Google erklärt Chromebook-Sicherheits-Chip H1

In Chromebooks ersetzt und erweitert Googles Titan H1 alias Cr50 die Funktionen eines Trusted Platform Module (TPM) - etwa auch für alternative Firmware.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Google Titan H1 alias Cr50: Blockschaltbild (mit Zuschauerköpfen)

Google Titan H1 alias Cr50: Blockschaltbild (mit Zuschauerköpfen)

(Bild: c't/Christof Windeck)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Google verlässt sich nicht länger auf standardisierte Trusted Platform Modules (TPMs), sondern hat bereits Anfang 2017 angekündigt, eigene Sicherheits-Chips namens Titan zu entwickeln. Die kamen zuerst in den hauseigenen Cloud-Servern zum Einsatz. Die Variante H1, auch Cr50 genannt, lässt Google in aktuelle Chromebooks einlöten. Demnächst will Google auch USB-Sticks mit Titan-Chips für die sichere Zwei-Faktor-Authentifizierung (2FA, FIDO U2F) verkaufen.

Auf der Open Source Firmware Conference (OSFC 2018) stellte Google-Entwickler Vadim Bendebury den prinzipiellen Aufbau und die Funktionen des H1/Cr50 in Chromebooks vor. Demnach verwendet Google darin den ARM SecurCore SC300, der auch in TPMs anderer Hersteller zum Einsatz kommt. Der H1 enthält zudem geschützten Speicher, einen angeblich besonders guten Zufallszahlengenerator, eine Krypto-Engine für kryptografische Berechnungen, ein USB-1.1-Interface, weitere Schnittstellen wie I²C, SPI und auch GPIO-Pins.

Der Code, den der H1 ausführt, ist selbst offengelegt und liegt im Chromium-OS-Repository. Genau wie ein TPM nutzt Google den H1 für Verified Boot: Der Chip stellt sicher, dass eine unveränderte Version der Coreboot-Firmware startet. Das geht über UEFI Secure Boot hinaus: Secure Boot sorgt lediglich dafür, dass die Firmware ausschließlich signierte Bootloader lädt. Verified Boot geht mehr in Richtung Measured Launch und prüft mit Hashes auch die Integrität des Firmware-Codes selbst.

Der H1-Chip stellt aber auch sicher, dass sich die Firmware nur mit signierter Firmware überschreiben lässt. Wie üblich, gibt es auch einen Rollback-Schutz, der vor dem Einspielen älterer und möglicherweise unsicherer Firmware-Versionen schützt.

Weitere Funktionen des H1 sind die sichere Anmeldung ans Chromebook mit kurzen PINs, etwa für wechselnde Nutzer in Schulen, sowie die Zwei-Faktor-Authentifizierung nach U2F. Bei der Bearbeitung von Reklamationen soll der H1 sicherstellen, dass Wartungstechniker keinen Zugriff auf Nutzerdaten haben, indem der H1 für eine sichere Löschung aller Daten sorgt.

Die zahlreichen GPIO-Leitungen des H1 nutzt Google für Spezialfunktionen wie den sicheren Reset: Der Chip stellt sicher, dass dabei tatsächlich ein Reset-Signal gesendet wird. Das soll Angriffe mit Malware erschweren, die einen Reset nur vorgaukelt, um sich an Schutzfunktionen vorbeizuschummeln.

Eine weitere Spezialität ist "Battery Cutoff": Auf eine besondere Tastenkombination hin sendet der H1 dem Akku ein Signal, damit sich die Akku-Elektronik komplett vom System trennt. Das soll für längere Lagerzeit sorgen, ohne dass der Akku tiefentlädt. Sobald erstmals wieder ein Netzteil angeschlossen wird, erkennt das der H1 und das Chromebook arbeitet wieder normal.

Closed Case Debugging erlaubt gesicherten Zugriff auf die Firmware, ohne das System aufschrauben zu müssen, etwa um Jumper zu setzen. Ältere Chromebooks haben eine "Firmware-Update-Schraube" (Write-Protect Screw), die beim Herausdrehen einen Kontakt öffnet. Dieser Hardware-Schreibschutz für die Firmware des Embedded Controller (EC) soll vor böswilligen Attacken auf die Firmware aus der Ferne per Netzwerk schützen.

SparkFun SuzyQable

(Bild: SparkFun)

Letztlich dient die Schraube aber dazu, als zuverlässige Prüfung der "Physical Presence" (PP) einer Person am Gerät sicherzustellen, dass der Besitzer des Chromebooks den Zugriff auf die Firmware erlaubt. Das soll in Zukunft mit einem speziellen USB-C-Kabel möglich sein, dem etwa bei SparkFun erhältlichen SuzyQable, für das es auch eine Selbstbauanleitung gibt.

Mit diesem Kabel und im Betriebsmodus Closed Case Debugging kann ein Chromebook-Besitzer die Firmware des Gerätes überschreiben. Im Prinzip kann man also die Chromebook-Hardware dann nach Wunsch nutzen, ohne an Google gebunden zu sein. Derzeit scheint es aber noch keine fertige alternative Firmware für diesen Zweck zu geben; man kann aber Coreboot selbst aus den Quellen übersetzen.

Bei Chromebooks, die zentral von einer Firma oder Schule verwaltet werden, lässt sich Closed Case Debugging zudem dank H1 sicher verhindern. (ciw)