Sicherheit leichtgemacht

c't: Welchen Nutzen werden Endanwender aus Trustworthy Computing ziehen?

Stephen Heil: Die entscheidenden Vorteile für Anwender werden Systeme sein, die stabiler und vorhersehbarer sind, insbesondere in den Bereichen des Datenzugriffs -- ob das jetzt ein Virus ist, der keinen Zugang haben soll oder nur bessere Kontrolle über den Zugriff auf persönliche Daten.

Eines der Haupt-Features von NGSCB liegt im stärkeren Schutz von Daten, einschließlich persönlicher oder vertraulicher Informationen. Wir sind auch der Meinung, dass die Privatsphäre von Anwendern sehr davon profitiert, wenn Anwendungen so angepasst werden, dass deren neue Funktionen die privaten Daten der Anwender schützen.

c't: Können Sie ein paar konkrete Einsatzzwecke für Trustworthy Computing nennen?

Mehr Infos

NGSCB in Stichworten

• zunächst als Palladium bekannt gewordene Erweiterung für die nächste Windows-Version ("Longhorn")
• baut auf einem TPM auf (Sicherheitsmodul der TCG)
• abgeschotteter Sicherheitsbereich, der getrennt vom Hauptsystem gestartet und beendet werden kann (Nexus Mode)
• führt sichere Anwendungen (NCA, Nexus Computing Agents) mit absolutem Speicherschutz aus
• benötigt zahlreiche Hardware-Anpassungen, darunter Tastaturen und Grafikkarten mit gesicherten Ein- und Ausgabekanälen (Secure Input, Secure Video) sowie um ein Sicherheits-Flag erweiterte Prozessoren
• voraussichtliches Erscheinungsdatum: 2006
• siehe auch Übersicht

Heil: Im Anfangsstadium werden wir zunächst sichere Plug-ins für Anwendungen sehen. Es könnte beispielsweise ein Word-Plug-in geben, das sichere digitale Signaturen erzeugt. Eine der Vorführungen mit frühen Prototypen der Soft- und Hardware war gesichertes Instant Messaging (IM), wo die Informationen aus einer IM-Sitzung nicht ausgespäht werden konnten.

Andere Umsetzungen könnten einen gesicherten Zugriff auf Dokumente und E-Mail in einer Umgebung bieten, die nicht über einen Angriff auf den Grafikspeicher oder über einen Print Screen kompromittiert werden kann.

c't: Microsoft hat erklärt, dass man den Nexus-Quelltext für Dritte zugänglich machen würde, damit sie dessen Sicherheit inspizieren können. Ist das immer noch geplant?

Heil: Ja. Wir arbeiten noch an einem Verfahren, das diese Überprüfung ermöglicht.

c't: NGSCB soll nicht nur mit dem Microsoft-Nexus laufen, sondern auch mit denen von anderen Herstellern. Wird Microsoft Dritten Werkzeuge zur Erstellung eines eigenen Nexus anbieten oder müssen diese ihren Code von Grund auf neu schreiben?

Heil: Die Logistik dafür muss zwar noch aufgebaut werden, aber das wird durchaus möglich sein. Wir werden APIs anbieten, auf deren Basis andere Leute Code entwickeln können. Die genauen Werkzeuge sind allerdings noch nicht definiert.

c't: Tragen Hardware-Hersteller zur Spezifikation bei?

Heil: Das ist ein sehr interaktiver Prozess, da sich die Umsetzungen der Hersteller stark voneinander unterscheiden und wir die Anforderungen des NGSCB-Sicherheitsmodells auf diese Implementierungen übertragen müssen. Ein gutes Beispiel ist die TCG, wo wir gerade die TPM-Spezifikation**1.2 abgeschlossen haben. Das schloss viel Austausch zwischen unterschiedlichen Unternehmen ein, die Anforderungen für ihre Plattformen oder in unserem Fall das Betriebssystem eingebracht haben, um dann in einem offenen Dialog mit den TPM-Herstellern eine vernünftige Balance zu erzielen, die sich in der Hardware umsetzen lässt.

c't: Wie sieht es mit den darüber hinaus von NGSCB benötigten Funktionen aus?

Heil: Viele der Dinge außerhalb der TCG entwickeln sich aus Anforderungen heraus. In unserem Fall definieren wir Voraussetzungen zur Erhaltung unseres Sicherheitsmodells. So würden wir beispielsweise bei "Secure Input" [sicheren Eingabegeräten, d.R.] bestimmte Verhalten festlegen, die von der Hardware-Umsetzung geboten werden müssen. Die tatsächliche Bauweise der Hardware schreiben wir nicht allzusehr vor, nur das Verhalten.

c't: Wie sehen Microsofts Ziele innerhalb der TCG aus?

Heil: Zunächst einmal wollten wir TPM**1.2 fixieren, damit wir von einer gesicherten Umgebung ausgehen können. Wir nehmen auch an Anstrengungen zu sicheren Profilen und Zertifikat-Formaten zum Einsatz in der Infrastruktur teil.

c't: NGSCB wird sichere Agenten in einem separaten Speicherbereich namens "Rechte Seite" verwalten, die sich weder überwachen noch im Betrieb debuggen lässt. Wie können Anwender sichergehen, dass ein Agent nicht schädlich ist?

Heil: Da jeder Nexus Computing Agent (NCA) in seiner eigenen geschützten Umgebung läuft, würde sich der potenzielle Schaden auf seine eigene unmittelbare Umgebung beschränken.

c't: Verhindern irgendwelche Mechanismen, dass eine auf der rechten Seite laufende Anwendung auf der linken Seite Schaden anrichtet?

Heil: Es gibt keine konkreten Mechanismen, um dies zu verhindern, aber es gibt nur einen beschränkten Vorrat an APIs, die die Grenze zwischen der linken und rechten Seite übertreten können. Es wäre sicherlich möglich, einen Virus auf der rechten Seite zu bauen, der Probleme auf der linken Seite verursachen wird. Aber Anwender können jederzeit feststellen, was auf der rechten Seite läuft.

c't: Haben Anwender irgendeine Möglichkeit festzustellen, ob ein NCA schädlich ist?

Heil: Niemand wird Leuten sagen, wem sie vertrauen sollen oder nicht. Möglicherweise wenden sie sich dafür an Dritte. Vielleicht verifiziert man anhand einer vertrauenswürdigen Instanz, dass eine bestimmte Anwendung nichts schlechtes tut.

c't: Viele machen sich Sorgen darüber, ob NGSCB auf einer tiefgreifenderen Ebene Software und Inhalte an eine Plattform binden wird. Wäre es möglich, NGSCB so zu entwickeln, dass Digital Rights Management (DRM) erschwert würde?

Heil: Es ist ein Unterschied, ob man Agenten daran hindert, das Sicherheitsmodell zu brechen oder das, was Sie beschreiben. Zur Verhinderung von DRM müsste es eine entsprechende Systemrichtlinie geben. Das wäre, als ob man ein Betriebssystem so entwickelt, dass es keine Textverarbeitungen mehr ausführt.

Bei NGSCB geht es darum, einen Satz an Grundlagen zu konstruieren -- Sicherheitstechnologien, die jede Anwendung benutzen kann. Die grundsätzlichen Verschlüsselungs- und Authentifizierungs-Technologien zur Erzeugung eines sicheren Ordners für Ihre privaten Informationen sind dieselben, die bei DRM oder anderen Systemen mit begrenztem Zugriff verwendet werden.

c't: Wird NGSCB mit Rights Management Services (RMS) zusammenwachsen, Microsofts System zur Zugangskontrolle für Dokumente?

Heil: Beide Technologien werden parallel entwickelt. Rights Management Technologies suchen stets nach sichereren Wegen, um Dinge zu erledigen; NGSCB baut nur Sicherheitstechnologie. Es gibt keinen Grund, warum DRM, Zugriffskontrollen oder SmartCard-geschützte Anwendungen künftig nicht NGSCB nutzen sollten.

c't: Vielleicht sollte DRM unter diesen Bedingungen unter staatliche Richtlinien fallen, die Herstellern verbieten, per DRM bestimmte Dinge zu unterbinden?

Heil: DRM ermöglicht es Leuten, Daten einer Nutzungsrichtlinie zu unterwerfen. In einem Land, in dem Leute Garantien wie Fair Use haben, würde die Richtlinie entsprechend konzipiert werden. Das hängt aber wirklich von lokalen Gesetzen und den mit dem Inhalt verbundenen Richtlinien ab.

So wissen wir beispielsweise, dass "Fair Use"-Bestimmungen in jedem Land anders sind. Die Technologie kann parallel dazu reifen. Alle Firmen im Technologie-Sektor werden sich stets an die Gesetze im jeweiligen Markt halten. Wenn die Gesetzgebung von ihnen die Freigabe von Kopien verlangt, wird die Technologie das auch erlauben.

c't: Wird es dann eine Möglichkeit geben, Richtlinien innerhalb NGSCB zu überlagern? Wenn beispielsweise der Hersteller seinen Inhalt mit bestimmten Auflagen versehen hat, die aber örtliche Gesetzen widersprechen, würde NGSCB die Richtlinie des Landes oder die Herstellers durchsetzen?

Heil: Ich glaube beides, aber das hängt wirklich vom Fall ab. Es ist klar, dass wir im Gesetzesrahmen handeln müssen. Die Richtlinien werden auf Gesetzen aufbauen und müssen sich an Änderungen der Rechtslage anpassen. NGSCB selbst wird nur überprüfen, ob eine geforderte Aktion von der geltenden Richtlinie abgedeckt wird.

c't: Oft ergeben sich Sicherheitsprobleme daraus, dass Anwender nicht verstehen, welche Entscheidungen sie treffen. Wie planen Sie sicherzustellen, dass Leute die von ihnen getroffenen Richtlinienentscheidungen verstehen und nicht nur auf "OK" klicken?

Heil: Das ist eine anhaltende Herausforderung. Wir strengen uns sehr an, die Bedienoberfläche festzulegen, über die Anwender allgemein mit Windows und mit NGSCB interagieren. Wenn wir die Oberfläche definieren, werden wir Tests mit Benutzern durchführen um sicherzustellen, dass wir ihnen die Kontrolle über die Ausführung von Richtlinien vereinfachen. Wir bemühen uns wirklich, den Anwender nicht zu verwirren.

Wir sind uns darüber im Klaren, dass viele Sicherheitsfunktionen aus Bequemlichkeit nicht verwendet werden, oder weil der Anwender nicht versteht, wie er mit der Funktion umgehen soll. Es ist einfach bequemer, sich mit einem alten Passwort am Computer anzumelden, aber für die Sicherheit ist das nicht der richtige Weg. Dafür müssen wir in unserer Produktentwicklung in den nächsten Jahren ein Gleichgewicht finden.

c't: Muss Microsoft die Anwender erst erziehen, bevor man ihnen NGSCB gibt?

Heil: Im Sicherheitsbereich findet wirklich eine anhaltende Erziehung der Anwender statt. Wir haben versucht, in diesem Bereich wesentlich aktiver zu werden -- nicht nur mit Anwendern, sondern auch bei Unternehmen. Administratoren müssen sich besser darüber im Klaren sein, wie man Richtlinien für einen Rechner festlegt, wie man Sicherheitsfunktionen konfiguriert und starke Kennwörter auswählt. Wir tun immer mehr, um die Anwender darüber aufzuklären, wie man die vorhandenen Sicherheitsfunktionen verwendet.

c't: Wird Microsoft es Entwicklern erschweren, sicherheitstechnisch schlechte Anwendungen zu schreiben?

Heil: Unser Ziel besteht darin, eine starke Umgebung zu schaffen, aber nicht den Anwendungsentwicklern Richtlinien aufzuzwingen. Wir wollen eine offene Umgebung erhalten, in der Entwickler Neues schaffen und auf der sie neue sichere Anwendungen aufbauen können. Wir werden beispielsweise keinen Zertifizierungsprozess einführen. Entwickler werden Microsoft ihre Anwendungen nicht aushändigen müssen, bevor sie im sicheren Bereich laufen dürfen. (ju)