Security: Das bringen TPM und Secure Boot für Windows 11
Im Juni dieses Jahres sorgte Microsoft im Rahmen der Ankündigungen für Windows 11 für einigen Ärger und Verwirrung bei den Nutzern. Der Grund: Windows-11-zertifizierte Geräte müssen über ein TPM 2.0 verfügen. Ebenso wird UEFI Secure Boot zwingend zur Nutzung von Windows 11 vorausgesetzt.
Damit sind zwar einige ältere Systeme von der Nutzung ausgeschlossen, Microsoft erhöht damit aber auch die grundsätzliche Sicherheit, wie das Unternehmen selbst korrekterweise schreibt(öffnet im neuen Fenster) . Zwar gibt es wohl auch Möglichkeiten, Windows 11 ohne die genannten Techniken zu nutzen. Microsoft behält sich aber vor , für diese Systeme keine Updates zu verteilen.
Sowohl Secure Boot als auch das TPM 2.0 sowie einige weitere Sicherheitstechniken können darüber hinaus zwar schon länger auch in Windows 10 oder alternativen Betriebssystemen wie Linux verwendet werden. Aber erst mit dem Zwang zur Nutzung gelingt es Microsoft, dies wirklich für alle Systeme mehr oder weniger einheitlich bereitzustellen.
Sicheres Starten dank verbreiteter Technik
Die Umsetzung von Secure Boot in Windows reicht dabei bereits rund zehn Jahre zurück, zu Windows 8 . Die Idee der Technik ist dabei, dass der Rechner nur noch jene Software starten soll, der tatsächlich auch vertraut wird. So sollen sich etwa klassische Boot- und Root-Kits deutlich schwerer unterschieben lassen.
Umgesetzt wird dies über eine Datenbank von Signaturen, die in der Firmware gespeichert wird. Auf der anderen Seite kommen Hersteller hinzu, wie etwa Microsoft, die die tatsächlich genutzte Software signieren: von den Firmware-Anwendungen über den Bootloader und Kernel bis hin zu den wichtigsten Komponenten des Betriebssystems.
Beim Start des Systems wird die Signatur der Software mit der in der Firmware hinterlegten Signatur verglichen. Stimmen diese nicht überein, wird der Startvorgang abgebrochen. Bei möglichen Problemen oder schweren Sicherheitslücken können die Signaturen auch zurückgezogen und neue verteilt werden.
Zwar hatte Microsoft bereits vor Jahren die Idee, das Abschalten von Secure Boot nicht mehr zuzulassen , viele Mainboard-Hersteller haben diese Option aber weiter geboten. Für schnelle Tests oder Neuinstallationen war es aus Sicht der Nutzer so unter Umständen oft einfacher, auf Secure Boot zu verzichten und es abzuschalten. Wer Windows 11 nutzen will, kann dies aber nicht mehr so machen und muss Secure Boot verwenden.
TPM 2.0 für zahlreiche Sicherheitsfunktionen
Ebenso wie Secure Boot sind auch sogenannte Trusted Platform Modules (TPM) schon länger in Windows nutzbar, werden mit Windows 11 aber erstmals standardmäßig vorausgesetzt. Bei dem TPM handelt es sich um einen Chip mit speziellen kryptografischen Funktionen, der etwa zum Generieren oder Speichern von Schlüsseln oder Hashwerten gedacht ist.
Das TPM kann als dedizierter Chip auf dem Mainboard vorliegen oder per Firmware direkt auf der installierten CPU ausgeführt werden. Ersterer wird bei den meisten moderneren Business-Notebooks und integrierten Systemen verbaut. Das Firmware-TPM (fTPM) ist hingegen auf Intel-, AMD- und einigen ARM-Prozessoren vorhanden. Der Vorteil des TPM ist es dabei, dass es für Angreifer sehr schwer ist, an das gesicherte TPM zu gelangen und so etwa Passwort-Hashes oder Schlüssel zu erlangen.
Ist die Kommunikation des TPM mit dem Rest des Systems aber nicht ausreichend kryptografisch abgesichert, etwa durch eine Verschlüsselung oder auch nur durch eine PIN oder ein Passwort, sind unter Umständen physische Angriffe auf die Daten möglich , die aus dem TPM ausgelesen werden. Das ist aber zumindest mit erhöhtem Aufwand verbunden.
Beim für Windows 11 genutzten TPM 2.0 stehen im Vergleich zur Vorgängerspezifikation TPM 1.2 vor allem mehr kryptografische Funktionen bereit und aus Sicht vieler OEMs besser standardisierte Schnittstellen für einen leichteren Einsatz.
Die Liste der möglichen Einsatzszenarien für TPM 2.0 ist dabei recht lang(öffnet im neuen Fenster) . Genutzt wird dies etwa für Bitlocker oder auch die komplette Geräteverschlüsselung, für Windows Hello oder als virtuelle Smart Card. Aber auch beim Systemstart kommt das TPM zum Einsatz.
TPM 2.0 für sicheren Boot
Mit Hilfe des TPM 2.0 setzt Windows einen sogenannten Measured Boot um. Dabei werden Prüfsummen für die am Start beteiligten Komponenten erstellt und im TPM gespeichert. Bei jedem neuen Start werden diese Prüfsummen erneut erstellt und mit jenen im TPM verglichen.
Darauf aufbauend können diese Informationen auch an Server weitergeleitet werden, die dann entscheiden, ob sich der betroffene Rechner etwa in einem Netzwerk anmelden darf oder nicht. Dieser Schritt wird auch als Remote Attestation bezeichnet. Die Windows-Dokumentation liefert weitere Details zu diesem Ablauf des Bootvorgangs(öffnet im neuen Fenster) .
Trotz all dieser Vorkehrungen könnte es aber immer noch sein, dass die Firmware selbst durch Angreifer manipuliert wird und es dann nur den Anschein hat, dass verifizierte Komponenten gestartet werden. Auch hier hilft wieder eine Technik, die über TPM 2.0 umgesetzt ist.
Dynamisches Vertrauen in die Firmware
Konkret handelt es sich dabei um den Windows Defender System Guard, mit dem ein Dynamic Root of Trust for Measurement (DRTM) umgesetzt wird. Ziel ist es dabei, dass der Rechner zunächst auch nicht vertrauenswürdigen Code zum Start verwenden kann. Über spezielle CPU-Befehle soll danach jedoch wieder eine sichere Umgebung geschaffen werden können, in der die Firmware sowie der eigentliche Bootloader für das Betriebssystem mit Hilfe des TPM vermessen werden können.
Die Arbeiten daran sind Teil von Microsofts Initiative der Secured-Core-PCs, die gemeinsam mit zahlreichen OEM-Herstellern und den CPU-Produzenten umgesetzt wird. Details dazu haben wir bereits zur Ankündigung der Initiative beschrieben .
Das Wichtigste bei all diesen Techniken ist letztlich, dass das Vertrauen in das Überprüfen der Integrität des Bootvorgangs bei der Nutzung von der System-Firmware wie UEFI in Richtung Hardware-Komponenten verschoben wird. Zwar sorgt auch das für Probleme, wie etwa die vielen Angriffe auf Intels Management Engine zeigen - bis hin zum Vollzugriff - oder physische Angriffe auf die TPM-Kommunikation.
Üblicherweise ist aber davon auszugehen, dass das Verändern dieser auch als Ring -3 bezeichneten Komponenten deutlich schwieriger sein sollte als das Verändern darüberliegender Firmware-Schichten wie etwa UEFI. Das gilt auch für das TPM 2.0, das eine eigene Hardware-Komponente ist oder in einem speziell gesicherten Bereich der CPU läuft. Künftig dürfte die Komponente auch durch weitere Hardware abgesichert werden, wie mit Hilfe des von Microsoft erdachten Sicherheitschips Pluton .