Wiedergekäutes zum Thema T* Computing.

Update vom 8.11.2006: Es ist natürlich keine DLL, sondern eine Kernel-Erweiterung. DLL = Windowspeak. Sorry.

Als die ersten Intel-Macs an Entwickler ausgeliefert wurden, fand sich auf den Platinen zur Überraschung vieler ein Trusted Platform Module (TPM). Für Neuzugänge: Dabei handelt es sich um ein kryptografisches Kernmodul, das u.a. Schlüssel verwahrt, Messungen der Systemkonfiguration speichert und einen Hardware-Zufallsgenerator bereitstellt.

Bei den Entwickler-Maschinen schien das TPM dazu eingesetzt zu werden, um das Mac OS an den Rechner zu koppeln. Dabei kam eine Kernel-Erweiterung mit dem Namen AppleTPMACPI.kext zum Einsatz. Hat nichts genützt: Geschickte Hacker fanden schnell einen Weg, um das Entwickler-OS auch auf PC-Boards ohne Apple-Segen zum Laufen zu bringen.

Mittlerweile hat Mac OS für Intel-PCs das Entwickler-Stadium längst hinter sich gelassen -- mehr noch, Intel-Macs sind die Regel geworden. Da stellt sich die Frage: Was fangen die aktuellen Revisionen von Mac OS X eigentlich mit dem TPM an? Gar nix, schreibt Amit Singh, der Autor des Buchs "Mac OS X Internals".

Im Online-Addendum "Trusted Computing for Mac OS X" zu seinem Buch erklärt Singh, Apple binde das TPM an keiner Stelle in das Betriebssystem ein:

"Apple does not use the TPM. If you have a TPM-equipped Macintosh computer, you can use the TPM for its intended purpose, with no side effect on the normal working of Mac OS X."
http://www.osxbook.com/book/bonus/chapter10/tpm/

Amit Singh geht aber noch einen Schritt weiter: Er hat einen TPM-Treiber für Mac OS X entwickelt, natürlich Open Source. Mit diesem kann man auf einem Intel-Mac das TPM, soweit vorhanden, initialisieren und nutzen. Zusätzlich bietet Singh auch einen OS-X-Port des TCG Software Stack "TrouSerS" sowie andere TPM-Module für Mac OS X an.

Besitzer der allerneuesten Macs werden von diesem Software-Segen aber nichts mehr haben: Die neuesten Intel-Macs enthalten gar kein TPM mehr. Wie Singh anmerkt: "...the newest Apple computer models, such as the MacPro and the revised MacBook Pro, do not contain an onboard TPM."

Dies deckt sich mit Erfahrungen aus der c't-Redaktion: Auf der Platine des letzten in der Redaktion eingetroffenen Desktop-Macs war trotz hartnäckigen Suchens kein TPM zu finden. Und wir haben wirklich lang und breit geguckt.

Das heißt natürlich nicht, dass Apple dem TPM für alle Zeiten abgeschworen hat. Aber jedenfalls benutzen die Leute in Cupertino auf jeden Fall kein TPM mehr, um ihr Betriebssystem vor PC-Anwendern abzusichern, die statt Vista lieber Mac OS booten wollen.

Mehr zum Thema Mac OS und TPM

• Mac OS und das TPM, Teil 1
• Mac OS und das TPM, Teil 2
• Mac OS und das TPM, Teil 3
• Intel bindet TPM an
• Mac OS und das TPM, Teil 4

Es will ja gar nicht aufhören. Die Website "Open for Business" behauptet standfest Palladium Not in Apple Dev Kits.

Commenting on earlier reports, a reliable source who requested anonymity told OfB, "While many rumors are being circulated on the web about Apple's future direction on Intel processors with DRM, the majority of them are just that - rumors." The source, a third-party Apple developer, continued, "Reality is that these boxes are production PC's in an Apple case, not DRM or TCPA protected, and none of these boxes will remain in circulation after their purpose has been served - they must be returned to Apple."
http://www.ofb.biz/modules.php?name=News&file=article&sid=380

CNN hält dagegen: Much ado over Apple-Intel developer box.

The existence of the TPM chip, manufactured by Infineon Technologies, is no guarantee that Apple will be using it in the final Macintosh products shipping next year. But industry analyst Pete Glaskowsky says it is highly likely, considering that Apple has the controller installed now.
http://news.com.com/Much+ado+over+Apple-Intel+developer+box/2100-1016_3-5819211.html

Wer hat jetzt Recht?

Der OfB-Artikel enthält zahlreiche faktische Ungenauigkeiten und Fehler. Die meisten davon führt die Website x64 inside in einem ausführlichen Rebuttal (engl. Widerlegung) auf. Es fängt damit an, dass Palladium, TCPA und TCG fröhlich in einen Topf geworfen werden und geht dann steil bergab.

Der CNN-Artikel enthält zahlreiche Mutmaßungen, deren Wahrheitsgehalt man nicht überprüfen kann. Im OfB-Artikel stecken nachweisliche Fehler.

Mehr zum Thema Mac OS und TPM

• Mac OS und das TPM, Teil 1
• Mac OS und das TPM, Teil 2
• Mac OS und das TPM, Teil 3
• Intel bindet TPM an
• Mac OS und das TPM, Teil 4

Vertrauenswürdiger müsse die Datenverarbeitung werden, hat die TCG immer verkündet. Dabei blieb jedoch immer offen, wessen Vertrauen der PC genießen müsse. Der Besitzer des PC werde immer die Kontrolle darüber behalten, ob das TPM eingeschaltet ist oder nicht, versprach die TCG immer wieder. Jetzt stellt Microsoft einen PC für die Dritte Welt vor, bei dem der Anwender nicht mit dem Besitzer identisch ist.

"FlexGo" heißt das Konzept, das im Wesentlichen auf einen Miet-PC für Entwicklungsländer hinausläuft. So wie heute Mobilfunkanbieter das Handy sponsern, um das Geld mit dem Vertrag wieder reinzuholen, stellt der FlexGo-Anbieter den PC bei einer Familie unter, die sich keinen PC in einem Rutsch leisten könnte und für die auch keine Ratenzahlung in Frage kommt. Pay-per-Use heißt sowas auf neudeutsch.

Bei Mobiltelefonen laufen solche Deals meist darauf hinaus, dass der Unterzeichner des Vertrags für das Gerät im Endeffekt mehr gezahlt hat, als wenn er es auf einen Rutsch gekauft hätte. Ist natürlich für Entwicklungsländer genau die richtige Strategie, den Unterprivilegierten über zwei Jahre hinweg mehr Geld aus der Tasche zu ziehen, als sie haben. Genug geärgert, zurück zur Technik.

FlexGo soll keine ständige Internet-Verbindung voraussetzen, sondern per Prepaid-Guthaben und ähnlichen Methoden laufen. Da muss man natürlich irgendwie sicherstellen, dass der Anwender, dem die Maschine ja nicht gehört, den PC nicht lokal "freischaltet" und kurzerhand von seinem Vertrag entknebelt. Und dazu setzt Microsoft auf Trusted Computing oder zumindest etwas sehr ähnliches.

Technisch setzt FlexGo einen PC voraus, der seine Nutzungsdauer messen kann – und über eingebaute Mechanismen verfügt, sich nach Ablauf der bezahlten Nutzungszeit auch sicher zu sperren. In diesem Betriebsmodus soll es mit dem Gerät nur noch möglich sein, neue Nutzungszeit beim Provider zu kaufen.
http://www.heise.de/newsticker/meldung/73367

BIOS-Spezialist Phoenix hat ein TrustedCore-BIOS namens "TCSubscribe" im Feuer. Transmeta macht mit. Infineon arbeitet angeblich an einem Spezial-Chip -- einem TPM Plus etwa? Mehr dazu in der Heise-Online-Meldung "Microsoft stellt PC-Abodienst für Entwicklungsländer vor".

Die Applied Data Security Group an der Uni Bochum beschäftigt sich schon länger mit TPMs und Trusted Computing im Allgemeinen. In der Vergangenheit haben gewisse Kreise den Mitarbeitern von Professor Ahmad-Reza Sadeghi sogar boshafterweise unterstellt, im gerechten Kampf gegen das böse, böse Trusted Computing auf der falschen Seite zu stehen.

Mit diesem Getuschel sollte es jetzt vorbei sein. In einem von Prof. Sadeghi zusammen mit seinen Assistenten Christian Stüble und Marcel Winandy sowie dem Entwickler Marcel Selhorst verfassten 32-seitigen Dokument kündigt das "Horst-Görtz-Institute for IT-Security" eine Test-Suite für TPMs an. Diese überprüft auf Basis von Linux und IBMs libtpm-Bibliothek am Markt erhältliche Trusted Platform Modules daraufhin, ob sie zum Standard konform sind.

Die Tests arbeiten sowohl auf Anwendungs- als auch auf Protokollebene und umspannen sowohl die Funktionalität der TPMs als auch deren Zuverlässigkeit. Drei der fünf getesteten Module von Atmel, Infineon, National Semiconductor und ST Microelectronics sind bei den Tests mehr oder weniger gravierend durchgefallen. Am bescheidensten schnitt das ST19WP18 von ST Microelectronics ab. Die Zusammenfassung ist da noch sehr diplomatisch:

We show that some TPM implementations do not meet the TCG specification and have bugs. Moreover, we discuss that non-compliance and inappropriate implementation may have crucial security impact, and point out the corresponding security problems in case of a widespread TPM chip.
http://www.prosec.rub.de/tpmcompliance.html

Auf der Websit der Applied Data Security Group steht sowohl eine Zusammenfassung bereit als auch der vollständige Bericht im PDF-Format (Direkt-Link).

Die Suite ist noch nicht ganz fertig, aber hoffentlich bald. Mich würde persönlich brennend interessieren, wie die Chips von Broadcom abschneiden. Broadcom hat sein TPM nämlich in einen Ethernet-Chipsatz eingebettet (den Forderungen der Bundesregierung und der EU zum Trotz). Ob das gut gegangen ist?

Der nächste Intel-Chipsatz ICH8 soll nicht nur ältere Standards wie PATA ausmustern und bestehende Standards wie AC'97 durch HD Audio Processing ersetzen. Die Southbridge sieht die Anbindung eines Trusted Platform (TPM) vor und soll die 2003 angekündigten Chipsatz-Sicherheitsfunktionen "LaGrande" unterstützen, wenn man TG Daily glauben darf:

But High Definition does not only bring new features, but restrictions as well. ICH8 will be the first Intel Southbridge to support the firm's La Grande technology (LT), a hardware-based security and digital rights management approach that is based on the specifications developed by the Trusted Computing Group (TCG). A key part of the technology will be integrated into a "Trusted Platform Module" (TPM) that will be located on the motherboard.
http://www.tgdaily.com/2005/12/29/intel_ich8_ic9_preview/

So schrecklich neu ist die TPM-Anbindung allerdings nicht; schon bei den Entwickler-Prototypen der x86-Apple-Boards war bereits ein TPM an Bord.

Infineon und VeriSign haben ein Abkommen bezüglich der TPM-Produktion des deutschen Herstellers abgeschlossen. Demnach werden künftig die Endorsement Keys (EK) aller Infineon-TPMs von VeriSign signiert.

Bei der Herstellung eines Trusted Platform Module wird ein Endorsement Key (EK) erzeugt (mehr zur Prozedur in den Folien zu meinen Vorträgen), entweder außerhalb des TPM (um dann injiziert zu werden) oder durch das TPM selbst.

Künftig will Infineon bei allen Chips nach dem TPM-Standard 1.2:

• den EK mit einer von VeriSign gegen-signierten eigenen Certification Authority (CA) signieren. VeriSign bietet dazu eine Trusted Computing Root Certification Authority.
• ein Verisign-Zertifikat in allen TPMs einbetten, konkret ein Class 3 Primary CA Certificate. Dies soll für Unternehmenskunden die Vertrauenswürdigkeit der Plattformen verstärken.

Infineon hat dazu eine mit sehr viel bla gefüllte Pressemitteilung veröffentlicht, die sowohl auf englisch als auch auf deutsch online steht. Kostprobe:

PCs, die Infineon’s TPM nutzen, bieten somit den Nutzern erhöhte Vertrauenswürdigkeit hinsichtlich ihren Verbindungen zu anderen Rechnern sowie der von dort empfangenen Daten.
(bizarr lange URL)

Update vom 2.8.2005: Zumindest die Entwickler-Version von Mac OS X für Intel-Prozessoren scheint tatsächlich per TPM an die Boards gekoppelt zu sein.

Und wieder mal schlägt Slashdot zu:

It seems that Apple has chosen to use the Trusted Platform Module chip to ensure that Mac OS X can only run on Apple Hardware. The report from vnunet states that the chips contain a unique identifier, which can be used to determine the manufacturer of a PC as well as facilities for data encryption.
http://it.slashdot.org/it/05/06/14/1442212.shtml?tid=93&tid=3

Hurra. Endlich bestätigt sich, dass Trusted Computing Teufelszeug ist.

Nur, dass der von Slashdot verlinkte Artikel etwas ganz anderes anführt. Die Gartner Group ist eine Organisation von IT-Experten, die Analysen veröffentlichen. Diese Gartner Group also hat in einer dieser Analysen die Hypothese aufgestellt, Apple könne sein Betriebssystem nach der Umstellung auf eine Intel-Architektur per TPM an die selbst hergestellten Rechner binden, um die Nutzung von Mac OS X abseits von Apple-Hardware zu verhindern:

Apple could use the Trusted Platform Module (TPM) chip to ensure that only Mac computers can run its OS X operating system, according to a news analysis from Gartner.
http://www.vnunet.com/vnunet/news/2137787/security-chip-block-non-macs

Wer Details über die Funktionsweise des TPM kennt, wird schnell merken, dass das eine ganz schlechte Idee wäre. Das fängt damit an, dass TPMs nach der Spezifikation immer abgeschaltet ausgeliefert werden. Der Besitzer des Rechners muss das Modul direkt einschalten ("take ownership"). Im Gartner-Szenario würde Apple zum "Besitzer" des TPM. Und natürlich würde der Austausch eines verbratenen Mainboards die Hölle. Und... und... und.

Das soll natürlich nicht heißen, dass Apple diesen Ansatz nicht dennoch versuchen könnte. Aber warum das TPM benutzen? Viel einfacher wäre es, einen ganz neuen Chip auf Apple-Boards zu löten und dessen Präsenz abzufragen. Das Board wäre also das Dongle, so wie schon heute auch der Mac ein etwas groß gewordenes Dongle für das Betriebssystem ist. Emulationsbestrebungen wie PearOS kann man sicher auch unter Kontrolle kriegen.

Weiterführende Links zum Thema

• Der Gartner-Report: Prepare Now for Apple's Switch to Intel
• Der spekulative Vunet-Artikel: Security chip to limit OS X to Macs

Mehr zum Thema Mac OS und TPM

• Mac OS und das TPM, Teil 1
• Mac OS und das TPM, Teil 2
• Mac OS und das TPM, Teil 3
• Intel bindet TPM an
• Mac OS und das TPM, Teil 4

Vor einigen Tagen stand auf diesen Seiten, es sei sehr unwahrscheinlich, dass Apple sein Mac OS X für Intel-Prozessoren mit einem TPM an den Rechner bindet. Mittlerweile ist klar, dass Apple zumindest bei den aktuellen Entwickler-Boards genau diesen "unwahrscheinlichen" Ansatz wählt.

Meine Meinung lag in einigen grundlegenden Prinzipien der TCG-Architektur begründet: TPMs werden stets in ausgeschaltetem Zustand ausgeliefert; vor dem ersten Einsatz muss der Besitzer des PC das TPM erst einschalten und dann über einen speziellen Befehl davon Besitz ergreifen (take ownership). Um das Betriebssystem an das TPM zu binden, muss also Apple bei den Entwickler-Maschinen das TPM aktiviert haben und den Take-Ownership-Befehl ausgeführt haben. In dem Moment, in dem das passiert ist, wurde Apple der Besitzer des TPM.

Derzeit gehe ich davon aus, dass Apple diesen Weg nur bei den Entwicklermaschinen gegangen ist -- um zu verhindern, dass die OS-DVDs (der "Rosetta Kernel") ihren Weg in die Filesharing-Netze finden. Dieser Fall ist mittlerweile eingetreten. Derzeit verhindert also die Suche der OS-Installationen nach einem TPM, dass jeder x-beliebige Anwender mit den nötigen Systemvoraussetzungen die Entwicklerversion von Mac OS X für Intel-PCs auf seinem Rechner installiert.

Gleichzeitig muss ich gestehen, dass ich offenbar übersehen habe, dass die TCG keine normative Kraft besitzt. Klarer ausgedrückt: Wenn Apple (kein Mitglied der TCG) ein TPM als Hardware-Dongle einsetzt, kann die TCG nichts dagegen tun. Sollte Apple dies aber auch bei der finalen Version von Mac OS X für Intel-Machinen tun, steht das T* in "T* Computing" letztendlich doch für "Treacherous", wie Richard Stallman einst argumentierte -- weil sich die Sicherheit dann gegen den Anwender wendet, statt ihm zu dienen.

Weiterführende Links zum Thema

• die vermeintliche .NFO-Datei der ins Internet gerutschten Image-Datei des Mac OS für x64 Developer Kit
• Liste der von der AppleTPMACPI.kext aufgerufenen TPM-Befehle

Mehr zum Thema Mac OS und TPM

• Mac OS und das TPM, Teil 1
• Mac OS und das TPM, Teil 2
• Mac OS und das TPM, Teil 3
• Intel bindet TPM an
• Mac OS und das TPM, Teil 4

Die Website lwn.net bietet einen guten Überblick über die bisherigen Bemühungen Einbindung des TCG-Chips TPM in Linux: "Trusted computing does not have to be evil."

Der Artikel beginnt mit einer Einführung in das Thema, eine Erklärung der Funktionsweise des TPM und listet dann die bisher verfügbaren Implementierungen auf, darunter TrouSerS u.ä.

A TPM-equipped system requires support in the BIOS. Before the system boots, the BIOS will "measure" the current hardware state, storing the result in a PCR. The boot loader will also be checksummed, with the result going into another PCR. The boot loader is then run; its job is to stash a checksum of the kernel into yet another register before actually booting that kernel. Once the kernel is up, the "trusted software stack" takes charge of talking to the TPM, providing access to its services and keeping an eye on the state of the system.
http://lwn.net/Articles/144681/

Darüber hinaus erklärt der Artikel auch, welche Chancen das TPM für Open-Source-Projekte bietet:

• Schlüsselschutz
• Integritätsüberprüfung
• Beglaubigung in Firmennetzen
• Verifizierung der Unbedenklichkeit von öffentlichen Terminals
• Beglaubigung elektronischer Wahlmaschinen

Schlussfolgerung des Artikels: So wie Linux auch in Bereichen eingesetzt wird, wo man es sich eher nicht wünschen würde, gibt es auch Möglichkeiten, TC für gute Zwecke einzusetzen. "Given that the technology is available, let's use it."

Wenn Longhorn jetzt Windows Vista heißt, wie wird dann wohl Secure Startup in der Endphase heißen -- "Shutters" vielleicht? Egal.

Die Trusted Computing Group (TCG) hat die Spezifikation für "Trusted Network Connect" verabschiedet. Das ist, Ohren spitzen, ein Weg, mit dem sich Rechner bei der Verbindung mit einem Server als "vertrauenswürdig" authentifizieren können. Wir reden von Attestation (Beglaubigung), das ist der Buhmann der TCG. Der Clou daran: Das funktioniert wahlweise auch mit Rechnern ohne TPM.

TNC bietet eine Schnittstelle, genauer ein "Framework", mit dem Rechner in einem heterogenen Netz ihren Konfigurationszustand an einen Server weitergeben können, der daraufhin deren Grad der Vertrauenswürdigkeit beurteilt und den Zugriff auf das Netzwerk entsprechend beschränkt/ausweitet.

Der Server kann also beispielsweise die Konfiguration des sich per VPN einwählenden Notebooks eines Verkaufsmitarbeiters abfragen und anhand der übermittelten Hash-Werte beurteilen, ob der Rechner (a) für den Zugriff autorisiert und (b) koscher ist. Welche Konfigurationen okay sind, hat der Sysadmin vorher konfiguriert.

TNC is based on the twin concepts of integrity and identity. Integrity is used in this case to describe the desired state of an endpoint’s “health” or configuration, as defined by IT policies. For example, a system can be checked to ensure it adheres to pre-determined policies and is not engaged in unusual or malicious behavior.
Identity ensures that systems are authenticated for authorized users only. Clients with the Trusted Platform Module, a piece of silicon based on TCG specifications and offering secure storage of passwords, certificates and digital keys, offer additional security in that IT can put into place policies to determine platform integrity and user identity.
https://www.trustedcomputinggroup.org/[...]/TNC_release[...].pdf

Mehr zum Thema

• Pressemitteilung: Trusted Computing Group Delivers Trusted Network Connect (Tnc) Architecture To Ensure Endpoint Integrity And To Protect Networks From Attacks And Unauthorized Access [PDF]
• TNC-Spezifikationen (alles PDF-Dokumente): TNC Architecture, TNC IF-IMC-Specification, TNC IF-IMV Specification

Auch beim diesjährigen LinuxTag durfte ich wieder einen Vortrag zum Thema Trusted Computing abhalten. Diesmal war ich nicht als "Pause" angekündigt worden, entsprechend mehr Zuhörer westen an. Mindestens zwei sind während der Veranstaltung aber in ihren Sitzen eingeschlafen. Das nächste Mal gibts mehr Action.

Die Präsentationsfolien stehen auch dieses Jahr wieder unter http://www.heise.de/ct/Redaktion/ghi/tc/linuxtag.html -- diesmal als OpenOffice-Dokument und als schlechte HTML-Konvertierung. Fragen und Anmerkungen bitte an meine E-Mail-Adresse.

Anmerkung vom 1.7.2005

Die Online-Folien unterscheiden sich in vier Punkten von der beim Vortrag gezeigten Version:

• zwei Schreibfehler korrigiert (Folie "Trusted Computing und Digital Restrictions Management (DRM)": in der Eile fälschlicherweise gleich zweimal "Digital Rights Management" getippt)
• Gliederung korrigiert (Folie "Open-Source-Projekte für das TPM: Applied Data Security Group": SecureApp, SecureGUI und Trusted Viewer sind lt. Christian Stüble Bestandteile von Perseus.)
• Ergänzung (Folie "Entwickler von TPM-Software": Infineon TSS hinzugefügt)
• Logo ersetzt (alle Folien: untere rechte Ecke enthielt das c't-Logo in einem nicht allgemein zugänglichen Font)

Ergänzung vom 11.7.2005

Die Folien sind jetzt auch als PDF-Export online verfügbar.

Weiterführende Links

• LinuxTag Vorträge
• LinuxTag 2005 Vortrag: Trusted Computing: Alles eine Frage des Vertrauens
• LinuxTag 2005 Vortrag: Erfahrungsbericht: so wars auf der Bühne
  (ebenfalls online: Berichte über Vorträge zum LinuxTag 2003, im DGB Bildungswerk Hattingen sowie auf dem LinuxTag 2004)

Ein wesentlicher Bestandteil des ersten veröffentlichten Plans für Microsofts NGSCB ("Palladium") war Trusted Output, ein gesicherter Ausgabekanal. NGSCB-gesicherte Anwendungen sollten eine Möglichkeit erhalten, "Spoofing"-Angriffe zu verhindern. Unter Spoofing versteht man beispielsweise, dass ein Trojanisches Pferd ein Fenster in den Vordergrund schiebt, das sich als Passwort-Dialog einer anderen Anwendung ausgibt und so deren Passwort abfängt.

Leichter gesagt als getan. Es gab viele Vorschläge, wie man sicherstellen kann, dass sich kein "bösartiges" Fenster in den Vordergrund schiebt. Viele davon scheiterten an einem Problem, das Microsoft-Mitarbeiter Raymond Chen so schön beschreibt:

The question "What if two programs did this?" is also helpful in evaluating a feature or a design request. Combining this with "Imagine if this were possible" leads to an impressive one-two punch. Here are a few examples:

"How do I create a window that is never covered by any other windows, not even other topmost windows?"

Imagine if this were possible and imagine if two programs did this. Program A creates a window that is "super-topmost" and so does Program B. Now the user drags the two windows so that they overlap. What happens? You've created yourself a logical impossibility.
http://blogs.msdn.com/oldnewthing/archive/2005/06/07/426294.aspx

Könnte sich also ein Programm unbedingt in den Vordergrund schieben, könnte es möglicherweise auch ein zweites Programm mit dieser Eigenschaft geben. Im Fall von Trusted Output unter NGSCB wären das vielleicht zwei gesicherte Anwendungen, die beide denselben Anspruch erheben können.

Mittlerweile hat Microsoft offensichtlich weiter gedacht. In einer Heise-Online-Meldung stellt Dave Steeves das Konzept eines "Trusted Display" vor -- also kein gesicherter Ausgabekanal mehr für einen bestehenden Monitor, sondern ein separates, geschütztes Ausgabegerät! Cleverer Ansatz. Leider nicht ganz frei von neuen Problemen:

Steeves musste allerdings zugeben, dass selbst diese "Trusted Displays" anfällig für "Man-In-The-Middle-Attacks" seien, bei denen sich ein Angreifer gegenüber dem Sicherheitsgerät als lokaler Rechner und gegenüber diesem als ebendieses Gerät ausgibt, sich also in die Verbindung einklinkt und damit die Kontrolle übernimmt.
http://www.heise.de/newsticker/meldung/60599

So richtig fertig ist das Konzept also noch nicht. Aber es gärt also durchaus weiter in Redmond.

Mehr zum Thema NGSCB

• NGSCB: So schreibt man einen NCA.
• Spiegel Online über Trusted Computing
• Manferdelli spricht
• Microsoft ermahnt künftig zur Sicherheit
• Totgeglaubte Palladine leben länger
• WinHEC 2004 Präsentationen zum Download
• Das Trusted Output Problem

Jakob Nielsen ist ein schlauer Mann, der Web-Designern nicht unbekannt sein dürfte -- er beschäftigt sich seit Jahren mit "Usability", der Bedienbarkeit von Websites und ähnlichen Dingen. Einige Leute nennen ihn einen Usability-"Guru", weil mittlerweile jeder, der irgendwas weiß, entweder ein Guru oder ein Scharlatan sein muss. (Dieser Gesellschaft fehlen die Zwischentöne. Egal. Wo war ich?)

Nielsen nennt vier aktuelle und akute Schwachstellen der EDV:

1. Viren und Würmer,
2. betrügerische Mails, bei denen es um den Schmuggel angeblicher Millionenbeträge geht
3. gefälschte Mails, deren Urheber sich als vertrauenswürdige Absender ausgeben (PayPal, Ebay, Citibank)
4. Software, die sich ungefragt auf Rechnern einnistet, um Anwenderdaten auszuspähen und Werbung einzublenden

Der derzeitige Ansatz, Nutzern Vorsicht anzuerziehen, funktioniere nicht, schreibt Nielsen. Er fordert eine konsequente Umorientierung der Sicherheitskonzepte:

1. alle Informationen stets verschlüsseln, sofern sie nicht gerade am Bildschirm angezeigt werden müssen, einschließlich E-Mails
2. alle Informationen digital signieren, um deren Echtheit zu beglaubigen
3. automatisch alle Sicherheitsvorkehrungen einschalten, gleichzeitig aber auch die Möglichkeit zur Anpassung bieten
4. alle Updates automatisieren
5. Sicherheitsfunktionen besser bedienbar machen
   http://www.useit.com/alertbox/20041025.html

Und warum beschreibe ich das hier? Es geht Nielsen, auch wenn er es nicht ausspricht, um vertrauenswürdige Datenverarbeitung. Ins Englische übersetzt: Trusted Computing.

Und so passen seine Forderungen alle sehr gut zu NGSCB und TCG. Ein TPM eignet sich hervorragend dazu, um digitale Signaturschlüssel zu speichern. Und NGSCB strebt(e) an, Informationen zu verschlüsseln. Und Microsoft drängt Leuten mit dem Service Pack 2 sein Security Center möglichst nachhaltig auf (nicht, dass es sich nicht genauso nachhaltig wieder abschalten ließe) und mahnt bei jeder Gelegenheit, man möge doch endlich automatische Updates einschalten. Nur das mit bis den "leicht bedienbaren Sicherheitsfunktionen" scheint keiner zu hören.

Wer sich also über Trusted Computing aufregt ("überflüssig" etc. pp.), möge dabei berücksichtigen, dass es Leute wie Jakob Nielsen gibt, die mit nicht zu unterschätzendem Gewicht darauf Wert legen, dass etwas in diese Richtung passiert.

Wenn mich jemand fragt, ob ich vertrauenswürdig sei, grinse ich oft frech und antworte, das müsse sie/er wohl irgendwie selbst herausfinden. Raymond Chen, ein Program Manager bei Microsoft (buh, pfeif, usw.), betreibt eines der wenigen Blogs auf dieser Welt, die weitestgehend frei von Ego sind.

Anhand von drei Beispielfragen, die naive Software-Entwickler immer wieder stellen, beschreibt Chen, dass ein Computer nur beschränkt Auskunft über seinen derzeitigen Zustand geben kann:

You cannot reliably reason about the security of a system from within the system itself. It's like trying to prove to yourself that you aren't insane.

The system may itself have already been compromised and all your reasoning therefore can be virtualized away. Besides, your program could be running inside a virtual PC environment, in which case the absence of a keyboard hook inside the virtual PC proves nothing. The keyboard logging could be happening in the virtual PC host software.
http://weblogs.asp.net/oldnewthing/archive/2004/11/15/257565.aspx

Wer es noch nicht von selbst gemerkt hat: Chen beschreibt hier, warum es leichter ist, die Integrität eines Systems gegenüber Dritten zu beweisen als gegenüber dem Besitzer des Rechners selbst. Hier liegt eine der Schwachstellen des Trusted-Computing-Konzepts: Jeder Anwender will gern wissen, ob der PC, vor dem er gerade sitzt, kompromittiert wurde. Zunächst sah es sowohl bei NGSCB als auch TCPA so aus, dass der Rechner diese Antwort erst nach Rücksprache mit einem Dritten geben kann -- weil sich die Kommunikationskanäle zwischen dem Anwender und dem Rechner so leicht manipulieren lassen.

Die TCG veranstaltet am Donnerstag in München am Rande der Systems-Messe einen "Business Community Day". Wer daran Interesse hat, sich über die aktuellen Ziele der TCG zu informieren, kann sich kostenlos anmelden (es fallen dann nur die Kosten für die Systems-Eintrittskarte an). Einen Tag zuvor stellt sich die TCG in einer viertelstündigen Veranstaltung kurz vor. Die Termine nochmal:

• Während der gesamten Systems (18. bis 22.10.: TCG Stand in Halle B2 auf Stand 113 (Vorstellung der TCG-Lösungen von Infineon, Ultimaco & Wave Systems).
• Mittwoch, 20.10.2004, 14:00, im Roten Forum (Red Forum) auf der Systems: TCG Overview, 15-Minuten-Vortrag.
• Donnerstag, 21.10.2004, 9:30 - 15:15 in Halle B4, Raum B41: TCG Business Community Day. (kostenlose) Voranmeldung erforderlich, Online-Anmeldeformular hier; Beschreibung der Veranstaltung hier.

Zu den Sprechern gehören unter anderem David Grawrock von Intel und Hans Brandl von Infineon sowie Thorsten Stremlau von IBM. Die Veranstaltung findet auf englisch statt.

Weiterführende Links

• Heise Online Meldung: Trusted Computing: Infos für Unternehmen
• Pressemitteilung der TCG: Trusted Computing Group announces Business Community Day at Munich Systems 2004 [PDF!]
• Veranstaltungsübersicht des Business Community Day
• Online-Anmeldeformular für den Business Community Day

Der bislang letzte Artikel über aktuelle Entwicklungen im Bereich Trusted Computing steht jetzt auch online. Highlights:

• IBM hat bereits 16 Millionen Notebooks und Desktop-PCs mit TPM verkauft.
• Die TCG bietet kostenlose Mitgliedschaften für akademische Einrichtungen u.ä. an.
• Die TCG hat ihre fünf Advisors ausgesucht, darunter einen Analüsten und ein leitendes Mitglied der EFF (Electronic Frontier Foundation).
• Protect Privacy e.V. hat einen fragwürdigen offenen Brief an die TCG geschickt.
• Der BITKOM hat eine fragwürdige Stellungnahme zur Stellungnahme der Bundesregierung zu Trusted Computing abgegeben.
  http://www.heise.de/ct/04/16/033/

Protect Privacy e.V. hat zur im Artikel geäußerten Kritik bereits Stellung genommen -- sehr lesenswert. Auszüge:

Ein großes Problem bei der Auseinandersetzung mit Trusted Computing ist, dass man oft genug gar nicht weiß, an wen man sich mit Fragen wenden soll. Wir sind davon ausgegangen, dass die Trusted Computing Group die repräsentative Instanz für Trusted Computing darstellt, da dort ein Großteil der Firmen vertreten ist, die diese Entwicklung vorantreiben. [...]
Abgesehen von den Sicherheitslösungen der TCG ist aber auch klar, dass beispielsweise Softwareproduzenten - und damit sind nicht nur die in der TCG vertretenen gemeint - daran gehindert werden müssen, die Sicherheitsfeatures des Chips zu ihren Gunsten zu missbrauchen.
http://www.protectprivacy.org/Article22.html

Weiterführende Links

• Ganz im Vertrauen, Trusted Computing: kostenlose Mitgliedschaften in Arbeit, c't 16/04, S. 33
• Stellungnahme des Protect Privacy e.V. (Homepage)
• Bewerbungsmöglichkeit bei der TCG als "Technical Liaison" für Universitäten, standardgebende Gremien u.ä.
• Trusted Computing Group stellt Advisory Council vor [Vorsicht, PDF!]
• Rob Enderle, der Linuxfresser ("SCO Should Win")
• David J. Farber, der EFF-Ritter (und Urheber zahlreicher Farberisms)

Ein wesentlicher Kritikpunkt der TC-Skeptiker besteht darin, dass man für eine Mitgliedschaft in der standardgebenden TCG mindestens 7000 US-Dollar im Jahr ausgeben muss. Mit dem Industry Liaison Program will die TCG diesem Argument die Spitze nehmen.

TCG continues to expand its membership with its new TCG Industry Liaison Program. This program will allow academic institutions, industry standards bodies, government agencies and special interest groups with a stake in computing security to participate in TCG Work Groups. Members in this program are anticipated to help TCG stay current with research, standards and concerns of other important institutions involved in security.
Membership in the TCG Industry Liaison Program gives participants full non-voting membership in Work Groups. There are no fees to participate on an annual basis as a TCG Industry Liaison.  Each participating organization or company is required to sign a Confidentiality and Intellectual Property agreement upon approval of their participation by the TCG Board of Directors.
https://www.trustedcomputinggroup.org/join/

Nochmal die Eckdaten:

• gedacht für akademische Institute, standardgebende Vereine, Behörden, Interessenvertreter aus dem Sicherheitsbereich
• kein Stimmrecht bei Abstimmungen
• Liaison-Mitglieder müssen Reise und Unterbringung selbst bezahlen
• Aufgabe: Weiterentwicklung des Standards und dessen Umsetzungen

Interessierte schreiben eine Mail an die TCG Administration (Adresse hier) und warten dann auf den Papierkram.

Meinereiner wird am Donnerstag, den 24.6.2004, auf dem LinuxTag 2004 in Karlsruhe einen Vortrag zum Thema... was sonst... Trusted Computing halten.

Trusted Computing 2004: Was vom Schlagwort übrig blieb
Paranoiker sehen hinter dem Schlagwort "Trusted Computing" eine Riesenverschwörung der Unterhaltungsindustrie, um digitale Inhalte an die Hardware-Kette zu legen. Die für den Standard zuständige TCG (Trusted Computing Group) hält beschwichtigend dagegen, es gehe um Sicherheit, nicht um Kontrolle. Derweil baut Microsoft sein ambitioniertes Palladium/NGSCB-Konzept klammheimlich von Grund auf um...
Der Vortrag ist eine Sequel zu "Trusted Computing, ein kurzer Spaziergang" vom LinuxTag 2003. Wie so viele Sequels: dasselbe nochmal, aber mit neuen Details angereichert (Fort- und Rückschritte der vergangenen 12 Monate).
Zielpublikum: jedermensch. Grundsätzliche Computer-Kenntnisse sind von Vorteil, Besuch der Veranstaltung vom Vorjahr ist keine Voraussetzung.
http://www.linuxtag.org/2004/talk.do?id=e188

Die Anwesenheit am Vortrag ist kostenlos, d.h. man muss sich nur anmelden (vor Ort oder im Internet vorregistrieren) und reinsetzen.

Weiterführende Links

• ghi's allgemeine Seiten zu Trusted Computing
• Der Vortrag vom LinuxTag 2003
• Nicht-Blog zu Trusted Computing (you are here...)
• LinuxTag 2004: Überblick der Konferenzen
• LinuxTag 2004: Das freie Vortragsprogramm
• LinuxTag 2004: Vortragsprogramm für den 24.6.2004

Der LinuxTag 2004 war ein voller Erfolg, sofern man den Veranstaltern glauben darf. Mein Vortrag... nun ja, nicht ohne Einschränkungen. Es fing damit an, dass ich als einstündige "Pause" angekündigt war.

Wie dem auch sei; die Präsentationsfolien finden sich, ebenso wie die des Vorjahrs, unter http://www.heise.de/ct/Redaktion/ghi/tc/linuxtag.html. Einige davon ergeben ohne die Anwesenheit des Vortragenden wenig Sinn. Fragen bitte an die übliche E-Mail-Adresse.

Weiterführende Links

• LinuxTag Vorträge
• LinuxTag 2004 Vortrag: Trusted Computing 2004, Was vom Schlagwort übrig blieb
• LinuxTag 2004 Vortrag: Erfahrungsbericht, so fühlt sich das Vortragen an. (zu sehen im Kontext zu den Berichten von den vorangegangenen Vorträgen auf dem LinuxTag 2003 und im DGB Bildungswerk Hattingen)

Wer gern in Kaffeesatz liest und PowerPoint-Dateien betrachten kann ohne Tufte zu beschwören, wird sich möglicherweise für die Präsentationen der drei Trustworthy-Computing-Sitzungen auf der WinHEC 2004 interessieren. Diese stehen jetzt online:

• NGSCB Update: "Update on security technology for Windows", von Peter Biddle
• Securing the User Input Path on NGSCB Systems: "How NGSCB provides new kinds of secure computing benefits, including the ability to protect user interaction with applications by securing user input from keyboards and mouse devices" von David Wooten
• TPM 1.2 Trusted Platform Module and its use in NGSCB: "Features introduced by the Trusted Platform Module (TPM) 1.2 specification and how they will be used by NGSCB" von Stephen Heil und Pavel Zeman

Download-Links für die drei PPT-Dateien finden sich auch auf der Präsentationsübersicht der WinHEC-Subsite. Der dritte Vortrag betrifft NGSCB nur peripher. Beim zweiten sind die Fragezeichen besonders interessant. Der erste enthält die meisten Informationen (sofern man sie zu interpretieren weiß). Mehr dazu demnächst.

Hilfreiche Links:

• kostenloser PowerPoint 97 Viewer für Windows 95/98/ME/2000/XP, deutsch
• kostenloser PowerPoint 2003 Viewer für Windows 98SE/ME/2000/XP, deutsch

"Microsoft Shelves NGSCB Project" meldet CRN -- und das genau einen Tag, nachdem Peter Biddle von Microsoft auf der WinHEC 2004 vorgestellt hat, wie es mit NGSCB weitergehen soll. Richtig ins Detail ging Biddle dabei zwar nicht -- er versicherte aber doch, dass NGSCB weiterhin zusammen mit Longhorn ausgeliefert werden soll.

Das hindert CRN aber nicht, zu berichten:

"On Tuesday, Microsoft executives confirmed that NGSCB will be canned. [... Product Manager Mario] Juarez said the project is being shelved because customers and ISV partners didn't want to rewrite their applications using the NGSCB API set."
http://www.crn.com/sections/BreakingNews/breakingnews.asp?ArticleID=49936

Die Frage ist also eher, was NGSCB ist -- ein Konzept oder eine konkrete Architektur. Wer auf der WinHEC genau hinhörte, bekam durchaus mit, dass sich die Entwicklung mittlerweile deutlich vom ursprünglichen Konzept weg entwickelt. Von einer Einstellung des Projekts kann allerdings keine Rede sein. Sagt zumindest Microsoft.

Ein paar Anmerkungen zur Tickermeldung "Bundesregierung veröffentlicht Positionspapier zu Trusted Computing" im heise-Ticker:

• Es handelt sich dabei nicht um das auf dem CCC-Server liegende Dokument. (PDF-Download)
• Kurioserweise tragen beide Dokumente dasselbe Datum.
• Beide Dokumente sind je neun Seiten lang.

Mein Jahresprojekt ist vollbracht. Schon seit Monaten arbeite ich daran, die Größen in der Debatte um TC zu interviewen. Jetzt stehen die Ergebnisse in der aktuellen c't (Ausgabe 1/2004, S. 76ff) und auf Heise Security.

Die TCG sieht in den Bedürfnissen der DRM-Industrie keinen primären Antrieb. [...]Insgesamt ist die Kontrolle durch den Besitzer ein grundsätzliches Prinzip der TCG. Die Spezifikation muss dem Besitzer Gewissheit darüber geben, dass er die endgültige Kontrolle über die Funktion des TCG-Subsystems hat. -- Jim Ward

In der Vergangenheit hat es sich für Microsoft nie wirtschaftlich gelohnt, sich Sorgen um Sicherheit zu machen. [...] Jetzt müssen sie eine gesicherte Version von Windows an hundert Millionen Leute verkaufen, sonst verdienen sie damit kein Geld. -- Ross Anderson

Viele Elemente der Debatte gründen auf einem schlechten Informationsstand. Die meisten Artikel und Meinungsäußerungen interpretieren finstre Dinge in unklare und oft veraltete Aussagen; ich wollte es besser machen. Weitere Motivation verschafften mir zahlreiche Leserzuschriften. Oft dachte ich mir "Da müsste man eigentlich mal die TCG/Microsoft direkt dazu fragen" -- gedacht, getan. Die fiesesten Fragen kamen also direkt aus dem Mail-Folder.

• Pro TC: Jim Ward steht der TCG vor und arbeitet ansonsten für IBM. Von wem sollte man direktere Informationen zum Stand der TCG bekommen als vom Chef persönlich? Im Telefon-Interview schwankten seine Aussagen gelegentlich zwischen TCG- und IBM-Statements hin und her; letztere fielen dann aus der Endversion des Interviews.
   
• Pro TC: Bei Microsoft wollte ich ursprünglich wieder John Manferdelli befragen (der für die Security Business Unit verantwortlich ist). Den hatte ich aber schon kurz nach der WinHEC interviewt, daher sprang Stephen Heil ein. Er sitzt für Microsoft in der TCG und kennt sich daher gut mit den Berührungspunkten von NGSCB und TCG aus.
   
• Kontra TC: Rüdiger Weis hatte sich im Juli sowohl beim Berliner Symposium zu Trusted Computing als auch beim Linuxtag 2003 in Karlsruhe als lautstarker Kritiker von Trusted Computing profiliert (nein, das ist nicht als Beleidigung gemeint). Das Gespräch mit ihm zog sich in die Länge und musste drastisch zusammengekürzt werden -- u.a. weil sowohl der Interviewer als auch der Interviewte öfter abschweiften und in Laberlaune gerieten. Im Rohtranskript des Interviews kommt das Wort "Lackmustest" ein halbes Dutzend Male vor.
   
• Kontra TC: Ross Anderson wettert schon seit anderthalb Jahre gegen Trusted Computing. Wenn man einige seiner Kritikpunkte gegenüber der TC-Phalanx vorträgt, wird man ganz seltsam angestarrt. Er sieht TC aus einer überwiegend defensiven Perspektive. Er mischt Informationen aus zahlreichen Informationsquellen zu einem explosiven Cocktail, den einige TC-Befürworter vor vorgehaltener Hand gern als Paranoia abtun (nein, damit ist keiner der Interview-Partner gemeint).

Jetzt steht es alles online: transkribiert, zusammenredigiert, auf Länge gebracht und gewissenhaft übersetzt.

• Einführung: Trusted Computing in der Diskussion
• Kleiner Überblick über Trusted Computing (ersetzt leider nicht die Lektüre der c't-Artikel)
• Interview mit Jim Ward, Vorsitzendem der Trusted Computing Group
• Interview mit Stephen Heil, Security Evangelist bei Microsoft (ergänzt das Manferdelli-Interview in c't 12/03, S. 196f)
• Interview mit Dr. nat. Rüdiger Weis, Kryptologe und TC-Kritiker beim Chaos Computer Club (CCC) [Homepage]
• Interview mit Prof. Ross Anderson, Mathematiker und TC-Kritiker [Homepage]

Die Print- und Online-Versionen der Interviews unterscheiden sich primär darin, dass die gedruckte Fassung aus Platzgründen stark gestrafft wurde. Die wesentlichen Argumente blieben dabei erhalten. Die Online-Fassungen enthalten zusätzliche Detailinformationen, mehr Beispiele und Rückfragen.

Damit PCs künftig schneller starten, soll das BIOS durch ein Extensible Firmware Interface (EFI) ersetzt werden, verkünden Intel und Microsoft laut News.com. Microsoft hatte dies bereits auf der WinHEC gepredigt und Intel arbeitet bereits heute bei seinem Itanium-Prozessoren mit EFI (vgl. Heise Newsticker).

The EFI specification is essentially a preboot environment that allows a PC to conduct activities such as scanning for viruses or running diagnostics. Intel has used EFI to create a preboot software framework that can supplant the BIOS. The framework [...]allows PC makers to write preboot software modules, which are similar to Windows drivers, designed to get a PC's hardware up and running before handing off control of it to the operating system.
http://news.com.com/2100-7337_3-5131787.html

Was hat das mit Trusted Computing zu tun? Nun, man könnte beispielsweise ein virtuelles SSC (Security Service Component, so hat Microsoft einst seinen Kryptoprozessor bezeichnet, der jetzt ein TPM werden soll) nutzen statt einem teuren Hardware-Chip. So könnte auch das CRTM (Core Root of Trust Measurement, siehe TC-Vortrag bzw. c't-Artikel) besser umgesetzt werden. Und so weiter.

Das IT Manager's Journal veröffentlicht einen Bericht über ein Gespräch mit John Manferdelli, der General Manager der Security Business Unit. Es geht um NGSCB. Der Autor des Artikels, Chris Preimesberger, wurde vor dem Gespräch von einem Open-Source-Verfechter scharf gemacht und dann von John Manferdelli fachgerecht entschärft.

The real issues, Sulzberger said, are:
- Will we keep our right of private ownership of computers?
- Will we keep our right of free use of our Net?
From the new information I gathered, the answer appears to be "yes" to both.
http://software.itmanagersjournal.com/software/03/12/01/0855209.shtml?tid=26&tid=44&tid=70

Highlights aus dem (englischsprachigen) Artikel:

1. Es war Manferdelli selbst, der auf das Akronym Next Generation Secure Computing Base gekommen ist, als Notnagel.
2. Der Artikel behält zwar die Perspektive bei, dass Trusted Computing im Interesse der Unterhaltungsindustrie sei, nicht der Anwender. Der Autor bekennt aber auch, dass NGSCB abschaltbar (bzw. anschaltbar) ist und somit unter der Kontrolle des PC-Besitzers bleibt.
3. Der Autor sorgt sich weiterhin darum, dass der Nexus Mode im Laufe der Windows-Versionen den Rest des Betriebssystems "auffrisst", dass also immer mehr im Nexus Mode läuft. [Anm.: Sehr unwahrscheinlich.]

Steven Levy, der vor einem Jahr mit seinem Artikel zum Thema Palladium (mittlerweile NGSCB) wesentlich zur Paranoia-Welle zum Thema Trusted/Trustworthy Computing beigetragen hat, veröffentlicht im Nachrichtenmagazin Newsweek einen ziemlich gruseligen Artikel zum Thema "Verlust der Privatsphäre", der nicht zuletzt durch Trusted Computing herbeigeführt werde.

"The social, economic and legal priorities are going to force the Internet toward security," says Stratton Sclavos, CEO of VeriSign, a company built to provide digital certificates (it also owns Network Solutions, the exclusive handler of the "dot-com" part of the Internet domain-name system). "It’s not going to be all right not to know who’s on the other end of the wire." Governments will be able to tax e-commerce—and dictators can keep track of who’s saying what.
http://msnbc.msn.com/id/3606168/

Er beruft sich dabei maßgeblich auf den Autodesk-Mitgründer John Walker, der Mitte September einen Essay zum Thema digitale Spuren und Verlust der Anonymität veröffentlichte:

Compounded geometric growth causes problems--the fact the Internet has not collapsed already is one of the most significant testaments to the wisdom and foresight of those who built it. [...] Whatever solutions are adopted [...], are likely to be with us for a long time. Whether they preserve the essential power of the Internet and its potential to empower the individual or put the Intenet genie back into the bottle at the behest of government and media power centres who perceive it as a threat will be decided over the next few years.
http://www.fourmilab.ch/documents/digital-imprimatur/

(Vorwarnung: MSNBC- und Newsweek-Artikel stehen nicht unbegrenzt online. Möglicherweise ist der Link zu Levys Artikel nicht von Dauer. Wenn der Link in die Leere führt, bitte Mail an ghi.)

Für US-amerikanische Computer-Unternehmen ist Trusted Computing kein "Soll", sondern ein "Muss". Ein Assistant Secretary des Department of Homeland Security ermahnte am 3. Dezember eine Versammlung von 300 Vertretern der Computer- und Sicherheitsindustrie, dass sie sich entweder selbst kurzfristig um eine Sicherung der EDV-Systeme kümmern müssen oder die Regierung die Sicherheit gesetzlich vorschreibt.

[The] Bush administration prefers a partnership with industry, which he argued is best suited to craft a national push to protect cyberspace.
But he told a gathering of more than 300 representatives of technology and security companies that there are "a lot of people out there willing to legislate how you do your work." [...] "We want to see results."
http://www.washingtonpost.com/wp-dyn/articles/A33245-2003Dec3.html

Wer es nicht kennt: Für US-Unternehmen gibt es nichts schlimmer als neue Gesetze, die ihre Geschäftspraktiken in irgend einer Weise regulieren. Gott™ behüte, dass die Regierung beispielsweise Sanktionen gegen Firmen mit schlechter Sicherheit durchdrückt. Noch schlimmer wäre es natürlich, wenn Hersteller von Sicherheitslösungen für deren Sicherheit garantieren müssten. Aber bevor sich hier irgend ein Schöngeist unmotivierten Illusionen hergibt: So etwas wird natürlich nie passieren. Garantiert nicht.

(P.S.: Gott™ ist ein eingetragenes Warenzeichen der derzeitigen US-Regierung.)

Die TCPA-Spezifikation, pardon, TCG-Spezifikation, pardon, TPM-Spezifikation 1.2 ist da. Eigentlich schon seit einer Woche, aber was soll's. Jedenfalls steht sie jetzt im Netz, zu drei Vierteln. Als PDF, was sonst (auch wenn auf die TCG-Webseite behauptet, dass das ZIP-Archive seien):

• Teil 1: Design Principles (im Text selbst "Design Philosophy" genannt)
• Teil 2: Structures of the TPM
• Teil 3: TPM Commands
• Teil 4: Compliance [ noch nicht veröffentlicht ]

Die Highlights finden sich in der wegweisenden Tickermeldung, "Veröffentlichung der neuen Spezifikation für Trusted Computing" vom 11.11.2003.

Aus meiner Sicht sind die leckersten Teile der Spec:

• 2.3 Data Integrity Register (DIR): Weil sich darin jetzt auch beliebige Schlüssel speichern lassen sollen -- wie z.B. ein symmetrischer Schlüssel, wie ihn Microsoft für NGSCB haben will.
• 31. Direct Anonymous Attestation: Weil sich damit Trust Center zumindest theoretisch erübrigen, was die EG dringend gefordert hat.
• 36. Revoke Trust: So stellt sich die TCG die Umsetzung der Forderung vor, dass der Anwender Kontrolle über alle Schlüssel haben müsse. Nicht ganz das, was der CCC gewollt hat.

Laut Aussagen der TCG-Spitze soll die Compliance "in den nächsten Wochen" erscheinen.

Wieder ein Artikel, der die TCG und Microsoft in einen Topf wirft, kräftig umrührt und das Ergebnis als kritischen Artikel serviert: "Ein Chip, sie alle zu knechten?" von Michael Voregger auf Spiegel Online. Da kommen dann solche Aussagen zur Akronymvielfalt des TC-Komplexes heraus:

Kritiker vermuten hinter der babylonischen Sprachverwirrung eine bewusste Taktik, die für Ablenkung von den wirklichen Interessen sorgen soll. Doch Schlagworte wie "Secure Computing", "Trusted Computing" und "Trustworthy Computing" buhlen bisher vergeblich um das Vertrauen der Anwender.
http://www.spiegel.de/netzwelt/technologie/0,1518,276226,00.html

Argh. Zitiert wird unter anderem Bernd Honnet von Protect Privacy mit der Behauptung, die TCG habe bisher noch keine klaren Ziele ihrer Initiative publiziert. Honnet sagt auch, dass der TCPA-Chip in den Prozessor eingebaut werden solle. Wohlgemerkt: Er formuliert das nicht als Vermutung, sondern als Tatsache.

Dann wird daraus doch noch ein Artikel: Ein Sprecher von Microsoft Österreich darf versichern, dass NGSCB bei Longhorn in ausgeschaltetem Zustand ausgeliefert wird. Und Ahmad-Reza Sadeghi findet TC grundsätzlich okay, sieht aber das Missbrauchsrisiko (vgl. c't 13/2003, S. 232 / Heise Kiosk). Fazit des Artikels:

Wer seinen Rechner in fremde Hände gibt, verrät sehr viel über seine Persönlichkeit, und kaum jemand möchte einem Wirtschaftsunternehmen wie Microsoft darüber etwas mitteilen. Bis der schlüssige Gegenbeweis erbracht ist stehen Palladium, NGSCB, TCPA und TCG noch für ein Sicherheitssystem, dass auf der Kontrolle der Anwender aufbaut und den Interessen der Industrie dient.

Leider geht aus dem Text nicht hervor, wie man den Rechner bei Trusted Computing "in fremde Hände gibt". Auch die Kontrolle der Anwender kann ich so nicht nachvollziehen.

Der Vollständigkeit halber: Die TCG ist um ein Mitglied reicher. SCM Microsystems stellt Smart Cards und Lesegeräte her. Eigentlich kein Wunder, dass der Hersteller jetzt ein Contributor der TCG ist. Und wenn wir schon beim Thema sind: Seagate und VeriSign wurden in das Board of Directors der TCG gewählt.

(Die Nachrichten sind nicht mehr ganz taufrisch... sorry.)

• SCM-Pressemitteilung: http://www.scmmicro.com/corporate/p_report.html?release=204&year=2003 (oder bei Yahoo News)
• Was macht SCM? Smart Cards, Zugangskontrolle für digitale Fernseher, Secure Online Banking...
  
• Die öffentliche Mitgliederliste der TCG.
• PDF-Pressemitteilung über die neuen Mitglieder des Board of Directors [PDF!!! Arrgh.].

In der Mitgliederliste der Trusted Computing Group (TCG) tut sich was: Nachdem im September Sun Microsystems als Promoter in die Führungsriege eingestiegen ist, hat sich Ende Oktober Sony Corporation in die Spitze der TCG eingekauft. Damit hat die TCG jetzt sieben Promoter: AMD, HP, IBM, Intel, Microsoft, Sony und Sun.

Die TCG kennt drei Mitgliedsklassen:

1. Promoters (führend, hohe Beiträge)
2. Contributors (Wahlvolk, mittelhohe Beiträge)
3. Adopters (stimmloses Volk, relativ niedrige Beiträge)

Zwei weitere Klassen ohne Mitgliedsbeitrag, "Zero-Fee Liason" und "Advisory", wurden zwar im Juli angekündigt, sind aber noch nicht umgesetzt.

Die derzeitige Mitgliederliste der TCG findet sich unter https://www.trustedcomputinggroup.org/about/members/ ...mit Links zu den jeweiligen Firmen.

Mehr zur Organisationsstruktur der TCG findet sich in meinen gefürchteten Vortragsfolien zu Trusted Computing.

Wer auf der PDC war und dort ein Exemplar der kommenden Visual-Studio-Version Whidbey abgestaubt hat, wird sich über die ersten konkreten Code-Beispiele für NCAs gefreut haben. Oder auch nicht. Jedenfalls gibt es jetzt endlich ein Whitepaper zur Erstellung von NCAs -- gesicherten Anwendungen für den Nexus Mode. Darin werden auch viele Prinzipien von NGSCB nochmals beschrieben:

The following are examples of applications that could use Nexus mode to better protect their data and processes:
Any application that must store and protect important or sensitive data written to disk such as financial or medical records.
Any application that must protect data in memory such as instant messaging.
Any application that must protect user input such as passwords or logon secrets.
Any application that must verify the legitimacy of other applications or other entities that it relies on. For example, an application on a remote server that must verify the legitimacy of a client application before it proceeds with an important transaction or an exchange of private data.
http://msdn.microsoft.com/library/en-us/dnsecure/html/nca_considerations.asp

Das nennt der Laie "Use Cases". Geschlurt übersetzt:

• Schutz von sicherheitsrelevanten Daten auf der Platte (Konto, Krankengeschichte)
• Schutz von sicherheitsrelevanten Daten im Arbeitsspeicher (Instant Messaging)
• Schutz von Kennwörtern
• Verifikation der Gültigkeit anderer Anwendungen oder Instanzen (Client Verification)

Das Ganze kann man sich entweder mit Microsofts augenschädigendem Winz-Style-Sheet durchlesen -- oder auch ohne.