Intel, Symantec und Vasco: Sandy-Bridge-Prozessor mit Einmal-Passwörtern
Die Kombination aus Login und Passwort ist nicht sicher genug, meint Intel(öffnet im neuen Fenster) . Zusätzlich sollen sich auch noch der PC und der beteiligte Server bei Onlinegeschäften gegenseitig ausweisen. Mit früheren Ansätzen für Trusted Computing hat das nur noch wenig zu tun. Die Anwendungen werden nicht fest mit einem Rechner verdongelt. Vielmehr werden die "one-time passwords" (OTP) dynamisch erzeugt. Bei VPN-Geräten oder Cardreadern sind solche Verfahren längst üblich, vornehmlich bei professionellen Anwendungen.
Intel will die Einmal-Passwörter nun auch für alltägliche Webanwendungen im privaten Umfeld etablieren. Zahlreiche Onlineunternehmen ziehen bereits mit, wie eine Liste von unterstützten Webseiten(öffnet im neuen Fenster) bei Intel belegen soll. Neben zahlreichen US-Finanzunternehmen sind darin auch Firmen wie Adobe, eBay und Paypal zu finden. Andere Schwergewichte wie Amazon fehlen.
Die OTPs bilden bei den bisherigen Methoden nur eine zusätzliche Sicherheitsschicht, die für den Anwender transparent ist. Ähnlich einem Pre-Shared-Key (PSK), der vor der Übertragung von Nutzdaten ausgehandelt wird, einigen sich Client und Server auf das OTP. Erst dann wird eine Verbindung aufgebaut, die etwa durch andere Verfahren wie https abgesichert werden kann.
Das OTP hilft also nur beim Anmelden, indem es mit dem vom User eingegebenen Login und Passwort verknüpft wird. Denkbar ist, dass man seinen Account so einrichtet, dass nur OTP-Anmeldungen erlaubt sind. Dann ist der Verlust von Daten weniger schlimm. Intel weist aber in einer FAQ-Liste(öffnet im neuen Fenster) darauf hin, dass ein Diebstahl des Rechners dann ein erhöhtes Risiko darstellt.
Isolierte Manageability Engine mit signiertem Code
Gegen Phishing soll ein OTP aber helfen. Genauer hat Intel sein Konzept noch nicht beschrieben, erste Geräte dafür sollen erst am 11. März erscheinen.
Obwohl sich die Verschlüsselungstechnik in der "Manageability Engine" (ME) jedes Sandy-Bridge-Prozessors (Core i3/5/7 mit vierstelliger Modellnummer) befindet, reicht ein solcher PC allein nicht aus. Die ME läuft wie in einer virtuellen Maschine unabhängig vom Rest der CPU. Das muss das BIOS unterstützen. Dadurch soll die ME vom Betriebssystem nicht angegriffen werden können.
Ähnliche Verfahren werden von vPro-Rechnern schon längere Zeit beherrscht. Unbestätigten Angaben zufolge soll Intel seine "Identity Protection Technology" nicht an vPro koppeln. Das Unternehmen spricht bisher in einem PDF aber nur von "ausgewählten Prozessoren" , die das unterstützen sollen. Welche Modelle der Serie Core-i-2000 es genau sein sollen, ist noch nicht bekannt.
In der ME soll nur signierter Code von Unternehmen laufen, die Intel dafür zertifiziert. Der Chiphersteller nennt bisher Symantec und Vasco, nicht aber das vor kurzem von Intel übernommene McAfee. Dass Intel eine so breite Allianz schmiedet, hat auch historische Gründe: Bereits 1999 hatte das Unternehmen jedem Pentium-III-Prozessor eine weltweit eindeutige Seriennummer eingepflanzt, was als Sicherheitsfunktion für Onlineaktivitäten gedacht war. Viele Anwender fürchteten jedoch diese Erkennbarkeit ihres PCs, so dass Intel die Seriennummer ein Jahr später wieder abschaffte .