Als General Manager der Security Business Unit verwaltet John Manferdelli bei Microsoft sowohl die zwischenzeitlich in Next Generation Secure Computing Base (NGSCB) umbenannte Sicherheitsinitiative „Palladium“ als auch die Abteilung zur digitalen Rechteverwaltung (Rights Management).
c't: Auf der WinHEC 2003 blieben viele Details unklar. Es kam sogar vor, dass sich Aussagen in unterschiedlichen Veranstaltungen direkt widersprachen, darunter die Frage, ob der Nexus auch Speicher auslagern kann. Zu welchem Zeitpunkt sollen die Features von NGSCB 1.0 feststehen?
John Manferdelli: Über einige Funktionen diskutiert das Team noch - zu diesen offenen Fragen gehört auch das Page Swapping. Wird Speicher der „rechten Seite“ ausgelagert, muss er verschlüsselt werden. Wichtiger noch, NGSCB benötigt dann noch wesentlich mehr Code in der Trusted Computing Base (TCB). Wir versuchen, die TCB so klein wie möglich zu halten, da sie gewissenhaft untersucht und bewertet werden muss. Daraus ergibt sich auch, dass man Entscheidungen wie das Page Swapping erst spät treffen kann, weil sie sich aus einer detaillierten Abwägung ergeben.
|
John Manferdelli, General Manager der Security Business Unit von Microsoft |
Wir haben noch nicht angekündigt, wann alle Features von NGSCB definiert sein sollen. Fest steht aber schon, dass zur PDC 2003 [Professional Developers Conference, d. Red.] ein Vor-Beta-Entwicklerpaket (SDK) fertig sein soll. Bill Gates erwähnte in seiner Keynote, dass wir NGSCB zusammen mit Longhorn ausliefern wollen. Unser Ziel ist daher, NGSCB-Betas parallel zu Longhorn zu veröffentlichen.
c't: Wie wird die NGSCB-Architektur an Dritte lizenziert? Gibt es schon Informationen über Lizenzbedingungen?
Manferdelli: Wir arbeiten weiterhin an den technologischen und wirtschaftlichen Fragen rund um NGSCB. Momentan haben wir nichts anzukündigen, aber das kann sich ändern.
c't: Eine wesentliche Forderung der Kritiker von NGSCB ist die Möglichkeit, den Quelltext möglichst frühzeitig zu sehen zu bekommen. Microsoft hat aber angekündigt, dass der Code zuerst nur einer kleinen Gruppe von Leuten offen gelegt wird. Auf welcher Stufe des Entwicklungsprozesses darf auch die Allgemeinheit einen Blick in die NGSCB-Architektur werfen?
Manferdelli: Wir werden den Quellcode der Trusted Computing Base offen legen. Dies wird durch unser „Shared Source“ Lizenzprogramm geschehen; die Details haben wir noch nicht festgelegt. Wir sind uns jedoch darüber im Klaren, dass zur Glaubwürdigkeit der Software eine unabhängige Überprüfung durch mehrere Dritte nötig sein wird und wir werden das auch ermöglichen. Zur Frage des Timings: dann, wenn die interne Entwicklung und Überprüfung des Codes fertig ist, spätestens zum Erscheinungstermin. Der Zweck einer großflächigen Überprüfung durch die Allgemeinheit ist es, dass Leute sehen können, was sie bekommen [„what they see is what they get“]. Es wäre kontraproduktiv, wenn wir den Code zu früh an die Öffentlichkeit herausgeben und dann ständig ändern würden.
„Wir sind uns im Klaren darüber, dass zur Glaubwürdigkeit der Software eine unabhängige Überprüfung durch Dritte nötig sein wird.“
c't: Auf der WinHEC war oft von „Opt-in“ und skalierbaren Implementierungen von NGSCB die Rede. Wird es eine Möglichkeit geben, nur ausgewählte Sicherheitsfunktionen zu nutzen? Ein Beispiel: Wenn ein Kunde keine „trusted“ Grafikkarte hat, wird er NGSCB überhaupt aktivieren können?
Manferdelli: Die Funktionen von NGSCB sind Teil eines Ganzen und hängen voneinander ab. Anwender können sich für jede Komponente einzeln entscheiden, aber sie werden NGSCB nicht ohne komplette Hardware-Unterstützung aktivieren können. Der starke Schutz der Daten im Hauptspeicher bringt wenig, wenn ein Angreifer auf den Videospeicher zugreifen und darüber geschützte Daten auslesen kann.
c't: Da Sie kürzlich Connectix und deren Virtual-PC-Produktfamilie erworben haben, stellt sich die Frage, ob NGSCB in einem Emulationsmodus laufen wird - vielleicht mit einem speziellen Nexus. Planen Sie eine „virtualisierte“ Version von NGSCB?
Manferdelli: Der Nexus lässt sich nicht virtualisieren. Wenn eine Virtual Machine (VM) ähnliche Funktionen umsetzen wollte, müsste der Nexus selbst die VM sein. Das sollte prinzipiell möglich sein. Für das erste Release konzentrieren wir uns aber nicht auf einen „Nexus-sicheren“ VM-Monitor, da wir dafür noch mehr Trusted Code schreiben müssten.
c't: In öffentlichen Foren dreht sich die Diskussion häufig um die Möglichkeit, NGSCB zur Durchsetzung von Digital Rights Management zu verwenden. Viele sehen DRM nur als etwas, was gegen sie benutzt werden kann. Wie kann ein durchschnittlicher Anwender Rights Management für sich nutzen?
Manferdelli: NGSCB kann Sicherheit für jede beliebige Anwendung bieten. Deshalb kann NGSCB auch DRM unterstützen, auch wenn es kein DRM-System ist. Anwender sehen Rights Management meist nur als Schutz für Online-Filme oder Musik. Sie haben etwas dagegen, dass jemand die Nutzung von Inhalten kontrollieren kann, für die sie bereits bezahlt haben. In anderen Worten: Leute lehnen meistens konkrete Implementierungen ab.
„NGSCB kann auch Digital Rights Management unterstützen, ist aber kein DRM-System.“
Wir sehen ein wesentlich breiteres Anwendungsfeld für Rights Management, vor allem in Unternehmen. Beispielsweise könnte eine Gruppe von Angestellten ihre Office-Dokumente mit einem vertraulichen Geschäftsplan per DRM davor schützen, dass sie nach außen gelangen. Ein Hausarzt könnte damit Patientendaten vor neugierigen Augen und nicht ausdrücklich berechtigten Personen schützen.
Microsoft hat ein neues Produkt zur Rechteverwaltung namens Windows Rights Management Services für Windows Server 2003 angekündigt. Zunächst konzentriert sich diese Technologie darauf, Dokumente in Unternehmen zu schützen.
Wir sind der Meinung, dass Rights Management auf einer NGSCB-Plattform auch für „Unterhaltung“ großen Nutzen für Kunden haben kann. Dann können Inhalte, die bislang nur auf proprietärer Hardware legal zu haben waren und die bislang überhaupt nicht auf PCs liefen, auch auf PCs abgespielt und verwaltet werden.
Ich gehe davon aus, dass dies vielen Anbietern und Kunden neue Möglichkeiten gibt. Damit Kunden Inhalte mit DRM auf ihren PCs akzeptieren, müssen Anbieter diese aber zu vernünftigen Bedingungen und mit sinnvollen Richtlinien anbieten. In jedem Fall sind Richtlinien eine Sache zwischen den Kunden und den Leuten, mit denen sie Geschäfte machen. NGSCB wird keine Richtlinien festsetzen. Sein einziges Ziel liegt darin, Anwendungen zu versichern, dass beide Parteien in einer solchen Transaktion auch das bekommen, was sie erwarten.
„Damit Kunden Inhalte mit DRM akzeptieren, müssen Anbieter diese zu vernünftigen Bedingungen und mit vernünftigen Richtlinien anbieten.“
c't: Viele Anwender befürchten, dass die Unterhaltungsindustrie sich NGSCB zu eigen macht. Wie planen Sie, Ihr System vor solchen Bestrebungen zu schützen?
Manferdelli: Die Architektur gibt dem Besitzer des Rechners die komplette Kontrolle darüber, was auf seinem PC laufen darf - nicht Hollywood. Wenn überhaupt, werden Kunden NGSCB nach ihrem eigenem Ermessen erlauben, die „Regeln“ der Unterhaltungsindustrie zu übernehmen. Dies folgt der PC-Tradition, dass der Betreiber eines Rechners die absolute Freiheit darüber hat zu entscheiden, was auf seinem Rechner läuft. Tatsächlich erweitert NGSCB diese Kontrolle noch. Die starken Schutzmaßnahmen werden es Dritten schwer machen, die Benutzer eines Rechners durch Tricks dazu zu bewegen, Programme unabsichtlich auszuführen.
Es ist auch wichtig anzumerken, dass NGSCB weder Inhalte noch Programme deaktivieren wird, die derzeit auf PCs laufen. Dies ist ein wesentlicher Grundsatz von NGSCB: Es ist eine berechtigende und keine sperrende Technologie, die jedem Programm zur Verfügung steht, das der Besitzer des Rechners ausdrücklich autorisiert hat.
„NGSCB gibt dem Anwender die komplette Kontrolle darüber, was auf seinem PC laufen darf - nicht Hollywood.“
c't: In einer demokratischen Umgebung kann NGSCB ein sinnvolles Werkzeug für die Sicherheit und Privatsphäre seiner Anwender sein. In den falschen Händen könnte es zur Unterwanderung der Privatsphäre missbraucht werden und die Wahl der Kunden bis zur Blockade aller Alternativen einschränken. Nicht-demokratische Länder könnten ihren eigenen geschlossenen Nexus herstellen und dessen Verwendung gesetzlich verlangen. Würden Sie es gestatten, dass NGSCB ein Werkzeug für lokale Regierungsinteressen wird?
Manferdelli: Unglücklicherweise können Computer schon an sich missbraucht werden, genau wie Nahrungsmittel oder sogar Bildungsmöglichkeiten. Es gibt also keine Garantien, die irgend eine Neuerung vor Missbrauch sichern würden. Dennoch haben wir uns sehr große Mühe gegeben, damit NGSCB der Kontrolle des Anwenders untersteht. Wir würden uns auch deutlich gegen Vorhaben stellen, die auf die Untergrabung der Wahl des Anwenders abzielen.
Bei NGSCB haben wir uns vermutlich mehr Mühe gegeben, die Entscheidungsfreiheit und Privatsphäre des Anwenders zu sichern als bei jedem anderen kommerziellen Software-Produkt. Daher denke ich, dass es mit NGSCB wahrscheinlicher wird, dass der Kunde die freie Wahl behält. Anwender werden damit ein „Lock-in“ vermeiden und sowohl absichtliche als auch versehentliche Eingriffe in ihre Privatsphäre verhindern können.
c't: In der realen Welt muss „Vertrauen“ durch vertrauenswürdige Dritte bereitgestellt werden. Wer soll das bei NGSCB übernehmen? Haben sich schon Organisationen daran interessiert gezeigt, Sicherheitsrichtlinien anzubieten?
Manferdelli: Dafür ist es noch viel zu früh. Wenn es so weit ist, wird es sehr pluralistisch zugehen und sich weniger darum drehen, wer sich dafür interessiert als vielmehr darum, wem Anwender für einen Rat oder Dienst vertrauen. Wir haben gewissenhaft Regierungen, Verbraucherschutz-Organisationen und Datenbeauftragte informiert, damit sie uns dabei helfen können, unbeabsichtigte Probleme noch vor der Auslieferung zu beseitigen.
c't: Auf der WinHEC wurde kurz eine „Zero Knowledge“-Version des NGSCB-Beglaubigungsprozesses angerissen, „Direct Proof“ genannt. Wann werden Sie Details dieses Prozesses veröffentlichen? Wird Direct Proof auf dem TPM aufbauen müssen oder kann das im Nexus verankert werden?
Manferdelli: Direct Proof ist eine Entwicklung von Intel. Daher sind sie diesbezüglich wohl bessere Gesprächspartner.
„Wir haben uns große Mühe gegeben, damit NGSCB der Kontrolle des Anwenders untersteht. Wir würden uns gegen Vorhaben stellen, die dies untergraben wollen. “
c't: Einem Mitglied des NGSCB-Teams zufolge arbeiten heute nur zwölf Entwickler am Projekt. Nach außen hin verbreitet Microsoft dagegen den Eindruck, dass es alles auf dieses neue Sicherheitskonzept setzt. Hält Microsoft einen Plan B oder sogar eine Ausweichsstrategie parat, falls sich NGSCB nicht durchsetzen sollte?
Manferdelli: Die Anzahl der an einem Projekt arbeitenden Entwickler hat keinen zwingenden Bezug zu dessen Bedeutung oder Erfolg. An NGSCB arbeitet genau die richtige Anzahl von Leuten. Wer schon mal Software entwickelt hat, weiß, dass man auch zu viele Leute mit einer Arbeit betrauen kann.
Es arbeiten definitiv mehr als zwölf Leute am Projekt. Die meisten Team-Mitglieder sind keine Entwickler. Sie sind Software-Architekten, Program Manager, Tester, Sicherheitsexperten und viele andere.
NGSCB wird ein großer Erfolg, der Anwendern mehr Macht geben wird. Persönlich kümmere ich mich nicht um einen Plan B. Ich wende meine ganze Zeit dafür auf, dass NGSCB so vertrauenswürdig und nützlich wie möglich wird. Ich denke, das wird für Microsoft ziemlich spannend und - noch wichtiger - für unsere Kunden und alle PC-Anwender hochinteressant, nützlich und sogar unverzichtbar. (ghi)
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-288868
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
