Hat TCPA auch positive Seiten für den Anwender?

Langsam kommt Licht ins Dunkel der TCPA-Initiative. Neben den Kritikern melden sich endlich auch Befürworter mit Argumenten zu Wort, die für einen Sicherheits-Chip im PC sprechen. Fragen bleiben weiterhin offen.

Führende Hard- und Software-Hersteller haben sich im Firmenkonsortium TCPA (`Trusted Computing Platform Alliance´ [[#lit01 1]]) zusammengeschlossen, um eine neue, sichere Hardware-Plattform für PCs und andere vernetzte Geräte zu schaffen. Deren Kernstück ist das `Trusted Platform Module´ (TPM), in dem sich ein eigener Prozessor und gesicherter Speicher befindet. In dem auch als `Fritz-Chip´ bekannten TPM werden Prüfsummen (SHA1-Hashes) von BIOS, Bootsektor, Bootloader und anderen Hardware-Komponenten gespeichert, um in ein sicheres Betriebssystem zu booten. Dieses identifiziert den Rechner über den TPM bei einem Server oder Dienstanbieter im Internet [[#lit02 2], [#lit03 3]].

Der offensichtliche Anbieter für ein solches Betriebssystem ist Microsoft. Für die nächste Windows-Version, Codename `Longhorn´, arbeiten die Entwickler in Redmond an einer Sicherheitskomponente namens Palladium, was für reichlich Zündstoff sorgt. In der Diskussion werden Hardware-Chip und Betriebssystem-Komponente oftmals in einen Topf geworfen, was zusätzlich zur Verwirrung führt.

Die Befürworter von Palladium und TCPA versichern stur, der PC werde so für den Anwender sicherer, es gäbe nie wieder Probleme mit Spam, Viren und anderer böser Software. Die Gegner befürchten hingegen einen massiven Eingriff in die Privatsphäre und sehen in Bill Gates schon `Big Brother´, der in Kooperation mit der Unterhaltungsindustrie das Kopieren von Software, Musik und Filmen verhindern will. Nachdem sich nach anfänglichem Mauern jetzt auch einige Mitglieder der TCPA zu Wort melden, kristallisieren sich zusätzliche Details heraus, die einige Befürchtungen ausräumen, andere Sorgen bestätigen.

Mehr Sicherheit muss sein

Dass PCs sicherer werden müssen, da sind sich ausnahmsweise einmal alle Experten einig. Sobald es um das konkrete `wie´ geht, scheiden sich hingegen die Geister.

Prinzipiell ermöglicht schon PGP und eine weltweit verfügbare `Public Key Infrastructure´ (PKI) sichere E-Mails durch Verschlüsselung und Signaturen.

Tatsächlich ist aber der Anteil an signierten Mails im täglichen E-Mail-Verkehr verschwindend gering. Könnte da vielleicht eine `Zwangsbeglückung´ doch der Schritt in die richtige Richtung sein? Lässt man einmal Palladium und Microsofts mögliche DRM-Interessen außen vor, muss man dem TPM doch zumindest einen brauchbaren Ansatz bescheinigen. Laut Spezifikation lässt er sich auch abschalten - man könnte ihn also nur bei unmittelbarem Bedarf nutzen. Der Benutzer authentifiziert sich beim TPM mit einem relativ kurzen Passwort, für die Signierung verwendet der Chip jedoch das in ihm abgelegte, lange und sicherere Passwort. Das wäre zumindest bequem.

Dennoch gibt es einige Ungereimtheiten, die auch die TCPA-Mitglieder bis heute nicht ausräumen konnten. Selbst der TPM-Hersteller Infineon gibt zu, dass der Fritz-Chip im Grunde nichts anderes ist als eine fest verlötete SmartCard. Die Konzepte entsprechen sich weitestgehend, die Unterschiede beschränken sich auf die Algorithmen und das Interface. Für die Industrie ist der Hauptvorteil des TPM der Preis - er kostet nur den Bruchteil eines SmartCard-Readers.

Wäre der TPM eine jedem Motherboard beigelegte SmartCard, könnte der Anwender tatsächlich frei entscheiden, wann er `die Sicherheit´ aktiviert und nutzt und wann nicht. Bei einem fest verlöteten Chip bleibt aber immer die Skepsis, ob er nicht doch vielleicht ein kleines bisschen aktiv ist ...

Um das Für und Wider auszuleuchten, haben wir neben dem gegenüber der TCPA sehr kritischen Sicherheitsexperten Lucky Green auch einen Befürworter zu Wort kommen lassen, den Leiter des Marketing für Sicherheits-ICs bei Infineon Thomas Rosteck. (ghi)

Literatur und Links

[1] Homepage der TCPA

[2] Michael Plura: Der versiegelte PC, Was steckt hinter TCPA und Palladium?, c't 22/02, S. 204

[3] Michael Plura: Der PC mit den zwei Gesichtern, TCPA und Palladium - Schreckgespenster oder Papiertiger?, c't 24/02, S. 186

[#anfang Seitenanfang]

Die Regierung bezieht Stellung

Mittlerweile ist auch die Bundesregierung auf TCPA und Palladium aufmerksam geworden. Dabei stehen vor allem Fragen wettbewerbsrechtlicher und kartellrechtlicher Art im Mittelpunkt. Nicht nur das Bundeskartellamt, sondern auch die Europäische Kommission beobachten dabei sowohl Intel als führendes Mitglied der TCPA als auch die Microsoft AG als Hersteller des proprietären Palladium-Programms sorgfältig.

In einer schriftlichen Stellungnahme hat der parlamentarische Staatssekretär Gerd Andres festgehalten, dass man noch nicht beurteilen könne, ob TCPA und Palladium tatsächlich eine Verbesserung der IT-Sicherheit mit sich bringen, und ob digitale Rechte besser geschützt werden können. In jedem Fall hält er eine Verteuerung der IT für wahrscheinlich.

Laut Bundesregierung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 1. August 2002 eine Arbeitsgruppe zu den Themen TCPA und Palladium eingerichtet. Dieses soll die technologische Entwicklung aufmerksam beobachten, analysieren und die Bundesregierung fortlaufend über die Entwicklungen unterrichten.