Hardware lügt nicht

Über die Pläne der Computer-Industrie zur Sicherung ihrer Produkte wurde in den vergangenen Monaten bereits viel spekuliert. In wenig durchsichtigen Allianzen wollen die Hersteller auf breiter Ebene neue Sicherheitsstandards durchsetzen (c't 9/03, S. 52).

Aufgrund der eher zurückhaltenden Informationspolitik erhitzte vor allem eine Frage die Gemüter der Kritiker: Beabsichtigt die Branche mit ihrem Vorstoß etwa gar keinen Schutz vor bösen Hackern? Schnell wurden böse Vorahnungen laut, dass die Schutzmechanismen in erster Linie die Unternehmen vor ihren eigenen Kunden absichern und die Ansprüchen der Medienindustrie auf kopiergedrosselte Rechner befriedigen sollen.

Intel nahm in der TCPA (Trusted Computing Platform Alliance) zwar von Anfang an eine führende Rolle ein, doch bei der Debatte um den kastrierten Computer hält sich das Unternehmen vornehm zurück (c't 5/03, S. 87). Im Rahmen des Intel Developer Forums in Berlin brachten David Grawrock, Security Architect für den Desktop-Bereich, und Marketing-Manager Jeff Austin endlich Licht in die Pläne des Herstellers und die jüngsten Veränderungen im Industriekonsortium.

c't: Im September hat Intel erstmals öffentlich über seine neue Sicherheitstechnologie La Grande gesprochen. Wie weit sind die Design- und Implementierungsprozesse?

Jeff Austin: Wir sehen das im Rahmen eines übergeordneten Prozesses, den wir „Secure Computing“ nennen. Dabei geht es um die „Stählung“ der Computer-Plattform. Der Schutz gegen Software-Angriffe funktioniert nur in engen Grenzen. Um die Evolution der Sicherheit voranzutreiben, müssen wir die Hardware einbeziehen. Die LaGrande-Technologie ist einer der wichtigsten Schritte auf diesem Weg. Wir sind aber noch zwei bis drei Jahre von der Marktreife entfernt. Es braucht ein ganzes Ökosystem, um die Vorteile dieses neuen, sicheren „Fundaments“ auszuschöpfen. Zu bedenken sind sehr viele Punkte wie Datenschutz und Nutzerrechte. Wir wollen einerseits mehr Sicherheit schaffen, aber andererseits den Nutzer nicht einschränken. Genaueres werden wir auf dem nächsten Intel Developer Forum im Herbst sagen können.

David Grawrock: „Wir werden der TCPA-Spezifikation 1.2 bald den letzten Schliff geben.“

c't: Geht ein Großteil der Kritik gegen LaGrande und die Trusted Computing Platform Alliance nicht auch auf die Geheimniskrämerei zurück? David, Sie sind schon seit spätestens 1999 mit dieser Sache beschäftigt - die öffentliche Debatte über diese geplante fundamentale Änderung der Computerarchitektur begann jedoch erst vor etwa einem Jahr.

David Grawrock: Ich glaube nicht, dass wir die Öffentlichkeit zu spät einbezogen haben. Die erste Spezifikation, Version 1.0, kam Ende 2000 heraus. Das war kein Geheimnis. Wir haben damals noch nicht darüber gesprochen, wie wir die neuen Entwicklungen nutzen werden, das stimmt. Aber wir wollten niemanden hinters Licht führen.

c't: Wie erklären Sie sich dann die heftigen Reaktionen und die schlechte PR?

Grawrock: Es gibt die unterschiedlichsten Kritikebenen. Wir haben uns von Anfang an bemüht, Dinge wie die Nutzerkontrolle oder die Belange der Privatsphäre zu berücksichtigen. Die Kritik konzentriert sich meist nicht auf die Spezifikationen, sondern darauf, wie sie jemand gebrauchen könnte. Jemand könnte ja etwas Böses damit anstellen. Aber das ist schon ein ganzer Schritt weiter voran in der Debatte, darauf hatten wir anfangs gar nicht geschaut. Uns war zunächst nur wichtig, dass der Nutzer Kontrollmöglichkeiten erhält.

Austin: Das Design sah vom ersten Tag an die Mechanismen für den Datenschutz und die Kontrolle durch den Nutzer vor. Sie sind ein fundamentaler Bestandteil der TCPA-Spezifikation.

c't: Intel und Microsoft sind gebrannte Kinder, seit die jeweiligen Pläne zur Einführung einer Art globalen Nutzerkennung auf heftige Proteste stießen.

Austin: Wir haben aus diesen Erfahrungen gelernt, dass diese Aspekte entscheidend sind. Es geht um eine Kombination von Sicherheit und Nutzbarkeit. Wir können nicht alle bekannten Prinzipien des Arbeitens mit dem PC auf dem Altar der Sicherheit opfern.

Austin: „Datenschutz und Kontrolle sind ein fundamentaler Bestandteil der TCPA-Spezifikation.“

Grawrock: Als wir uns zum ersten Mal Gedanken darüber machten, was in die TCPA-Spezifikation eingebunden werden sollte, waren wir uns sehr wohl bewusst, was wir früher falsch gemacht hatten. Andernfalls hätten wir mehrere Hundert Seiten weglassen können, weil unser Hauptziel einfacher zu erreichen gewesen wäre. Aber das hätte die Bedürfnisse der Nutzer nicht berücksichtigt.

c't: Woran zeigt sich das in der TCPA-Technik?

Austin: Ein gutes Beispiel sind die Schlüssel für den Identitätsnachweis, die „Attestation Identity Keys“ (AIKs). Sie sind die Wurzel für den Schutz der Privatsphäre der Nutzer, die aber auch die konzeptionell geforderte Einzigartigkeit und Identifizierbarkeit der verwendeten Plattform sichern. TCPA arbeitet dabei mit einer ganzen Reihe von Alias-Funktionen für einzelne Transaktionen. Sie können also zwei oder unzählig viele Alias-Identitäten erschaffen - niemand wird feststellen können, dass sie von ein und derselben Plattform stammen.

Grawrock: In diesem Fall sind die Plattform und das Trusted Platform Module (TPM) gar nicht richtig in den „Vertrauensprozess“ eingebunden - sie vermitteln nur die dafür benötigten Informationen. Eine dritte externe Instanz entscheidet, ob eine Plattform wirklich als zuverlässig gilt. Dank der AIKs erhalten beispielsweise Gateways oder externe Händler keine Informationen darüber, mit welchem Rechner sie es zu tun haben. Das TPM erfordert und fördert also keine Korrelation von Nutzerdaten.

Austin: Auch alle weiteren Nutzer- und Kontrollmechanismen beruhen auf Opt-in-Prozessen. Sie erfordern eine physikalische Präsenz und ein aktives Eingreifen des Computerbesitzers. Das geht dann nicht mehr allein per Software.

c't: Verschlüsselungsexperten und kritischen Nutzergruppen wie dem Chaos Computer Club wäre aber wohler, wenn sie auch den zentralen Bestätigungsschlüssel für das TPM, den „Endorsement Key“, in Händen hätten.

Grawrock: Es gibt in diesem System eigentlich keinen Grund, den privaten Schlüssel sehen zu wollen. Gerade den Hauptschlüssel will man ja nicht außerhalb des Sicherheitskerns haben. Wenn beispielsweise Infineon ein gutes TPM baut, dann werden die Schlüssel auch richtig gehandhabt.

c't: Für Skeptiker, die überall Hintertüren wittern, ist das aber keine wirklich befriedigende Aussage.

Grawrock: Wir hoffen, dass sich aus den Fertigungsprozessen ein Geschäft entwickelt und Wettbewerber eigene TPM-Bausteine anbieten. Dann hat man ja die Wahl.

c't: Neben den Datenschutzaspekten bleiben die Befürchtungen der Anwender, dass TCPA und darauf aufsetzende Software-Lösungen eine wesentliche Komponente der universalen Maschine und der digitalen Datenverarbeitung einschränken werden - nämlich das Kopieren. Inwieweit waren die Musik- und Medienindustrie Geburtshelfer der TCPA?

Grawrock: Die Mitglieder der Allianz sind öffentlich bekannt. Darunter sind keine Medienkonzerne; es war auch niemand aus diesem Bereich an unseren Überlegungen beteiligt.

c't: Da gab es auch keine Gespräche, keine Hinweise aus der Musikindustrie, dass sie Systeme für das umstrittene Digital Rights Management (DRM) eine „vertrauenswürdigere“ Computerarchitektur benötigt?

Austin: Sicherlich hat sich die Medienindustrie an die Regierung gewandt und dort Forderungen aufgestellt. Doch bei der TCPA-Technologie geht es um eine Steigerung der Sicherheit. Und dann gibt es eine ganze Reihe von Anwendungen, denen eine verbesserte Computersicherheit helfen kann. Aber eine „ultimative DRM-Lösung“ würde meiner Meinung nach anders aussehen. Die digitale Rechteverwaltung arbeitet typischerweise mit „globalen Geheimnissen“. Unser Hauptaugenmerk liegt auf Software-basierten Attacken, nicht auf dem Schutz vor physikalischen Angreifern oder Netzwerk-Hackern.

c't: Aber Software wie Microsofts Palladium alias NGSCB wird sich doch wunderbar auf TCPA stützen können?

Austin: NGSCB ist ein Beispiel für eine Software-Umgebung, die von TCPA oder LaGrande profitieren könnte. Aber auch dann gibt es von dem Design her keinen Schutz gegen Hardware-basierte Attacken. Es wird auch weiterhin immer möglich sein, Geheimnisse - in welcher Form auch immer - zu stehlen.

c't: Wie eng arbeitet Intel mit Microsoft in diesem Prozess zusammen? Werden wir eine Neuauflage des Wintel-Duopols in Form einer Task Force LaGrande-NGSCB sehen?

Austin: Da kommen wir wieder auf das Ökosystem zu sprechen, für das wir den Boden bereiten müssen. Microsoft ist davon ein wichtiger Teil, aber sie können davon ausgehen, dass LaGrande betriebssystemunabhängig sein wird. Wir erwarten, dass diese sichere Hardware-Basis einer ganzen Reihe von Betriebssystemen nutzen wird.

c't: Wird Intel ein TPM in die Technologie integrieren oder ein eigenes TPM bauen?

Grawrock: LaGrande ist ein „Konsument“ des TPM, wir nutzen dessen Möglichkeiten. Das TPM macht eigentlich gar nicht viel, enthält aber wichtige Bestandteile: einen sicheren, mit einem Tresor vergleichbaren Speicher, einen Zufallsgenerator und RSA beziehungsweise einen asymmetrischen Verschlüsselungsalgorithmus. Vor allem aber ist es ein „personalisiertes“ Stück Technik, wenn man Personalisierung wie bei einer Smartcard versteht. Die Funktionalität könnte man nun theoretisch überallhin verlagern. Aber die Personalisierung muss nach bestimmten Mustern erfolgen. Und wir stellen sicher, dass diese Muster mit unseren aktuellen Prozessorlinien harmonieren und bei höchsten Taktraten und Frequenzen funktionieren.

c't: Was genau fügt LaGrande denn zum TPM und dessen Grundfunktionen hinzu?

Austin: Das TPM macht es möglich, eigene Geheimnisse in Hardware zu speichern. Das erfolgt über kryptographische Prozesse. Daneben bringt es die selbstreferenziellen Beweismöglichkeiten mit sich, dass es sich bei diesem Gerät tatsächlich um ein TPM handelt. Es lügt einfach nicht. Software dehnt ja potenziell die Wahrheit. Bei Hardware wie dem TPM ist das gar nicht vorstellbar. Das reduziert die Verletzlichkeit der Plattform deutlich.

c't: Und wann kommt nun Intels Eigenentwicklung ins Spiel?

Austin: LaGrande fügt einige Aspekte hinzu, darunter ein „Protected Execution Environment“. Es wird möglich, eine Applikation oder einen Teil davon in dieser geschützten Umgebung laufen zu lassen. Die verwendeten Daten können dann von anderen Applikationen weder kompromittiert noch überhaupt verwendet werden. Heute wird im PC alles in einen Topf geschmissen; Programm A kann genau verfolgen, was Programm B macht. Viele Treiber haben letztlich Zugang zum kompletten Rechner. Mit LaGrande bauen wir ein zur alten Rechnerwelt paralleles Universum auf, um dort Anwendungen isoliert abzuspielen.

c't: Werden neben dem TPM weitere Hardware-Veränderungen erforderlich sein?

Austin: Auf jeden Fall. Wir brauchen alles Mögliche auf der Plattformebene, um diese Umgebung zu schaffen. Zu unserem Anteil an der Lösung gehören sehr detaillierte Instruktionen innerhalb des Prozessors und des Chipsatzes. Das Trusted Platform Module dient als zentraler Ort, um die verschlüsselten Informationen zu speichern und Schlüssel zu generieren. Wir brauchen eine sichere Tastatur, um die Eingaben zu schützen. Gleichzeitig braucht das System ein geschütztes Ausgabeverfahren. Es darf beispielsweise nichts zwischen LaGrandes Sicherheitsuniversum und den Framebuffer der Grafikkarte kommen, was die Bildschirmausgabe manipulieren könnte. LaGrande umfasst also in einer Plattform den Prozessor und das Chip-Set, das TPM, sichere Eingabegeräte wie Tastatur oder Maus und geschützte Ausgabedarstellungen. Darauf muss Software aufsetzen, die sich dieser Möglichkeiten auch bewusst ist.

c't: Brauchen andere Hardware- oder Softwarehersteller Lizenzen für LaGrande? Wird beispielsweise auch AMD die Technologie einsetzen können?

Austin: Ich denke, dass andere Firmen vergleichbare Hardware-Mechanismen anbieten werden. Die grundlegende Aufteilung der Arbeitsebenen wird es nicht nur von Intel geben.

c't: Die Verabschiedung der Spezifikation TCPA 1.2 hat sich wegen des Umzugs in die TCG (Trusted Computing Group) verzögert. Wird sie überhaupt noch unter dem Namen TCPA laufen oder unter dem neuen Label?

Austin: Sie wird wohl den Namen TPM-irgendwas erhalten. Die TCG übernimmt alle Spezifikationen der TCPA und treibt die Entwicklung des nächsten TPM-Standards voran. Die Spezifikation TPM 1.1b wird also definitiv von der TCG veröffentlicht.

c't: Wann wird es so weit sein?

Grawrock: Der Aufsichtsrat hat sich darauf festgelegt, sie in diesem Jahr herauszubringen. Da ich der Vorsitzende der TPM-Arbeitsgruppe bin, ist es mein Job, die Spezifikation in diesem Zeitrahmen fertig zu bekommen (grinst). Wir sind dran, haben uns auch schon getroffen und erhalten viele Beiträge von allen Seiten. Ich denke also, dass wir der Sache in Bälde den letzten Schliff geben werden.

c't: Es war zu hören, dass eine aus dem Software-Bereich stammende Größe im ursprünglichen TCPA-Lager den weiteren Spezifikationsprozess hinauszögerte. Sind diese Unstimmigkeiten jetzt geklärt?

Austin: Ich würde nicht von Verzögerungen sprechen. Erfolgreiche Organisationen funktionieren eben nur in einer bestimmten Art und Weise. Das ist in etwa vergleichbar mit der Entwicklung von PCI. Da geht es um ähnliche Lizenzierungsmodelle oder Organisationsstrukturen und das hat die Branche ganz gut gemeistert. Jetzt können wir den technologischen Fortschritt auf jeden Fall schneller vorantreiben. (ghi) (ghi)