21C3: Hacker fürchten Orwellsche Zensurmöglichkeiten durch Trusted Computing

Der Chaos Computer Club (CCC) sieht seine prinzipiellen Bedenken gegen Trusted Computing nach wie vor nicht ausgeräumt und legt mit neuer Detailkritik nach. Die von der Industrie vorangetriebene "Sicherheitstechnologie" eröffne weiterhin "Orwellsche Zensurmöglichkeiten", führte der Amsterdamer Kryptoforscher Rüdiger Weis am heutigen Dienstag auf dem 21. Chaos Communication Congress in Berlin aus. "Man kann nicht Musik schützen wollen und dann auf freien Informationsfluss in China drängen." So könnte die chinesische Regierung etwa mithilfe von Trusted-Computing-Komponenten verhindern, dass auf den damit ausgerüsteten Rechnern noch der Begriff "Dalai Lama" auftauche. Eine besondere Aktualität habe diese Befürchtung erhalten, betont Weis, seitdem IBM als einer der Hauptinitiatoren der hinter den Industriebemühungen stehenden Trusted Computing Group (TCG) sein PC-Geschäft an den chinesischern Computerhersteller Lenovo verkauft hat.

Ihre Kritik richten die Hacker so nach wie vor auf die mögliche Koppelung von Systemen zum Digital Rights Management (DRM) – Restriction Management im Hackerjargon – mit Trusted Computing. Diese Kombination kann laut Weis zu "absoluten Albtraumszenarien" führen, da DRM und Zensur für ihn "Siamesische Zwillinge" sind. Bedenklich findet der Verschlüsselungsexperte in diesem Zusammenhang auch, dass IBM seit Kurzem Trusted-Computing-Mechanismen in "hochintegrierte Bausteine" des Rechners einbaut. Zudem seien Trusted-Mode-Schnittstellen zu "sicheren" USB-Eingabegeräten sowie zu sonstiger Peripherie in Arbeit. Der CCC verweist hier auf die von ihm sehr begrüßte Stellungnahme der Bundesregierung zu den Sicherheitsbemühungen der Computerwirtschaft. Demnach sollen die eigentlichen Security-Mechanismen "in einem separaten Baustein", dem Trusted Platform Module (TPM), gebündelt werden. Alles andere erscheint der Regierung als zu intransparent.

Zusammenfassend hat die TCG im vergangenen Jahr laut Weis neben der Beibehaltung der Zensurmöglichkeiten neue Probleme in den Bereichen Patent- und Kartellrecht sowie letztlich zusätzliche Ansätze für eine "neue Blackbox" geschaffen. Völlig unverständlich ist dem Hacker, dass die TCG weiterhin die von der Electronic Frontier Foundation (EFF) ins Spiel gebrachte Funktion des "Owner Override" mit fadenscheinigen Argumenten ablehnt. Mit dem Feature könnte der Besitzer eines Rechners Weis zufolge "auf dumme, unanständige Anfragen" nach dem Motto "Benutzt du einen Internet Explorer?" trotz des Einsatzes eines anderen Webnavigationsmittels "dumme Antworten" geben und den gewünschten Browsertyp gleichsam simulieren. Der Industrie ist das aber zu heikel. Die Funktion könnte es einer Bank ermöglichen, so die Gegenargumentation, ein fehlerhaftes System als korrekt zu attestieren oder gar selbst einen "Owner Override" zu verwenden. Für die Hacker wäre die TCG dagegen mit der Anerkennung der grundsätzlichen Nutzerrechte alle ihre Probleme wie eine befürchtete Marktabschottung und Konkurrenzausschaltung los.

Einige Schritte in richtige Richtung hat die TCG mit ihrer fortschrittlichen und um Datenschutz bemühten Krypto-Implementation allerdings den Hackern zufolge gemacht. Dass man das gesamte Verschlüsselungssystem beispielsweise an einem eigenen Wurzelschlüssel aufhängen kann, ist für Weis unerlässlich für Trusted-Computing-Systeme in einer Zeit "verheerender Sicherheit" in der Informationstechnik. Allerdings hat der Forscher in der Standard-Spezifikation TCG 1.2 noch einige rein handwerkliche mathematische Fehler ausgemacht, die dringend zu verbessern seien. Ferner sollte das Konsortium seiner Ansicht nach "korrupte" Signaturkomponenten wie SHA1 oder MD5 alsbald ersetzen. (Stefan Krempl) / (hos)