[ Aufmacherfoto ]Vertrauenskrise Einsichten und Aussagen vom Trusted-Computing-Symposium

Ordnungsmerkmale

erschienen in: <kes> 2003#4, Seite 12

Rubrik: Systeme und ihr Umfeld

Schlagwort: Trusted Computing

Zusammenfassung: Dem Sicherheits-Chip der Trusted Computing Group begegnen die meisten Menschen mit einem Gefühl: entweder großer Hoffnung, tief sitzendem Misstrauen oder heilloser Verwirrung. Auch ein Symposium mit hochkarätiger Besetzung konnte das nur bedingt ändern.

Mehr Sicherheit, tiefer verankert in Hardware und Betriebssystemen – eine Forderung, der sich im Prinzip wohl kaum jemand verschließen wird... Auf dem Weg zu diesem Ziel gibt es jedoch reichlich Zoff: Viele begegnen den entsprechenden Plänen von Trusted Computing Group (TCG, [1]) und Microsoft bislang mit großer Skepsis. Seit Mitte 2002 kursieren (meist kritische) Meinungen und Medienberichte, vor allem zu Microsofts Palladium, bunt vermischt mit Aussagen zum TCG-Vorläufer Trusted Computing Platform Alliance (TCPA). Etliche Artikel skizzierten wahre Horrorszenarien der mehr oder minder ausgeprägten Fremdherrschaft von Musik- und Softwareindustrie über die PCs der nächsten Generation.

Vieles beruhte dabei offensichtlich mehr auf Spekulation als auf gesicherten Erkenntnissen. Meist wurde das indes nicht so klar formuliert, wie etwa von Bruce Schneier im August 2002: "Über Microsofts Sicherheitsinitiative Palladium ist in letzter Zeit mehr geschrieben worden als über irgendetwas anderes in Sachen Computersicherheit... Was besonders interessant ist, weil wir eigentlich überhaupt keine Details kennen, was das ist oder wie es funktioniert. Etliches beruht darauf, zwischen den Zeilen zu lesen... und auf Hörensagen" ([externer Link] www.counterpane.com/crypto-gram-0208.html). Selbst das renommierte Computermagazin c't musste im Laufe der vergangenen Monate etliche Aussagen früherer Artikel revidieren ([externer Link] www.heise.de/ct/03/09/052/).

Wie groß – und wie schwer erfüllbar – der Wunsch nach verlässlichen und ausgewogenen Informationen zum diesem Thema noch immer ist, zeigte sich auch Anfang Juli auf dem Trusted Computing Symposium [2] des Bundesministeriums für Wirtschaft und Arbeit (BMWA) in Berlin. Über 200 Teilnehmer und Vortragende versuchten, Vorurteile und Misstrauen zu überwinden und für mehr Klarheit zu sorgen – bei weitem nicht immer mit Erfolg. Dennoch haben sich, um mit den Worten von Ulrich Sandl (BMWA) zu sprechen, "einige Nebelschwaden gelichtet – doch das Thema ist sehr schwer zu fassen."

Mehr als eine Baustelle

Ein wesentlicher Schritt ist sicherlich die von vielen Anbietern geforderte deutliche Unterscheidung zwischen den verschiedenen Initiativen:

Das selbstgesteckte Ziel des TCG-Konsortiums lautet "offene Industrie-Standards für vertrauenswürdige Rechneranwendung auf verschiedenen Plattformen zu entwickeln und zu fördern." Der wesentliche Schritt hierzu ist das TPM. Es dient vor allem als Container für Krypto-Schlüssel, sie stellt kryptographische Funktionen bereit und kann den Bootvorgang des Systems überwachen, allerdings nicht aktiv in ihn eingreifen. Es ist dabei möglich, Schlüssel für geschützte Speicherbereiche an eine bestimmte gebootete Softwareumgebung zu binden (Sealed Storage). Von einem eindeutigen Schlüssel im TPM (Endorsement Key, EK) lassen sich mithilfe einer Zertifizierungsinstanz Pseudonyme zur Authentifizierung der Plattform ableiten. Die Bestätigung an einen Dritten, dass eine bestimmte Softwareumgebung gestartet wurde, ist ebenfalls über Zertifikate realisierbar (Attestation).

Wer kontrolliert wen?

Eine verbreitete Befürchtung der TCG-Kritiker ist, dass mit "Sealed Storage" Speicherbereiche geschaffen werden, auf deren Klartext der Eigentümer des IT-Systems keinen Zugriff mehr hat (z. B. zum Digital Rights Management, DRM, der Musikindustrie). Da eine Fremdkontrolle von Schlüsseln immer auch die Gefahr der Fremdkontrolle des PCs berge, hat Andy Müller-Maguhn (CCC) auf dem Symposium in Berlin unter anderem gefordert, dass der PC-Eigner die vollständige Kontrolle über sämtliche im System gespeicherten Schlüssel besitzen müsse.

Seitens der TCG hat Dr. Michael Waidner (IBM Research Labs) dargelegt, dass die Problematik eines solchen Chips von Anfang an bekannt war: Design-Ziel der TCG-Spezifikation sei es, "Sicherheit zu bieten und die Kontrolle des Anwenders sowie Datenschutzaspekte zu wahren". Man dürfe aber nicht vergessen, dass eine technische Spezifikation "wertfrei" (policy neutral) sein müsse. Das TPM liefert Möglichkeiten – was dann in der Praxis damit gemacht werde, sei letztlich eine Frage der Software, die den Chip nutzt.

Auch Thomas Rosteck (Infineon) betonte: "Meine Interpretation der TCG-Spezifikation ist, dass die Benutzerkontrolle ein wesentliches Feature ist. Ohne Genehmigung kann niemand auf den TPM zugreifen." Die aktuelle der TCG-Spezifikation bietet allerdings im Wesentlichen die Möglichkeit, den TPM an- oder auszuschalten – eine feinere Kontrolle soll in die kommende Version 1.2 aufgenommen werden. Im Übrigen hinterfragt Prof. Ross Anderson (Univ. Cambridge, UK) kritisch die Folgen, in einer zukünftigen TPM-durchsetzten Computerwelt den Chip wirklich zu deaktivieren, wenn Software womöglich bestimmte Datenformate ohne TPM-Support einfach nicht mehr darstellt: "Wenn man das System ausschaltet, wie schwer wird man sich damit das Leben machen?" Man stelle sich als Vergleich vor, heute ohne Powerpoint oder PDF zu leben...

Für Anderson steht fest, dass DRM die ursprüngliche Motivation für Trusted Computing war und dass die neuen Systeme für eine mehrseitige Sicherheit nichts bringen [4]. Vielmehr sieht er durch die Attestierung "vertrauenswürdiger" Umgebungen die Möglichkeit zu neuen Monopolen, wenn beispielsweise alle Medienlieferanten nur noch mit ihnen genehmen Softwaresystemen eines einzelnen Anbieters kommunizieren.

Das Risiko neuer Marktschranken und eines Missbrauchs des TPM durch Softwarehersteller sieht auch Frank Rustemeyer (secunet): durch gewollte Inkompatibilitäten, der Verhinderung berechtigter Kopien sowie dem verdeckten Generieren von Nutzerprofilen. Andererseits biete das System aber auch Chancen, vor allem die sichere Identifizierung von Endgeräten und einen Manipulationsschutz in der Ablaufumgebung, welcher der Integrität von Applikationen und Daten zugute kommt. Rustemeyer sieht neben der Offenlegung aller relevanten Schnittstellen und Parameter als besonders wesentlich an, den Missbrauchsszenarien frühzeitig entgegenzuwirken: durch die Art der Standardisierung, aber eventuell auch regulatorisch durch entsprechende Gesetzgebung.

Die Hoffnung für einen Aufschwung des IT-Sicherheitsmarkts beschrieb hingegen Alexander Köhler (Utimaco). Solange die Meinung vorherrsche, alles sei letztlich ohnehin unsicher, würden nur Minimalinvestitionen getätigt: "TCG ist eine neue Chance für die Akzeptanz von IT-Sicherheit. Der Sog von Millionen verkauften TPM-PCs wird viele mitreißen."

Fazit

Ulrich Sandl resümierte zum Abschluss des Symposiums, die Hauptarbeit liege noch vor uns. Das BMWA begrüße grundsätzlich die Sicherheitsinitiative der Industrie, nun müsse man noch "über den Preis sprechen". Für den Herbst hat Sandl eine Analyse der Bundesregierung zu TPM und NGSCB in Aussicht gestellt. Einige Fragen werden sich wohl auch erst mit der TCG-Version 1.2 beantworten lassen. Details zu Microsofts nächster Windows-Generation dürften ebenfalls wesentliche Erkenntnisse bringen, denn es wäre wenig überraschend, wenn NGSCB die vorrangige Anwendung des TPM würde.

Literatur

[1]
Trusted Computing Group (TCG), [externer Link] www.trustedcomputinggroup.org
[2]
Trusted Computing Symposium, Video-Streams und Charts, [externer Link] www.webpk.de/bmwa/
[3]
Microsoft Security Developer Center, Next-Generation Secure Computing Base (NGSCB), [externer Link] http://msdn.microsoft.com/security/productinfo/ngscb/
[4]
Ross Anderson, Trusted Computing Frequently Asked Questions, [externer Link] www.cl.cam.ac.uk/~rja14/tcpa-faq.html