8 Minutės
Google ir telefonų sauga: naujas žingsnis
„Google“ požiūris į telefonų saugumą visada buvo ramus, bet ambicingas. 2021 m. kompanija pristatė Titan M2 – specializuotą saugumo lustą, kuris transformavo Pixel seriją iš paprasto techninės ir programinės įrangos derinio į įrenginį su patikima, sukietinta saugykla raktams, slaptažodžiams ir attestacijai. Po ketverių metų tas saugyklos modelis dabartiniams, vis įnoringesniems grėsmėms ir gausesnėms įrenginio DI apkrovoms pradeda atrodyti pasenęs.
Rumos ir pagrindiniai klausimai
Dabar gandų malūnas tyliai sufleruoja, kad „Google“ ruošiasi atnaujinimui. Manoma, kad Pixel 11, kuriame galėtų būti Tensor G6 sisteminis lustas (SoC), taip pat sulauks naujo saugumo palydovo: Titan M3. Šio lusto projekto pavadinimas esą yra „Epic“. Dramatiškas vardas. Dramatiški lūkesčiai. Jei „Google“ pasirinko tokį kodinį vardą ne veltui, M3 gali reikšti reikšmingą šuolį į priekį tose srityse, kuriose kompanija galvoja apie pasitikėjimą ir izoliaciją telefonuose.
Ką iš tikrųjų žinome?
Iš esmės labai nedaug: tik kodinis vardas ir laiko tarpas. Tai reiškia, kad visa tai, ką skaitote toliau, yra pagrįstos prielaidos, o ne nutekintos specifikacijos. Visgi Titan linijos kilmė suteikia mums naudingą atskaitos tašką. Titan M2 atlieka saugaus paleidimo (secure boot) užtikrinimą, saugo įrenginio šifravimo raktus, taiko apsaugą nuo firmware rollback (grįžimo prie ankstesnės versijos) ir tikrina užrakto ekrano slaptažodžius. Jis sukurtas taip, kad išliktų patikimas net jei Android arba pagrindinis Tensor procesorius būtų pažeisti. Tai rimti ir svarbūs įsipareigojimai.
Ko galėtume tikėtis iš "Epic" (Titan M3)?
Pradėkime nuo griežtesnės izoliacijos. Tikėtina, kad M3 suteiks labiau autonominį saugumo domeną, galintį atlikti kriptografinius veiksmus nepriklausomai nuo pagrindinio SoC. Tai reiškia, kad jautrūs raktai ir operacijos galėtų vykti pilnai izoliuotoje aplinkoje, sumažinant ryšio su pagrindiniu procesoriumi taškų skaičių ir tuo pačiu sumažinant atakos paviršių.
Izoliacija ir saugumo domenai
Tokio tipo izoliacija nebūtinai yra vien tik loginė. Tikėtina, kad „Epic" apims aparatinio lygio funkcijas, kurios fiziškai atskirtų saugų domeną nuo likusios sistemos (hardware-backed isolation). Tokia architektūra leidžia saugioms operacijoms vykti net tada, kai pagrindinis operacinės sistemos sluoksnis yra pažeistas. Pavyzdžiui, saugumo lustas gali turėti savo atskirą atmintį, valdytą prieigos kontrole, taip pat atskirą vykdymo variklį (secure execution engine), skirtą vykdyti tik patvirtintą, griežtai peržiūrėtą kodą.
Greitesni ir efektyvesni kripto akceleratoriai
Galima tikėtis ir spartesnių, energiją taupančių kripto akceleratorių, kurie palaikytų galingesnius algoritmus be didelio poveikio baterijos veikimui. Tokio tipo akceleratoriai leistų greičiau atlikti šifravimo, pasirašymo ir patvirtinimo (attestation) operacijas, taip pat vienu metu palaikyti sudėtingesnius raktų valdymo protokolus. Tai ypač svarbu įrenginiams, kuriuose veikia pažangios vietinės DI funkcijos, reikalaujančios greitos ir saugios prieigos prie kriptografinių raktų.
Stiprintos aparatinės pasitikėjimo šaknys
Aparatinės root-of-trust (pasitikėjimo šaknys) tikriausiai bus sustiprintos: geresnė raktų saugykla, patikimesni atsitiktinių skaičių generatoriai (entropijos šaltiniai) ir padidintas apsaugos lygis prieš fizinį pažeidimą ar manipuliacijas. Kuo stipresnės ir patikimesnės šios šaknys, tuo patikimesnė tampa visa aukštesnio lygio saugumo piramidė – nuo saugaus paleidimo iki platformos attestacijos.
Biometrija, privatumas ir vietinės DI apsauga
Biometrija ir privatumas yra akivaizdūs tikslai. Kai daugiau jautrios informacijos apdorojama įrenginyje vykstančios dirbtinio intelekto (DI) pagalba, atskiras saugus mechanizmas biometriniams šablonams ir autentifikacijos srautams tvarkyti būtų logiškas sprendimas. Tokia atskirtis sumažintų atakos paviršių, pagerintų vartotojo privatumo valdymą ir leistų biometrinius duomenis saugoti taip, kad prie jų nepasiektų net kompromituotos operacinės sistemos moduliai.
Biometrinių šablonų valdymas
Atskiras biometrijos modulis galėtų laikyti šablonus užšifruotus ir pateikti tik sanitarizuotus arba ribotus atsakymus į autentifikacijos užklausas. Vietinis DI galėtų atlikti ankstesnį duomenų apdorojimą (pvz., anksčiau surinktų veido ar pirštų atspaudų normalizavimą), bet tik pats saugus modulis atliktų tikrąjį šablonų palyginimą. Tai leistų suderinti patogumą su griežtu privatumu.
Atnaujinimų saugumas ir rollback apsauga
Kitas tikėtinas patobulinimas – platesnės saugos priemonės atnaujinimams ir rollback (versijų atstatymo) apsauga, glaudžiai integruota su Tensor G6. Tai apribotų žalos mastą, jei netinkamas arba kompromituotas firmware atvaizdas būtų paskelbtas. Pvz., Titan M3 galėtų turėti papildomas grandis, kurios patikrina kiekvienos atnaujinimo versijos kriptografinį parašą, palaiko versijų leidimų politiką ir užtikrina, kad grįžimas prie senesnės firmware versijos nebūtų leidžiamas be autorizacijos.
Atnaujinimų patikimumas
Sistemų saugumo požiūriu svarbu ne tik sugebėti atnaujinti komponentus, bet ir garantuoti, kad atnaujinimai bus legitiimi ir nepažeis saugos grandinės. Titan M3 galėtų tiekti papildomus patikros sluoksnius, pvz., griežtesnes parašų grandines, dinaminį versijų valdymą arba net roll-forward strategijas, kurios užtikrina, kad net ir nelyginant su ankstesnėmis versijomis – įrenginys liktų saugus.
Ateities įrodymas: postkvantinė kriptografija ir kiti ilgalaikiai sprendimai
Yra ir spekuliacijų apie „ateities įrodymą“. Postkvantinė kriptografija (PQC) pereina iš akademinių straipsnių į praktinį planavimą. Ar „Google“ įdiegs PQC primityvus tiesiai į Titan M3, dabar sunku pasakyti, tačiau kompanija yra tokia, kuri planuoja metams į priekį. Net ir po truputį įgyvendinami patobulinimai – geresni entropijos šaltiniai, saugesnis raktų laikymas ir greitesnis ryšys su saugia erdve („secure enclave“) – ilgainiui duos apčiuopiamos naudos kasdieniam saugumui.
PQC integracija ir praktiniai apribojimai
Integruoti postkvantinę kriptografiją į aparatinį lustą nėra trivialu: PQC algoritmai dažnai reikalauja daugiau laikmenos ir skaičiavimo resursų nei tradiciniai RSA/EC sprendimai. Tačiau aparatinio lygio akceleratoriai ir specializuoti instruktoriai gali padėti sumažinti šiuos trūkumus. Net jei M3 nepristatys pilnos PQC palaikymo paleidimo metu, lustas gali būti išdėstytas taip, kad ateityje būtų paprasta pridėti šias funkcijas per mikroprogramos atnaujinimus ar papildomus modulius.
Praktiniai padariniai kūrėjams ir vartotojams
Jei gandai pasitvirtins, tai turės keletą praktinių pasekmių. Kūrėjams reikės atnaujinti saugumo praktiką, pritaikyti aplikacijas prie naujų attestacijos srautų ir pasinaudoti aparatiniu raktų valdymu. Vartotojams tai reiškia didesnį pasitikėjimą įrenginio vientisumu, geresnį biometrinių duomenų saugumą ir patikimesnę apsaugą nuo tam tikrų programinių atakų formų.
Kūrėjų ekosistemos poreikiai
Norint efektyviai naudoti Titan M3 galimybes, platformos ir bibliotekos turi pasiūlyti aiškius API sluoksnius. Google gali suteikti naujus SDK arba atnaujinti esamus, kad leistų programoms saugiai prašyti attestacijos, įrašyti raktus arba atlikti kriptografinius žymenis per lustą. Toks integracijos darbas yra esminis, kad aparatinės saugos privalumai neegzistuotų tik teorijoje, o realiai būtų prieinami aplikacijoms ir paslaugoms.
Kaip ir kada sužinosime daugiau?
Gandai retai ateina su pilnais schemomis. Turėtume tikėtis dalinių patvirtinimų, etaloninių testų (benchmark), saugumo analizės ir techninių aprašų artėjant Pixel 11 paleidimui. Dažniausiai kompanijos pristatymo metu pateikia aukšto lygio architektūrą, o saugumo bendruomenė paskui atlieka nuodugnesnius testus ir analizę.
Stebėkite oficialias paskyras ir analizę
Svarbu sekti oficialias Google saugumo ataskaitas, Pixel leidimo pranešimus ir nepriklausomų tyrėjų publikacijas. Dažnai tik po paleidimo paaiškėja tikroji architektūra ir bendros geriausios praktikos naudojimui su aparatiniais saugos modulius.
Išvada
Kol kas naudingiausia išvada yra paprasta: „Google", atrodo, dar labiau įsipareigoja aparatinei saugai, ir tai yra teigiamas ženklas tiems, kurie rimtai vertina privatumo ir įrenginio vientisumą. Jeigu „Epic" bus daugiau nei tik vardas, kitą Pixel telefonų kartą gali pakelti mobilią pasitikėjimo kartelę — tyliai, atkakliai ir be perteklinio triukšmo.
Svarbiausia — stebėti Pixel pristatymus ir saugumo aprašus. Jei „Epic" pasirodys esantis realus technologinis žingsnis, tai gali būti reikšmingas šuolis į priekį aparatinei saugai mobiliuosiuose įrenginiuose.
Šaltinis: gsmarena
Palikite komentarą