谷歌员工需要使用硬件安全密匙才能登录网络服务,而其最新使用的泰坦秘钥(Titan Security Key)则是与中国诚信科技股份有限公司(Feitan)合作开发的。同时谷歌在官方商店开卖这款产品,售价50美元,其包括USB秘钥、蓝牙秘钥和充电模块。
去年,谷歌扩大了硬件业务,从HTC手中收购了大量人才和知识产权。与此同时,中国最近成为谷歌的热点地区。本月早些时候,谷歌首席执行官桑达尔 皮查伊(Sundar Pichai)向员工表示,该公司“尚未接近”在中国推出搜索产品。此前有报道称,谷歌计划重返中国市场。
谷歌在上个月于旧金山举行的Next云计算大会上宣布了“泰坦”密匙,并指出它带有“谷歌为验证其完整性而开发的固件”,但该公司没有指明该产品的制造商。但这款密钥与飞天的无线密钥产品极为相似。飞天是总部位于北京的安全公司,2014年在深圳证券交易所上市。
飞天公司驻加州圣克拉拉办公室的员工证实,该公司正在与谷歌合作开发泰坦秘钥。另一位熟悉该项目的消息人士也证实了这一合作关系。周四早些时候,付费科技媒体The Information也报道了双方的合作。
谷歌的一位女发言人表示,谷歌是泰坦秘钥的“开发商”,但实际上它是由未具名的第三方制造生产的。但该发言人拒绝透露飞天是否制造了这些密匙。这种安排在谷歌已有先例。据《连线》杂志报道,2016年,谷歌曾强调,它是其首款Pixel智能手机的“设计者”,尽管HTC是其代工制造商。
谷歌始终是技术的倡导者,这些技术可以防止不必要的尝试登录用户帐户行为,现在它要求员工除了输入密码外还要使用物理安全密钥。另外一层验证是为了防止网络钓鱼攻击,即黑客通过欺诈信息获取个人资料。
泰坦秘钥不仅看起来像飞天的密匙产品,而且和美国Yubico公司的USB密匙也非常相似,Yubico的密匙可以安全地登录谷歌的Gmail服务,以及Dropbox、GitHub和其他网络服务。但是Yubico首席执行官人斯蒂娜 埃伦斯瓦尔(Stina Ehrensvard)在博客文章中明确表示,Titan不是Yubico制造的。
埃伦斯瓦尔还对这款使用蓝牙的密匙的某些方面进行了批评。她写道:“虽然Yubico之前开发了BLE(蓝牙低能耗)安全密钥,并为制定BLE U2F标准做出了贡献,但我们决定不推出该产品,因为它不符合我们的安全、可用性和耐用性标准。BLE不能提供NFC和USB级别的安全保障,而且需要电池和配对来提供糟糕的用户体验。”
周四,谷歌产品经理克里斯蒂安 布兰德(Christiaan Brand)在博客文章中宣布,谷歌的在线商店可以买到泰坦秘钥。她说,谷歌的固件被密封在特殊的芯片中,然后送到生产线上。布兰德写道:“对泰坦秘钥的信任建立在密封芯片上,而不是在设备制造过程中采取的任何后续步骤上。”
自泰坦秘钥发布后,飞天公司在社交媒体上分享了许多关于谷歌的信息,但并未就与谷歌的合作发表公开声明。飞天公司没有立即回应置评请求。谷歌自己的“高级保护”计划注册网站目前建议,在美国的人如果没有两个安全密钥,可以通过亚马逊购买飞天无线密钥和Yubico USB密钥。但这些密钥并不是以谷歌泰坦品牌名义专门销售的。