Das ist Trusted Computing
Artikel erschienen in Swiss IT Magazine 2003/13
Wenn Bill Gates träumt, dann träumt er davon, dass sämtliche Chinesen (und ein paar hunderttausend weitere Erdenbürger mit illegal installierter Software) für Windows, Word und Exchange bezahlen wie alle anderen auch. Ähnliche Träume haben die von Napster und Konsorten aufgeschreckten Bosse der grossen Plattenfirmen, von den DivX-geplagten Hollywood-Managern gar nicht zu reden. Und mit hoher Wahrscheinlichkeit würde ein Grossteil der Anwender besser schlafen, wenn ihre Dokumente geschützt, die Mail-Boxen von Spam verschont und die Rechner vor Viren und Trojanern sicher wären.
Letzteres, die bestmögliche Absicherung von PCs, ist das erklärte Ziel der Trusted Computing Platform Alliance (TCPA), hinter der Firmen wie AMD, Intel, IBM, HP und Microsoft stecken, sowie der von Microsoft allein ins Leben gerufenen "Palladium"-Initiative. Dass dabei quasi als Nebeneffekte die Verbreitung illegal kopierter Musikstücke und Filme unterbunden und Softwarepiraten das Handwerk gelegt werden soll, nehmen die beteiligten Firmen natürlich gerne in Kauf. Und Microsoft dürfte sich, wie vereinzelte Kritiker behaupten, bereits diebisch darauf freuen, dass einige für das Trusted Computing benötigte Komponenten geeignet seien, die GNU Public License (GPL) obsolet zu machen und damit Open Source Software quasi auszurotten.
Doch ist dem so? Was können Palladium und TCPA wirklich, und was gehört ins Reich der modernen Mythen? Der Reihe nach.
Sowohl die TCPA als auch Palladium haben seit ihrer Gründung eine Menge Schlagzeilen gemacht, allerdings eher selten solche, die im Sinne der Firmen hinter den Initiativen waren. So war etwa schon mehrmals davon die Rede, dass Trusted Computing den Anwender entmündigen werde: "Trusted Computing heisst nicht, dass Sie Ihrem Computer vertrauen können, sondern dass Microsoft oder die RIAA Ihrem Computer trauen", liess etwa Richard Stallman, einer der grossen Gurus der Free-Software-Szene, verlauten. Indem beispielsweise zentrale Trustserver das System kontrollierten, illegale Software automatisch blockiert und vor dem Start einer nicht vertrauenswürdigen Anwendung alle urheberrechtlich geschützten Inhalte aus dem Speicher entfernt würden, hiess es, würde Microsoft den Rechner eines beliebigen Users fremdbestimmen und kontrollieren, was überhaupt läuft und was nicht. Nun ist es allerdings so, dass etwa zentrale Trustserver bisher nur von Kritikern erwähnt wurden, von Microsoft selber wurde deren (geplante) Existenz weder bestätigt noch dementiert (was immer man daraus schliessen mag). Auch vom automatischen Abschuss illegaler Software will Microsoft nichts wissen, und dass DRM-Inhalte aus dem Speicher entfernt werden würden, ist schlicht falsch: Den Konzepten gemäss werden unsichere und sichere Anwendungen in getrennten Speicherbereichen arbeiten und können sich so nicht in die Quere kommen.
Einer anderen Behauptung zufolge müssen Palladium-konforme Anwendungen zertifiziert sein, um laufen zu können; auch diese Aussage ist falsch, nach den Konzepten für Palladium ist die Zertifizierung bloss optional geplant. Was aber nicht heisst, dass Microsoft nicht zu einem späteren Zeitpunkt auf die Zwangszertifizierung umsteigt, wie das etwa in Longhorn bei Treibern der Fall sein wird.
Ins Reich der Mythen gehört auch, dass TCPA-Chips einen Rechner aktiv kontrollieren und dabei auf zentrale Listen mit geprüfter Hardware und Software, gesperrten Dokumenten oder geklauten Seriennummern zurückgreifen würde. Tatsächlich ist dies beim TPM, das als passiver Prozessor auf dem Mainboard sitzt, weder möglich noch geplant. Anders sieht es bei Palladium aus, wo diese Funktionen durchaus eingebaut werden könnten. Das TPM kann weder sich selber noch den PC ausschalten und steuert auch nicht den Boot-Vorgang, und das Modul überprüft auch keine Zertifikate von Hard- und Software. Statt dessen speichert es Schlüssel und Passwörter und dient zur Ver- und Entschlüsselung von Daten. Dank Authentifizierungsroutinen dient der Prozessor schliesslich auch der Identifizierung des Rechners und des Benutzers sowie seiner Daten, ist also letztlich mit einer fest eingebauten SmartCard vergleichbar.
Häufig hört man die Befürchtung, dass Palladium und TCPA dazu beitragen könnten, dass Open-Source-Software ebenso wie Share- und Freeware-Programme auf den künftigen PCs nicht mehr laufen könnten. Dies unter der Annahme, dass Software in Zukunft lizenziert werden müsste, um auf den geschützten Rechnern lauffähig zu sein - und da Hobby-Programmierer oder Open-Source-Firmen kaum viel Geld aufbringen könnten, um eine Zertifizierung zu erlangen, wären diese vom Aussterben bedroht. Gleichzeitig könnten die grossen Softwarehersteller, so die Befürchtung, einem missliebigen Konkurrenten über die von ihnen kontrollierten Stellen relativ einfach die Zertifizierung verweigern.
Dieses Szenario entbehrt allerdings der technischen Grundlage. Die von der TCPA oder Palladium vorgesehene Hardware ist nämlich nicht in der Lage, die Zertifizierung einer Software, sei es ein Betriebssystem oder eine Anwendung, zu überprüfen. Das Betriebssystem hingegen kann dies durchaus - da aber beispielsweise auch Linux auf TCPA-Hardware läuft, kann Open-Source-Software durchaus darauf eingesetzt werden.
Schwieriger könnten es dagegen die Programmierer von Free- und Shareware in Zukunft haben. Sie werden mit Microsoft Wege finden müssen, wie ihre Software weiterhin unter Windows laufen kann, zertifiziert oder nicht. Beim aktuellen Stand der Palladium-Entwicklung ist allerdings nicht vorgesehen, dass nicht lizenzierte Software generell ausgeschlossen wird; sie wird statt dessen in separaten Speicherbereichen ausgeführt - und keinen Zugriff auf geschützte Software und Daten haben.
Eine sehr positive Wirkung, die TCPA und Palladium häufig zugesprochen wird, ist der Schutz vor Spam, Viren und Trojanern. Durch die Trusted-Computing-Umgebung gesicherte Programme sollen in der Lage sein, den Absender von Mails zu identifizieren und so sowohl Spam auszufiltern als auch potentiell schädliche Programme zu erkennen und zu löschen.
Zu diesem Zweck braucht es allerdings weder TCPA noch Palladium, wie die aktuellsten Anti-Spam- und -Viren-Anwendungen zeigen. Dank Datenbankanbindung und cleverer Erkennungsroutinen werden die unliebsamen Begleiterscheinungen der modernen Computerei schon recht effizient erkannt und unschädlich gemacht, und es wäre für die Industrie vermutlich ein leichtes, diese Funktionalität direkt in die Betriebssysteme und Mail-Anwendungen einzubauen - so sie denn wollte.
Kommt dazu, dass sowohl Microsoft für Palladium als auch die TCPA beteuern, ihre jeweiligen Konzepte würde die Abwärtskompatibilität gewährleisten - bestehende Betriebssysteme werden also ebenso wie herkömmliche Anwendungen auch auf geschützten Rechnern laufen wie bisher. Dies bedeutet aber gleichzeitig, dass weder Anti-Spam-Software noch Virenscanner obsolet werden - selbst wenn nämlich die gesicherten Plattformen entsprechende Applikationen vor Viren und Spam schützen könnten, bei herkömmlicher Software können sie das nicht.
Grafik: Der lange Weg zum sicheren Computer
Ein anderes Thema, das grosse Emotionen ausgelöst hat, ist das Digital Rights Management (DRM), wonach das System in der Lage sein soll, beispielsweise die Rechtmässigkeit einer Software-Lizenz oder eines gekauften Musikstückes zu überprüfen und Kopien davon zu verhindern. Die geplante DRM-Fähigkeit wurde sofort als einer der wichtigsten Antriebe zur Entwicklung sowohl von TCPA als auch Palladium ausgemacht und mit zahlreichen Implikationen auf die Sicherheit und Privatsphäre der Benutzer in Verbindung gebracht; entsprechend harsch fiel die Kritik aus.
Mittlerweile behaupten zwar sowohl Microsoft als auch die TCP-Allianz, DRM sei nie ein primäres Entwicklungsziel gewesen und begründen dies mit fadenscheinigen Erklärungen, wonach etwa die geplanten Chips verschiedene Schwächen hätten, für DRM gar nicht sicher genug seien und durchaus manipuliert werden könnten.
Dies ist natürlich Quatsch: Selbst wenn es zutrifft, dass die Chips geknackt werden könnten, wäre dazu nur ein verschwindend geringer Anteil der potentiellen User überhaupt in der Lage, und da die entscheidenden Bestandteile des Chips (nämlich die Schlüssel und Authentifizierungsdaten) einmalig sind, nützte ein geknackter Chip gerade mal seinem Besitzer. Über die behaupteten Schwächen der bisherigen Bausteine mag man schon gar nicht streiten; sie mögen zwar durchaus vorhanden gewesen sein, aber die Entwicklung geht weiter, und ein Hardware-Baustein schützt bekanntlich weitaus sicherer vor Manipulationen als jede beliebige Software-Komponente, wie sie heute für DRM eingesetzt wird.
Tatsache ist, dass Palladium in Zusammenarbeit mit der geplanten TCPA-Hardware sehr wohl zur digitalen Rechteverwaltung taugt - mit Features wie der Sicherstellung der Identität eines Benutzers und den im Chip integrierten, abgeschotteten Schlüsseln. Generell scheinen sowohl Palladium als auch TCPA dazu ausgelegt, sich externen Systemen (etwa einem Rechteinhaber) und nicht dem lokalen Anwender gegenüber zu authentifizieren, und dies führt alle Beteuerungen von Microsoft ad absurdum, wonach DRM keine Rolle bei der Entwicklung der jeweiligen Konzepte spiele.
Um bei den Anwendern wie auch bei der Industrie breite Akzeptanz zu gewinnen, müsste ein DRM-System allerdings einige Voraussetzungen erfüllen. So erscheint es etwa zwingend, dass die Privatsphäre und die Rechte der Anwender ebenso geschützt sein müssen wie die Interessen der Anbieter - dazu muss die Plattform dem Anwender die volle Kontrolle über sein System gewährleisten, gleichzeitig aber darf dieser den Schutz der digitalen Werke nicht umgehen können. Insbesondere für den Anwender ist eine der wichtigsten Voraussetzungen ausserdem, dass ihm die gesetzlich vorgegebenen Rechte weiterhin gewährt werden (was mit einigen Schutzmechanismen allerdings schon heute nicht mehr der Fall ist): Er muss von den erworbenen Werken weiterhin private Kopien oder Backups erstellen können und sollte beispielsweise einen gekauften Song sowohl im Auto als auch auf der heimischen Stereoanlage und am PC hören dürfen.
Die zahlreichen Bedenken, die vom Endanwender bis hin zum ausgewiesenen Sicherheitsexperten viele zu hegen scheinen, sind verständlich, schliesslich mischt Microsoft in beiden Initiativen ganz vorne mit - ausgerechnet Microsoft, die sich mit ihren fehleranfälligen Betriebssystemen und den Löchersieben Internet Explorer und Outlook bisher ja nicht gerade als besonders vertrauenswürdig in Sachen Computersicherheit gezeigt hat.
Wie wir bereits gesagt haben, kursieren aber massenweise Gerüchte, Behauptungen und Unwahrheiten. Was aber können TCPA und Palladium tatsächlich?
Sicher ist: Nicht alle Behauptungen oder Vorurteile sind schlicht falsch, wie aus dem oben gesagten schon hervorgeht. Verschiedene Features sind bisher einfach noch nicht vorgesehen, könnten zu einem späteren Zeitpunkt aber mehr oder weniger problemlos eingeführt werden. Gleichzeitig kann man Palladium und TCPA nicht einfach als neuesten Versuch der Computer- und Unterhaltungsindustrie abtun, den User zu entmündigen. Im Gegenteil: Palladium und TCPA enthalten eine Vielzahl von Konzepten, die in den PCs und Betriebssystemen eigentlich schon längst hätten eingebaut werden müssen.
Interessanterweise verfolgen dabei sowohl Microsoft als auch die TCPA ungefähr dieselben Ziele, was den Funktionsumfang der Sicherheits-Features betrifft. Die PC-Architektur wird dabei im wesentlichen um Features erweitert, die zwar ungefähr dasselbe ausrichten, aber je unterschiedlich benannt werden.
Bei TCPA ist etwa von Versiegelung des Speichers (Sealing), Schutz von Schlüsseln, Authentifikation des Systems, einer manipulationssicheren Systemuhr sowie einem sicheren Zufallsgenerator die Rede, während sich bei Palladium alles um Prozess-Isolation, Beglaubigung (Attestation), einen versiegelten Speicher und einen gesicherten Pfad zum Anwender (Trusted Path) dreht.
Die Versiegelung des Speichers respektive die Isolation von Prozessen sind dabei notwendige Grundlagen, um die Abwärts-Kompatibiliät zu garantieren, gleichzeitig dient das Sealing aber auch dazu, schützenswerte Daten an das System zu binden und dessen Integrität sicherzustellen. Der sichere Zufallsgenerator ist die Voraussetzung zur Generierung von sicheren kryptographischen Schlüsseln, während der manipulationsgeschützte Timer benötigt wird, um die Gültigkeit von Zertifikaten und Zeitstempeln zu überprüfen.
Die Umsetzung dieser Funktionen erfolgen bei Palladium und TCPA allerdings auf unterschiedlichen Wegen, die sich gegenseitig wiederum ergänzen - im TCPA-Konzept ist kein spezielles Betriebssystem vorgesehen, weshalb Palladium eben gerade als notwendige Betriebssystem-Komponente für die TCPA-Hardware betrachtet werden kann. Gleichzeitig bedeutet dies aber auch, dass herkömmliche Betriebssysteme weiterhin auch auf einer TCPA-Plattform laufen werden, allerdings ohne die neuen Sicherheits-Features.
Die TCPA-Spezifikation sieht als Grundlage eines sicheren Computersystems zwei Bausteine vor, die manipulationssichere BIOS-Erweiterung CRTM (Core Root of Trusted Module) sowie das Trusted Platform Module (TPM) selber. Letzteres ist als On-Board-Chip geplant, der in der weiteren Entwicklung möglicherweise auch direkt in die CPU eingebaut werden soll.
Bei TCPA wird während des Systemstarts zunächst die Integrität sämtlicher Komponenten sichergestellt, weshalb zunächst die CRTM gestartet wird. Diese arbeitet mit HASH-Werten, die unter anderem aus der BIOS-Konfiguration errechnet und in ein speziell geschütztes Register des TPM geschrieben werden. Darauf übernimmt das BIOS die Kontrolle über den Boot-Vorgang und lädt das Betriebssystem, nachdem alle relevanten Komponenten anhand des HASH-Werts überprüft wurden.
Bei Palladium dagegen werden die sicherheitsrelevanten Funktionen in den sogenannten Nexus ausgelagert. Dieser kann entweder in der CPU plaziert und mit mehr Privilegien, als das Betriebssystem sie bei der CPU geniesst, ausgestattet werden, es gibt aber auch Szenarien, wonach der Nexus auf dem TPM der TCPA gespeichert wird. Nexus schützt prinzipiell sich selber und neue, sichere Anwendungen (Agents) vor Angriffen, garantiert gleichzeitig aber auch die Lauffähigkeit herkömmlicher Anwendungen. Der Palladium-Rechner ist damit quasi zweigeteilt: Während auf der einen Seite (dem Standard-Modus, der der aktuellen Windows-Umgebung entspricht) sämtliche Anwendungen und Treiber wie gehabt laufen, funktioniert auf der anderen Seite (im sicheren Nexus-Modus) nur noch spezielle, neu programmierte Software, die in aufwendig abgeschotteten CPU- und Speicherbereichen ausgeführt wird.
Übersicht: So funktioniert NGSCB (Palladium)
Werden TCPA und Palladium so umgesetzt, wie sie derzeit entwickelt werden, können die Initiativen dem User zahlreiche Vorteile bringen. Nachteile gibt es auch, und nicht alle Gerüchte können entkräftet werden; vieles hängt von der Implementation ab, und die wird sich erst in zwei Jahren mit dem Release von "Longhorn" definitiv zeigen.
Klar ist, dass der PC sicherer werden muss, um auch künftigen Anforderungen der Wirtschaft und der Anwender gerecht zu werden. Die Grundlagen dafür werden von der TCPA und Microsoft geschaffen. Ohne sicheres OS kann TCPA weder zur Sicherheit des Anwenders noch für DRM genutzt werden - Löcher in den Betriebssystemen, die den direkten Zugriff auf Daten ermöglichen, würden den durch Verschlüsselung und Versiegelung gebotenen Schutz kompromittieren.
Entsprechend sollten TCPA und Palladium als Einheit gesehen werden - TCPA macht ohne sicheres Betriebssystem keinen Sinn, und Microsoft scheint den Ansporn durch TCPA zu brauchen, um endlich eine sicher(er)e Betriebssystem-Umgebung entwickeln zu wollen. Auf der Hardware-Seite bestehen dabei kaum Zweifel, dass die Sicherheit gewährleistet wird - ob dies auf der Software-Seite der Palladium-Initiative, die aus Kompatibilitätsgründen auf die bestehenden, löchrigen Windows-Versionen aufsetzt, ebenso der Fall sein wird, wird sich zeigen.
Palladium und die TCPA werden immer wieder mit Digital Rights Management (DRM) in Verbindung gebracht (siehe Hauptartikel). Dies mag zutreffen oder nicht - manche würde es allerdings sogar freuen. Studenten der Harvard-Universität haben die Auswirkungen von DRM auf Tauschbörsen und Datenpiraterie untersucht und kommen zu einem zumindest interessanten Schluss: Wenn eine Tauschbörse nämlich, so die Studenten in ihrem Arbeitspapier, DRM-Techniken einsetzen würde, dann wären die darauf kursierenden Daten für die eigentlichen Inhaber der Rechte nur noch schwer zu kontrollieren und die Tauschbörse wäre schon gar nicht sabotierbar. Das Erstellen der Inhalte würde durch die Trusted-Computing-Initiativen für Datenpiraten zwar schwieriger, aber meist nicht unmöglich, und quasi zum Ausgleich wäre der Tausch dieser Daten sicherer und zuverlässiger. Das dürfte Microsoft und die Plattenbosse aber ärgern... Details finden sich unter www.eecs.harvard.edu/~stuart/papers/eis03.pdf
DRM: Digital Rights Management - erlaubt einem System zu überprüfen, ob beispielsweise eine Software, ein Musikstück oder ein Film rechtmässig erworben wurde, von bestimmten Rechten geschützt wird oder die Benutzung eingeschränkt ist. Grundlage für einen Kopierschutz
NGSCP: Next Generation Secure Computing Platform - neue Bezeichnung für die Palladium-Initiative
Palladium: Microsofts Konzept für eine sichere Computer-Plattform; Kombination aus Hard- und Software und insofern Ergänzung zur TCPA-Hardware; beruht auf Abschottung von Speicherbereichen und Trennung von Prozessen; rückwärtskompatibel
TCG: Trusted Computing Group - Nachfolgerin der TCPA
TCPA: Trusted Computing Platform Alliance - Gruppe von über 200 Herstellern mit dem Ziel, eine sichere Computer-Plattform zu schaffen; gleichzeitig Bezeichnung für die Technologie; basiert auf TPM und BIOS-Erweiterung; besteht aus Versiegelung von Speicher und System, sicheren Komponenten wie Systemuhr und Zufallszahlgenerator sowie einer sicheren Authentifikation; rückwärtskompatibel
TPM: Trusted Platform Module - Hauptbaustein der sicheren Hardwareplattform der TCPA und voraussichtlich Hardwaregrundlage für Palladium