T* Computing, die Kontroverse

 

Vorstellung der Sicherheitskonzepte

1 - TCPA / TCG

2- Palladium / NGSCB (Microsoft)

3- LaGrande (Intel)

 

Digital Rights Management

Kritiker: Ross Anderson, CCC

 

Das wahre Ziel von Trusted Computing

schon die Bezeichnung ist kontrovers

Trusted Computing

• TCPA -- Trusted Computing Platform Alliance
• TCG -- Trusted Computing Group

Trustworthy Computing

• Microsoft Palladium bzw. Next Generation Secure Computing Base (NGSCB)

Treacherous Computing

treacherous: verräterisch, hinterhältig

• Richard M. Stallmann

TCPA: Trusted Computing Platform Alliance

Gründung: Oktober 1999

basisdemokratisch: jedes Mitglied hat

• eine Stimme
• und Vetorecht

mittlerweile 200 Mitglieder

Entscheidungen kommen nur mit Zustimmung aller Mitglieder zustande

TCPA-Standard 1.1 von Juli 2001, 1.1b von Mai 2002

TCG: Trusted Computing Group, offizieller Nachfolger der TCPA

Unmittelbares Ziel: TCPA-Standard 1.2 entwickeln

derzeit 31 Mitglieder

drei Mitgliedsklassen:

1. Promoters
2. Contributors
3. Adopters

Organisationsstrukturen:

• Board Of Directors
• Working Groups
• Non-Voting Members

Promoters

• Prozessoren: AMD, Intel Corporation
• Büro-PCs: Hewlett-Packard, IBM
• Betriebssysteme: Microsoft

Contributors

• Mobile Devices: Nokia, Philips, Sony
• Grafik-Chips: ATI Technologies Inc., NVIDIA
• TPM-Hersteller: Atmel, Infineon, National Semiconductor
• Sichere Eingabegeräte: Comodo, Fujitsu Ltd., Gemplus, NTRU Cryptosystems, Rainbow Technologies, Shang Hai Wellhope Information, Standard Microsystems, STMicroelectronics, Utimaco Safeware AG, Wave Systems
• Diverse: Broadcom Corporation, Phoenix, Seagate Technology, VeriSign

Adopters

• Diverse: Ali Corporation, Fujitsu Siemens Computers, M-Systems Flash Disk Pioneers, Silicon Integrated Systems Corp.

(Quelle: http://www.trustedcomputinggroup.org/about/members)

geplant, Umsetzung wahrscheinlich bei nächstem TCG-Meeting

Kategorien ohne Mitgliedsbeitrag

müssen NDA (Non Disclosure Agreement) unterzeichnen

Zero-Fee Liason

• akademische Institute
• Standardisierungskomittees
• Regierungen
• Interessengruppen

Board of Directors entscheidet über Zulassung

Mitgliedschaft in Ausschüssen, kein Stimmrecht (wie Adopters)

Advisory

• Einzelpersonen
• Einladung durch Board of Directors
• begrenzte Anzahl (5)

Berater für Board of Directors und Working Groups

Teilnahme an Treffen des Board Of Directors und Member Meetings

(Quelle: Dr. Michael Waidner, IBM / TCG)

Situation (nach Ansicht der TCG)

Bedrohungen des Internet-Zeitalters

• Diebstahl von Informationen und Identitäten
• Online-Vandalismus
• Erpressung (AYBABTU)
• "Hacktivism"
• Cyber-Terrorismus
• Toolsets für Angriffe (Root Kits, Trojaner)

(Quelle: Bob Meinschein, Intel / TCG auf TCG-Symposium 7/2003)

Lösung der TCG

Hardware-Chip gegen "Bedrohungen" aus dem Internet

Schutz von Software vor Software

auf deutsch: Schutz des Anwenders vor sich selbst

Konkrete Ziele

1. Beglaubigung (Attestation) der Systemintegrität gegenüber Dritten
2. Sicherung von Daten gegen Angriffe
3. Sicherung von kryptographischen Schlüsseln gegen Angriffe
4. Bereitstellung kryptographischer Funktionen: Hash, Zufallsgenerator

Einsatzbereiche

Firmen-PCs und -Notebooks (sichere Remote-Anmeldung, kein Spoofing)

mobile Geräte: Handhelds, Laptops, SmartPhones

Grenzen und Besonderheiten

kein Schutz vor Hardware-Angriffen

Bauweise wie SmartCard, aber andere Umsetzung

Trusted Platform Module

Trusted platform Support Service: TSS

Messung der Hardware (Chain Of Trust)

1. Boot: BIOS lädt CRTM (Core Root Of Trust Measurement)
2. CRTM kontaktiert TPM
   TPM aus: Fehlermeldung, Boot-Fortsetzung
3. TPM an: Analyse der berücksichtigten Komponenten
4. Berechnung der Rechner-Konfiguration (Platform Configuration)
5. Sicherung eines Hash-Werts (SHA-1) der Konfiguration im TPM

Anbindung

Southbridge (LPC-Bus) (LPC: Low Pin Count)

BIOS-EEPROM ebenfalls an Southbridge

Anbieter von TPMs nach TCPA 1.1b

• Atmel (AT97SC320)
• Infineon (SLD 9630TT1.1)
• National Semiconductor (IC PC21100)

(Quelle: c't FAQ, http://www.heise.de/ct/faq/hotline/03/08/03.shtml)

Anbieter von TCPA-PCs nach TCPA 1.1b

• IBM (4 Millionen Netvistas und Thinkpads)
• HP (neueste Office-Rechner-Generation)

• Zufallsgenerator
• Timer
• nicht-flüchtiger Speicher (PCR: Platform Configuration Registers)
• Prozessor und RAM (33 MHz)
• Generator für asymmetrische Schlüssel
• Funktionen für Signaturen & Verschlüsselung
  • Hash-Berechnung
  • HMAC: Hashed Message Authentication Code
  • [AES: Advanced Encryption Standard (ab TCPA 1.2)]

Auslieferung in ausgeschaltetem Zustand

Einschalten/Ausschalten nur lokal möglich

• Physical Presence Indicator

temporäre Deaktivierung durch Anwender möglich

kann zurückgesetzt werden

1. Herstellung des TPM
2. Generierung des EK Pair (RSA Endorsement Key, 2048 Bit Länge, RSA)
3. TPM-Hersteller signiert EK mit Zertifikat (Endorsement Certificate)
4. Einbau des TPM in Plattform
5. Plattform-Hersteller signiert Plattform mit Zertifikat (Platform Certificate)

zusätzlich im TPM: Conformity Certificate (PC entspricht TCPA-Spezifikation)

Migration

Übertragung auf andere TPMs

• Schlüssel kopieren oder übertragen
• mit Migration Authorization für anderen TPM
• zu Sicherungszwecken in einen kennwortgeschützten Container

Maintenance

Schlüssel sichern und wiederherstellen (bewegen)

• Schlüsselsicherung in Fall von Hardware-Defekt
• kein Pflicht-Feature (Infineon bietet keine Maintenance)

1. Non-migratable
2. Migratable

Non-migratable Keys

• keine Kopien möglich, keine Übertragung auf andere TPMs
• Backup (Maintenance) möglich, sofern in TPM vorgesehen
• Wiederherstellung auf anderem TPM nur mit Hilfe des Herstellers

Beispiele:

• EK: Endorsement Key des TPM-Herstellers (in jedem TPM)
• SRK: Storage Root Key (in jedem TPM)

Migratable Keys

• überall hin übertragbar
• nur Schlüsselstamm muss migriert werden
  • darauf aufbauende Schlüssel werden nur kopiert

Beispiele:

• AIK: Attestation Identity Key
• alle vom Anwender gespeicherten Schlüssel

1. TPM deaktiviert bei Auslieferung
2. Aktivierung des TPM, (evtl. Installation von Software)
3. TPM erzeugt AIK (Attestation Identity Key)
4. AIK dient zur Attestierung der Plattform gegenüber Dritten
5. EK kommt nicht zum Einsatz, ein oder mehrere AIK repräsentieren User

"Beglaubigung" der Plattform gegenüber Dritten

Attestation in fünf Schritten

1. AIK Anfrage besteht aus
   • AIK Public Key (im TPM generiert)
   • Endorsement Credential, Platform Credential, Conformance Credential
2. AIK Anfrage senden an
   • TP: Third Party (Trusted Party) oder
   • Privacy CA
3. Verifikation der Credentials durch TP (gestohlen?)
4. TP signiert AIK und schickt ihn an Plattform zurück
5. Speichern des signierten AIK im TPM

Vorsicht, Missverständnisse!

kein Einsatz des Private EK (Endorsement Key)!

Trusted Party ist nicht die TCG!

AIK nicht zur personenbezogenen Identifikation

• mehrere AIKs pro Plattform möglich
• mehrere AIKs pro User möglich

mögliche Einsatzzwecke

• Server-Authentifizierung (statt VPN)
• plattformgebundene digitale Inhalte (DRM)

1. Plattform fordert Dienst bei Anbieter an [z.B. neue Metallica-Single]
2. Anbieter verlangt Attestation [Bestätigung der Glaubwürdigkeit]
3. Plattform signiert Systemkonfiguration (PCR) mit AIK
4. Anbieter erhält Attestation [mit AIK signiertes PCR]
5. Anbieter überprüft AIK über Third Party (TP)
   • TP führt schwarze Liste mit ungültigen AIKs / Public EKs
   • TP führt Liste mit zertifizierten AIKs [TP gibt o.k. an Anbieter]
6. Anbieter überprüft Systemkonfiguration der Plattform [anhand der PCR]
7. Plattform erhält Zugang zum Dienst [Lizenzierung / Download von Metallica-Single]

PCR: Platform Configuration Register

1. Versiegelung von Dateien (Sealing)

Bindung von Daten an die aktuelle Systemkonfiguration

• Signierung der Daten beim Speichern mit einem Konfigurations-Hash
• Zugriff auf Daten nur bei unverändertem Hash möglich

2. Schutz von Schlüsseln

TPM-gebundene Schlüssel (s.o.)

migrierbare Schlüssel

• Signaturschlüssel (private Schlüssel)
• Identitätsschlüssel (AIK)
• bindende Schlüssel (Binding Keys) für Verschlüsselung

3. Authentifizierung des Systems (Attestation)

Authentifizierung gegenüber Dritten per

• AIK: Attestation Identity Key & Plattform-Signatur
• Validierung der Plattform gegenüber Dritten

Einsatzzweck: z.B. Authentifizierung gegenüber

• SmartCard
• Server
• Anbieter digitaler Inhalte

4. Zufallsgenerator

Garantie sicherer Zufallszahlen durch Hardware

essentiell zur Generierung sicherer Schlüssel

Vier Aufgaben

1. Daten versiegeln
2. Schlüssel sicher speichern
3. Plattform gegenüber Dritten beglaubigen
4. sichere Zufallszahlen generieren

Komponenten

Hardware: TPM, TCPA-BIOS

Software: CRTM (Core Root Of Trust Measurement), TSS (Trusted platform Support Service)

 

bietet Authentifizierung und Beglaubigung der Plattform, nicht des Anwenders

NGSCB: Next Generation Secure Computing Base

auch: The Architecture Formerly Known At Palladium (TAFKAP)

"It's a funny thing, [...] We came at this thinking about music, but then we realized that e-mail and documents were far more interesting domains."
Bill Gates, zitiert nach Steven Levy

(Quelle: http://cryptome.org/palladium-sl.htm)

Allgemeines

baut auf TCPA auf (TCPA 1.2)

paralleles gesichertes System zur Windows-Umgebung

Kern heißt "Nexus", übernimmt viele TPM-Funktionen in Software

Einführung mit nächster Windows-Version (Longhorn)

Mitgliederliste

• Microsoft.

 

 

 

Hardware-Entwürfe zusammen mit

• Hewlett-Packard (Athens)
• AMD und Intel (Trusted Mode für CPU)
• Atmel, Fujitsu/Comodo, SafeNet (Trusted Path für Eingabegeräte)
• NVidia (verspricht kompatible Grafikkarten zum Launch von Longhorn)

Angriffsziele (Threat Model)

Schutz vor Software-Angriffen

Schutz für Anwendungen

Schutz für Daten

Maximale Abwärtskompatibilität

Erhaltung der Abwärtskompatibilität zu allen bisherigen Windows-Anwendungen

"Schutz der Software-Investitionen der Anwender"

Einschränkungen

• Anwendungen, die ihren Speicher an einen neuen Ort kopieren
• Anwendungen, die den Prozessor in Real Mode versetzen

Vier Aufgaben

1. starker Speicherschutz (Process Isolation)
2. Beglaubigung (Attestation) *
3. versiegelter Speicher (Sealed Storage) *
4. gesicherter Pfad zum Anwender (Trusted Path)

 

* kommt das bekannt vor?

Erweiterung der Windows-Architektur

erster Codename war "Vaulted Computing"

Standardmodus wie Windows heute

• Erhaltung der Windows-Architektur
• Erhaltung des Treibermodells (fast!)

gesicherter Bereich (Trusted Mode)

• läuft parallel zum normalen Windows-System
• Kern (Nexus) läuft privilegiert ("Ring -1")
• reservierter Bereich für sichere Anwendungen
• sichere Anwendungen laufen in Ring 3 (NCAs)
• kein direkter Zugriff auf Hardware (Abstraction Layer)

Zweiteilung des PC

TCP: Trusted Service Provider

Hardware-Basis

gesicherte Komponenten

• TPM (SSC: Security Service Component)
• sichere Eingabe (Secure Input)
• sichere Ausgabe (Secure Video)
• gesicherter Prozessor (CPU)
• gesicherter Chipsatz

Kernelebene

Standardmodus ("Left Hand Side")

• HAL (Hardware Abstraction Layer)
• USB-Bus (USB 2.3)
• Treiber
• Betriebssystem (Dienste usw.)

gesicherte Komponente

• Nexus Manager (NexusMgr.Sys)

Nexus Mode ("Right Hand Side")

• NAL (Nexus Abstraction Layer)
• Nexus

Anwendungsebene

Standardmodus ("Left Hand Side")

• normale Windows-Anwendungen
• Schattenprozesse der NCAs

Nexus Mode ("Right Hand Side")

NCA Laufzeitbibliothek (Nexus Computing Agent Runtime Library)

• TSP (Trusted Service Provider)
  • TUE (Trusted User Engine)
    • Nexus Computing Agents (NCAs)

Pfad von Anwendung zu NCA

Jeder Austausch zwischen den Modi geht über NexusMgr.sys und NAL ("Porch")

Gesicherte Kanäle

Trusted Input und Secure Video laufen über NexusMgr.sys und NAL ("Porch")

• "bootet" unabhängig vom System (eigentlich "Load", nicht Boot)
• separates Herunterfahren möglich (leert Speicher)

Laden von alternativen Nexuses möglich

immer nur ein Nexus aktiv

Sicherheitsrichtlinien (Policies)

Policies (XrML) separat vom Nexus

grafischer Policy Editor inklusive

Grundlage: Sicherheits-Chip

• Secure Service Component (SSC) auf Mainboard
• kann ein TPM nach TCPA/TCG 1.2 sein

benötigte Neuerungen

• Tastaturen mit Verschlüsselung oder geschütztem Kanal
• USB-Hubs mit Verschlüsselung oder geschütztem Kanal
  • Änderungen an USB-Stack (USB 2.3)
• Grafikkarten mit Verschlüsselung oder Speicherschutz
  • Änderungen an Grafikkartentreiber

Intel-Entwicklung

benannt nach kleinem Ort in Oregon (Ortsnamen sind kein Trademark-Risiko)

Hardware-Erweiterungen, um einen sicheren Pfad (Trusted Path) im PC herzustellen

für: CPU, Chipsatz und Plattform

Einführungszeitraum: "next 2-3 years"

(Quelle: Bob Meinschein, Intel; Präsentation auf TCG-Symposium 7/2003)

geschützte Ausführung von Code *

Speicherschutz *

Schutz des Grafikkartenspeichers *

geschützte Anbindung von: *

• TPM
• Eingabegeräte

* kommt das bekannt vor?

Prozessor (CPU)

• offene und geschützte Bereiche
• Protected Memory Policy

Speicher (RAM)

• Zugangsschranken zu geschütztem Speicher ("Access Policy")

Northbridge

(G/MCH: Graphics/Memory Controller Hub)

• sicherer Pfad zwischen Grafikkarte und vertrauenswürdigen Anwendungen
• sowohl für integrierte Grafiklösungen als auch separate Grafikkarten

Southbridge

(ICH: I/O Controller Hub)

• Sicherung des Pfads vom TPM zum ICH
• Sicherung des USB-Bus
• sicherer Pfad zwischen Eingabegeräten und vertrauenswürdigen Anwendungen

Umsetzung der für NGSCB benötigten Hardware-Komponenten

• plattformagnostisch (auch für andere OS nutzbar)

AMD arbeitet an ähnlichem Konzept

• Secure Execution Mode (SEM)
• im Wesentlichen ein Prozessor-Flag
• konkreter an NGSCB ausgerichtet

NVidia arbeitet an ähnlichem Konzept

• stark an NGSCB ausgerichtet

"Yes, it will protect movies. Whoopee!"
Bryan Willmann, Microsoft (NGSCB Software Architect)

DRM: Digital Rights Management

• Rechteverwaltung in Software, verstärkt mit Hardware-Anker
• Verbund von Legislative und Exekutive

DRM-Funktionen nie offiziell dementiert

aber klare Aussagen

• TCPA wurde nicht für DRM-Zwecke gegründet
• NGSCB wurde nicht für DRM-Zwecke erdacht

TCPA kann einen Anker für DRM-Funktionen legen

EK, non-migratable keys