实的 Titan 芯片会预配在 Titan 制造过程中注册和认证的密钥。如需详细了解服务如何使用 Titan 身份系统,请参阅凭据密封过程

后代 Titan 芯片身份是根据设备标识符组合引擎 (DICE) 等行业标准生成和认证的。最初的 Titan 芯片是使用 Google 的自定义设计进行认证的,因为这些芯片是在相关行业标准推出之前制造的。Google 在制造和部署安全硬件方面的经验促使我们更多地参与标准制定流程,而 DICE、可信平台模块 (TPM) 和安全协议和数据模式 (SPDM) 等较新的标准也包含反映我们经验的变更。

Titan 集成

将 Titan 芯片集成到平台后,它会为应用处理器 (AP) 提供安全保护。例如,Titan 可以与运行工作负载的 CPU、基板管理控制器 (BMC) 或机器学习等工作负载的加速器配对。

Titan 使用串行外围设备接口 (SPI) 总线与 AP 通信。Titan 位于 AP 与 AP 的启动固件闪存芯片之间,确保 Titan 可以在启动时运行固件之前读取和测量该固件的每个字节。

启用 Titan 的平台开机时,会执行以下步骤:

  1. Titan 会将 CPU 保持在复位模式,而 Titan 的内部应用处理器会从其嵌入式只读存储器中运行不可变代码(启动 ROM)。
  2. Titan 会运行内置自检,以验证所有内存(包括 ROM)都未被篡改。
  3. Titan 的启动 ROM 使用公钥加密验证 Titan 的固件,并将已验证固件的身份混合到 Titan 的密钥层次结构中。
  4. Titan 的启动 ROM 会加载 Titan 的经过验证的固件。
  5. Titan 固件使用公钥加密技术验证 AP 的启动固件闪存的内容。在验证流程成功完成之前,Titan 会阻止 AP 访问其引导固件闪存。
  6. 验证后,Titan 芯片会将 AP 从重置中释放,以便 AP 启动。
  7. AP 固件执行其他配置,可能包括启动更多启动映像。AP 可以捕获这些启动映像的测量结果,并将测量结果发送到 Titan 进行安全监控。

这些步骤可实现第一条指令完整性,因为 Google 可以通过启动周期中运行的第一条指令来识别在机器上启动的启动固件和操作系统。对于具有接受微码更新的 CPU 的 AP,启动流程还会让 Google 知道在启动固件的第一条指令之前提取了哪些微码补丁。如需了解详情,请参阅测量启动过程

此流程类似于配备 TPM 的平台执行的启动流程。不过,Titan 芯片包含标准 TPM 通常不具备的功能,例如 Titan 的内部固件自我认证或 AP 固件升级安全性(如以下各部分所述)。

标准 TPM 集成可能会受到物理插入器攻击。Google 中较新的 Titan 集成使用集成信任根来缓解这些攻击。如需了解详情,请参阅 TPM 传输安全:使用 DICE 破解主动插入器 (YouTube)

安全的 Titan 固件升级

Titan 芯片的固件由存储在离线 HSM 中的密钥进行签名,该密钥受基于仲裁的控件保护。每当芯片启动时,Titan 的启动 ROM 都会验证 Titan 固件的签名。

Titan 固件使用安全版本号 (SVN) 进行签名,该版本号传达了映像的安全状态。如果固件映像包含漏洞修复,则该映像的 SVN 会递增。Titan 硬件可让生产网络强烈证明 Titan 固件的 SVN,即使旧版固件可能存在漏洞也是如此。升级过程可让我们大规模地从这些漏洞中恢复,即使这些漏洞会影响 Titan 自己的固件。如需了解详情,请参阅从信任根固件中的漏洞恢复

Google 为最新版 TPM 库规范做出了贡献,该规范现在包含可让其他 TPM 提供类似自我证明保证的功能。如需了解详情,请参阅 TPM 架构规范版本 1.83 的TPM 固件受限对象和 SVN 受限对象部分 (PDF)。这些 TPM 功能已在我们的最新 Titan 芯片上实现并部署。

安全的 AP 固件升级

除了 Titan 的固件之外,我们还对在 AP 上运行的固件进行加密签名。Titan 会在平台启动流程中验证此签名。每当 AP 固件更新时,它还会验证此签名,以强制执行仅将真实 AP 固件映像写入 AP 的启动固件闪存芯片的操作。此验证流程可缓解尝试安装持久后门或使平台无法启动的攻击。如果 CPU 在其自身的微码身份验证机制中存在漏洞,签名验证还可为 Google 的平台提供纵深防御。

后续步骤

详细了解我们的启动完整性流程