19C3: HP-Forscher wirbt für Allianz von Open-Source-Bewegung und TCPA

Dirk Kuhlmann, Forscher an den HP Labs im englischen Bristol, sieht die Trusted Platform Computing Alliance (TCPA) und die freie Software-Bewegung nicht -- wie bislang allgemein angenommen -- als Kontrapunkte. Auf dem 19. Chaos Communication Congress (19C3) in Berlin erklärte der Forscher, dass man die Kernspezifikation für eine "sicherere", stärker reglementierte Rechnerarchitektur selbst mit der GNU General Public License (GPL), dem strategischen Mittelpunkt zahlreicher Free-Software-Projekte, zusammenbringen könne, ja sogar müsse. "Was hindert uns daran", fragte Kuhlmann die erstaunte Hackergemeinde, "TCPA unter der GPL zu publizieren?"

Die auf dem Congress geäußerte Kritik an den Standardisierungsbemühungen der Größen der Computerindustrie, dass mit dem "Trusted Computing Module" (TCM) eine unkontrollierbare Black Box in die Rechner der Welt wandere, hält der Vertreter Hewlett-Packards teilweise für berechtigt. Es gebe wirklich zunächst wenig Anlass, dem Chip und seinen Programmierschnittstellen Vertrauen entgegen zu bringen. Andererseits wolle die Industrie mit dem TCM endlich einen "Induktionsanker" werfen, einen Punkt im Computer schaffen, an dem "Vertrauenswürdigkeit" aufzuhängen sei. Es müsse einen sicheren Kern geben, der sicher ist und von dem aus die anderen Rechnerbestandteile und die verwendete Software induktiv auf Zuverlässigkeit überprüft werden könnte. Das erfordere vor allem das Eindringen von Chips im Rahmen des "Ubiquitous" oder "Pervasive Computing" in alle möglichen Alltagsgeräte, die damit zu Kommunikationsmaschinen würden.

Doch wie kann der Benutzer sicher sein, dass das entwickelte Messsystem nicht als Spion fungiert? "Das ist mittelbar nur in Verbindung mit offener Software zu realisieren", sagte Kuhlmann. 95 Prozent der Computerkäufer würden sich zwar eh auf die offiziellen TCPA-Zertifikate verlassen "und sich notfalls vor Gericht auf eine solche Vertrauenszusage berufen". Andere, weiß der langjährige Stammbesucher des Stelldicheins der Hackerszene, seien erst glücklich, wenn sie die Abläufe selbst analysieren könnten. Für Kuhlmann ist daher klar: "Der Code muss demokratisch geprüft werden können und öffentlich zugänglich sein". Die GPL sei dazu das beste Mittel. Die Open-Source-Freaks unter den Computerexperten forderte der Forscher auf, sich nicht auf Nebenkriegsschauplätze rund um das durchs TCM auch ermöglichte Digital Rights Management (DRM) oder in einen Stellungskampf mit Microsofts Palladium-Software zu verlieren. Sie sollten lieber aktiv "über das Schreiben vertrauenswürdiger Software im Rahmen der TCPA nachdenken".

Die Reaktionen im Publikum auf das Werben waren allerdings verhalten. "Die Philosophie der GPL bedeutet nicht nur, dass man in den Code schauen darf", erklärte Andreas Bogk vom Chaos Computer Club (CCC). Genauso wichtig sei es auch, Fehler zu korrigieren und neue Versionen einer Software einsetzen zu dürfen. Die TCPA würde es aber sicher nicht gern sehen, wenn Sicherheitsexperten ihre eigenen Features in die Plattform einbauen würden. Den Programmierern freier Software gehe andererseits jegliche Funktionalität verloren, wenn sie erst auf Sicherheits-Updates von HP warten müssten. Einblicke in ein Zertifizierungsverfahren, gab ferner CCC-Veteran Felix von Leitner zu Bedenken, könnten nicht beweisen, dass Software sicher sei. Zertifikate würden letztlich nur besagen, dass nichts an einer Technik verändert wurde. (Stefan Krempl) / (se)