揭秘 Google Titan M 晶元：Pixel 3 的終極保鏢是如何煉成的？

2018 年 10 月 9 日，Google Pixel 3/XL 在紐約正式亮相。無論是用單攝吊打（特指 iPhone XS Max）雙攝的 AI 技術，還是 799 美元的起售價，它都引起了很多的爭議。不過有一點是無可爭議的，Pixel 3/XL 是一款前所未有的搭載三款獨立晶元的智能手機，三款獨立晶元分別是高通驍龍 845、Pixel Visual Core 和 Titan M。

其中，Titan M 是 Google 專門為智能手機安全而打造的一款晶元，雖然在體積上不大，但它的來頭卻實在不小。

從 Titan 到 Titan M

關於 Google Pixel 3/XL 中 Titan M 晶元的來由，還要從 2017 年 3 月的 Google Cloud Next 大會上說起。

在這場大會上，Google 發布了一款名為 Titan 的安全晶元，尺寸上只有一款耳釘大小，功率也非常小。這是一款旨在用於 Google Cloud Platform（GCP）伺服器上的產品，目的是保證其顧客代碼和數據的安全性，可以防止政府間諜竊聽硬體和插入固件植入來攻擊電腦。

2017 年 8 月，Google 在官網發表博客，對 Titan 晶元的工作細節進行了深入介紹。從組件構成的角度，Titan 本身包含一個安全應用處理器、密碼協處理器、硬體隨機數發電機、精良的密鑰層次結構、嵌入式靜態 RAM（SRAM）、嵌入式快閃記憶體、只讀存儲器、串列外設介面（SPI）匯流排、底板管理控制器（BMC）或平台控制器中樞（PHC）。

從工作機制的角度簡單來說，Titan 在硬體層面保護了 Google Cloud 數據中心從主機啟動的那一刻開始的整個啟動載入過程，防止外界通過固件漏洞的方式來破壞操作系統。

不僅如此，Titan 還提供了兩個重要的附加安全屬性——修復和第一指令完整性，它可以用來監測啟動固件的所有位元組。

總體來說，Titan 為整個系統提供了硬體級別的安全保障，甚至可以識別擁有 Root 許可權的內部人士的操作；可以說是大大提供了安全性。雷鋒網了解到，在 2018 年 7 月的新一屆 Google Cloud 大會上，Titan 也得到了更新。

當然，就 Google Pixel 3/XL 上所搭載的 Titan M 而言，它在某種意義上是 Titan 的延續，至少在命名和用途上是如此（M 是 Mobile 的意思）。不過與已經很省電的 Titan 相比，Titan M 的體積更小一些，也更加省電——這對於一款智能手機來說毫無疑問是必須的。

Google 表示，實際上，Titan M 就是從 Titan（for Data Center）那裡取來的功能，只不過針對 Mobile 進行了加工。

Google 想要在 Pixel 智能手機上採用一個專用的模塊來保護其數據安全，並非是心血來潮的事情；因為其實在去年 10 月份發布的 Google Pixel 2/XL 中，就已經擁有一個硬體級別的安全模塊（Security Modeule），目的是提供企業級別的安全——由此可知，Pixel 系列某種意義上試圖面向的也是企業用戶。

按照 Google 在 2017 年 11 月 14 日的博客描述，Google Pixel 2 中內置的 Security Modeule 可以保護智能手機在鎖屏狀態下的數據安全，防止攻擊者繞過用戶設置的密碼來竊取數據。雷鋒網了解到，實際上 Pixel 2/XL 內置的 Security Modeule 是一個獨立於高通驍龍 835 SoC 的硬體結構，它甚至擁有自己的 Flash/RAM/處理單元等組件。

從這個角度來看，Pixel 3/XL 內置的 Titan M 顯然是對上述 Security Modeule 的繼承和更新。

Titan M 在保護機制上與 Titan 有某種相同之處。它對智能手機的保護從 Boot 層面開始，與 Verified Boot 進行了深度整合，保證 bootlooder 載入的是正確的 Android 版本，阻止任何想要對 Android 進行降級的行為；不僅如此，Titan M 還阻止 Android 系統中的潛在攻擊者解鎖 Bootloader（這意味著 Pixel 3 的 Bootloader 不能被解鎖了？）

除此之外，Titan M 可以幫助 Pixel 3/XL 來驗證鎖屏密碼，限制不良程序試圖解鎖手機的次數，防止數據篡改和竊取——這一功能與上文中提到的 Security Modeule 的功能有相似之處。

Titan M 不僅可以用來保護 Android 操作系統和它的功能完整，也可以保護第三方應用和涉及到安全敏感性的交易（Transaction）。

在 Android 9 中，Google 提供了 StrongBox KeyStore API，應用開發者可以用之來經密碼存儲在 Titan M 中；同時，針對需要通過跳轉來完成交易的應用，比如說電子投票、轉賬，Google 在 Android 中也提供了 Protected Confirmation API，該 API 同樣得到了 Titan M 在硬體層面的支持。

在接受 Wired 採訪時，Google 安全項目經理 Xiaowen Xin 表示，Titan M 的固件將會在未來幾個月開源，這在行業中也是非常獨特的。

另外，關於 Titan M 自身的安全性，Google 也有所準備。除非用戶輸入了密碼，否則 Titan M 的固件永遠不會得到任何更新，這就完全阻斷了攻擊者試圖通過損壞 Titan M 來幹壞事的可能性。

發展到今天，Google Pixel 系列已經步入到第三代；且不說外觀如何，Google Pixel 系列在底層硬體層面的確做了許多普通消費者難以感知到的努力，比如說 Pixel Visual Core 和 Titan M。雷鋒網認為，這些努力雖然一時難以被轉化為明顯的銷量，但毫無疑問是 Google 在走向軟硬體結合道路上的重要步伐。而在數據安全被愈加重視的時代，Titan M 的重要性是毋庸置疑的。

正如哥倫比亞大學的計算機科學家 Simha Sethumadhavan 的評價：

Google 所做這種層面的硬體改進，我認為是非常了不起的。它比軟體防護更難取得突破，難度高得多了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！