Dem Besitzer mehr Kontrolle

c't: "Mehr Sicherheit am PC" klingt doch eigentlich wie ein löbliches Vorhaben. Welche Probleme haben Sie mit Trusted Computing?

Rüdiger Weis: Es bleibt dabei unklar, ob nicht eines der Haupt-Design-Kriterien ist, dass der Computer zugunsten von Dienstanbietern vor dem eigentlichen Besitzer beschützt werden solle.

c't: Die TCG und Microsoft sagen, dass DRM nicht das primäre Ziel sei.

Weis: Es gab da Inkonsistenzen in den offiziellen Stellungnahmen und interne Angaben, dass es sehr wohl eine zentrale Design-Frage war. Einige Sachen machen eigentlich nur Sinn, wenn man sie in diesem Umfeld einsetzt.

Mehr Infos

Der CCC in Stichworten

• seit 1981 für den Datenschutz aktiv
• überreichte der TCG auf der CeBIT 2003 einen Katalog mit vier Forderungen :
1. komplette Kontrolle über alle Schlüssel durch den Anwender
2. Spezifikation muss frei von verborgenen Kanälen sein, über die Geheimnisse nach außen dringen könnten
3. Möglichkeit zum Transfer aller Schlüssel auf einen anderen Rechner
4. transparente Zertifizierungsmechanismen
• stellt sich hinter die Forderung der EFF (Electronic Frontier Foundation) nach einem "Owner Override"
• Owner Override: Besitzer des PCs kann Anfragen zum Systemstatus mit einer anderen Konfiguration beantworten
• siehe auch Übersicht

Ganz zentral in diesem Bereich ist die so genannte Remote Attestation. Sie dient dazu, dass externe Anbieter Informationen über den Zustand eines Computersystems beziehen können. Hier könnte der von der EFF vorgeschlagene Owner Override interessant sein.

In einigen Bereichen ist dieses System wirklich das Ei des Kolumbus. Der Besitzer könnte eine Manipulation durch Computer-Viren erkennen und hätte praktisch alle Sicherheitsgewinne. Dafür kann er sich gegen Anbieter wehren, die eine kundenunfreundliche Politik betreiben. Hier wird sich zeigen, ob für die TCG die Interessen der Computer-Besitzer zentral sind oder die der relativ kleinen Musik- und Filmindustrie.

c't: Gibt es denn über die DRM-Problematik hinaus Probleme mit der TCG?

Weis: Neben der Gefährdung des Wettbewerbs gehört zu den Kernproblemen die Gefährdung der Möglichkeit, interoperable Software wie Samba zu entwickeln. Es wird auch darüber diskutiert, wie vertrauenswürdig die Hersteller sind und unter welche Gesetzgebung sie fallen. Sollte beispielsweise die US-Regierung entscheiden, dass die Hersteller in jedes Computersystem eine Hintertür einbauen müssen, können sie sich dagegen schlecht wehren.

c't: Aber die TCG legt ihre Spezifikation ja offen. Wenn darin ein Sicherheitsloch steckte, würde es für jeden Kryptologen erkenntlich sein.

Weis: Das ist wiederum eine Vertrauensfrage. Es ist durchaus zu begrüßen, dass die TCG auf die Kritik an der fehlenden Hardware-Sicherheit eingegangen ist und jetzt eine Einhaltung von FIPS 140-2 verlangt, einer Hardware-Spezifikation des National Institute for Standards. Aber wer überprüft die Hardware-Sicherheit und die ordentliche Umsetzung der Spezifikation?

c't: Die TPM-Spezifikation 1.2 bietet ja auch eine Option, den Endorsement Key zu löschen. Ist das ein gutes Zeichen?

Weis: Die neuen TCG-Vorschläge lösen durchaus gemischte Gefühle aus. Es ist gut, dass der Endorsement Key löschbar ist. So kann man sich beispielsweise einer anderen Trust-Infrastruktur anschließen. Allerdings ist das nicht allzu einfach möglich und für Privatanwender nicht besonders attraktiv. Es bleibt bei unserer alten Forderung, dass ein voller Zugriff auf die Schlüssel möglich sein muss. Für eine feinere Granularität wäre der Owner Override eine interessante Möglichkeit.

c't: Was würde Owner Override in Unternehmen bringen, wo Benutzer und Besitzer nicht identisch sind?

Weis: In einer Firmenumgebung bedeutet Owner Override, dass nur die Firma oder Geschäftsleitung in der Präsentation nach außen Änderungen durchsetzen kann. In diesem konkreten Fall würde sich für den Anwender wenig ändern.

Aber wenn ich mir einen Privatrechner kaufe, will ich auch die Kontrolle über meine Hardware behalten. Bei einem Firmenrechner habe ich möglicherweise andere Richtlinien. Das ist ja normal, dass man in einer Firma nicht berechtigt ist, Geschäftsgeheimnisse herauszumailen. Insofern wünsche ich mir in diesem Bereich zwar nicht unbedingt Beschränkungen, habe aber zumindest ein höheres Verständnis dafür.

Am Rande bemerkt: Microsoft behauptet ja, dass die geplante Absicherung der Bildschirmausgabe nichts damit zu tun hat, dass man Leuten das Kopieren von digitalen Daten verleiden wolle. Es gehe vielmehr um Industriespionage, beispielsweise über Screenshots. Führt man sich dabei die Tatsache vor Augen, dass die Hälfte aller neuen Handys eine Kamera besitzt, erkennt man doch, dass dies eine konstruierte Schutzbehauptung ist. Es geht definitiv um den Schutz digitaler Inhalte.

c't: Doch was ist eigentlich so verkehrt an DRM? Wenn Anbieter ein legitimes Interesse am Schutz ihrer Inhalte vor Duplizierung und unsachgemäßer Nutzung haben, sollten sie dem doch einen technischen Riegel vorschieben dürfen.

Weis: Ich sehe das aus der Perspektive des Wissenschaftlers: Ich erinnere mich an die Zeit, als man in dunklen Bibliothekskellern nach Büchern suchen und bei Professoren um Publikationen betteln musste. Offene Netze haben dann zu einer Wissensexplosion geführt. Für mich sind die offenen Netze die wichtigste Kulturtechnik seit der Erfindung des Buchdrucks.

Die Leute, die Digital Restrictions Management einführen wollen, gefährden die Offenheit des Netzes. Es ist ja nicht nur so, dass hier ein faires Urheberrecht zum Tragen kommt. In den USA wird das Urheberrecht ständig verlängert. So werden ganze Kulturgüter wegpatentiert und eingezogen, was die Wissenschaft massiv behindert.

Es gibt hier eine kleine Musikindustrie, die bisher unfähig war, auf Kundenwünsche einzugehen. Der Grad ihrer Unfähigkeit lässt sich am Erfolg von Apple iTunes erkennen. Und diese kleine, erfolglose Industrie gefährdet jetzt die gesamte Wissensgesellschaft.

c't: Sie sehen also im ganzen Trusted Computing nur eine Bemühung der Musikindustrie, Raubkopien von Britney Spears zu verhindern?

Weis: Gegen Computer-Würmer hilft Trusted Computing jedenfalls nicht -- und die stellen im Moment die Hauptgefährdung dar. Bei Microsofts NGSCB bedeutet der Umstand, dass die alten Programme weiterlaufen müssen, dass auch die alten Viren weiterlaufen werden.

Deshalb hört man von den TCG-Vertretern auch keine Business Cases außerhalb von Digital Restrictions Management. Ich meine, dass man die meisten der geplanten Sicherheitsmaßnahmen schon heute mit Smartcard-Protokollen durchführen kann.

c't: Ihr Hauptproblem mit Trusted Computing liegt also darin, dass immer noch nicht ausgeschlossen ist, dass es durch die Unterhaltungsindustrie missbraucht wird.

Weis: Sehr respektable Leute der Trusted Computing Group formulieren das so, dass es richtlinienneutral sei. Das bedeutet aber, dass sich auch auch schlechte Richtlinien durchsetzen lassen. Aber schon heute sind einige Microsoft-Lizenzen außerhalb der USA schlicht und einfach lächerlich.

c't: Sie werfen immer wieder die TCG und Microsoft in einen Topf.

Weis: Es gibt bei der TCG hochanständige Leute, die bestreiten, dass es bei Trusted Computing in der Hauptsache um das neue Windows-Betriebssystem geht. Da es aber eine neunzigprozentige Marktdurchdringung hat, muss man diese Aspekte auch zusammen betrachten.

c't: IBM hat ein starkes Interesse daran, ein TCG-taugliches Linux zu produzieren. Da könnte man ja alle Probleme vermeiden, die in einem TCG-Windows drinstecken.

Weis: Hier ergeben sich zwei Hauptprobleme. Zum einen gibt es in diesem Bereich einen ganzen Haufen Patente. Das erschwert die Interoperabilität. Zum anderen bedeutet GPL-Software, dass die Software von Leuten verändert und weiterentwickelt wird, die dafür in der Regel kein Geld nehmen. In einer sicheren Umgebung sollte man aber nur sichere Programme laufen lassen. Hier sollte man also mit Zertifikaten arbeiten, mit unterschriebenem Code. Jede Änderung am Programm macht aber die Unterschrift ungültig.

c't: Das ist doch aber gar nicht verkehrt. Nur so werde ich doch darauf aufmerksam gemacht, dass sich etwas geändert hat.

Weis: Das ist durchaus richtig. Insofern war ich auch etwas erstaunt, dass die Trusted Computing Group immer gesagt hat, man bräuchte keine Zertifikation von Software. Doch bei einer sicheren Umgebung muss man irgendwie dafür sorgen, dass Programme keinen Schabernack treiben. Für die offene Entwicklung von Software kann das aber einige Probleme aufwerfen.

c't: Künftig sollen die Leute selbst vor der Installation einer sicheren Anwendung entscheiden, ob sie ihrem Anbieter vertrauen. Damit setzt der Besitzer des Rechners dessen Sicherheitsrichtlinie. Weder Microsoft noch die TCG wollen Zertifikate für Anwendungen ausstellen.

Weis: Nein, es wurde sogar vorgeschlagen, dass das die katholische Kirche machen sollte. Es gibt durchaus Meinungen, dass der Produzent einer Sache die dafür geltenden Richtlinien selbst bestimmen dürfen soll. Das ist natürlich nirgends der Fall. So muss man sich beispielsweise an rechtsstaatliche Regeln halten. Es gibt das Interesse von Firmen und Interessen der Gemeinschaft, die vernünftig gegeneinander abgewogen werden müssen.

Immerhin hat die TCG dafür gesorgt, dass einige Funktionen des TPM erhalten bleiben, selbst wenn man den Endorsement Key löscht -- das begrüße ich ausdrücklich.

c't: Aber der Endorsement Key ist doch ein Nebenschauplatz; im derzeitigen Stadium bringt das dem Anwender überhaupt nichts. Danach hat man nur einen Rechner, der sich nicht mehr authentifizieren kann.

Weis: Man müsste dann andere Strukturen aufbauen. Man kann durchaus diskutieren, ob man in ein System nicht mehrere Endorsement Keys einbaut. Da bin ich etwas enttäuscht, wie wenig die Trusted Computing Group hier auf die Kritiker eingegangen ist.

c't: Die TCG will den Chip möglichst billig halten und auf Minimalanforderungen beschränken. Die Forderungen der Kritiker würden den Chip teurer machen und auf jeden Fall den Entwicklungsprozess verlängern.

Weis: Die TCPA war eine sehr große demokratisch verfasste Organisation mit relativ einfachen Mitwirkungsmöglichkeiten. Bei der Trusted Computing Group ist es dagegen sehr teuer, Mitglied zu werden. Bei den beratenden Mitgliedschaften ohne diese horrenden Kosten ist bisher enttäuschenderweise nichts passiert. So gibt es in der Spezifikation einige Unklarheiten, die hätten ausgeräumt werden können, wenn man sich vorher zusammengesetzt hätte.

c't: Wenn die TCG die kostenfreien Zugangsmöglichkeiten anbietet, wären Sie dann interessiert?

Weis: Ich bin zum Dialog bereit, auch sehr viele andere Leute in unserem Bereich. Es ist ja nicht so, dass die TCG kein zentrales Problem adressieren würde.

c't: Die Trusted Computing Group will erst einmal ein Grundgerüst für Sicherheit schaffen. Ist das nicht ein erstrebenswertes Ziel?

Weis: Sicher. Das Problem ist, die meisten Aufgaben kann man schon jetzt mit SmartCards besser und effektiver umsetzen.

c't: Eine Smartcard authentifiziert aber einen Anwender und keine Plattform. Die TCG will dagegen eine Plattform glaubwürdig oder vertrauenswürdig machen.

Weis: Ja, aber das macht im großen Stil eigentlich nur Sinn bei einem Business-Modell, in dem man etwa Musik pro Plattform verkauft. In den meisten Situationen ist eine Plattformauthentifikation weniger relevant als die Authentifikation des Anwenders. Einige Strategien von Trusted Computing gehen ja auf Militärarbeiten vom Anfang der siebziger Jahre zurück. Doch selbst in den Militärbereichen ist Plattformautentifizierung nicht weit verbreitet, im Gegenteil.

c't: Aber ein Betriebssystem, in dem man Sachen nachinstallieren kann, ist ganz anderes für Sicherheitsprobleme offen als ein Militärrechner, bei dem die Anwender nichts installieren können.

Weis: Die Frage bleibt, ob eine Plattformauthentifizierung auch gegen den Willen des Anwenders möglich sein muss. Mit dem von der EFF vorgeschlagenen Owner Override lässt sich eine Plattformautentifizierung ebenfalls durchführen, allerdings nicht gegen den Willen des Besitzers.

c't: Warum sollte der Anwender denn etwas dagegen haben?

Weis: Weil etwa Microsoft anfangen könnte zu sagen, ich lass' diese Musik nur abspielen, wenn kein Programm außer Microsoft-Software auf dem Rechner läuft.

c't: Dann greift der User halt nicht auf den Inhalt zu. Welcher Verlust ist das?

Weis: Es drohen dann zwei Welten zu entstehen -- die freie Software-Welt und die Windows-Welt. Aber die Offenheit und der Austausch verschiedener Systeme und Ideen bringt uns wirklich menschheitsgeschichtlich weiter. Ich bin der tiefsten Überzeugung, dass eine solche Trennung für die Weiterentwicklung der Wissensgesellschaft nicht gut ist.

Es kann doch nicht sein, dass eine kleine, schlecht organisierte Musikindustrie letztendlich die Entwicklung der Wissensgesellschaft durch Digital Rights Management beschränkt. In Amerika ist es jetzt schon so weit, dass die Wissenschaft massiv behindert wird. Als Kryptologe kann man kaum noch sicher in das Land einreisen.

c't: Ich bin mir immer noch nicht sicher, dass DRM direkt etwas mit Trusted Computing zu tun hat. Klar kann man mit Trusted Computing DRM betreiben...

Weis: Es gibt von unserer Seite mehrere Angebote, zusammen zu sehen, wie man Systeme sicherer macht. Dazu gehören auch sichere Ausführumgebungen, also zu verhindern, dass sich irgendwelche Computerviren sicherheitsrelevante Daten auf unsicheren Systemen greifen. Man kann ja über alles reden.

Wenn man aber ein System hat, das über Remote Attestation für Content Provider die Möglichkeit bietet, den Computer vor dem Besitzer zu schützen, dann fallen mir nur diese DRM-Szenarien ein. Und es ist der Lackmustest, ob die Nutzer von der Industrie ernst genommen werden oder die Content-Industrie. Der einzige mir bekannte Business Case für Remote Attestation ist der Verkauf von Musik.

c't: Aber im Fall eines Außendienstmitarbeiters könnte sich doch Remote Attestation auch auszahlen. Wenn der Netzadministrator sicherstellen kann, dass auf dem Laptop keine unsichere Software läuft, kann er dem Mitarbeiter ganz andere Rechte einräumen.

Weis: (seufzt) In diesem Szenario gäbe es sicherlich flexiblere Lösungen. Hier ist auch eine Anwender-Authentifizierung deutlich wichtiger als eine Platform Attestation. Zumal stellt sich die Frage, ob man in Millionen Rechner TPMs einbauen muss, um Sicherheit für ein Szenario zu schaffen, das nur eine kleine Gruppe betrifft. Und auch hier gibt es keinen Grund, Owner Override auszuschließen.

Owner Override bedeutet, dass eine Remote-Anfrage nur durch den Willen und Anwesenheit des Besitzers geändert werden kann. Bei einem Firmen-Laptop ist das meist nicht der Anwender. Owner Override würde jemandem von außen immer noch bestätigen, dass keine unwillentliche Änderung an der Arbeitsumgebung vorgenommen wurde. (ju)