Interview: Trusted Computing - Problem oder Notwendigkeit?

Die Trusted Computing Group (TCG) entwickelt einen offenen Industrie-Standard für "zuverlässige" ("trusted") Computer-Hardware, die sichere Datenspeicherung und neue Geschäftspraktiken im Internet erlauben, dabei aber auch den Schutz der Privatssphäre von Nutzern sicherstellen und ihre individuellen Rechte schützen soll - soweit die Eigendarstellung der TCG. Dennoch sieht sich die TCG und ihre Spezifikationen harscher Kritik von Verbraucher- und Datenschützern ausgesetzt, die eben die individuellen Rechte der Nutzer beschränkt und deren Privatssphäre gefährdet sehen.

So spezifiziert die TCG einen "Trusted Platform Module" (TPM) getauften Sicherheitschip, der Schlüssel generiert und speichert sowie anderen Applikationen kryptographische Dienste anbietet. Darüber hinaus definiert die TCG aber auch weitere Operationen und Technologien wie beispielsweise ein TCG-konformes BIOS und externe Validierungs- und Zertifizierungsinstanzen.

Zu den Kernpunkten, die mit TCG eingeführt werden, zählen dabei "Remote Attestation" und "Sealed Storage". Mit Remote Attestation sollen Dritte in die Lage versetzt werden, die Integrität eines Computersystems zu überprüfen. So kann von außen sichergestellt werden, dads der Empfänger korrekt ausgewiesen ist, ein Betriebssystem mit den aktuellen Sicherheits-Upgrades sowie eine Anti-Viren-Software mit aktuellen Viren-Signaturen läuft und die laufenden Programme die erwarteten Hash-Werte aufweisen. Zudem wird so auch ausgeschlossen, dass etwa ein Debugger oder Programm-Monitor auf dem System läuft.

Sealed Storage hingegen stellt einen verschlüsselten Speicherbereich zur Verfügung, in dem Daten in versiegelter Form abgelegt werden können. Auf diese Daten haben dann nur "vertrauenswürdige" Applikationen Zugriff. Ein Auslesen oder Manipulieren der verschlüsselten Daten soll so unmöglich werden.

Kritiker der TCG sehen darin vor allem neue Möglichkeiten für DRM-Systeme. "Dritte, z.B. eine Bank oder ein Music-on-Demand-Anbieter, können sich vor Beginn einer Transaktion den aktuellen Systemzustand anzeigen lassen (Remote Attestation) und die Entschlüsselung der beim Nutzer gespeicherten Daten an einen bestimmten Systemzustand koppeln (Sealed Storage)", so beispielsweise Dr. Volker Grassmuck. Dabei ist es möglich, Daten an einen nicht migrierbaren Schlüssel im TPM und somit an die spezifische Software-Konfiguration zum Zeitpunkt der Versiegelung zu binden. Auf anderen Systemen oder nach einer Änderung der Software wären die Daten nicht mehr ohne weiteres zu gebrauchen.

Zu den schärfsten Kritikern der TCG, die die Nachfolge der TCPA antritt, zählt Ross Anderson, der in seiner TCPA-FAQ zahlreiche Probleme aufzeigt, die sich mit der Einführung von TCG ergeben könnten. Dabei bleibt TCG nicht auf einen einzelnen Sicherheitschip beschränkt, sondern soll seinen Weg zunehmend auch in andere Komponenten und nicht nur in PC-Systeme finden.

Beteiligt an der TCG sind zahlreiche namhafte Unternehmen, vorwiegend aus dem IT-Bereich, allen voran AMD, HP, IBM, Microsoft, Sony und Sun. Konkrete Hardware-Produkte bieten derzeit aber vor allem HP und IBM mit entsprechenden Notebooks bzw. PCs an.