Interview: Trusted Computing - Problem oder Notwendigkeit?

Golem.de: "Trusted Computing" bietet vor allem Softwareanbietern die Möglichkeit, das Lock-In ihrer Kunden zu erhöhen und einen Wechsel auf andere Plattformen enorm zu erschweren. Entsprechende Pläne, die zum Teil weit über die TCG-Spezifikation hinausgehen, aber auf dieser aufbauen, wurden bereits von diversen Herstellern angekündigt. Stehen diese Möglichkeiten nicht im Gegensatz zu IBMs öffentlichem Bekenntnis zu offenen Standards und der Unterstützung von Open Source z.B. in Bezug auf Linux?

Stremlau: Der Grundsatz der TCG ist es, offene Standards für vertrauenswürdige Hardware über unterschiedliche Plattformen wie PCs, Server, PDAs und Mobiltelefone zu entwickeln. Das Ziel dabei ist es, sicheren Datenspeicher, Online Business und Online Commerce zu ermöglichen, unter Wahrung des Datenschutzes. Daher ist es nicht Aufgabe der TCG, Software-Nutzern, den Plattform-Wechsel zu erschweren - sondern vertrauenswürdige Plattformen zu bieten. Die TCG zertifiziert keine Software und bevorzugt auch keine Software. Für IBM ist die volle Unterstützung der TPM durch Linux ein besonderes Anliegen. Um die Unterstützung durch die Open Source Community zu fördern, hat IBM bereits Linux-Treiber für die TPM unter der GPL veröffentlicht.

Golem.de: Ein weiterer zentraler Kritikpunkt an TCG ist die vorgesehene "Remote Attestation", da diese auch die Möglichkeiten des Nutzers einschränkt, das eigene System bewusst zu modifizieren. Die Electronic Frontier Foundation schlägt in dieser Hinsicht beispielsweise mit Owner Override ein Konstrukt vor, das genau diese Problematik umgehen soll. Inwiefern haben solche Vorschläge eine Chance, im Rahmen der TCG umgesetzt zu werden?

Stremlau: Der Owner hat die freie Wahl, ob das TPM überhaupt aktiviert wird. Die Spezifikationen der TCG sehen keinen Owner Override im von der EFF beschriebenen Sinne vor, da dieser Owner Override negative Konsequenzen für den Endanwender hat. Die Überprüfung eines Bankrechners wäre zum Beispiel nicht mehr möglich und der Benutzer müsste wieder auf blindes Vertrauen zurückgreifen. Dementsprechend ist die Frage des Owner Override kein Diskussionspunkt in der TCG.

Golem.de: Welche negativen Konsequenzen könnten dies konkret sein? Inwiefern wäre die Überprüfung eines Bankrechners nicht mehr möglich?

Stremlau: Ein Owner Override könnte der Bank ermöglichen, ein fehlerhaftes System als korrekt zu attestieren. Somit kann ein Benutzer während der Transaktion nicht sicher feststellen, ob die Bank wirklich korrekt ist oder ob sie den Owner Override verwendet hat.

Golem.de: Unklar scheint die Frage der Nachhaltigkeit von verschlüsselten Daten, die an Systemzustände gebunden sind. Wie stellt TCG sicher, dass Daten, die durch TCG geschützt und an Systemzustände gebunden sind, welche sich durch Updates der Software oder Änderungen in der Hardwarekonfiguration ändern, auch morgen oder in zehn Jahren noch genutzt werden können?

Stremlau: Diese Frage ist vergleichbar mit dem Schutz verschlüsselter Daten gegen den eventuellen Verlust des Schlüssels. Verschlüsselt eine Anwendung ihre Daten, so muss sie entweder eine Sicherungskopie des Schlüssel oder der unverschlüsselten Daten anfertigen.

Das Problem der Nachhaltigkeit ist unabhängig von der TCG: Werden Daten durch eine Anwendung oder ein Betriebssystem an einen gewissen Systemzustand gebunden (=Schlüssel), so kann sie diese Daten weiterhin jederzeit lesen und sollte für deren Sicherung sorgen. Ändert sich der Systemzustand, muss auf eine Sicherungskopie zurückgegriffen werden oder der alte Systemzustand wieder hergestellt werden.