谷歌密鑰，中國制造

　　谷歌與上個(gè)月Next云大會(huì)上發(fā)布新一代“Titan”物理安全密鑰，本周CNBC曝光了背后的生產(chǎn)企業(yè)——一家名為“飛天誠信”的中國企業(yè)。實(shí)際上，除了谷歌，飛天還拿下了蘋果、微軟以及BAT等客戶。

　　谷歌密鑰，中國制造。

　　今年7月，谷歌在舊金山舉行的Next云大會(huì)上發(fā)布了新一代“Titan”物理密鑰產(chǎn)品。Titan是一種安全芯片，可以防止間諜竊聽硬件和插入固件植入來攻擊電腦。

　　據(jù)CNBC等多家外媒報(bào)道，Titan是由一家名為“飛天誠信”(FEITIAN)的中國公司生產(chǎn)的。

　　飛天公司成立至今已有20年的時(shí)間，2014年在深圳證券交易所上市，號(hào)稱“中國智能身分識(shí)別領(lǐng)域第一股”，服務(wù)的客戶除了谷歌外，還包括微軟、蘋果、阿里巴巴、騰訊、百度等。

　　PK掉美國本土公司，飛天拿下谷歌

　　谷歌一直致力于開發(fā)防止不必要的登錄用戶帳戶的技術(shù)。目前，谷歌員工除了輸入密碼外，還要使用物理安全密鑰，這種額外的驗(yàn)證層旨在防止網(wǎng)絡(luò)釣魚事件，也防止黑客通過欺詐性郵件獲取個(gè)人信息。

　　Titan信息安全芯片最初在2017年3月的谷歌Cloud Next大會(huì)上問世，主要是為了保護(hù)用戶的代碼和數(shù)據(jù)。

　　這種類似耳釘大小尺寸的芯片已經(jīng)安裝在許多計(jì)算機(jī)服務(wù)器和網(wǎng)卡中，這些計(jì)算機(jī)和網(wǎng)卡都是谷歌龐大的數(shù)據(jù)中心。

　　今年7月的Cloud Next大會(huì)，谷歌又推出新一代Titan，并表示該產(chǎn)品擁有“谷歌開發(fā)的用于驗(yàn)證其完整性的固件”，但沒有確定該產(chǎn)品的制造商，當(dāng)時(shí)有媒體發(fā)現(xiàn)這款產(chǎn)品與北京的網(wǎng)絡(luò)安全公司“飛天”的無線密鑰產(chǎn)品相似。

　　谷歌“Titan”物理密鑰，USB和藍(lán)牙版本捆綁售價(jià)為50美元

　　CNBC在報(bào)道中提到，飛天誠信位于圣克拉拉辦事處的一位員工證實(shí)，飛天正在和谷歌Titan合作，熟悉該項(xiàng)目的另一位消息人士也證實(shí)了這種合作關(guān)系。

　　除了飛天誠信公司之外，此次Titan密鑰與一家名為Yubico的美國公司的USB密鑰非常相似，它們都可用于安全登錄Google的Gmail服務(wù)，以及Dropbox、GitHub和其他網(wǎng)絡(luò)服務(wù)。

　　不過，Yubico的首席執(zhí)行官Stina Ehrensvard已經(jīng)明確表示，Titan不是由Yubico制造的，并且Stina Ehrensvard還酸意十足的批評(píng)了藍(lán)牙按鍵的某些“缺點(diǎn)”：

　　雖然Yubico之前開發(fā)了BLE(藍(lán)牙低能耗)安全密鑰，并為BLE U2F標(biāo)準(zhǔn)的工作做出了貢獻(xiàn)，但我們決定不推出該產(chǎn)品，因?yàn)樗环衔覀兊陌踩?、可用性和耐用性?biāo)準(zhǔn)。

　　BLE不能提供NFC和USB的安全保障級(jí)別，而且需要電池和配對(duì)來提供糟糕的用戶體驗(yàn)。

　　飛天誠信公司：隨著中國互聯(lián)網(wǎng)浪潮發(fā)展起來的巨頭

　　據(jù)飛天公司官網(wǎng)介紹，該公司全名為“飛天誠信科技股份有限公司”，是“全球領(lǐng)先的智能卡操作系統(tǒng)及數(shù)字安全系統(tǒng)整體解決方案的提供商和服務(wù)商，成立于1998年，總部設(shè)在北京”。

　　該公司于2014年在深圳證券交易所上市，號(hào)稱“中國智能身分識(shí)別領(lǐng)域第一股”。

　　就在剛剛過去的8月27日，飛天迎來20周年慶，兩天后的半年報(bào)數(shù)據(jù)也不錯(cuò)：

　　8月29日，飛天公司公布了發(fā)布2018年半年報(bào)，公司2018年1-6月實(shí)現(xiàn)營業(yè)收入4.28億元，同比增長5.4%;計(jì)算機(jī)設(shè)備行業(yè)已披露半年報(bào)個(gè)股的平均營業(yè)收入增長率為36.45%;歸屬于上市公司股東的凈利潤3661.11萬元，同比增長42.56%，計(jì)算機(jī)設(shè)備行業(yè)已披露半年報(bào)個(gè)股的平均凈利潤增長率為-1.21%;公司每股收益為0.09元。

　　飛天誠信以北京總部為中心，在廣州、上海、成都等全國多個(gè)城市和地區(qū)建立了營銷中心和辦事處，在亞洲、歐洲、大洋洲、美洲等全球范圍內(nèi)建立起市場(chǎng)推廣和營銷服務(wù)體系，積累了金融、政府、郵政、電信、交通、互聯(lián)網(wǎng)等領(lǐng)域6000余家客戶。核心客戶群體是銀行。

　　在官網(wǎng)上“合作伙伴”一欄，列出了微軟、蘋果、英特爾等國際巨頭的Logo：

　　看飛天誠信的官方Twitter賬戶，從7月谷歌云大會(huì)Titan密鑰發(fā)布以來，也不時(shí)在轉(zhuǎn)發(fā)并推廣與Titan有關(guān)的報(bào)道和消息。

　　但是，飛天誠信官方并沒有就與谷歌合作一事發(fā)表公開聲明。

　　用不用安全密鑰?看你有多擔(dān)心了

　　根據(jù)谷歌官網(wǎng)去年8月份的介紹，信息安全芯片Titan，是鞏固Google Cloud平臺(tái)，保護(hù)客戶的代碼和數(shù)據(jù)的一種措施。

　　谷歌希望Titan芯片能夠?qū)⒏嘁园踩珵閷?dǎo)向的公司引入其云計(jì)算平臺(tái)。根據(jù)Gartner在2017年的數(shù)據(jù)，這是一個(gè)非常重要的舉措，能夠使全球云計(jì)算市場(chǎng)的價(jià)值達(dá)到近500億美元。

　　Titan是一款安全的低功耗微控制器，專為滿足Google硬件安全要求和場(chǎng)景而設(shè)計(jì)。Titan能確保機(jī)器使用可驗(yàn)證的代碼從已知的良好狀態(tài)啟動(dòng)，并為谷歌數(shù)據(jù)中心的加密操作建立信任的硬件根。

　　除了一般的安全密鑰功能，Titan還提供了兩個(gè)重要的附加安全屬性：補(bǔ)救和第一指令的完整性(first-instruction integrity)。

　　Titan芯片比手指指甲還小

　　Titan包含幾個(gè)組件：安全應(yīng)用程序處理器，加密協(xié)處理器，硬件隨機(jī)數(shù)生成器，復(fù)雜的密鑰層次結(jié)構(gòu)，嵌入式靜態(tài)RAM(SRAM)，嵌入式閃存和只讀存儲(chǔ)器塊。Titan通過串行外設(shè)接口(SPI)總線與主CPU通信，允許Titan觀察引導(dǎo)固件的每個(gè)字節(jié)。

　　Google還開發(fā)了一種基于Titan芯片的端對(duì)端加密識(shí)別系統(tǒng)。這可以進(jìn)一步充當(dāng)其數(shù)據(jù)中心各種加密操作的信任根。

　　Titan安全芯片運(yùn)行的第一步是由處理器執(zhí)行代碼，該過程通常是在主機(jī)啟動(dòng)后立即完成的。然后，制造過程就會(huì)給出一個(gè)不可變代碼，該代碼是默認(rèn)可信的，而且在每一個(gè)芯片重置時(shí)都會(huì)進(jìn)行驗(yàn)證。之后，芯片運(yùn)行內(nèi)置的自檢。每次啟動(dòng)時(shí)都會(huì)進(jìn)行此過程，以確保包括ROM在內(nèi)的所有存儲(chǔ)器都沒有被篡改。

　　最新推出的谷歌Titan密鑰，有藍(lán)牙版和USB兩種款式：USB-C轉(zhuǎn)USB-A連接器(左)，Titan USB密鑰(中)，Titan藍(lán)牙密鑰

　　下一步是加載Titan的固件。即使該固件被嵌入到芯片的閃存中，Titan啟動(dòng)ROM也不會(huì)默認(rèn)信任該固件，而是使用公鑰密碼系統(tǒng)來驗(yàn)證Titan的固件，并將此驗(yàn)證碼的特性和Titan的密鑰體系結(jié)合起來。最后，啟動(dòng)ROM加載已驗(yàn)證的固件。

　　總之，從安全角度來說，Titan芯片為Google提供了：

　　基于硬件的信任根，建立了機(jī)器的有效特性。這有助于Google做出重要的安全決策，并驗(yàn)證系統(tǒng)的運(yùn)行狀況。因此將確保對(duì)任何更改進(jìn)行不可逆性審查跟蹤。

　　防篡改記錄功能有助于識(shí)別具有訪問權(quán)限的內(nèi)部人員所執(zhí)行的操作。

　　該芯片提供固件和軟件組件的完整性驗(yàn)證。

　　至于最新推出的USB和藍(lán)牙款，谷歌威脅分析小組主任Shane Huntley在今年7月表示，即使采用雙因素身份驗(yàn)證，某人仍然可以通過短信搜索受害者?；旧希粽呖赡軙?huì)向受害者發(fā)送偽造的PIN請(qǐng)求。

　　在開始在內(nèi)部測(cè)試Titan 密鑰之前，谷歌發(fā)現(xiàn)自己的員工很容易受到網(wǎng)絡(luò)釣魚攻擊。谷歌內(nèi)部有一個(gè)專門測(cè)試員工安全的團(tuán)隊(duì)，他們針對(duì)谷歌自己的員工進(jìn)行了多次成功的網(wǎng)絡(luò)釣魚攻擊，成功證明：如果攻擊足夠復(fù)雜，就能夠獲得對(duì)公司的訪問權(quán)限。

　　但是，一旦谷歌的員工開始使用安全密鑰，這種釣魚攻擊基本上停止了。