Drei von fünf TPMs nur begrenzt vertrauenswürdig

Die Applied Data Security Group an der Uni Bochum beschäftigt sich schon länger mit TPMs und Trusted Computing im Allgemeinen. In der Vergangenheit haben gewisse Kreise den Mitarbeitern von Professor Ahmad-Reza Sadeghi sogar boshafterweise unterstellt, im gerechten Kampf gegen das böse, böse Trusted Computing auf der falschen Seite zu stehen.

Mit diesem Getuschel sollte es jetzt vorbei sein. In einem von Prof. Sadeghi zusammen mit seinen Assistenten Christian Stüble und Marcel Winandy sowie dem Entwickler Marcel Selhorst verfassten 32-seitigen Dokument kündigt das "Horst-Görtz-Institute for IT-Security" eine Test-Suite für TPMs an. Diese überprüft auf Basis von Linux und IBMs libtpm-Bibliothek am Markt erhältliche Trusted Platform Modules daraufhin, ob sie zum Standard konform sind.

Die Tests arbeiten sowohl auf Anwendungs- als auch auf Protokollebene und umspannen sowohl die Funktionalität der TPMs als auch deren Zuverlässigkeit. Drei der fünf getesteten Module von Atmel, Infineon, National Semiconductor und ST Microelectronics sind bei den Tests mehr oder weniger gravierend durchgefallen. Am bescheidensten schnitt das ST19WP18 von ST Microelectronics ab. Die Zusammenfassung ist da noch sehr diplomatisch:

We show that some TPM implementations do not meet the TCG specification and have bugs. Moreover, we discuss that non-compliance and inappropriate implementation may have crucial security impact, and point out the corresponding security problems in case of a widespread TPM chip.
neues Fensterhttp://www.prosec.rub.de/tpmcompliance.html

Auf der Websit der Applied Data Security Group steht sowohl neues Fenstereine Zusammenfassung bereit als auch der vollständige Bericht im PDF-Format (neues FensterDirekt-Link).

Die Suite ist noch nicht ganz fertig, aber hoffentlich bald. Mich würde persönlich brennend interessieren, wie die Chips von Broadcom abschneiden. Broadcom hat sein TPM nämlich in einen Ethernet-Chipsatz eingebettet (den Forderungen der Bundesregierung und der EU zum Trotz). Ob das gut gegangen ist?

Verfasst am 26.04.2006 um 17:39
Zuletzt geändert am 26.04.2006 um 21:15

Zurück zur Hauptseite

Inhalt & Design © 2011 by Gerald Himmelein / Heise Zeitschriften Verlag