Trusted Computing: Der schmale Grat zwischen Vertrauensbeweisen und Datenschutz

Ordnungsmerkmale

erschienen in: <kes> 2004#6, Seite 35

Rubrik: BSI Forum

Schlagwort: Trusted Computing

Zusammenfassung: Trusted Computing gewinnt an Fahrt: Millionenfach wird bereits das von der Trusted Computing Group (TCG) spezifizierte Sicherheitsmodul in Rechner von IBM und Hewlett-Packard eingebaut. Gleichzeitig versucht die TCG, ihren zahlreichen Kritikern mit neuen Funktionen für das Trusted Platform Module (TPM) den Wind aus den Segeln zu nehmen. Erweiterte Möglichkeiten der Mitwirkung bei der Erarbeitung von Spezifikationen sowie ein Gremium unabhängiger Berater sollen außerdem das notwendige breite gesellschaftliche Vertrauen in die Arbeit der TCG schaffen. Dennoch befinden sich die Konzepte des Trusted Computing nach wie vor auf einer gefährlichen Gratwanderung zwischen gesicherten Vertrauensbeweisen und überzogenen Eingriffen in die Privatsphäre der Nutzer.

Autor: Von Thomas Caspers, BSI

Die Komplexität heutiger Informationstechnik verlangt vom Anwender ein nahezu blindes Vertrauen in die eingesetzte Hardware, die installierten Betriebssysteme und darauf laufende Anwendungen. Manipulationen an Ein- und Ausgabegeräten oder versteckte schädliche Routinen in der Software können derzeit von einem durchschnittlichen Nutzer nicht zuverlässig mit technischen Mitteln ausgeschlossen werden. Sollen darüber hinaus gar "belastbare" Aussagen über die Vertrauenswürdigkeit weit entfernter Systeme von Geschäftspartnern getroffen werden, lässt konventionelle Informationstechnik den Anwender nahezu vollständig im Stich. Genau hier setzt Trusted Computing an: Mit der Entwicklung einer neuen Sicherheitskomponente in Form des fest mit der Hardware verbundenen Trusted Platform Module (TPM) will die Trusted Computing Group (TCG) das Problem, dass Vertrauen sowohl in eigene als auch fremde Informationstechnik bisher technisch nicht überprüfbar ist, an der Wurzel packen.

Die Sicherheit einer Plattform bedeutet in erster Linie eine unbedingte Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Technologisch können diese Anforderungen letztlich nicht von einer Software allein, sondern nur über eine manipulationssichere Hardware erfüllt werden. Das Fundament einer nachweisbar sicheren und damit in der Folge auch vertrauenswürdigen Plattform bildet nach den Vorstellungen der TCG das TPM. Auf diesem Baustein werden verschiedene kryptographische Funktionen, mehrere Register zur Speicherung von als sicher erkannten Systemzuständen sowie Schlüssel für diverse Sicherheitsanwendungen vereint.

Die Spezifikationen der TCG für das eigentliche TPM sowie die damit zusammenhängende Hardware und Software sind in der jeweils letzten freigegebenen Version offen zugänglich ([externer Link] https://www.trustedcomputinggroup.org/downloads/specifications). Um der Technologie zum Durchbruch zu verhelfen, werden die an der TCG beteiligten Unternehmen zudem nicht müde, auf Messen und selbst veranstalteten "Business Community Days" für die aus ihrer Sicht gewaltigen Möglichkeiten des Trusted Computing zu werben. Endlich wollen sie das Vertrauen der Politik, Wirtschaft und schließlich der Verbraucher gewinnen, das für einen nachhaltigen Erfolg des Trusted Computing unabdingbar ist.

Der Begriff "Vertrauen" ("Trust") wurde von der TCG vermutlich bewusst gewählt, um mit ihren Bestrebungen historisch an Standards wie das Orange Book ("Trusted Computer System Evaluation Criteria", [externer Link] http://csrc.nist.gov/publications/history/dod85.pdf) anzuknüpfen. Zuweilen scheint es jedoch, als übernehme sich die TCG angesichts der nicht nur technischen, sondern insbesondere auch sozialen Dimension von "Vertrauen". Hinzu kommen noch die unterschiedlichen Assoziationen in verschiedenen Kulturkreisen und Sprachen bei der Verwendung von Worten wie "Trust" oder "Vertrauen". Vielleicht wäre vieles einfacher, hätte man sich zumindest sprachlich auf die vergleichsweise einfachen Kategorien von "Sicherheit" beschränkt.

Voraussetzungen für eine Vertrauensbasis

Inzwischen hat die TCG erkannt, welche Schwächen im bisherigen technischen, aber auch organisatorischen Konzept des Trusted Computing als Quasi-Standard für sichere Plattformen für das berechtigte Misstrauen verantwortlich waren. Anteil an diesem Prozess hatte auch die in einem Positionspapier manifestierte Kritik der Bundesregierung (veröffentlicht unter [externer Link] www.bsi.bund.de/sichere_plattformen). Diese Stellungnahme löste einen intensiven, fortwährenden Diskussionsprozess über die politischen und wirtschaftlichen Fragen des Trusted Computing zwischen den fachlich betroffenen Bundesministerien des Innern (BMI) sowie für Wirtschaft und Arbeit (BMWA), dem Bundesbeaufragten für den Datenschutz (BfD) und der TCG aus. Parallel dazu stehen die in der TCG organisierten Unternehmen in einem ständigen Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das die damit zusammenhängenden technischen Entwicklungen von Beginn an analysiert und so die fachlichen Grundlagen für politische Forderungen der Bundesregierung geliefert hat.

Die wesentlichen Voraussetzungen für eine vertrauenswürdige Informationstechnik liegen nach den Vorstellungen der Bundesregierung vor allem in:

Hinzu kommen wirtschaftspolitische Forderungen nach einem fairen Lizenzierungsmodell und einer offenen Informationspolitik: Trusted Computing darf nicht die marktbeherrschende Stellung der in der TCG maßgeblichen Unternehmen über Marktzugangsschranken für andere Hersteller noch weiter zementieren.

Auch wenn bisher nicht über alle Punkte eine Einigung erzielt werden konnte, so zeigen doch aktuelle Neuerungen in den Spezifikationen, aber auch in der TCG als Organisation, dass konstruktive Kritik bei der TCG durchaus auf fruchtbaren Boden fällt. Besonders augenfällig wird dies bei einem neu in die Version 1.2 der TPM-Spezifikation aufgenommenen Protokoll namens Direct Anonymous Attestation (DAA) sowie der Einrichtung eines unabhängigen Beratergremiums für alle Aktivitäten der TCG. Auch eine neue Form der kostenlosen Mitgliedschaft für akademische und andere öffentliche Institutionen weist im Sinne der Forderungen des Bundes in die richtige Richtung.

[Sicherheit und Anonymität bei der DAA]
Auswirkungen der Parameterwahl auf Sicherheit und Anonymität der Direct Anonymous Attestation (DAA)

Anonym, pseudonym, identifizierbar

Neben der Gewährleistung einer geprüften Integrität von sicheren Plattformen besteht die zentrale Aufgabe des Trusted Computing darin, eben diesen Systemzustand entfernten Kommunikationspartnern über das Internet hinweg zu beweisen. Mittels grundlegender Mechanismen, die vom TPM bereit gestellt werden, kann ein entferntes System (so z. B. der Server einer Bank) sicherstellen, dass eine Software (wie eine Web-Anwendung für das Homebanking) in einem definierten und als sicher erkannten Umfeld abläuft. Zu diesem Zweck liefert das TPM einem entfernten System einen hinreichenden Beweis, der von der TCG als Attestation bezeichnet wird.

Das Vertrauen in eine Attestation bedarf dabei noch eines dritten Beteiligten: Eine unabhängige Zertifizierungsinstanz garantiert die Gültigkeit des eingesetzten TPM (wobei hervorzuheben ist, dass hier mit Zertifizierung nicht das Ergebnis einer formalen Evaluierung z. B. nach Common Criteria gemeint ist, sondern eine elektronische Signatur, die Authentizität und Korrektheit des TPM bestätigt). Problematisch bei diesem Szenario ist die Möglichkeit, über die ausgetauschten Beweise das Verhalten einzelner Nutzer in unterschiedlichen Web-Angeboten zu protokollieren und auszuwerten. Auch die Abhängigkeit von einer vielleicht nicht permanent verfügbaren oder unter Umständen gar nicht vertrauenswürdigen Zertifizierungsinstanz ist nicht immer wünschenswert.

Mit der Einführung der Direct Anonymous Attestation (DAA) soll über einen neuen Weg, Beweise über die Integrität der eigenen Plattform mit entfernten Systemen auszutauschen, den Bedenken gegenüber der klassischen Attestierung Rechnung getragen werden (zu den Grundlagen von DAA siehe [externer Link] http://eprint.iacr.org/2004/205.pdf). Das DAA-Protokoll basiert auf einem Zero-Knowledge-Verfahren, also einer Möglichkeit, zwischen zwei Beteiligten lediglich das Wissen um eine geheime Information auszutauschen, ohne das eigentliche Geheimnis selbst zu offenbaren. In der Praxis gibt man somit nicht mehr die eigentliche Attestierung preis, sondern beweist nur, dass man über ein TPM mit einer gültigen Attestierung verfügt.

Allerdings lässt auch das DAA-Protokoll einen Nutzer nicht vollständig anonym, denn ansonsten könnten böswillig manipulierte TPMs nicht mehr identifiziert und vom Marktgeschehen ausgeschlossen werden. Daher haben die Entwickler der DAA sich dafür entschieden, über einen Parameter den Grad der Anonymität des Nutzers festzulegen. Genauer betrachtet wird damit aus der Anonymität nur noch eine pseudonyme Identität. Abhängig von den sicherheitsrelevanten Erfordernissen eines Anbieters von Diensten kann innerhalb der DAA stufenlos jeder Zustand von einer maximalen Anonymität bis hin zur sicheren Identifizierbarkeit des Nutzers (bzw. seines TPM) realisiert werden. Naturgemäß ist es dabei nicht möglich, eine hohe Sicherheit mit einer vollständig anonymen Parameterwahl in Einklang zu bringen.

Das DAA-Protokoll stellt demzufolge, obwohl es den Begriff "anonym" in seinem Namen trägt, noch kein Allheilmittel gegen alle Bedenken hinsichtlich des Datenschutzes dar. Dennoch bietet es zumindest die grundsätzliche Möglichkeit, mithilfe eines TPM ein anonymes Angebot zu realisieren. Die Entscheidung über die Wahl des die Anonymität bestimmenden DAA-Parameters liegt allerdings allein beim Anbieter einer über das Internet genutzten Dienstleistung. Der Nutzer selbst hat keinerlei Einfluss auf den Grad seiner Anonymität, er muss dem Anbieter einseitig sein Vertrauen schenken. Die Diskussion über DAA ist an dieser Stelle sicherlich noch nicht zu Ende – eine Minimalanforderung wäre, dass der Nutzer zumindest permanent über den aktuellen Grad seiner Anonymität und die Möglichkeiten für Dritte, sein Nutzungsverhalten zu überwachen, informiert wird. Angestrebt werden sollte natürlich vielmehr die völlige Selbstbestimmung des Nutzers in Fragen der ihn betreffenden Sicherheit ohne jede Fremdbeeinflussung durch den Anbieter.

Technikfolgen und Verantwortung

Während die TCG von Beginn an gebetsmühlenartig wiederholt hat, Trusted Computing habe vom Grundsatz her nichts mit Digital Rights Management (DRM), der Festigung von Softwaremonopolen, neuen, nicht zu umgehenden Möglichkeiten der Überwachung oder dem Kontrollverlust über den eigenen Rechner zu tun, bleiben die Kritiker in einer zum Teil hoch emotional geführten Debatte bis heute genau bei diesen Vorwürfen. Im Wesentlichen argumentiert die TCG, dass eine gewisse, in den Augen der TCG aber völlig akzeptable Beschneidung der Privatsphäre notwendig ist, um die gewünschte Sicherheit und allseitiges Vertrauen in miteinander kommunizierende Informationstechnik herzustellen.

Dieses Vertrauen baut gerade darauf auf, dass in Zukunft nicht mehr alle Bereiche eines Rechners unter der vollen Kontrolle seines Besitzers stehen (wenn sie es denn jemals, ganz unabhängig von Trusted Computing, getan haben). Will ein Anbieter über ein Netzwerk auf einem entfernten Rechner in einer sicheren Umgebung Software ausführen, kommt der Anwender nicht umhin, diesem Anbieter die Konfiguration seines Systems, zumindest aber die auf seinem System durchsetzbaren Regeln, in beweisbarer Form zu übermitteln. Alle Fragen, die über diese grundsätzliche und rein technische Sichtweise hinausgehen, reicht die TCG an die Entwickler der eingesetzten Software weiter, insbesondere an die Hersteller der Betriebssysteme.

In gewisser Weise zu Recht weist die TCG darauf hin, dass erst die eingesetzte Software darüber entscheidet, ob ein TPM zum Wohl des Nutzers arbeitet oder missbräuchlich gegen ihn eingesetzt wird. Das TPM soll so in der Argumentationskette der TCG den Charakter eines an sich wertfreien Werkzeugs bekommen, das erst in der Hand dessen, der es verwendet, moralischen Kategorien zugänglich wird. Eine solch naive Sicht von Technik hilft zwar zuweilen, endlosen Diskussionen aus dem Weg zu gehen. Sie bildet aber konkret keine wirkliche Grundlage für die Abschätzung der Folgen eines breiten, am Ende vielleicht sogar lückenlosen Einsatzes von TPMs in der Informationstechnik. Nur gesicherte Prognosen können schon in der Entwicklungsphase des Trusted Computing mögliche Risiken durch frühzeitige Korrekturen minimieren und machen jene Bereiche identifizierbar, in denen diese neue Technologie möglicherweise einen gesetzlichen Regelungsbedarf entstehen lässt.

Inzwischen mehren sich die Anzeichen, dass sich die TCG ihrer Verantwortung für die Folgen des Trusted Computing bewusster wird. Besonders in der Einberufung eines Beratergremiums, des Advisory Council, zeigt sich dieser Sinneswandel. Ausdrücklich wünscht sich die TCG von diesem Advisory Council, die Belange von TPM-Anwendern zu vertreten, vor allem in den kritischen Bereichen der eigenen Sicherheit und des Schutzes der Privatsphäre. Um die Glaubwürdigkeit zu untermauern, dass hiermit tatsächlich eine Erweiterung ihres vormals rein technischen Horizonts verbunden ist, hat sich die TCG auch nicht davor gescheut, fünf betont unabhängige und recht gegensätzliche Personen mit einer sehr differenzierten Sichtweise des Themas Trusted Computing in dieses Gremium zu berufen: Rob Enderle, David Farber, Moira Gunn, Gray Roboff und Rigo Wenning.

Vor allem sticht dabei die Berufung von Rob Enderle heraus, Präsident eines IT-Beratungsunternehmens und einem breiteren Publikum bekannt durch sein engagiertes Eintreten für die SCO Group im aktuellen Linux-Rechtsstreit mit IBM (immerhin eines der maßgeblichen Unternehmen in der TCG), wo er durchaus "unpopuläre" Ansichten vertritt. Als Gegenpol ist David Farber, Professor für Telekommunikation in Pennsylvania, im Advisory Council vertreten, der sich unter anderem im Board of Directors der Electronic Frontier Foundation (EFF) für die speziellen Probleme von Bürgerrechten in einer durch Informationstechnik geprägten Gesellschaft engagiert.

[Arbeitsgruppen rund um das Technical Committee]
Die Arbeitsgruppen innerhalb der Trusted Computing Group (TCG)

Kompetenz auch außerhalb der Industrie

Neben dem Advisory Council will die TCG durch eine Mitwirkung von nicht-industriellen Organisationen in ihren Gremien eine weitere Öffnung dokumentieren. Gleichzeitig soll die außerhalb der Industrie vorhandene Kompetenz für die Ziele der TCG bei der Entwicklung von sicheren Plattformen nutzbar gemacht werden. Zu diesem Zweck hat die TCG eine lange geforderte kostenlose Form der Mitgliedschaft geschaffen, das Industry Liaison Program. Über diesen Weg will die TCG akademische Einrichtungen, andere Standardisierungsgruppen, fachlich geeignete Regierungsstellen sowie mit IT-Sicherheit befasste Interessengruppen vor allem in die Arbeit der einzelnen Arbeitsgruppen innerhalb der TCG einbinden.

Neben einer Vertraulichkeitserklärung ist allerdings auch die Zustimmung des Board of Directors der TCG Voraussetzung für die Aufnahme, zudem haben die nicht-zahlenden Mitglieder keinerlei Stimmrecht. Es bleibt also abzuwarten, wie groß die Einflussmöglichkeiten der im Rahmen des Industry Liaison Programs aufgenommenen Mitglieder tatsächlich sein werden. Nichtsdestotrotz erfüllt die TCG mit diesem Programm eine zentrale Forderung vieler Kritiker (u. a. auch der Bundesregierung), unabhängige Experten, vor allem aus dem akademischen Umfeld, in die Arbeit der TCG mit einzubeziehen.

[ständige Mitglieder im Board of Directors: IBM, AMD, HP, Inel, Microsoft, Sony, Sun - gewählte Mitglieder: Seagate, VeriSign]
Machtverteilung und Einfluss in der Trusted Computing Group (TCG)

Alle sind gefordert

Im letzten Jahr hat sich gezeigt, dass die TCG bereit ist, sich Kritik zu stellen und auf berechtigte Forderungen einzugehen. Dennoch ist noch viel zu tun, um die technischen und gesellschaftlichen Grundlagen für ein rational begründbares Vertrauen in sichere Informationstechnik zu schaffen. Der naturgemäß kommerziell geprägte Ansatz der TCG stellt alle Beteiligten vor große Herausforderungen, da die Gratwanderung zwischen dem Anwender nutzbringenden Vertrauensbeweisen und unabweisbar vorhandenen Missbrauchsmöglichkeiten noch lange nicht entschieden ist. Hier sind alle gefordert, Trusted Computing in die richtige Richtung zu lenken, Fehlentwicklungen frühzeitig aufzudecken und nicht-kommerzielle Alternativen im Open-Source-Bereich zu fördern.

Erst wenige Regierungsstellen weltweit haben Trusted Computing und seine technischen und gesellschaftlichen Auswirkungen auf ihre Agenda gesetzt. BMWA, BMI und BSI beobachten für die Bundesregierung gemeinsam mit dem BfD den Entwicklungsprozess des Trusted Computing kritisch und konstruktiv und versuchen, im Interesse der Bundesrepublik, aber auch des einzelnen Bürgers, möglichst großen Einfluss auf die TCG zu nehmen. Die engen Kontakte der Ministerien, des BfD und des BSI zu den entscheidenden TCG-Mitgliedern werden für diese Aufgabe auch in Zukunft genutzt und nach Möglichkeit weiter ausgebaut.

Gleichzeitig organisieren sich derzeit akademische Institutionen in Deutschland. Im Vordergrund stehen dabei die Vernetzung von Forschern im Bereich des Trusted Computing, der Transfer von Wissen und die Koordination kommender Arbeiten. Ausgehend von einem ersten Trusted-Computing-Workshop an der RWTH Aachen im Juni 2004 ([externer Link] http://www-i4.informatik.rwth-aachen.de/lufg) werden weitere Veranstaltungen mit dieser Zielsetzung folgen.

Aber auch für die deutsche Industrie gilt es, ihre Aktivitäten im Bereich Trusted Computing zu bündeln, um so ihre Interessen gegenüber der TCG nachdrücklich vertreten zu können. Bisher sind erst wenige deutsche Unternehmen wie Infineon oder Utimaco in der TCG vertreten, ein deutscher oder zumindest europäischer Vertreter im Board of Directors fehlt noch völlig. Hier muss das deutsche Engagement deutlich verstärkt und das ganze Gewicht der großen deutschen IT-Unternehmen in die Waagschale geworfen werden, damit wir alle am Ende wirklich guten Gewissens dem TPM in unserem Laptop oder Mobiltelefon unser Vertrauen schenken können.