安全芯片就能保平安？谷歌TitanM并非万能

财产安全问题从古至今都是大家最为关心的问题，从古老的机关盒、牢固的保险箱，再到虚拟世界的各种安全卫士以及加密协议都，也都是为此而生。而为了防止被盗号，网游厂商也曾经推出过例如密保卡、将军令和甚至的APP，来保障账号安全，而银行也为网银业务推出了例如U盾这类产品。

有了Titan M，谷歌Pixel 3就是最安全的手机？

但俗话说有光的地方就有阴影，安全领域的攻防斗法可以说已经蔓延了数千年。但是不同于现实世界，网络的虚拟环境在一定程度上拉动了攻防双方的实力对比，比如说一代传奇黑客凯文·米特尼克，就是单枪匹马“作案”的典范。

随着移动支付的普及化，手机如今已经成为了存储资产的重要工具，也使得其价值陡然提升了不少。因此近年来我们可以看到许多手机厂商，包括上游供应商在宣传自家产品的时候，都开始打起了“安全牌”。

而近期最知名的例子，当属谷歌的新机皇Pixel 3系列。为了宣传新机的安全特性，谷歌在其官方博客上发表了一篇文章，内容是“Titan M makes Pixel 3 our most secure phone yet”，详细的向外界解读了Titan M芯片能够起到的作用。

谷歌在Pixel 3上使用的Titan M，其源自Google Cloud的数据中心使用的Titan芯片，谷歌以此为模板针对移动设备进行了定制。而在谷歌的口中，这颗Titan M芯片在保护手机数据安全上主要起到了四种模式。

首先就是保证Bootloader中的安全性，Titan M内部存储最后一个已知的Android安全版本，用户不能随意回滚或刷机到不安全的Android系统版本，而且还能防止通过外部手段解锁Bootloader引导程序，绕过系统安全补丁。其次，Titan M可以对手机的解锁密码进行高强度加密保护，通过限制登录尝试的数量，使得猜测多个密码组合的过程变得更加困难。

再次，这颗芯片也被用来保护第三方应用程序的交易安全，借助Android Pie的新功能，第三方APP现在可以利用StrongBox KeyStore API在Titan M中生成和存储其私钥，能够确保交易过程之中数据即使被泄露也不会遭遇篡改。最后，也是最关键的一点，除非用户输入了密码，否则Titan M上的固件将永远不会更新。

硬件加密只能对抗硬件入侵

要实现如此之多的功能，根据谷歌的介绍，Titan M的硬件结构由安全应用处理器、密码协处理器、硬件随机数发生器、精密的密钥架构、嵌入式静态RAM(SRAM)、嵌入式闪存和只读存储器模块组成。

Titan M的引导内存使用的是公钥加密(PKI)机制，在载入自身固件时会对其进行验证，然后利用PKI再验证Android系统的固件，谷歌的验证启动固件，然后对机器进行配置，并载入引导载入程序和操作系统。

说了这么多，是否意味着有了这颗芯片的加持，Pixel 3自从之后就能够一劳永逸的解决安全问题？答案当然是否定的。谷歌尽管没有详细描述Titan M的工作流程以及和CPU的协作模式，但这种设计典型的在SoC之外增加硬件安全模块的方案其实并不罕见，金立早前就曾在M系列机型上使用过这类的方案。

简单的来说，这种策略就是将整个手机分为一般空间和安全空间，在手机内部打造一个“密室”。例如大名鼎鼎的苹果，在在A7处理器之后的产品中也有自带操作系统、独立运行于系统之外的硬件TEE安全区，也就是Secure Enclave模块，来专门保存敏感的Face ID及Touch ID等生物识别信息。

实际上，硬件层面的加密防范的是硬件入侵，也就是在设备硬件完整的情况下，没有通过身份验证系统就读不出数据。换句话说，也在系统启动之后，即用户数据完成握手解密以后，你用起来就和没有加装独立硬件安全模块的普通手机就没区别了。

也就是说，Titan M芯片只防外患不防家贼，实质上采用的是外紧内松的思路。一旦你的手机丢失或者被偷窃，最终想要转手牟利的不法分子，是没用办法使用各种工具进行“recovery模式”，也不能够通过将手机和电脑连接，通过运行cmd命令，执行“adb shell rm /data/system/gesture.key”来完成密码重置。

没有什么“最坚固的盾”

比如说之前闹得沸沸扬扬的苹果AppleID被盗导致用户财产损失的事件，既不是因为保存在iPhone的Secure Enclave模块内的生物识别信息被盗，也不是“FBI用GrayKey硬解了iPhone”，而是用户们在没有开启两步验证的情况之下，丢失了自身的AppleID密码被盗。钥匙你都交给贼了，锁再高级也没有啊！

对于大多数用户来说，这些所谓的“安全加密”芯片最多只是锦上添花。普通用户除非遭遇意外，否则是很难感知到诸如Titan M的存在感，正如《Securing Java》中总结的那样——“要在跳舞的猪和安全之间做出选择，肯定总是会选跳舞的猪"!

所以说，在去年年末亮相的高通旗舰平台骁龙845中，高通首次在SoC内部集成了一颗安全处理器——Secure Processing Unit，通过生物识别与密钥管理来保护手机安全。但是将近一年的时间过去了，搭载骁龙845主控的Android旗舰也有两位数了，大家有在发布会上听闻手机厂商着重介绍过这一块吗?

并且一个更为残酷的事实是，硬件底层做得再安全，在脆弱的Android面前也只是“送菜”。因此谷歌有空吹嘘自家的Titan M，还不如赶紧催促各大OEM厂商保证每月更新Android安全补丁来得更为有效。