[Neuigkeit] Was steckt hinter TCPA und Win-Palladium?

Netzhai

R.I.P. :-(
Was steckt hinter TCPA und Win-Palladium?

Der versiegelte PC

Was steckt hinter TCPA und Palladium?

Die Industrie-Allianz TCPA (‘Trusted Computing Platform Alliance’) will den PC durch zusätzliche Hardware sicherer machen: Ein integrierter Chip wacht darüber, ob an der Hardware gepfuscht, Software ohne Lizenz genutzt oder ein Dokument ohne Erlaubnis geöffnet wird. Auf diesen Ansatz baut Microsoft: Das in die nächste Windows-Version integrierte Palladium soll zentral gesteuert Raubkopien lahm legen und die Wiedergabe illegaler Multimedia-Dateien sperren.

Bisher konnten sich die wenigsten Verfahren zum Schutz digitaler Inhalte bewähren - die meisten Schutzmechanismen wurden bereits kurz nach ih-rer Veröffentlichung geknackt, etwa die CSS-Verschlüsselung von DVD-Video oder Adobes E-Book-Sicherung. Einige Verfahren wurden sogar geknackt, bevor sie am Markt erschienen, etwa die DRM-Komponente (Digital Rights Management) des Multimedia-Formats Windows Media 7 von Microsoft [1].

Ein wesentlicher Grund dafür liegt darin, dass heutige PCs sicherheitstechnisch außer Stande sind, Software vor Angriffen zu schützen. Solange auf jedem Rechner ein Debugger das Verhalten der laufenden Software beobachten kann, wird sich daran auch nichts ändern.

Dieses Problem hat auch die PC-Industrie erkannt. Das TCPA-Modell soll den Missstand beseitigen, indem Sicherheitsmechanismen direkt in die PC-Hardware integriert werden. In absehbarer Zeit soll ein Krypto-Coprozessor in die CPU selbst integriert werden und den PC damit zu einer ‘sicheren Plattform’ machen [2]. Der Chip wird nach dem US-Senator Fritz Hollings auch ‘Fritz Chip’ genannt.

Fritz kommt

Der Fritz-Chip soll nicht nur Anwender authentifizieren und identifizieren, sondern auch Aufgaben zur Ver- und Entschlüsselung übernehmen. Er erzeugt zudem asymmetrische Schlüssel und überprüft empfangene Zertifikate auf deren Gültigkeit. Der Fritz-Chip soll auch Manipulationen an der installierten Soft- und Hardware erkennen und sich daraufhin abschalten - und damit auch den ganzen TCPA-PC.

Ein solcher Rechner lässt sich zwar auch ohne TCPA starten - in diesem Modus kann der Anwender jedoch weder TCPA-Anwendungen nutzen noch auf seine verschlüsselten Dokumente zugreifen.

Auf den ersten Blick erscheint diese Erweiterung der PC-Architektur als vielversprechender Weg, den PC sicherer zu machen. Die TCPA demonstriert anhand interessanter Beispiele, wie der Fritz-Chip den PC stabiler und zuverlässiger macht [3, 4]. Zwei Highlights: Ein entsprechend ausgestattetes Mail-Programm kann verifizieren, ob E-Mails tatsächlich vom angegebenen Absender stammen - das Ende für Spam, Viren und Trojaner. Und sollte ein privates Word-Dokument doch mal in fremde Hände geraten, können Unbefugte die Datei nicht ohne Schlüssel öffnen. Scheinbar werden hier also lang gehegte Wünsche und Forderungen der Anwender und Sicherheitsexperten wahr. Wo soll da also ein Haken sein?

Wie funktioniert TCPA?

Um dem Anwender tatsächlich Sicherheit bieten und Manipulationen verhindern zu können, setzt TCPA im Systemkern an. In der Einführungsphase wird der TCPA-Coprozessor als separater Chip auf dem Motherboard stecken, spätere PC-Generationen integrieren ihn entweder in den Chipsatz oder gar in den Prozessor.

Im Fritz steckt ein 8-Bit-RISC-Prozessor mit 33 MHz Takt, der einen 2048 Bit langen RSA-Schlüssel in 0,5 Sekunden berechnet. Zwischen zehn und zwanzig Schlüssel speichert der Chip intern. Den ersten dieser Schlüssel generiert der Mainboard-Hersteller speziell für das jeweilige Board. Er wird mit dem Schlüssel des Herstellers signiert, der wiederum von einem Master-Key der TCPA signiert wurde. Weitere Schlüssel dienen später dazu, den Benutzer beim ersten Rechner-Start zu identifizieren. Der Anwender muss seine Schlüssel wiederum von einer Prüfstelle signieren lassen. Eins bringt der Aufwand ganz sicher: steigende PC-Preise.

Der Fritz-Chip nimmt seine Arbeit auf, sobald der PC eingeschaltet ist. Ist TCPA aktiviert, überprüft der Coprozessor zunächst das BIOS und startet die CPU. Danach testet Fritz alle BIOS-Erweiterungen der Steckkarten im Rechner, bevor er den Prozessor auf sie zugreifen lässt. Bei jedem Schritt speichert der TCPA-Chip eine Prüfsumme (SHA1 Hash) ab und bewertet danach den Zustand des PC.

minbild1.gif
TCPA startet den PC in einem definierten, sicheren Zustand und übergibt dann die Kontrolle an das TCPA-konforme Betriebssystem.


Der SHA1-Hash-Algorithmus berechnet aus einem beliebig langen Datenstrom wie dem BIOS-Inhalt und einem Schlüssel einen 160 Bit langen eindeutigen Wert. Ändert jemand das BIOS oder verwendet einen anderen Schlüssel, entsteht eine andere Prüfsumme und TCPA schlägt Alarm.

Nur nichts ändern

Im nächsten Schritt wird die Platte auf TCPA-Konformität geprüft, dann der Bootsektor, der Betriebssystem-Lader, der Kernel, die Gerätetreiber und alles, was zum Start des Betriebssystems in den Speicher geladen wird.

Doch wehe, es kommt an einer Stelle zu Unstimmigkeiten - etwa weil der Anwender neue Hardware eingebaut hat. Dann ist der Rechner nicht mehr TCPA-konform und muss neu zertifiziert werden. Dies geschieht online anhand einer Liste mit geprüfter Hardware (HCL) und gesperrten Seriennummern (SRL).

Hat der Fritz-Chip den PC und das OS für TCPA-konform befunden, übergibt er die Kontrolle an das Betriebssystem. Bei zukünftigen Windows-Versionen wird hier vermutlich Palladium angesprochen, bei Linux eventuell das von Hewlett Packard geplante HP-Linux.

minbild2.gif
Beim Start des TCPA-konformen Betriebssytem gleicht der Rechner den sicheren Timer im Fritz-Chip ab und lädt Listen mit kompatibler Hardware und gesperrten Seriennummern vom Server.


An dieser Stelle startet das Betriebssystem den ‘sicheren Timer’ im Fritz-Chip und gleicht die Zeit mit einem authentifizierten Zeit-Server aus dem Internet ab - um Manipulationen an der Systemuhr zu verhindern. Bei dieser Gelegenheit bringt der Rechner auch gleich die HCL und die SRL auf den aktuellen Stand.

Ruft der Benutzer nun ein Programm auf, so überprüft das Betriebssystem dies erst über Fritzens Hash-Funktion auf TCPA-Konformität - dazu gehören auch eine passende Plattform-ID und eine gültige Lizenz. Letztere wird mit der SRL abgeglichen, die ja stets über das Internet auf dem neuesten Stand gehalten wird. Sollte die Lizenz abgelaufen sein oder der Hersteller die Seriennummer gesperrt haben, schießt das Betriebssystem das Programm automatisch aus dem Speicher.

Stimmen Lizenz und Seriennummer, holt das Betriebssystem noch eine Liste gesperrter Dokumente (DRL) von einem Server, damit der Anwender keine verbotenen Dateien öffnet oder diese in einer unerlaubten Form nutzt. Erst von diesem Punkt an kann der Anwender mit dem Programm arbeiten.

Tabula rasa

Natürlich existiert auch die Option, nicht TCPA-konforme Software aufzurufen - zumindest in der Einführungsphase. Startet eine solche Anwendung, erhalten alle TCPA-konformen Anwendungen ein Signal, dass das System ‘kompromittiert’ wurde (SIGCOMP). Daraufhin überschreiben sämtliche TCPA-Anwendungen den von ihnen genutzten Arbeitsspeicher mit Nullen und beenden sich.

Auf den ersten Blick dienen diese Schritte tatsächlich der besseren Sicherheit. Bootsektor-Viren haben auf einem solchen System keine Chance mehr; es kann auch kein Trojaner mehr eine DLL einschmuggeln. 0190-Dialer können das DFÜ-Netzwerk nicht mehr unbemerkt auf eine teure Nummer umbiegen.

Ein TCPA-System bootet immer in genau den Status, den der Anwender bei der Installation festgelegt hat. Jede Änderung der Konfiguration muss explizit bestätigt werden. Sollte doch einmal eine bösartige DLL oder ein Trojaner erst im Nachhinein entdeckt werden, kann das Betriebssystem den Schädling beim nächsten Update der SRL oder der DRL einfach aus dem System entfernen.

Knackpunkte

Genau an dieser Stelle wird es Datenschützern flau im Magen - ein solches System ließe sich theoretisch auch zum Schutz vor unerwünschten Konkurrenzprodukten nutzen.

Um den Teufel an die Wand zu malen: Würde sich etwa Microsoft von der Browser-Alternative Opera bedrängt fühlen, landete sie einfach auf der schwarzen Liste - irgendeine Begründung wird sich schon finden lassen. Crackern öffnen sich ganz neue Horizonte: Das neue Ziel sind keine Einzel-PCs mehr, sondern die zentralen Server für SRL, DRL und HCL. Wer zuerst den Palladium-Bootloader auf die schwarze Liste setzt, legt Millionen von PCs lahm und geht in die Geschichte ein.

Ausgerechnet Microsoft hat in der Vergangenheit wenig Glück mit Zertifikaten gehabt: Im vergangenen Jahr hatte der Betriebssytem-Gigant vergessen, die Server-Zertifikate für den Passport-Server zu erneuern. Als es Mitte 2001 ablief, konnte sich niemand mehr bei MSN und Passport anmelden. Wenige Monate zuvor hatte das Unternehmen vor einem VeriSign-Zertifikat gewarnt, das sich ein Unbekannter auf den Namen ‘Microsoft Corporation’ erschlichen hatte. Solche Zertifikate sollen Internet-Nutzern beim Herunterladen von Dateien oder bei vertraulichen E-Mails garantieren, dass sich niemand zwischen Absender und Empfänger geschaltet hat - trügerische Sicherheit.

Sicherheitsexperten sehen zudem das Risiko, dass Anwender durch Palladium und TCPA noch weniger Rücksicht auf die Sicherheit ihrer Daten nehmen. In der Automobilbranche ist zu beobachten, dass eigentlich sinnvolle Sicherheitsmaßnahmen wie das Antiblockiersystem (ABS) und Airbags viele Leute zu riskanterem Fahren verleiten - das Auto passt ja auf. Palladium dürfte einen ähnlichen Effekt haben - wozu noch auf Sicherheit achten, wenn das Betriebssystem doch automatisch alle bösartigen Programme abwehrt.

Letztendlich ist es keine Frage, ob Palladium unterwandert wird, sondern nur, wann es passiert. Hard- und Software sind leider dafür bekannt, in den ersten Versionen reichlich Fehler zu enthalten. Warum sollte es ausgerechnet bei TCPA und Palladium anders sein? Der größte anzunehmende Unfall wäre hier ein Fehler in der TCPA-Hardware selbst, also dem Fritz-Chip. Für die Behebung einer solchen Panne müssten Prozessor oder Mainboard ausgetauscht werden - ein hoher finanzieller Aufwand.

Lizenzen

Apropos Austausch: Die stringenten Sicherheitsmaßnahmen besitzen einen für Microsoft sicherlich äußerst interessanten Nebeneffekt. Um Sicherheit zu garantieren, muss Palladium neben Dokumenten auch Programme anhand der Hardware- und Benutzer-ID verschlüsseln - zumindest teilweise. Damit wird die Software untrennbar an die Hardware gekoppelt (neudeutsch ‘verdongelt’) und lässt sich nicht mehr weiterverkaufen.

Will jemand jedoch seinen Palladium-PC mitsamt der Software verkaufen, löscht er logischerweise seine Schlüssel, damit der Nachbesitzer nicht unter seiner Identität arbeiten und seine Dateien lesen kann. Bis dahin ist das noch praktisch, doch bedeutet dies bei einem zu TCPA und Palladium konformen System ebenfalls, dass die installierte Software überhaupt nicht mehr läuft. Selbst wenn man es also von der Gesetzeslage her dürfte, kann man TCPA-kompatible Software nicht mehr weitergeben. Dies ginge nur über eine Seriennummernfreigabe, und davon ist im Standard bisher noch nichts zu finden. Unter dem Deckmäntelchen der besseren Sicherheit würden Microsoft und Co endlich erreichen, was ihre Lizenzvereinbarungen nicht geschafft haben: unübertragbare Software.

TCPA und Linux

Was wird unter der neuen Sicherheitsordnung aus Linux und der GNU-/GPL-Software? Wenn Microsoft sich durchsetzt, muss Linux wohl TCPA-kompatibel werden - sonst wird es plötzlich als ‘nicht sicher’ aus den Netzwerken verbannt.

Grundsätzlich dürfte es nicht schwer fallen, Linux an TCPA anzupassen. Das Problem dürften die darauf folgenden Kosten sein. Schätzungen zufolge kostet eine Zertifizierung bis zu sechsstellige Dollar-Beträge - pro Anwendung. Wie beziehungsweise wovon soll ein Open-Source-Entwickler das bezahlen?

Derweil hat Hewlett-Packard bereits mit der Entwicklung eines TCPA-konformen Linux begonnen. Der Schritt mag verwundern, doch der britische Sicherheitsexperte Ross Anderson hat dazu eine plausible Theorie auf Lager [7]: Durch TCPA und Palladium ließe sich mit Linux plötzlich richtig Geld verdienen. Dazu macht ein Unternehmen ein GPL-Programm zunächst TCPA-konform und reicht es dann zur Zertifizierung ein. Den Quellcode muss das Unternehmen dabei zwar zum freien Download anbieten, doch lässt sich dieser auf TCPA-konformer Hardware erst mit einer gültigen Signatur für die Binärdateien und einem Zertifikat für den Benutzer starten. Anderson bezweifelt, dass etwa HP diese zwingenden Zusätze auf Dauer kostenlos verteilen wird.

Als Nebeneffekt würde damit die GPL zu Grabe getragen. Sobald die Mehrzahl der installierten Systeme TCPA-konform ist, kann die GPL nicht mehr nach dem Willen ihrer Schöpfer funktionieren, da die Software ja an eine kostenpflichtige Signatur gebunden wäre.

Bekannte Größen der Chip-Industrie wie Intel und AMD, aber auch Systemhersteller wie IBM, HP und Dell spielen bei TCPA und Palladium in der ersten Reihe mit. Der Grund liegt auf der Hand: Die Unternehmen versprechen sich vom neuen Konzept den Absatz neuer Rechnersysteme; bestehende Hardware lässt sich schließlich nicht auf TCPA aufrüsten. Nachdem die Bedeutung der Rechner-Performance immer weiter ins Hintertreffen gerät, soll das künftige Verkaufsargument ‘Sicherheit’ heißen.

Gerade Intel hat handfestes Interesse an TCPA und Palladium. Angesichts der Marktdominanz des Unternehmens kann es nur noch wachsen, wenn sich der Markt vergrößert. Dies klappt über den Verkauf neuer, ‘sicherer’ Prozessoren und durch den breiten Einstieg des Personalcomputer in den Unterhaltungsmarkt.

Die Entertainment-Industrie signalisiert bereits seit Jahren, wie wesentlich ihr die Sicherheit ihrer Werke ist - am liebsten wäre ihr, wenn sich Unterhaltungsmedien und -inhalte überhaupt nicht mehr kopieren ließen. TCPA und Palladium sind die Garanten, dass sich das zu diesem Zweck verwendete Digital Rights Management nicht aushebeln lässt. AMD scheint dasselbe Ziel vor Augen zu haben und ist sogar etwas eher auf den TCPA-Zug aufgesprungen als Intel.

Am 9. September kündigte Intel auf dem Intel Developer Forum (IDF) das LaGrande-Projekt offiziell für alle Produkte an. Bei LaGrande handelt es sich um nichts anderes als TCPA-konforme Prozessoren und Chipsätze. Damit hat der Fritz-Chip den Weg in die kommende PC-Generation geschafft. Die Buchstaben ‘TCPA’ erwähnte Paul Otellini, der President und Chief Operating Officer von Intel, in seiner Keynote jedoch kein einziges Mal. Als Beispiel für ein Zielsystem nannte er vielmehr ausschließlich Palladium.

Ausblick

Die Bewertung der TCPA-Initiative und Palladium fällt nicht leicht - zumal noch unklar ist, wie stark sich DRM-Verfahren in Zukunft auf die neuen Möglichkeiten stützen werden.

Ausgerechnet Microsoft stellt sich jetzt als große vertrauenswürdige Autorität dar. Dabei sind die diversen Windows-Versionen die mit Abstand am häufigsten von Sicherheitslöchern, Viren und Hintertüren geplagten Systeme am Markt - dies lässt sich nicht allein durch deren große Verbreitung erklären.

Mit Palladium soll jetzt auf einen Schlag alles anders werden; vollmundig verspricht Microsoft die absolute Sicherheit für den Anwender. Mit Digital Rights Management hat das System angeblich gar nichts zu tun (siehe auch Kasten ‘Hacker meldet Palladium-Patente an’).

Möglicherweise sind die Palladium-Entwicker selbst tatsächlich von der Tugend ihres Werks überzeugt. Doch Microsofts PR-Abteilung weiß erwiesenermaßen kreativ mit Realität und Wahrheit umzugehen - man denke nur an das Gerangel darum, ob Windows ohne Internet Explorer überhaupt laufe.


weiter lesen ...

Quelle
 
Oben