Titan安全密钥

Titan安全密钥（英语：Titan Security Key）是Google开发的符合FIDO要求的安全令牌，其中包含同样由Google开发的Titan M加密处理器。于2019年10月15日首次发布。^[1]

特性

根据功能不同，密钥的价格为25至35美元， ^[2]而谷歌会向高风险用户免费提供密钥。 ^[3]它提供更安全的双重身份验证，可用于登录各种第一方和第三方服务，以及注册Google高级保护计划。2021年，谷歌出于对安全性和可靠性的担忧，移除了蓝牙模块。 ^[2]

2023年11月，谷歌推出一款支持通行密钥保护的型号。 ^[4]

漏洞

蓝牙“T1”和“T2”型号最初存在安全漏洞，允许30英尺范围内的任何人复制密钥。^[5]安全公司NinjaLab已经能够利用侧信道攻击提取密钥。^[6]2019年，谷歌为Titan芯片设置了高达150万美元的漏洞赏金。^[7]

较新的版本和型号包括：^[8]

1. USB-A/NFC (K9T)
2. 蓝牙/NFC/USB (K13T)
3. USB-C/NFC (YT1)
4. 支持U2F和FIDO2的USB-C/NFC (K40T)

虽然这些产品中均未包含已公开披露的安全漏洞，但谷歌已于2021年8月停止销售蓝牙版本的密钥，^[9]但蓝牙密钥仍可继续使用且享受保修。^[10]

参考文献

1. USB-C Titan Security Keys - available tomorrow in the US. Google Online Security Blog. [2022-02-03].
2. Clark, Mitchell. Google’s new Titan security key lineup won’t make you choose between USB-C and NFC. The Verge. 2021-08-09 [2022-02-04] （英语）.
3. Page, Carly. Google to give security keys to ‘high risk’ users targeted by government hackers. TechCrunch. 2021-10-08 [2021-10-09] （美国英语）.
4. Newman, Lily Hay. Google’s New Titan Security Key Adds Another Piece to the Password-Killing Puzzle. Wired. [2023-11-15]. ISSN 1059-1028 （美国英语）.
5. Khalid, Amrita. Google recalls some Titan security keys after finding Bluetooth vulnerability. Engadget. 2019-05-15 [2022-02-03] （美国英语）.
6. Goodin, Dan. Hackers can clone Google Titan 2FA keys using a side channel in NXP chips. Ars Technica. 2021-01-08 [2021-10-09] （美国英语）.
7. Porter, Jon. Google really wants you to hack the Pixel’s Titan M security chip. The Verge. 2019-11-21 [2021-10-09] （英语）.
8. Safety & Warranty Guides for Google Titan Security Key (Prior Versions). Google Support. Google. [31 December 2022].
9. Brand, Christiaan. Simplifying Titan Security Key options for our users. Google Online Security Blog. Google. [31 December 2022].
10. Kovacs, Eduard. Google Discontinuing Bluetooth Titan Security Key. securityweek.com. Security Week. [31 December 2022].