Das Trusted Output Problem

Ein wesentlicher Bestandteil des ersten veröffentlichten Plans für Microsofts NGSCB ("Palladium") war Trusted Output, ein gesicherter Ausgabekanal. NGSCB-gesicherte Anwendungen sollten eine Möglichkeit erhalten, "Spoofing"-Angriffe zu verhindern. Unter Spoofing versteht man beispielsweise, dass ein Trojanisches Pferd ein Fenster in den Vordergrund schiebt, das sich als Passwort-Dialog einer anderen Anwendung ausgibt und so deren Passwort abfängt.

Leichter gesagt als getan. Es gab viele Vorschläge, wie man sicherstellen kann, dass sich kein "bösartiges" Fenster in den Vordergrund schiebt. Viele davon scheiterten an einem Problem, das Microsoft-Mitarbeiter Raymond Chen so schön beschreibt:

The question "What if two programs did this?" is also helpful in evaluating a feature or a design request. Combining this with "Imagine if this were possible" leads to an impressive one-two punch. Here are a few examples:

"How do I create a window that is never covered by any other windows, not even other topmost windows?"

Imagine if this were possible and imagine if two programs did this. Program A creates a window that is "super-topmost" and so does Program B. Now the user drags the two windows so that they overlap. What happens? You've created yourself a logical impossibility.
http://blogs.msdn.com/oldnewthing/archive/2005/06/07/426294.aspx

Könnte sich also ein Programm unbedingt in den Vordergrund schieben, könnte es möglicherweise auch ein zweites Programm mit dieser Eigenschaft geben. Im Fall von Trusted Output unter NGSCB wären das vielleicht zwei gesicherte Anwendungen, die beide denselben Anspruch erheben können.

Mittlerweile hat Microsoft offensichtlich weiter gedacht. In einer Heise-Online-Meldung stellt Dave Steeves das Konzept eines "Trusted Display" vor -- also kein gesicherter Ausgabekanal mehr für einen bestehenden Monitor, sondern ein separates, geschütztes Ausgabegerät! Cleverer Ansatz. Leider nicht ganz frei von neuen Problemen:

Steeves musste allerdings zugeben, dass selbst diese "Trusted Displays" anfällig für "Man-In-The-Middle-Attacks" seien, bei denen sich ein Angreifer gegenüber dem Sicherheitsgerät als lokaler Rechner und gegenüber diesem als ebendieses Gerät ausgibt, sich also in die Verbindung einklinkt und damit die Kontrolle übernimmt.
http://www.heise.de/newsticker/meldung/60599

So richtig fertig ist das Konzept also noch nicht. Aber es gärt also durchaus weiter in Redmond.

Mehr zum Thema NGSCB

• NGSCB: So schreibt man einen NCA.
• Spiegel Online über Trusted Computing
• Manferdelli spricht
• Microsoft ermahnt künftig zur Sicherheit
• Totgeglaubte Palladine leben länger
• WinHEC 2004 Präsentationen zum Download