Windows 8: Trusted Platform Module als virtuelle SmartCard

Anfang des Jahrtausends wurde das Trusted Platform Module (TPM) der ehemaligen TCPA und heutigen Trusted Computing Group (TCG) noch heiß diskutiert, mittlerweile ist die Technik weit verbreitet – allerdings nicht in Desktop-PCs und Notebooks für Privatleute (Consumer), sondern fast ausschließlich in Bürocomputern und Business-Notebooks mit Intels Q- beziehungsweise vPro-Chipsätzen. Stand der Technik ist noch immer das TPM 1.2, welches Windows seit Vista zur Absicherung der BitLocker-Festplatten-Vollverschlüsselung nutzt – und das auch nur optional, alternativ reicht ein USB-Stick. Mit TCG Opal steht auch eine Spezifikation bereit, mit der sich die Hardware-Vollverschlüsselung von Festplatten (Self-Encrypting Drives/SEDs) an das TPM auf dem Mainboard binden lässt, aber dabei muss auch dessen (UEFI-)Firmware mitspielen: Das lässt sich also nicht bei beliebigen PCs nachrüsten.

Mit Windows 8 will Microsoft nun das TPM stärker einbinden und erwähnt auch Pläne in Bezug auf das bisher als TPM.next diskutierte (PDF-Datei) TPM 2.0. Dessen Spezifikation steht aber wohl noch nicht fest. Windows 8 soll jedenfalls TPM-1.2- oder TPM-2.0-kompatible Chips – und wohl auch integrierte Lösungen – deutlich stärker einbinden als Windows 7 und Vista. Das geht beim Systemstart los: UEFI Secure Boot kommt grundsätzlich zwar ohne TPM aus, aber sofern eines vorhanden ist, kann das System die Signaturen der UEFI-Firmware selbst, des Bootloaders (winload.efi), des Kernels und spezieller Early-Launch-Anti-Malware-(ELAM-)Treiber anhand der im TPM gespeicherten Schlüssel prüfen. Microsoft spricht von Measured Boot. Auch das ELAM-Konzept ist neu in Windows 8: Noch vor dem eigentlichen Systemstart können Prüfroutinen starten, die beispielsweise Rootkits suchen. Intel wiederum plant in Kooperation mit der zugekauften Sparte McAfee, mit Deepsafe auf vPro-PCs endlich das Konzept der parallel zum Betriebssystem als virtuelle Maschinen laufenden Netzwerkscanner umzusetzen.

Auch nach dem Start sollen sich unter Windows 8 nun TPM-Funktionen nutzen lassen. So soll ein Windows-Assistent bei der Inbetriebnahme des TPM helfen; bisher war dazu andere Software nötig. Per BitLocker Network Unlock lässt sich beispielsweise die Festplattenverschlüsselung im Netzwerk automatisch freischalten, wenn ein Windows-8-Server als DHCP-Server läuft. Außerhalb des Firmennetzes muss der Nutzer dann BitLocker wie üblich mit einem Passwort bedienen – bei einem Gerätediebstahl sind die Daten auf der Festplatte also geschützt, sofern sich der Rechner nicht mit dem Firmennetz verbinden kann. Das TPM soll sich künftig auch als Zertifikatsspeicher nutzen lassen sowie als virtuelle SmartCard.

Die TPM-Funktionen zielen vor allem auf Firmenkunden, die Microsoft mit Zusatzfunktionen von den Windows-Vorzügen überzeugen will. (ciw)