Menü
c't Magazin

Windows-8-Notebooks: "Connected Standby" nur mit TPM

Von
vorlesen Drucken Kommentare lesen 372 Beiträge

TPM 1.2 von Infineon

Manche der angekündigten Tablets und Notebooks mit Windows 8 sollen die Funktion Connected Standby (CS) beherrschen: Ähnlich wie ein iPad oder Android-Geräte sind sie auch im vermeintlichen Schlafmodus ständig per WLAN oder UMTS-Modem mit dem Internet verbunden. So können sie in regelmäßigen Abständen etwa E-Mails abholen und sind nicht nur in weniger als einer Sekunde einsatzbereit, wenn es der Nutzer befiehlt, sondern auch auf dem neuesten Stand. Um sicher und zuverlässig "Always-On/Always Connected" (AOAC) sein zu können, verlangen die Windows Hardware Certification Requirements von CS-tauglichen Windows-8-Geräten viele besondere Eigenschaften. Einige Funktionen sind bisher noch nicht bei auf dem Markt befindlichen Komponenten zu finden.

Dazu gehört etwa Secure Boot gemäß UEFI-Spezifikation 2.3.1. Bei CS-tauglichen Geräten mit x86-Prozessoren darf Secure Boot zwar abschaltbar sein, aber falls Secure Boot aktiviert ist, ist ausschließlich der Standardmodus mit Microsoft Key Encryption Key (KEK) zulässig. Bei x86-Rechnern, die CS nicht beherrschen, kann die UEFI-Firmware zusätzlich einen "Custom Mode" von Secure Boot offerieren: Dieser erlaubt es, Secure Boot mit einem anderen Platform Key (PK) und einer veränderten Signaturdatenbank zu verwenden. Das ist bei CS-tauglichen Geräten mit Windows-8-Zertifizierung aber ebenso unzulässig wie ein BIOS-kompatibler Betriebsmodus – hier muss es UEFI sein.

Erstmals verlangt Microsoft auch den Einbau eines Trusted Platform Module (TPM 2.0) – ein TPM-1.2-Chip gemäß Spezifikation der Trusted Computing Group reicht nicht aus. Eines der auch als TPM.next diskutierten Module scheint bisher kein Hersteller zu liefern. TPMs sind zwar schon weit verbreitet, stecken jedoch vor allem in gewerblich genutzten Business-Notebooks und Bürocomputern. Mit den Connected-Standby-Tablets dürften sie sich auch bei Privatleuten etablieren. Microsoft legt auch den Einsatz von verschlüsselten Festplatten oder SSDs nahe – etwa Self-Encrypting Drives (SEDs) nach TCG Opal oder durch den Einsatz von BitLocker. Die Festplatten-Vollverschlüsselung schützt etwa auch Daten aus dem Arbeitsspeicher (RAM), die im Standby-Modus in der Datei hiberfil.sys im Systemverzeichnis liegen können.

Die in CS-tauglichen Rechnern eingebauten Prozessoren müssen eine Reihe genau definierter Krypto-Algorithmen wie AES 256-Bit mit einer gewissen Mindestgeschwindigkeit ausführen können, außerdem wird ein Zufallszahlengenerator nach der NIST-Spezifikation FIPS 800-90 verlangt. Einen solchen DRNG will Intel in Prozessoren der kommenden Ivy-Bridge-Generation integrieren.

Der Akku von CS-fähigen Mobilgeräten muss so ausgelegt sein, dass der Füllstand nach 16 Stunden Connected Standby höchstens um 5 Prozent fällt. Sie dürfen auch keine LEDs besitzen, die den Verbindungszustand per WLAN, Bluetooth oder UMTS anzeigen, und Hardware-Schalter für diese Funktionen müssen sich per Software übersteuern lassen. So will Microsoft einerseits Akkustrom sparen und andererseits sicherstellen, dass Connected Standby nicht versehentlich blockiert wird. Auf Knopfdruck müssen die Geräte aus dem CS innerhalb von 0,3 Sekunden aufwachen. Microsoft empfiehlt zudem, CS-taugliche Geräte mit USB 3.0 auszustatten. (ciw)

Anzeige
Anzeige