10. Juli 2001
Die 
Fully Licensed
GmbH, Berlin, hat die umstrittene Aktivierungsprozedur des
neuen Betriebssystems Windows XP unter die Lupe genommen.
In einer umfassenden technischen Analyse der Windows Product
Activation (WPA) hat Thomas Lopatic, technischer
Geschäftsführer von Fully Licensed, festgestellt, dass
Microsoft bei der telefonischen Aktivierungsprozedur neben der
Windows-XP- Seriennummer lediglich unbedenkliche Informationen zur
eingesetzten Hardware erhält.
Die notwendige Aktivierung soll als Maßnahme gegen Softwarepiraterie Mehrfachinstallationen verhindern, indem sie den Product Key mit Hardwareinformationen und einer während der WPA erstellten Signatur durch Microsoft verknüpft. Da die Aktivierungsinformationen verschlüsselt übertragen werden und Microsoft nur sehr vage über das Verfahren informiert hat, stand zu befürchten, dass hierbei auch personenbezogene Daten oder Informationen über vorhandene Software preisgegeben werden. Außerdem gab es Spekulationen darüber, dass eine Umrüstung des Computers jeweils eine neue Aktivierung notwendig machen würde.
Nach den Erkenntnissen von Fully Licensed sind diese Befürchtungen unbegründet; Microsoft scheint aus der Diskussion um die Übertragung personenbezogener Daten bei der Windows-98-Registrierung und durch Office-Dateien gelernt zu haben (die eindeutige MAC-Adresse der Netzwerkkarte war Teil der Benutzerkennung GUID gewesen). In die Hardwarekennung der WPA gehen zwar zehn Merkmale ein, darunter Identifikations-Strings vorhandener Netzwerkkarten, CD-ROM- und Festplattenlaufwerke sowie -Controller. Da aber lediglich ein so genannter Hashwert übermittelt wird, sind Microsoft laut Lopatic die eigentlichen Daten nicht bekannt: Beispielsweise überträgt die WPA statt der eindeutigen 48-Bit-Netzwerkadresse einen auf 10 Bit verdichteten Wert, der kein Rückrechnen zulässt, sich aber dennoch mit jedem Bit der Adresse ändert. Weniger "zufällige" Werte werden sogar auf noch weniger Bits abgebildet, zum Beispiel landet die CPU-Seriennummer in nur 6 Bit. Hierdurch ergeben sich bei den einzelnen Werten "Kollisionen", die ein Wiedererkennen des Computers anhand einzelner Merkmale unmöglich machen -- hierzu wäre zumindest der gesamte Datensatz erforderlich.
Auch ein stetiges Neu-Aktivieren dürfte den XP-Nutzern erspart bleiben: Laut Fully Licensed sind typische Hardware-Updates problemlos. Eine erneute Freischaltung sei erst notwendig, wenn sich mehr als drei der zehn erfassten Merkmale ändern, beispielsweise Grafikkarte und Speichergröße und Prozessor und Festplatte. "Bei Notebooks mit Docking-Station ist die Regelung sogar noch etwas liberaler", so Thomas Lopatic.
Auf den Webseiten von Fully Licensed stehen ein
(englischsprachiges) ausführliches technisches
Paper sowie ein Kommadozeilen-Tool nebst Quelltext zur
Verfügung, das die WPA-Daten für die Telefon-Aktivierung
dechiffriert. Die Analyse bezieht sich zwar nur auf die
telefonische Aktivierung einer Vorabversion (XP Release
Candidate 1, Build 2505). Fully Licensed erwartet aber, dass
Microsoft die generelle Architektur der WPA nicht mehr ändert.
Die Online-Aktivierung arbeitet mit anderen
Verschlüsselungsmechanismen und überträgt
(mögilcherweise lediglich daher) größere
Datenmengen. Es steht aber jedem Anwender frei, sein Produkt
telefonisch statt online aktivieren zu lassen.
Großkunden sollen ohnehin eine WPA-freie Version erhalten. Microsoft erklärte hierzu gegenüber KES: "Die Produktaktivierung wird in Paket-, OEM- und System-Builder-Produkten integriert sein, während die Microsoft Volumenlizenzprogramme für Grosskunden oder auch mittelständische Kunden hiervon ausgenommen sind."