Trusted Computing: Vertrauen für wen?

Informationen und Meinungen

(2 x 35 Minuten)

Gerald Himmelein

c't Magazin für Computertechnik

Position: bemüht neutral. Wiederkäuer.

http://www.heise.de/ct/Redaktion/ghi/tc/

In diesem Vortrag

Teil 1: Was und wieso

0 - Wieso T* Computing?

1 - Organisierte Sicherheit: TCPA & TCG

2 - Sicherheit à la Microsoft: Palladium/NGSCB

3 - Andere TC-Initiativen: Intels LaGrande

Teil 2: Einsatzbereiche und Kritik

0 - Digital Restrictions Management (DRM)

1 - Pro & Contra

2 - Kritiker: Ross Anderson, Lucky Green, CCC

3 - Das wahre Ziel von Trusted Computing

Die große Kontroverse

Befürchtungen & Kritikpunkte

Betriebe:

Wettbewerbsnachteile
Verlust an Interoperabilität

Entwickler:

begrenzter Zugriff auf Spezifikation
durch Patente gebremste Entwicklung

Anwender:

trügerische Sicherheit
Kontrollverlust
unumgehbares Digital Restrictions Management (DRM)

Wieso T* Computing

schon die Bezeichnung ist kontrovers

Trusted Computing

TCPA -- Trusted Computing Platform Alliance
TCG -- Trusted Computing Group

Trustworthy Computing

Microsoft Palladium bzw. Next Generation Secure Computing Base (NGSCB)

Treacherous Computing

treacherous: verräterisch, hinterhältig

Richard M. Stallmann

Was T* Computing können soll

Plattformübergreifender Standard

Mobile Devices: SmartPhones, PDAs
Multimedia-Maschinen: Set-Top-Boxen, digitale Videorecorder
PCs: Desktop-Rechner, Server

Aufdeckung von Manipulationen

Software-Angriffe (Trojaner, Viren)
Hardware-Modifikationen (Änderung der Systemkonfiguration)

Datenschutz in beide Richtungen

Anwenderdaten vor fremdem Zugriff schützen (vertrauliche Infos)
Daten Dritter vor unberechtigtem Zugriff schützen (digitale Inhalte)

Schutz vor Angriffen aus dem Internet (dazu später mehr)

TCPA

TCPA: Trusted Computing Platform Alliance

Gründung: Oktober 1999

basisdemokratisch: jedes Mitglied hat

eine Stimme
und Vetorecht

Entscheidungen kommen nur mit Zustimmung aller Mitglieder zustande

mittlerweile 200 Mitglieder

TCPA-Standard 1.1 von Juli 2001, 1.1b von Mai 2002

Die TCG

TCG: Trusted Computing Group, offizieller Nachfolger der TCPA

Unmittelbares Ziel: TCPA-Standard 1.2 entwickeln

derzeit 40 Mitglieder (Stand: 10/2003)

drei Mitgliedsklassen:

Promoters
Contributors
Adopters

Organisationsstrukturen:

Board Of Directors
Working Groups
Non-Voting Members

TCG: Mitglieder

Promoters

Prozessoren: AMD, Intel Corporation
Büro-PCs: Hewlett-Packard, IBM
Betriebssysteme: Microsoft, Sun (neu 9/2003)

Contributors

Mobile Devices: Agere, Nokia, Philips, Sony
Grafik-Chips: ATI Technologies, NVIDIA
TPM-Hersteller: Atmel, Infineon, National Semiconductor
Sichere Eingabegeräte: Comodo, Fujitsu, Gemplus, NTRU Cryptosystems, Rainbow Technologies, Shang Hai Wellhope Information, Standard Microsystems, STMicroelectronics, Utimaco Safeware AG, Wave Systems

>> weitere

TCG: Mitglieder

SmartCards & Sicherheits-Chips: Broadcom Corporation, Phoenix, SCM Microsystems, Silicon Storage Technology
Diverse: Legend Limited Group, Seagate Technology, Texas Instruments, VeriSign

Adopters

PC-Hersteller: Fujitsu Siemens Computers, Gateway, Toshiba Corporation
Diverse: Ali Corporation, M-Systems Flash Disk Pioneers, Silicon Integrated Systems, Softex

(Quelle: http://www.trustedcomputinggroup.org/about/members)

TCG: Zusätzliche Kategorien

seit Jahresmitte in Planung

Kategorien ohne Mitgliedsbeitrag

müssen NDA (Non Disclosure Agreement) unterzeichnen

Zero-Fee Liason

akademische Institute
Standardisierungskomittees
Regierungen
Interessengruppen

Board of Directors entscheidet über Zulassung

Mitgliedschaft in Ausschüssen, kein Stimmrecht (wie Adopters)

TCG: Zusätzliche Kategorien

Advisory

Einzelpersonen
Einladung durch Board of Directors
begrenzte Anzahl (5)

Berater für Board of Directors und Working Groups

Teilnahme an Treffen des Board Of Directors und Member Meetings

(Quelle: Dr. Michael Waidner, IBM / TCG)

Trusted Computing: Ziele

Situation (nach Ansicht der TCG)

Bedrohungen des Internet-Zeitalters

Diebstahl von Informationen und Identitäten
Online-Vandalismus
Erpressung
"Hacktivism"
Cyber-Terrorismus
Toolsets für Angriffe (Root Kits, Trojaner)

(Quelle: Bob Meinschein, Intel / TCG auf TCG-Symposium 7/2003)

"Spoofing" (Maskierung der Identität)
Fälschungen (z.B. Schummler bei Online-Spielen, Distributed Computing)

TCG: Ziele

Lösung der TCG

Hardware-Chip gegen "Bedrohungen" aus dem Internet

Schutz von Software vor Software

auf deutsch: Schutz des Anwenders vor sich selbst

"Sicherheit für einen Dollar"

Konkrete Ziele

Beglaubigung (Attestation) der Systemintegrität gegenüber Dritten
Sicherung von Daten gegen Angriffe
Sicherung von kryptographischen Schlüsseln gegen Angriffe
Bereitstellung kryptographischer Funktionen: Hash, Zufallsgenerator

TCG: Ziele

Einsatzbereiche

Firmen-PCs und -Notebooks (sichere Remote-Anmeldung, kein Spoofing)

mobile Geräte: Handhelds, Laptops, SmartPhones

Grenzen und Besonderheiten

kein Schutz vor Hardware-Angriffen

Bauweise wie SmartCard, aber andere Umsetzung

TCG: Funktionsweise

Zentrale Komponenten:

TPM: Trusted Platform Module
CRTM: Core Root of Trust Measurement
TSS: Trusted platform Support Service / Trusted Software Stack

Erzeugung einer "Vertrauenskette" (Chain Of Trust) durch Messung der Hardware

Zwei Formen des Boot-Vorgangs

Secure Boot (Start nur bei richtiger Konfiguration)
Authenticated Boot (Bericht über Boot-Vorgang)

Übergabe der Systemkonfiguration an das Betriebssystem

Details

TCG: Das TPM

Anbindung

Southbridge (LPC-Bus) (LPC: Low Pin Count)

BIOS-EEPROM ebenfalls an Southbridge

Anbieter von TPMs nach TCPA 1.1b

Atmel (AT97SC320)
Infineon (SLD 9630TT1.1)
National Semiconductor (IC PC21100)

(Quelle: c't FAQ, http://www.heise.de/ct/faq/hotline/03/08/03.shtml)

Anbieter von TCPA-PCs nach TCPA 1.1b

IBM (4 Millionen Netvistas und Thinkpads)
HP (neueste Office-Rechner-Generation)

TPM: Aufbau

Zufallsgenerator
Timer
nicht-flüchtiger Speicher (PCR: Platform Configuration Registers)
Prozessor und RAM (33 MHz)
Generator für asymmetrische Schlüssel
Funktionen für Signaturen & Verschlüsselung
- Hash-Berechnung
- HMAC: Hashed Message Authentication Code
- [AES: Advanced Encryption Standard (ab TCPA 1.2)]

TPM: Aktivierung

Auslieferung in ausgeschaltetem Zustand

Einschalten/Ausschalten nur lokal möglich

Physical Presence Indicator

temporäre Deaktivierung durch Anwender möglich

kann zurückgesetzt werden

Endorsement Key (EK) & Signaturen

zwei Endorsement Keys: ein privater und ein öffentlicher

TPM-Hersteller -> signiert EK

Plattform-Hersteller -> signiert Plattform (Rechner)

TCPA Conformity Certificate -> zertifiziert Plattform als standardkonform

Details

TPM: Schlüsseltransport

Migration

Übertragung auf andere TPMs

Schlüssel kopieren oder übertragen
mit Migration Authorization für anderen TPM
zu Sicherungszwecken in einen kennwortgeschützten Container

Maintenance

Schlüssel sichern und wiederherstellen (bewegen)

Schlüsselsicherung in Fall von Hardware-Defekt
kein Pflicht-Feature (Infineon bietet keine Maintenance)

TPM: Schlüsseltypen

Non-migratable
Migratable

Non-migratable Keys

keine Kopien möglich, keine Übertragung auf andere TPMs
Backup (Maintenance) möglich, sofern in TPM vorgesehen
Wiederherstellung auf anderem TPM nur mit Hilfe des Herstellers

Beispiele:

EK: Endorsement Key des TPM-Herstellers (in jedem TPM)
SRK: Storage Root Key (in jedem TPM)

TPM: Schlüsseltypen (2)

Migratable Keys

überall hin übertragbar
nur Schlüsselstamm muss migriert werden
- darauf aufbauende Schlüssel werden nur kopiert

Beispiele:

AIK: Attestation Identity Key
alle vom Anwender gespeicherten Schlüssel

TPM: Einsatz

TPM deaktiviert bei Auslieferung
Aktivierung des TPM, (evtl. Installation von Software)
TPM erzeugt AIK (AIK: Attestation Identity Key)
AIK dient zur Attestierung der Plattform gegenüber Dritten
EK kommt nicht zum Einsatz, ein oder mehrere AIK repräsentieren User

TPM: Attestation

"Beglaubigung" der Plattform gegenüber Dritten

Attestation in fünf Schritten

AIK-Anfrage besteht aus
- AIK Public Key (im TPM generiert)
- Endorsement Credential, Platform Credential, Conformance Credential
AIK-Anfrage senden an
- TP: Third Party (Trusted Party) oder
- Privacy CA
Verifikation der Credentials durch TP (gestohlen?)
TP signiert AIK und schickt ihn an Plattform zurück
Speichern des signierten AIK im TPM

TPM: Attestation (2)

Vorsicht, Missverständnisse!

kein Einsatz des Private EK (Endorsement Key)!

Trusted Party ist nicht die TCG!

AIK nicht zur personenbezogenen Identifikation

mehrere AIKs pro Plattform möglich
mehrere AIKs pro User möglich

mögliche Einsatzzwecke

Server-Authentifizierung (statt VPN)
plattformgebundene digitale Inhalte (DRM)

TPM: Attestation im Einsatz

Plattform fordert Dienst bei Anbieter an [z.B. neue Metallica-Single]
Anbieter verlangt Attestation [Bestätigung der Glaubwürdigkeit]
Plattform signiert Systemkonfiguration (PCR) mit AIK
Anbieter erhält Attestation [mit AIK signiertes PCR]
Anbieter überprüft AIK über Third Party (TP)
- TP führt schwarze Liste mit ungültigen AIKs / Public EKs
- TP führt Liste mit zertifizierten AIKs [TP gibt o.k. an Anbieter]
Anbieter überprüft Systemkonfiguration der Plattform [anhand der PCR]
Plattform erhält Zugang zum Dienst [Lizenzierung / Download von Metallica-Single]

PCR: Platform Configuration Register

TCG: Aufgaben des TPM

1. Versiegelung von Dateien (Sealing)

Bindung von Daten an die aktuelle Systemkonfiguration

Signierung der Daten beim Speichern mit einem Konfigurations-Hash
Zugriff auf Daten nur bei unverändertem Hash möglich

2. Schutz von Schlüsseln

TPM-gebundene Schlüssel (s.o.)

migrierbare Schlüssel

Signaturschlüssel (private Schlüssel)
Identitätsschlüssel (AIK)
bindende Schlüssel (Binding Keys) für Verschlüsselung

TCG: Aufgaben des TPM

3. Authentifizierung des Systems (Attestation)

Authentifizierung gegenüber Dritten per

AIK: Attestation Identity Key & Plattform-Signatur
Validierung der Plattform gegenüber Dritten

Einsatzzweck: z.B. Authentifizierung gegenüber

SmartCard
Server
Anbieter digitaler Inhalte

4. Zufallsgenerator

Garantie sicherer Zufallszahlen durch Hardware

essentiell zur Generierung sicherer Schlüssel

TCG: populäre Missverständnisse

ist keine SmartCard

Chip-Aufbau ähnlich bzw. teilweise identisch
aber: andere Anbindung an System, andere Aufgabe/Funktion

keine Zertifizierung von Software oder Betriebssytemen

siehe NGSCB

bestimmt nicht, ob das TPM aktiv ist oder nicht

TPM wird immer deaktiviert ausgeliefert
Besitzer ("Platform Owner") bestimmt über Aktivierung des TPM
Benutzer ("User") kann TPM vorübergehend deaktivieren
in Firmenumgebungen ist der Sysadmin der Besitzer, der Angestellte der Benutzer

TCG: populäre Missverständnisse

zertifiziert keine Schlüssel

TPM-Hersteller zertifiziert / signiert TPM
Plattform-Hersteller zertifiziert / signiert Plattform mit TPM

verwaltet keine Datenbanken

keine zentrale Datenbank mit EK-Backups
keine zentrale Anlaufstelle für AIKs

enthält keinen sicheren Timer

nur einen Zähler

TCG: Zusammenfassung

Vier Aufgaben

Daten versiegeln
Schlüssel sicher speichern
Plattform gegenüber Dritten beglaubigen
sichere Zufallszahlen generieren

Komponenten

Hardware: TPM, TCPA-BIOS

Software: CRTM (Core Root Of Trust Measurement), TSS (Trusted platform Support Service)

bietet Authentifizierung und Beglaubigung der Plattform, nicht des Anwenders

NGSCB (Palladium)

NGSCB: Next Generation Secure Computing Base

"It's a funny thing, [...] We came at this thinking about music, but then we realized that e-mail and documents were far more interesting domains."
Bill Gates, zitiert nach Steven Levy

(Quelle: http://cryptome.org/palladium-sl.htm)

Allgemeines

baut auf TCPA auf (TCPA 1.2)

paralleles gesichertes System zur Windows-Umgebung

Kern heißt "Nexus", übernimmt viele TPM-Funktionen in Software

Einführung mit nächster Windows-Version (Longhorn)

NGSCB: Mitglieder

Mitgliederliste

Microsoft.

Hardware-Entwürfe zusammen mit

Hewlett-Packard (Athens)
AMD und Intel (Trusted Mode für CPU)
Atmel, Fujitsu/Comodo, SafeNet (Trusted Path für Eingabegeräte)
NVidia (verspricht kompatible Grafikkarten zum Launch von Longhorn)

NGSCB: Ziele

Angriffsziele (Threat Model)

Schutz vor Software-Angriffen

Schutz für Anwendungen

Schutz für Daten

Schutz von Datenein- und -ausgabe (Secure Input/Secure Output)

Maximale Abwärtskompatibilität

Erhaltung der Abwärtskompatibilität zu allen bisherigen Windows-Anwendungen

"Schutz der Software-Investitionen der Anwender"

Einschränkungen

Anwendungen, die ihren Speicher an einen neuen Ort kopieren
Anwendungen, die den Prozessor in Real Mode versetzen

NGSCB: Ziele

Vier Aufgaben

starker Speicherschutz (Process Isolation)
Beglaubigung (Attestation) *
versiegelter Speicher (Sealed Storage) *
gesicherter Pfad zum Anwender (Trusted Path)

* kommt das bekannt vor?

NGSCB: Funktionsweise

Erweiterung der Windows-Architektur

erster Codename war "Vaulted Computing"

Standardmodus wie Windows heute

Erhaltung der Windows-Architektur
Erhaltung des Treibermodells (fast!)

gesicherter Bereich (Trusted Mode)

läuft parallel zum normalen Windows-System
Kern (Nexus) läuft privilegiert ("Ring -1")
reservierter Bereich für sichere Anwendungen

sichere Anwendungen laufen in Ring 3 (NCAs)

kein direkter Zugriff auf Hardware (Abstraction Layer)

NGSCB: Aufbau

Logischer Aufbau eines PC

HAL: Hardware Abstraction Layer; CPU: Prozessor, USB: Universal Serial Bus

NGSCB: Aufbau

Vorbereitungen für NGSCB

S. Input: Secure Input; S. Video: Secure Video

NGSCB: Aufbau

Zweiteilung des PC

TCP: Trusted Service Provider

NGSCB: Aufbau

Hardware-Basis

gesicherte Komponenten

TPM (SSC: Security Service Component)
sichere Eingabe (Secure Input)
sichere Ausgabe (Secure Video)
gesicherter Prozessor (CPU)
gesicherter Chipsatz

NGSCB: Aufbau

Kernelebene

Standardmodus ("Left Hand Side")

HAL (Hardware Abstraction Layer)
USB (Revision 2.3, in Entwicklung,)
Treiber
Betriebssystem (Dienste usw.)

gesicherte Komponente

Nexus Manager (NexusMgr.Sys)

Nexus Mode ("Right Hand Side")

NAL (Nexus Abstraction Layer)
Nexus

NGSCB: Aufbau

Anwendungsebene

Standardmodus ("Left Hand Side")

normale Windows-Anwendungen
Schattenprozesse der NCAs

Nexus Mode ("Right Hand Side")

NCA Laufzeitbibliothek (Nexus Computing Agent Runtime Library)

TSP (Trusted Service Provider)
- TUE (Trusted User Engine)
  - Nexus Computing Agents (NCAs)

Details

NGSCB: Der Nexus

"bootet" unabhängig vom System (eigentlich "Load", nicht Boot)
separates Herunterfahren möglich (leert Speicher)

Laden von alternativen Nexuses möglich

immer nur ein Nexus aktiv

Sicherheitsrichtlinien (Policies)

Policies (XrML) separat vom Nexus

grafischer Policy Editor inklusive

NGSCB: Hardware

Grundlage: Sicherheits-Chip

Secure Service Component (SSC) auf Mainboard
kann ein TPM nach TCPA/TCG 1.2 sein

benötigte Neuerungen

Tastaturen mit Verschlüsselung oder geschütztem Kanal
USB-Hubs mit Verschlüsselung oder geschütztem Kanal
- Änderungen an USB-Stack (USB 2.3)
Grafikkarten mit Verschlüsselung oder Speicherschutz
- Änderungen an Grafikkartentreiber

NGSCB: Hardware

Ersatz externer Komponenten nötig

veraltete Peripherie muss weg:

Monitore mit RGB-Anschluss
DIN-Tastaturstecker, PS/2-Geräte
seriell angeschlossene Geräte, Drucker oder Laufwerke am Parallel-Port

NGSCB: ungelöste Probleme

offene Fragen

Fernwartung?

kein Trusted Path möglich

Behindertengerechte Nutzung?

Trusted Audio Channel
Spoofing

Schutz vor Löschung verschlüsselter Daten?

Trusted Mode hat keinen direkten Hardware-Zugriff

Auslagerung geschützten Speichers?

Sicherung von Memory Paging
Unterstützung von Stromsparmodi

NGSCB: ungelöste Probleme

kein Schutz vor Denial-Of-Service-Angriffen gegen den Nexus-Modus

Zertifizierungsstelle für Anwendungen und Policies

Einsatz ohne Trust Center nur in Unternehmen möglich
Microsoft selbst zertifiziert nicht (wäre kartellrechtlich bedenklich)

nicht in Version 1.0

keine DLLs (Dynamic Link Libraries)

NGSCB: PR und Realität

Sicherung des PCs für neue Einsatzzwecke

"In the face of rapidly maturing business market, Microsoft needs to find a way to persuade consumers to upgrade their PCs. The answer: films, music, and other digital media flowing from one Microsoft device to another."
Jeffrey O'Brien in Wired 07/2003

zentrale Position in mehreren Märkten angestrebt

PC-Plattform
PC-Sicherheitsmarkt
mobile Geräte (SmartPhones, Handys, Notebooks)
Home Entertainment / eHome

NGSCB: PR und Realität

SSC ist kein TPM

missverständliche Aussagen von MS

"Fähigkeiten von TCPA 1.1b reichen für NGSCB nicht aus"
TCPA/TCG Spezifikation 1.2 wird benötigte Funktionen bieten
- [Zero Proof Attestation]
- u.a. Speicherung von AES-Schlüsseln für PC-interne Verschlüsselung

NGSCB wird Raubkopien blockieren

"gestohlene Dinge bleiben gestohlen"

aktuelle Software soll weiterlaufen wie bisher (Grundlage des ganzen Konzepts)

NGSCB kann nicht erkennen, ob Dateien ohne Rechteverwaltung legal oder illegal sind

NGSCB: Zusammenfassung

Bereitgestellte Dienste

starke Isolierung von Prozessen (Strong Process Isolation)
Daten versiegeln (Sealed Storage)
sicherer Pfad von und zu Anwender (Secure Path)
Plattform gegenüber Dritten beglaubigen (Attestation)

Relevanz von NGSCB für andere Betriebssysteme

z.B. Linux oder ein spezielles TCPA-Betriebssystem

so kann ein gesichertes Subsystem aussehen
Möglichkeit, von Microsofts Ansatz zu lernen (Ideen, Fehler)

LaGrande: Jenseits der TCPA-Spec

Intel-Entwicklung

benannt nach kleinem Ort in Oregon (Ortsnamen sind kein Trademark-Risiko)

Hardware-Erweiterungen, um einen sicheren Pfad (Trusted Path) im PC herzustellen

für: CPU, Chipsatz und Plattform

Einführungszeitraum: "next 2-3 years"

(Quelle: Bob Meinschein, Intel; Präsentation auf TCG-Symposium 7/2003)

LaGrande: Ziele

geschützte Ausführung von Code *
Speicherschutz *
Schutz des Grafikkartenspeichers *
geschützte Anbindung von: *

TPM
Eingabegeräte

* kommt das bekannt vor?

LaGrande: Funktionsweise

Prozessor (CPU)

offene und geschützte Bereiche
Protected Memory Policy

Speicher (RAM)

Zugangsschranken zu geschütztem Speicher ("Access Policy")

Details

LaGrande: Zusammenfassung

Umsetzung der für NGSCB benötigten Hardware-Komponenten

plattformagnostisch (auch für andere OS nutzbar)

AMD arbeitet an ähnlichem Konzept

Secure Execution Mode (SEM)
im Wesentlichen ein Prozessor-Flag
konkreter an NGSCB ausgerichtet

NVidia arbeitet an ähnlichem Konzept

stark an NGSCB ausgerichtet

Trusted Computing

Digital Restrictions Management (DRM)

"Yes, it will protect movies. Whoopee!"
Bryan Willmann, Microsoft (NGSCB Software Architect)

DRM: Digital "Rights" Management

Rechteverwaltung in Software, verstärkt mit Hardware-Anker
Verbund von Legislative und Exekutive

DRM-Funktionen nie offiziell dementiert

aber klare Aussagen

TCPA wurde nicht für DRM-Zwecke gegründet
NGSCB wurde nicht für DRM-Zwecke erdacht

TCPA kann einen Anker für DRM-Funktionen legen

EK, non-migratable keys

Electronic Frontier Foundation (EFF): Pro

Ist-Zustand

Interoperabilität und Wettbewerb

freie Auswahl von Software und Betriebssystem

Kontrolle über Rechner erschwert Fernsteuerung und "Einsperrung" (Lock-in)

Vorteile von TC

Dritte können Kompromittierung des Systems erkennen und darauf reagieren

Verhinderung von Schummeln in Netzwerkspielen, Absicherung von verteilten Anwendungen (z.B. SETI@Home)

Durchsetzung von Unternehmensrichtlinien gegenüber Mitgliedern/Angestellten

"Bevormundende" Sicherheitsrichtlinen schützen Anwender vor eigenen Fehlern

Electronic Frontier Foundation (EFF): Kontra

Ist-Zustand

Dritte können Manipulationen an der Rechnerkonfiguration nicht erkennen

kein Behelf gegen Schummler in Netzwerkspielen / verteilten Rechenprojekten

keine Durchsetzung von "bevormundenden" Sicherheitsrichtlinien zum Anwenderschutz

Nachteile von TC

Dritte können Richtlinien gegen den Computer-Besitzer faktisch durchsetzen

Digital Restrictions Management (DRM) / Zwangs-Aktivierung
Festlegung ein Betriebssystem / Anwendung / Zwangs-Bundling
Beschränkung der Umstellungsmöglichkeiten, Erzwingen von Up- und Downgrades
Spyware / Verhinderung von Reverse Engineering

Electronic Frontier Foundation (EFF): Lösung

TC + Owner Override (to override = "aushebeln")

Pro

Dritte können weiterhin kompromittierte Systeme erkennen

Erweiterte Durchsetzung von Unternehmensrichtlinien auf Firmenrechnern

Computerbesitzer behält Kontrolle über lokale Software

Erhaltung von Wettbewerb, Interoperabilität, Kontrolle und freie Auswahl des Anwenders

Kontra

weiterhin kein Behelf gegen Schummler in Netzwerkspielen / verteilten Rechenprojekten

erschwerte Durchsetzung von "bevormundenden" Sicherheitsrichtlinien

keine positiven Nebenwirkungen von DRM-Richtlinien (Schutz eigener Daten)

Kritiker: Ross Anderson

Zusammenfassung von TCG und NGSCB zu "Trusted Computing"

TCG stellt Risiken übertrieben dar

Bedrohungen aus dem Internet insgesamt insignifikant
TCG kann nicht vor Viren oder Trojanern schützen

Internationale Probleme

Aushebelung von Legislative durch Hardware
Einfluss durch Fremdregierungen

Einsatzbereiche

sinnvolle Anwendungen von TC nur für Nischenmärkte
im Massenmarkt ist DRM primärer Einsatzzweck (obvious application)

Kritiker: Ross Anderson

für Unternehmenskunden uninteressant

TCG setzt veraltetes Sicherheitsmodell um
unidirektionaler Informationsfluss hat sich nicht ausgezahlt

Vertrauenswürdig für Dritte

Wer kontrolliert einen "Trustworthy PC"?

vertrauenswürdige Plattform für Drittanbieter
unklar: Vertrauenswürdigkeit der Plattform für Besitzer/Anwender

Abschiebung der Zertifizierung auf Dritte

Umgehung kartellrechtlicher Probleme

Anbieter von digitalen Inhalten entscheiden über Vertrauenswürdigkeit

Kontrolle entsteht aus der Software

Kritiker: Ross Anderson

Einschränkung des Wettbewerbs

"Complex pricing and aftermarket control may now become even easier for vendors to implement, thanks to the introduction of 'Trusted Computing'."
Ross Anderson, Trusted Computing and Competition Policy

Trusted Computing (TC) fördert "Lock-in"

Bindung von Inhalten an Plattform
Abhängigkeit der Anwendern von Plattform
- höhere Umstiegskosten (Switching Costs)
- Zwang zur Migration auf TC

Verknüpfung von TC mit DRM

bereits im Gange (Windows RMS: Rights Management Services)

Kritiker: Chaos Computer Club

Katalog mit vier Forderungen für TCG

überreicht auf CeBIT 2003 an IBM, Konter von TCG/IBM formell überreicht am 2.7.2003

1. vollständige Kontrolle des Anwenders über alle Schlüssel

Zugriffsmöglichkeit auf alle Schlüssel im TPM, inkl. EK und SRK

"Der Anwender soll selber entscheiden können, wessen Schlüssel auf seinem Rechner für welchen Zweck benutzt wird."

2. keine verborgenen Kanäle zur Schlüsselübertragung

Schutz vor Covert Channels (Informationslecks)

Problem: nicht auf den ersten Blick als Kommunikationskanäle erkenntlich

Kritiker: Chaos Computer Club

3. Schlüsselübertragung auf andere Rechner ermöglichen

Schlüssel müssen stets übertragbar bleiben

keine Non-Migratable Keys

keine neue Freischaltung von Software bei Rechner-Umzug

4. transparente Zertifizierungsmechanismen

"Ein grundlegender Mechanismus bei TCPA beruht auf Zertifikaten."

Bekanntgabe der Bedingungen zur Zertifikatausstellung

Missbrauchspotential durch unfaire Preispolitik oder Verweigerung

(Quelle: http://www.ccc.de/digital-rights/forderungen)

Anregungen zur Diskussion

akute Bedrohung für jeden Anwender?
Chance zur Verbesserung der PC-Sicherheit?
Vielleicht wollen manche Anwender ja TCPA?

Warnung vor Paranoia

Es passiert nie alles, was möglich wäre (Worst-Case-Szenarien)

Kritik und Diskussion hängt bisweilen an Unterstellungen und Hypothesen fest

TCPA <> Palladium

TCG und Microsoft argumentieren mit diffuser Bedrohung, Kritik muss daher differenzierter sein

"IBM is committed to enabling Linux as an operating system that exploits trusted platforms."

(Quelle: IBM-Präsentation vom TCG Symposium, Berlin)

Das wahre Ziel von TC

GELD VERDIENEN!

den PC neuen Einsatzzwecken öffnen
Hardware-Generationswechsel forcieren (Risiko/Chance)

TCG benötigt neue Hardware

Mainboard mit TPM, TCPA-BIOS

LaGrande benötigt neue Hardware

Mainboard mit Intel-Chipsatz und Prescott-CPU

TPM, Prozessor, Northbridge, Southbridge, [Authentifizierung]

NGSCB benötigt neue Hardware

TPM, Prozessor, Grafikkarte, Northbridge, Southbridge

vertrauenswürdige Eingabegeräte, USB-Hub, [Authentifizierung]

Ende des Vortrags

Sie haben überlebt: