Trusted Computing: kostenlose TCG-Mitgliedschaften in Arbeit

Ein Jahr nach der Ankündigung macht die TCG jetzt Ernst mit den kostenlosen Mitgliedschaften. Die fünf Plätze des Advisory Council wurden bereits besetzt; das Industry Liaison Program steht qualifizierten Bewerbern offen.

Ende Juni trafen sich die mittlerweile 75 Mitglieder der Trusted Computing Group in Frankfurt. Im Anschluss an das einwöchige Meeting veranstaltete die TCG einen „Business Community Day“, um Geschäftsleute über die Möglichkeiten von Trusted Computing zu informieren.

Unter anderem verkündete IBM dort, inzwischen 16 Millionen TPM-Chips (Trusted Platform Module) in Umlauf gebracht zu haben - der Hersteller liefert mittlerweile alle seine Notebooks mit dem Sicherheits-Chip aus. Davon abgesehen vermeldete die TCG technisch wenig Neues, auch wenn einige Sicherheitslösungen vorgestellt wurden, die ihre Schlüssel per TPM verwalteten.

TCG-Mitgliedschaft kostenlos

Viel interessanter waren da schon die Modalitäten für die bereits Mitte letzten Jahres [#literatur [1]] angekündigten kostenfreien Mitgliedskategorien. Nach der Frankfurter Veranstaltung stehen endlich konkrete Randbedingungen fest. Nach wie vor sieht die TCG zwei Klassen vor: das zunächst fünf Mitglieder starke Advisory Council sowie die in der Anzahl derzeit unbeschränkte Gruppe der Industry Liaisons.

Für das Advisory Council hat die TCG fürs Erste fünf Personen eingeladen, die sowohl dem Vorstand als auch Arbeitsgruppen beratend zur Seite stehen. Unter den derzeitigen Advisors finden sich prominente Experten aus den unterschiedlichsten Bereichen, wobei die TCG auch vor kontroversen Persönlichkeiten nicht Halt gemacht hat. Es handelt sich dabei um Rob Enderle, David Farber, Moira Gunn, Gary Roboff und Rigo Wenning.

Der EDV-Analyst Rob Enderle schlug sich jüngst im Rechtsstreit zwischen IBM und SCO um angeblich in Linux eingeflossene Unix-Quelltexte unter großem Hallo auf die Seite der klagenden SCO Group. Vom entgegengesetzten Pol stammt David J. Farber, ein renommierter Professor an der Universität von Pennsylvania. Farber half bei der Entwicklung zahlreicher Datenübertragungsstandards und gehört zum Board of Directors der EFF (Electronic Frontier Foundation), einer US-amerikanischen Organisation zum Schutz elektronischer Bürgerrechte.

Dr. Moira Gunn arbeitete lange Zeit bei der NASA und ist in den USA primär als Moderatorin des öffentlich-rechtlichen Radioprogramms „Tech Nation“ bekannt. Gary Roboff hat langjährige Erfahrung mit dem Finanzwesen und gehört zu den Gründungsmitgliedern der ISTPA (International Security, Trust & Privacy Alliance), einer Vereinigung zur Sicherung des E-Commerce. Der Saarländer Rigo Wenning arbeitet beim World Wide Web Consortium (W3C), entwickelte dort den Web-Privacy-Standard P3P mit und hat langjährige Erfahrungen im Bereich Datenschutz.

Die zweite Möglichkeit zur kostenlosen Teilnahme besteht in der Aufnahme ins Industry Liaison Program. Es wurde primär für gemeinnützige Organisationen und öffentliche Einrichtungen, Interessenvertreter, Forscher und Mitglieder anderer Standardisierungs-Komitees konzipiert, die Interesse daran haben, aktiv in den Arbeitsgruppen beim Ausmeißeln der diversen Standards zu helfen.

Sowohl Advisors als auch Liaisons müssen eine Vertraulichkeitsvereinbarung unterzeichnen, um an der TCG teilnehmen zu dürfen. Keine der beiden Gruppen darf bei TCG-Abstimmungen votieren; Stimmrecht besitzen nur die Contributors und Promoters. Wer sich für eine Mitgliedschaft als Liaison interessiert, kann per E-Mail (admin@trustedcomputinggroup.org) Details erfragen.

Lob und Kritik

Nachdem Anfang des Jahres sowohl die Europäische Union als auch die Bundesregierung zu Trusted Computing Stellung bezogen haben, finden sich mittlerweile von allen Seiten Stellungnahmen zum Thema ein.

Doch nicht jede Wortmeldung ist das PDF wert, in dem es steht. So stellte der eingetragene Verein „Protect Privacy“ in einem offenen Brief an die TCG vierzehn Fragen, von denen schon die erste ihr Ziel meterweit verfehlte: Darin will der Vereinsvorstand von der Trusted Computing Group wissen, warum AMD, Intel und Microsoft ihre jeweiligen Sicherheitsspezifikationen nicht veröffentlichen. Genauso gut kann man einen Verkehrsminister nach den Bestandteilen von VW-Katalysatoren befragen. Nicht, dass die Fragestunde ganz für die Katz’ wäre: So will der Verein durchaus berechtigt auch wissen, warum die TCG dem Benutzer keine vollständige Kontrolle über alle Schlüssel überlässt und wann die Spezifikation für Mobiltelefone umgesetzt werden soll.

Eine ganz andere Richtung schlägt die Stellungnahme des BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) ein. Der Lobbyistenverband, der sich auch für die Abschaffung von Pauschalabgaben und GEMA-Gebühren stark macht, reagiert darin auf das im März veröffentlichte Positionspapier der Bundesregierung [#literatur [2]].

Die Stellungnahme zur Stellungnahme fällt sehr zurückhaltend aus. Von zahlreichen Platitüden abgesehen wünscht sich der BITKOM eine TPM-Zertifizierung nach den Common Criteria auf der Ebene EAL4 medium - konform zur Regierungsposition. In anderen Bereichen widerspricht das Lobbyistenpapier der Bundesregierung, ohne diesen Widerspruch aber zu kennzeichnen. So fordert das Regierungspapier eine klare Trennung des TPM von anderen Funktionseinheiten, wohingegen die BITKOM-Stellungsnahme eine Integration des TPM „aufgrund geringerer Herstellungskosten“ verteidigt. Eine staatliche Aufsicht über Zertifizierungsstellen für TPM-Schlüssel und -Signaturen hält der Verein für verzichtbar. Da ist es nur konsequent, dass vom Anwender im TPM gespeicherte Schlüssel nur migrierbar sein „sollten“ - die Bundesregierung schrieb dies dagegen ins Pflichtenheft.

Freilich darf man vom BITKOM keine echte Kritik erwarten. Schließlich handelt es sich dabei um den Landesverband des Lobbyverbands EICTA (European Information, Communications and Consumer Electronics Industry Technology Association). Dieser zählt wiederum zahlreiche TCG-Angehörige zu seinen Mitgliedern. (ghi)

Literatur

[1] Gerald Himmelein, Ganz im Vertrauen, Berliner Symposium zu Trusted Computing, c't 15/03, S. 20

[2] Bundesregierung veröffentlicht Positionspapier zu Trusted Computing

[#anfang Seitenanfang]

Trusted Computing in Stichworten

• Trusted Computing Group (TCG): Industriekonsortium zur Spezifikation des Sicherheits-Chips TPM.
• Trusted Platform Module (TPM): weit gehend passiver Sicherheits-Chip zur Verschlüsselung, Messung von Systemzuständen und Beglaubigung („Attestation“) gegenüber Dritten.
• TPMs sollen sowohl in PCs als auch in Mobiltelefonen, PDAs, Set-Top-Boxen unterkommen.
• Die Spezifikation sieht vor, dass TPMs stets in ausgeschaltetem Zustand ausgeliefert werden. Die Aktivierung des TPM bleibt dem Besitzer freigestellt.
• HP und IBM liefern bereits Desktops und Laptops mit TPM aus (Version 1.1b). Auch Toshiba und Fujitsu bieten TPM-Notebooks an. Intel hat mehrere Boards mit TPM im Programm.
• Aktuell ist die TPM-Spezifikation 1.2, deren vierter Teil (Compliance) allerdings noch nicht öffentlich ist.