Original-URL des Artikels: https://www.golem.de/0312/28464.html    Veröffentlicht: 04.12.2003 11:30    Kurz-URL: https://glm.io/28464

Interview: Trusted Computing - Problem oder Notwendigkeit?

TC - Trusted-, Trustworthy- oder doch eher Treacherous-Computing?

TC steht als Abkürzung je nach Standpunkt des Betrachters für "Trusted Computing", "Trustworthy Computing" oder auch "Treacherous Computing" und gehört zu den umstrittensten aktuellen Entwicklungen im IT-Bereich. Während die einen TC als unabdingbar zur Steigerung der IT-Sicherheit bezeichnen, sehen andere darin eine Gefahr für die Privatssphäre von Verbrauchern sowie deren Rechte. Golem.de sprach mit Thorsten Stremlau, ThinkVantage Consultant bei IBM für Europa, den Mittleren Osten und Afrika, über die Möglichkeiten und Vorteile von TC sowie die Kritik, die den Plänen der Trusted Computing Group (TCG) vor allem aus den Bereichen Verbraucher- und Datenschutz entgegenschlägt.

Die Trusted Computing Group (TCG) entwickelt einen offenen Industrie-Standard für "zuverlässige" ("trusted") Computer-Hardware, die sichere Datenspeicherung und neue Geschäftspraktiken im Internet erlauben, dabei aber auch den Schutz der Privatssphäre von Nutzern sicherstellen und ihre individuellen Rechte schützen soll - soweit die Eigendarstellung der TCG. Dennoch sieht sich die TCG und ihre Spezifikationen harscher Kritik von Verbraucher- und Datenschützern ausgesetzt, die eben die individuellen Rechte der Nutzer beschränkt und deren Privatssphäre gefährdet sehen.

So spezifiziert die TCG einen "Trusted Platform Module" (TPM) getauften Sicherheitschip, der Schlüssel generiert und speichert sowie anderen Applikationen kryptographische Dienste anbietet. Darüber hinaus definiert die TCG aber auch weitere Operationen und Technologien wie beispielsweise ein TCG-konformes BIOS und externe Validierungs- und Zertifizierungsinstanzen.

Zu den Kernpunkten, die mit TCG eingeführt werden, zählen dabei "Remote Attestation" und "Sealed Storage". Mit Remote Attestation sollen Dritte in die Lage versetzt werden, die Integrität eines Computersystems zu überprüfen. So kann von außen sichergestellt werden, dads der Empfänger korrekt ausgewiesen ist, ein Betriebssystem mit den aktuellen Sicherheits-Upgrades sowie eine Anti-Viren-Software mit aktuellen Viren-Signaturen läuft und die laufenden Programme die erwarteten Hash-Werte aufweisen. Zudem wird so auch ausgeschlossen, dass etwa ein Debugger oder Programm-Monitor auf dem System läuft.

Sealed Storage hingegen stellt einen verschlüsselten Speicherbereich zur Verfügung, in dem Daten in versiegelter Form abgelegt werden können. Auf diese Daten haben dann nur "vertrauenswürdige" Applikationen Zugriff. Ein Auslesen oder Manipulieren der verschlüsselten Daten soll so unmöglich werden.

Kritiker der TCG sehen darin vor allem neue Möglichkeiten für DRM-Systeme. "Dritte, z.B. eine Bank oder ein Music-on-Demand-Anbieter, können sich vor Beginn einer Transaktion den aktuellen Systemzustand anzeigen lassen (Remote Attestation) und die Entschlüsselung der beim Nutzer gespeicherten Daten an einen bestimmten Systemzustand koppeln (Sealed Storage)", so beispielsweise Dr. Volker Grassmuck. Dabei ist es möglich, Daten an einen nicht migrierbaren Schlüssel im TPM und somit an die spezifische Software-Konfiguration zum Zeitpunkt der Versiegelung zu binden. Auf anderen Systemen oder nach einer Änderung der Software wären die Daten nicht mehr ohne weiteres zu gebrauchen.

Zu den schärfsten Kritikern der TCG, die die Nachfolge der TCPA antritt, zählt Ross Anderson, der in seiner TCPA-FAQ zahlreiche Probleme aufzeigt, die sich mit der Einführung von TCG ergeben könnten. Dabei bleibt TCG nicht auf einen einzelnen Sicherheitschip beschränkt, sondern soll seinen Weg zunehmend auch in andere Komponenten und nicht nur in PC-Systeme finden.

Beteiligt an der TCG sind zahlreiche namhafte Unternehmen, vorwiegend aus dem IT-Bereich, allen voran AMD, HP, IBM, Microsoft, Sony und Sun. Konkrete Hardware-Produkte bieten derzeit aber vor allem HP und IBM mit entsprechenden Notebooks bzw. PCs an.

Golem.de: Welche Ziele verfolgt IBM mit seinem Engagement im Bereich "Trusted Computing"?

Stremlau: IBM engagiert sich in der Trusted Computing Group, um das Entstehen proprietärer Lösungen für den Bereich der Hardware-basierten Sicherheit zu verhindern. Nur die Entwicklung von industrieweiten Standards schafft die Möglichkeit, die immer deutlicher werdenden Sicherheitsprobleme zu lösen. Die digitale Vernetzung sowohl von Unternehmen als auch von Einzelnutzern wird immer stärker und den hieraus resultierenden Herausforderungen müssen wir uns stellen.

Golem.de: Welchen Nutzen hat "Trusted Computing" auf der einen Seite für Unternehmenskunden und auf der anderen Seite für Privatkunden?

Stremlau: Trusted Computing bietet die Basis, auf der Betriebssysteme und Anwendungen langfristig Probleme lösen können, auf die man im täglichen Leben stößt. Wenn ich mit einer Kreditkarte bezahle, woher weiß ich, dass der Angestellte, der gerade meine Kreditkarte annimmt, nicht eine Zweitkopie meiner Daten macht? Oder wenn ich eine Bestellung per Telefon oder per Fax durchgebe - woher weiß ich, dass die Person am anderen Ende tatsächlich berechtigt ist, meine Bestellung anzunehmen? Wenn ich eine Abmachung treffe, am 11. Oktober 2003 meinen Mietvertrag zu kündigen, wie stelle ich sicher, dass dieses Datum nicht geändert werden kann und dass sich beide Parteien richtig verstanden haben? Wie kann ich im digitalen Zeitalter sicherstellen, das eine digitale Unterschrift tatsächlich rechtlich bindend wird?

Dies sind alles Vorgänge, die momentan "blindes Vertrauen" verlangen. Ein Trusted Platform Module, also ein Sicherheits-Chip in der Hardware, verstärkt die Vertrauenswürdigkeit eines Systems. Bei einer Kredikartenbestellung stellt das Trusted Platform Module sicher, dass meine Details nur an diesen einen autorisierten Server im Internet gelangen und dass kein Hacker die Zahlung über sein System umleitet. Auch kurzfristig erhöht der Sicherheits-Chip die Sicherheit für Endbenutzer. Hier ist insbesondere der Schutz vertraulicher Daten wie Passwörter und Schlüssel sowie eine potenzielle Warnfunktion, falls ein durch Viren verändertes Betriebssystem gestartet wird, hervorzuheben.

Im professionellen Einsatz ist es ähnlich. Die digitale Vernetzung von Unternehmen mit ihren Kunden und Zulieferern wird immer stärker. Kunden werden beispielsweise Zugriffe auf Extranets eingerichtet und Bestellungen werden über E-Mail abgewickelt. Auch hier ist es notwendig, die Sicherheit zu optimieren, um das Vertrauen zu erhöhen. Darüber hinaus zählen digitale Daten und Informationen immer mehr zu einem wichtigen Kapital für Unternehmen. Ein Versicherungs-Außendienstler, der sein Notebook mit wichtigen Kundendaten verliert oder der Firmen-Chef, dessen Festplattendaten in die falschen Hände geraten, das alles kann erheblichen Schaden verursachen.

Golem.de: Kritiker werfen dem Trusted-Computing-Konzept der TCG vor, dem Computerbesitzer die volle Kontrolle über sein System zu entziehen. Die in der Spezifikation vorgesehenen "nicht migrierbaren Schlüssel" bieten beispielsweise die Möglichkeit, Inhalte direkt an die Hardware zu knüpfen, was es unmöglich macht, diese Inhalte auf einen anderen Rechner zu übertragen. Wie viel Kontrolle behält der Nutzer über sein System, wenn er TCG-Funktionen verwendet?

Stremlau: Die PCs und Notebooks werden mit deaktiviertem Sicherheits-Chip ausgeliefert. Der Nutzer kann den Chip auch jederzeit ausschalten. Außerdem kann der Nutzer beziehungsweise der Administrator alle Attestation Keys löschen und auf andere Systeme übertragen. Nicht migrierbare Schlüssel dienen nicht der Identifikation eines Chips, sondern nur deren "Integritätsprüfung", das heißt dem Nachweis, dass der Chip ordnungsgemäß implementiert ist.

Golem.de: Ist damit schon durch die Spezifikation des TPM ausgeschlossen, dass Software-Anbieter Inhalte in irgendeiner Weise an einen nicht migrierbaren Schlüssel knüpfen, um eine Übertragung auf ein anderes System zu verhindern?

Stremlau: Nein. Falls eingeschaltet, erlaubt das TPM, Inhalte an einer Plattform oder eine gewisse Konfiguration zu binden. Nach Ausschalten des Chips besteht diese Möglichkeit jedoch nicht mehr. Bereits gebundene Daten sind jedoch in diesem Fall nicht mehr zugänglich.

Golem.de: TCG bietet vielfältige neue Möglichkeiten für Digital-Rights-Management-Systeme (DRM) und unterstützt auch für DRM notwendige Operationen. Von Kritikern genannt werden vor allem Funktionen wie "Remote Attestation" und "Sealed Storage", die verhindern, dass Nutzer frei über die Daten auf ihrem System verfügen - also etwa diese kopieren, konvertieren oder deren Laufzeitumgebung emulieren zu können. Von Seiten der TCG wird dennoch jede Verbindung von TCG und DRM zurückgewiesen?

Stremlau: DRM-Systeme sind Teil der Software-Ebene und daher muss diese Frage von den Anwendungs- und Betriebssystemanbietern beantwortet werden. Die TCG konzentriert sich auf die Bereitstellung vertrauenswürdiger Plattformen, schränkt aber nicht ein, welche Anwendungen auf der Plattform laufen dürfen und welche nicht. Überprüfbarkeit statt blindem Vertrauen ist ohne Remote Attestation nicht möglich. Ebenso schützt Sealed Storage primär Nutzerdaten gegenüber bösartigen Veränderungen des Betriebssystems durch einen Virus. Die Absicherung eines Betriebssystems umfasst natürlich alle diese Funktionen. Wird dies nicht gewünscht, kann der Chip jederzeit deaktiviert werden.

Golem.de: Dem Computer-Besitzer bleibt also nur die Möglichkeit, den TPM mit all seinen Vor- und Nachteilen zu aktivieren oder ganz auf dessen Funktionen zu verzichten? Es ist also nicht vorgesehen, dass Besitzer bewusst Änderungen an dem durch TCG geschützten Teil des Systems zulassen?

Stremlau: Im Prinzip ja: Das TPM ist in Hardware implementiert und somit nur schwer durch Benutzer änderbar. Inwieweit ein durch TCG geschütztes Betriebssystem Änderungen an sich erlaubt, wird nicht durch die TCG, sondern durch den jeweiligen Betriebssystemhersteller festgelegt.

Golem.de: "Trusted Computing" bietet vor allem Softwareanbietern die Möglichkeit, das Lock-In ihrer Kunden zu erhöhen und einen Wechsel auf andere Plattformen enorm zu erschweren. Entsprechende Pläne, die zum Teil weit über die TCG-Spezifikation hinausgehen, aber auf dieser aufbauen, wurden bereits von diversen Herstellern angekündigt. Stehen diese Möglichkeiten nicht im Gegensatz zu IBMs öffentlichem Bekenntnis zu offenen Standards und der Unterstützung von Open Source z.B. in Bezug auf Linux?

Stremlau: Der Grundsatz der TCG ist es, offene Standards für vertrauenswürdige Hardware über unterschiedliche Plattformen wie PCs, Server, PDAs und Mobiltelefone zu entwickeln. Das Ziel dabei ist es, sicheren Datenspeicher, Online Business und Online Commerce zu ermöglichen, unter Wahrung des Datenschutzes. Daher ist es nicht Aufgabe der TCG, Software-Nutzern, den Plattform-Wechsel zu erschweren - sondern vertrauenswürdige Plattformen zu bieten. Die TCG zertifiziert keine Software und bevorzugt auch keine Software. Für IBM ist die volle Unterstützung der TPM durch Linux ein besonderes Anliegen. Um die Unterstützung durch die Open Source Community zu fördern, hat IBM bereits Linux-Treiber für die TPM unter der GPL veröffentlicht.

Golem.de: Ein weiterer zentraler Kritikpunkt an TCG ist die vorgesehene "Remote Attestation", da diese auch die Möglichkeiten des Nutzers einschränkt, das eigene System bewusst zu modifizieren. Die Electronic Frontier Foundation schlägt in dieser Hinsicht beispielsweise mit Owner Override ein Konstrukt vor, das genau diese Problematik umgehen soll. Inwiefern haben solche Vorschläge eine Chance, im Rahmen der TCG umgesetzt zu werden?

Stremlau: Der Owner hat die freie Wahl, ob das TPM überhaupt aktiviert wird. Die Spezifikationen der TCG sehen keinen Owner Override im von der EFF beschriebenen Sinne vor, da dieser Owner Override negative Konsequenzen für den Endanwender hat. Die Überprüfung eines Bankrechners wäre zum Beispiel nicht mehr möglich und der Benutzer müsste wieder auf blindes Vertrauen zurückgreifen. Dementsprechend ist die Frage des Owner Override kein Diskussionspunkt in der TCG.

Golem.de: Welche negativen Konsequenzen könnten dies konkret sein? Inwiefern wäre die Überprüfung eines Bankrechners nicht mehr möglich?

Stremlau: Ein Owner Override könnte der Bank ermöglichen, ein fehlerhaftes System als korrekt zu attestieren. Somit kann ein Benutzer während der Transaktion nicht sicher feststellen, ob die Bank wirklich korrekt ist oder ob sie den Owner Override verwendet hat.

Golem.de: Unklar scheint die Frage der Nachhaltigkeit von verschlüsselten Daten, die an Systemzustände gebunden sind. Wie stellt TCG sicher, dass Daten, die durch TCG geschützt und an Systemzustände gebunden sind, welche sich durch Updates der Software oder Änderungen in der Hardwarekonfiguration ändern, auch morgen oder in zehn Jahren noch genutzt werden können?

Stremlau: Diese Frage ist vergleichbar mit dem Schutz verschlüsselter Daten gegen den eventuellen Verlust des Schlüssels. Verschlüsselt eine Anwendung ihre Daten, so muss sie entweder eine Sicherungskopie des Schlüssel oder der unverschlüsselten Daten anfertigen.

Das Problem der Nachhaltigkeit ist unabhängig von der TCG: Werden Daten durch eine Anwendung oder ein Betriebssystem an einen gewissen Systemzustand gebunden (=Schlüssel), so kann sie diese Daten weiterhin jederzeit lesen und sollte für deren Sicherung sorgen. Ändert sich der Systemzustand, muss auf eine Sicherungskopie zurückgegriffen werden oder der alte Systemzustand wieder hergestellt werden.

Golem.de: Heißt das in Bezug auf TCG, dass auf Daten, die an einen Systemzustand gebunden sind, beispielsweise nach einem Software-Update nicht mehr ohne weiteres zugegriffen werden kann, es sei denn, es existiert eine Sicherungskopie außerhalb des durch TCG geschützten Bereichs?

Stremlau: Falls eine Anwendung oder ein Betriebssystem Daten an einen Systemzustand bindet, dann sollte sie auch Mechanismen zur Migration dieser Daten von einem Systemzustand in einen anderen implementieren. Sieht sie solche Schutzmechanismen nicht vor und bindet trotzdem Daten an Systemzustände, gehen diese verloren, falls man den alten Zustand nicht wieder herstellen kann.

Golem.de: Inwieweit würde TCPA vor den aktuellen Bedrohungen für IT-Systeme und deren Daten, beispielsweise durch Viren und Würmer wie MS-Blaster oder Sobig.F, schützen?

Stremlau: Die Sicherheits-Chips entsprechend den Spezifikationen der TCG sehen keinen Virenschutz vor. Die Sicherheits-Chips dienen der Speicherung von Verschlüsselungscode. Ein Virenschutz muss vom Betriebssystem und entsprechenden Applikationen geleistet werden. Das TCG vereinfacht jedoch einem Betriebssystem festzustellen, ob das Betriebssystem korrekt geladen wurde.

Golem.de: Die gesamte Sicherheit eines durch TCG geschützten Systems hängt davon ab, dass die im TPM gespeicherten Schlüssel sicher sind und auch nicht über "verborgene Kanäle" an Dritte übertragen werden. Wie stellt TCG sicher, dass diese Schlüssel nicht unerlaubt von Dritten eingesehen werden können?

Stremlau: Verborgene Kanäle dürfen laut TCG-Spezifikation nicht existieren. Dass keine verborgenen Kanälen implementiert werden, wird auch durch die Herstellung der Chips durch unabhängige und konkurrierende Hersteller wesentlich erleichtert. Eine weitere externe Zertifizierung kann darüber hinaus garantieren, dass auf einem gegebenen Chip keinerlei verborgene Kanäle existieren.

Golem.de: Wer zertifiziert bzw. signiert Software, die auf TCG-Systemen unter Nutzung derer Sicherheitsfunktionen laufen kann? Wie soll sichergestellt werden, dass auch unabhängige Open-Source- oder Shareware-Software TCG-fähig ist?

Stremlau: Die TCG spezifiziert nur die Funktion der Sicherheits-Chips. Software ist kein Teilbereich der TCG und die TCG-Spezifikationen sehen nicht vor, Software zu zertifizieren oder in der Lauffähigkeit einzuschränken.

Golem.de: Also kann jede Software, einschließlich Viren, Würmern und Trojanern, auf einem System mit aktiviertem TPM installiert werden und auf die Funktionen des Sicherheits-Chips zugreifen?

Stremlau: Der TPM ist ein Chip wie jeder andere. Er wird über einen Treiber im Betriebssystem angesprochen. Somit hängt der Zugriffsschutz auf den TPM-Chip vom Betriebssystem ab. Ein sicheres Betriebssystem sollte den Zugriff auf den Chip entsprechend einschränken. In diesem Fall kann der Chip dazu verwendet werden, festzustellen, ob ein anderes Betriebssystem (ohne Zugriffskontrolle) gestartet wurde.

Golem.de: Microsoft entwickelt unter dem Namen Nexus einen Sicherheitskernel für Windows, der aber nicht unter einer freien Lizenz zur Verfügung stehen wird. Welche Bestrebungen gibt es seitens IBM, möglicherweise einen alternativen, offenen Sicherheitskernel zu entwickeln, der entsprechende Funktionen auch auf anderen Betriebssystemen bereitstellt?

Stremlau: IBM stellt für den Sicherheits-Chip die Treiber und die Interfaces für Linux über das Internet zur freien Verfügung - jeder der möchte, kann also eine Version von Linux erstellen, die die Funktionen des Chips ausnutzt. IBM wird die Open-Source-Gemeinde auch weiterhin bei der Integration der TCG-Chips in Linux unterstützen.  (ji)


Verwandte Artikel:
ARM - Embedded-CPUs für Trusted Computing   
(13.10.2003, https://glm.io/27900 )
WinHEC: Microsoft nennt weitere Details zu "Palladium"   
(07.05.2003, https://glm.io/25384 )
TCG legt neue Spezifikation für Sicherheits-Chips vor   
(06.11.2003, https://glm.io/28369 )
HP - Neue Notebooks unterstützen Trusted Computing   
(14.10.2003, https://glm.io/27931 )
EFF: Mehr Rechte für Nutzer bei Trusted Computing   
(06.10.2003, https://glm.io/27763 )

Links zum Artikel:
Against TCPA (.com): http://www.againsttcpa.com/
CCC.de - TCPA - Whom do we have to trust today?: http://www.ccc.de/digital-rights/forderungen?language=de
TCG - Trusted Computing Group (.org): http://www.trustedcomputinggroup.org

© 1997–2020 Golem.de, https://www.golem.de/