谷歌曾在公布微型Titan芯片消息時(shí)表示，計(jì)劃利用Titan處理器給每個(gè)谷歌云里的服務(wù)器提供一個(gè)身份。

現(xiàn)在谷歌給出了一個(gè)更詳細(xì)的說明，還描述了Titan作為"硬件信任根證書"的具體做法，進(jìn)而確保每臺(tái)機(jī)器的固件都可以安全地在數(shù)據(jù)中心里載入和提供其他加密功能。

據(jù)了解，Titan芯片的作用是阻止一些諸如政府間諜攔截硬件植入固件后門一類的攻擊。攻擊者也可以利用固件漏洞繞過操作系統(tǒng)的防御及安裝可一些即便重裝操作系統(tǒng)也不能移除的木馬后門(Rootkit)。

谷歌云平臺(tái)工程師在博文中稱，"在本部設(shè)計(jì)的Titan硬件邏輯可望減少硬件后門的機(jī)會(huì)。"

Titan含"安全應(yīng)用處理器、密碼協(xié)處理器、硬件隨機(jī)數(shù)發(fā)生器、精密的密鑰架構(gòu)、嵌入式靜態(tài)RAM（SRAM）、嵌入式閃存和只讀存儲(chǔ)器模塊"。在服務(wù)器開機(jī)后，Titan芯片就會(huì)掃描CPU和其他組件并監(jiān)視"引導(dǎo)固件的每個(gè)字節(jié)"，進(jìn)而運(yùn)行只讀存儲(chǔ)器里的代碼。Titan芯片還會(huì)檢查固件是否被篡改過。

Titan的引導(dǎo)內(nèi)存使用公鑰加密（PKI）機(jī)制，在加載自己的固件時(shí)會(huì)對其進(jìn)行驗(yàn)證，然后利用PKI再驗(yàn)證主機(jī)系統(tǒng)固件。 谷歌的驗(yàn)證啟動(dòng)固件然后對機(jī)器進(jìn)行配置并載入引導(dǎo)加載程序和操作系統(tǒng)。

據(jù)谷歌介紹，上述的各項(xiàng)檢查比安全啟動(dòng)（Secure Boot）做的檢查更進(jìn)了一步，安全啟動(dòng)會(huì)在機(jī)器啟動(dòng)時(shí)驗(yàn)證固件，也可以修復(fù)Titan和識(shí)別啟動(dòng)時(shí)運(yùn)行的第一個(gè)字節(jié)的代碼。

谷歌還詳細(xì)介紹了Titan如何為每臺(tái)機(jī)器提供加密身份，這在有必要修復(fù)Titan固件時(shí)有用處。

谷歌表示，"Titan的芯片制造流程為每個(gè)芯片生成了一些獨(dú)特的密鑰資料，并將這些密鑰資料及來源信息一起都存在注冊表數(shù)據(jù)庫里。數(shù)據(jù)庫的內(nèi)容是經(jīng)過密鑰保護(hù)的，而所用的密鑰則保存在基于脫機(jī)Quorum Titan認(rèn)證中心（CA）里。（Quorum協(xié)議指操作要在得到Vr個(gè)服務(wù)器或Vw個(gè)進(jìn)程同意才能進(jìn)行。）

“獨(dú)立的Titan可以生成針對Titan CA生成證書簽名請求（CSR），而Titan CA則可以在Titan身份管理員基于Quorum指導(dǎo)利用注冊表數(shù)據(jù)庫中的信息在發(fā)布身份證書前驗(yàn)證CSR的真實(shí)性。”

該認(rèn)證系統(tǒng)允許谷歌的后端系統(tǒng)向啟用了Titan的機(jī)器配置密鑰，并可以簽署審核日志，審核日志因此可以顯示是否被篡改過，即便是具有超級(jí)用戶權(quán)限的惡意內(nèi)部人員篡改審核日志也會(huì)顯示出來。