10月10日，Google最新“親兒子”Pixel 3手機發布了，2018年依然是單攝像頭的它，依靠Visual Core晶片處理過的照片印象令人深刻，完全可以媲美多攝像頭成像效果，Google再一次改變手機拍照靠堆硬體的現狀，這得依賴Google背後有強大的演算法、硬體團隊。這一次Pixel 3上又新增了一枚安全晶片Titan M，主要負責保護Pixel 3手機內部資料、系統、個人生物資訊。昨天Google在部落格中詳解了Titan M晶片的主要作用 ，看看Google是怎麼打造最安全的手機。

Google為Pixel 3手機加入了“Titan M”的獨立晶片，主要負責保護手機資料安全，分為以下四大塊：

安全的Bootloader過程

主要是限制刷機，不能隨意回滾、刷寫到不安全的Android系統版本，還能防止解鎖Bootloader載入程式，繞過系統安全補丁。

加強手機解鎖密碼、全盤加密

Titan M晶片可以對手機的解鎖密碼進行高強度加密保護，使得外人難以使用暴力演算法破解密碼，同時還將負責手機Nand Flash儲存內容加密，防止被惡意讀取。

保障第三方APP交易安全

Titan M晶片也有自己獨立的秘鑰生成庫，可以直接被Android 9.0系統的API直接呼叫，可以確保交易過程資料不被洩露、篡改。

抵禦來自內部的惡意攻擊

有時候，駭客會從手機內部發起攻擊，竊取資料，Titan M韌體更新需要你本人輸入密碼，否則它是不可能被寫入任何資料、程式碼，杜絕Titan M晶片淪為幫兇的可能性。

Google表示將會增加在資訊保安方面的投入，將行業最領先的硬體帶到Google Pixel 3手機上，因此Titan M晶片應運而生，任務就是保障資料資訊保安，同時在未來的幾個月，Google將會在安全社群上開源Titan M晶片的韌體。

財產安全問題從古至今都是大家最為關心的問題，從古老的機關盒、牢固的保險箱，再到虛擬世界的各種安全衛士以及加密協議都，也都是為此而生。而為了防止被盜號，網遊廠商也曾經推出過例如密保卡、將軍令和甚至的APP，來保障賬號安全，而銀行也為網銀業務推出了例如U盾這類產品。

有了Titan M，谷歌Pixel 3就是最安全的手機？

但俗話說有光的地方就有陰影，安全領域的攻防鬥法可以說已經蔓延了數千年。但是不同於現實世界，網路的虛擬環境在一定程度上拉動了攻防雙方的實力對比，比如說一代傳奇駭客凱文·米特尼克，就是單槍匹馬“作案”的典範。

隨著移動支付的普及化，手機如今已經成為了儲存資產的重要工具，也使得其價值陡然提升了不少。因此近年來我們可以看到許多手機廠商，包括上游供應商在宣傳自家產品的時候，都開始打起了“安全牌”。

而近期最知名的例子，當屬谷歌的新機皇Pixel 3系列。為了宣傳新機的安全特性，谷歌在其官方部落格上發表了一篇文章，內容是“Titan M makes Pixel 3 our most secure phone yet”，詳細的向外界解讀了Titan M晶片能夠起到的作用。

谷歌在Pixel 3上使用的Titan M，其源自Google Cloud的資料中心使用的Titan晶片，谷歌以此為模板針對移動裝置進行了定製。而在谷歌的口中，這顆Titan M晶片在保護手機資料安全上主要起到了四種模式。

首先就是保證Bootloader中的安全性，Titan M內部儲存最後一個已知的Android安全版本，使用者不能隨意回滾或刷機到不安全的Android系統版本，而且還能防止透過外部手段解鎖Bootloader載入程式，繞過系統安全補丁。其次，Titan M可以對手機的解鎖密碼進行高強度加密保護，透過限制登入嘗試的數量，使得猜測多個密碼組合的過程變得更加困難。

再次，這顆晶片也被用來保護第三方應用程式的交易安全，藉助Android Pie的新功能，第三方APP現在可以利用StrongBox KeyStore API在Titan M中生成和儲存其私鑰，能夠確保交易過程之中資料即使被洩露也不會遭遇篡改。最後，也是最關鍵的一點，除非使用者輸入了密碼，否則Titan M上的韌體將永遠不會更新。

硬體加密只能對抗硬體入侵

要實現如此之多的功能，根據谷歌的介紹，Titan M的硬體結構由安全應用處理器、密碼協處理器、硬體隨機數發生器、精密的金鑰架構、嵌入式靜態RAM(SRAM)、嵌入式快閃記憶體和只讀儲存器模組組成。

Titan M的引導記憶體使用的是公鑰加密(PKI)機制，在載入自身韌體時會對其進行驗證，然後利用PKI再驗證Android系統的韌體，谷歌的驗證啟動韌體，然後對機器進行配置，並載入引導載入程式和作業系統。

說了這麼多，是否意味著有了這顆晶片的加持，Pixel 3自從之後就能夠一勞永逸的解決安全問題？答案當然是否定的。谷歌儘管沒有詳細描述Titan M的工作流程以及和CPU的協作模式，但這種設計典型的在SoC之外增加硬體安全模組的方案其實並不罕見，金立早前就曾在M系列機型上使用過這類的方案。

簡單的來說，這種策略就是將整個手機分為一般空間和安全空間，在手機內部打造一個“密室”。例如大名鼎鼎的蘋果，在在A7處理器之後的產品中也有自帶作業系統、獨立運行於系統之外的硬體TEE安全區，也就是Secure Enclave模組，來專門儲存敏感的Face ID及Touch ID等生物識別資訊。

實際上，硬體層面的加密防範的是硬體入侵，也就是在裝置硬體完整的情況下，沒有透過身份驗證系統就讀不出資料。換句話說，也在系統啟動之後，即使用者資料完成握手解密以後，你用起來就和沒有加裝獨立硬體安全模組的普通手機就沒區別了。

也就是說，Titan M晶片只防外患不防家賊，實質上採用的是外緊內松的思路。一旦你的手機丟失或者被偷竊，最終想要轉手牟利的不法分子，是沒用辦法使用各種工具進行“recovery模式”，也不能夠透過將手機和電腦連線，透過執行cmd命令，執行“adb shell rm /data/system/gesture.key”來完成密碼重置。

沒有什麼“最堅固的盾”

比如說之前鬧得沸沸揚揚的蘋果AppleID被盜導致使用者財產損失的事件，既不是因為儲存在iPhone的Secure Enclave模組內的生物識別資訊被盜，也不是“FBI用GrayKey硬解了iPhone”，而是使用者們在沒有開啟兩步驗證的情況之下，丟失了自身的AppleID密碼被盜。鑰匙你都交給賊了，鎖再高階也沒有啊！

對於大多數使用者來說，這些所謂的“安全加密”晶片最多隻是錦上添花。普通使用者除非遭遇意外，否則是很難感知到諸如Titan M的存在感，正如《Securing Java》中總結的那樣——“要在跳舞的豬和安全之間做出選擇，肯定總是會選跳舞的豬"!

所以說，在去年年末亮相的高通旗艦平臺驍龍845中，高通首次在SoC內部集成了一顆安全處理器——Secure Processing Unit，透過生物識別與金鑰管理來保護手機安全。但是將近一年的時間過去了，搭載驍龍845主控的Android旗艦也有兩位數了，大家有在釋出會上聽聞手機廠商著重介紹過這一塊嗎?

並且一個更為殘酷的事實是，硬體底層做得再安全，在脆弱的Android面前也只是“送菜”。因此谷歌有空吹噓自家的Titan M，還不如趕緊催促各大OEM廠商保證每月更新Android安全補丁來得更為有效。