Der PC mit den zwei Gesichtern

Inhaltsverzeichnis

Geht es nach der TCPA, enthält in absehbarer Zeit jeder PC einen Verschlüsselungs-Chip. Das Trusted Platform Module (TPM) soll Manipulationen am BIOS, an der Rechnerkonfiguration oder an den Boot-Dateien eines TCPA-konformen Betriebssystems erkennen - und daraufhin etwa den Rechner blockieren. Nach der derzeitigen Spezifikation [1|#literatur] lässt sich der Kontrolleur zwar auch abschalten - allerdings laufen dann keine auf TCPA angewiesenen Anwendungen mehr.

Darauf aufbauen soll Microsofts nächste Windows-Generation ‘Longhorn’. Es wird eine Erweiterung namens ‘Palladium’ besitzen, die auf den TPM-Chip aufsetzt und dem Benutzer damit mehr Sicherheit vor Viren, Hackern und geklauten Dokumenten bieten soll. Selbst Bill Gates gibt aber zu, dass der ursprüngliche Ansporn für die Entwicklung von Palladium der Schutz von Musikrechten war. Palladium nutzt also hauptsächlich Medien- und Software-Herstellern, die damit Digital Rights Management (DRM) durchsetzen und Raubkopien unterbinden können. Unter Palladium kann der Anwender nur noch lizenzierte Software nutzen und ausschließlich Dateien ansehen und kopieren, die er legal besitzt oder für die er bezahlt [2|#literatur].

Sollten sich TCPA und vor allem Palladium tatsächlich durchsetzen, wäre dies das Ende für den PC in seiner jetzigen Form. Einst revolutionierte der PC die Datenverarbeitung, da er Programme unabhängig von einem zentralen Computer mit häppchenweiser Verteilung der Rechenzeit ausführte. Wer vor einem PC sitzt, ist weitestgehend Herr über die Maschine - mit allen Vor- und Nachteilen, die dieses Konzept mit sich bringt.

Palladium scheint das Rad der Zeit zurückdrehen zu wollen: In Zukunft gehorcht der Rechner einer höheren Autorität. Der gesicherte PC fragt vor der Ausführung eines Programms bei Servern im Internet nach, ob das Programm ungefährlich ist und überprüft möglicherweise auch gleich die Lizenz.

Sehr wahrscheinlich ist auch, dass der PC vor dem Öffnen jeder Datei bei einem Server nachfragt, sei es ein Word-Dokument oder ein DivX-Filmchen. Eine Präsentation des Krypto-Experten Lucky Green zeigt, wie der Server anhand ‘schwarzer Listen’ entscheidet, was der Rechner tun darf. Der Anwender hat dabei nichts mehr zu sagen; aus dem ‘persönlichen Computer’ wird ein ‘kontrollierter Computer’.

Zwar stimmen die meisten namhaften Sicherheitsexperten überein, dass PCs sicherer werden müssen. Doch die gleichen Stimmen warnen auch davor, die Umsetzung dieser Aufgabe einem Konzern wie Microsoft zu überlassen. Wie sich in der Vergangenheit wiederholt gezeigt hat, ist der Monopolist sich selbst am nächsten. Der Versuch, TCPA als Sicherheitspaket und Palladium als Schutz vor Viren zu verkaufen, blendet allenfalls Unwissende - nur bei selbst produzierten Dokumenten hat der Anwender noch die Wahl, ob und wie sie geschützt werden sollen. Sicherheitsexperten bezeichnen das TPM auch als ‘Fritz Chip’ - nach dem US-Senator Fritz Hollings, der im amerikanischen Kongress seit Jahren durch hartnäckige Lobbyarbeit für die Unterhaltungsindustrie auffällt.

Die Industrie scheint sich im Klaren zu sein, dass ihre Kundschaft die Entmündigung per Hardware nicht gern sehen wird. Folgerichtig stellen die beteiligten Unternehmen TCPA und Palladium nur ganz leise und scheibchenweise vor - wie bei schlechten Nachrichten üblich. Die dabei vorgetragenen Vorteile für den Benutzer wirken scheinheilig: Als ob man sich nicht auch vor Mail-Viren schützen könnte, ohne gleich Big Brother in den PC einzubauen.

Innenministerium ahnungslos?

Dabei fliegt die PC-Industrie offenbar sogar unter dem Radar von Organisationen, die schon längst informiert sein sollten. Das Bundesministerium für Inneres wollte eine Anfrage von c't nicht beantworten, wie es zu TCPA und Palladium stehe. Man habe sich mit dem Thema noch nicht ausreichend beschäftigt, hieß es aus dem Ministerium; konkrete Aussagen gebe es frühestens im Januar.

Die vorgetragene Unwissenheit verwundert: Immerhin hat das BMI vor nicht allzu langer Zeit einen bis Ende Mai 2004 laufenden Rahmenvertrag mit Microsoft geschlossen, um der öffentlichen Verwaltung in Deutschland vergünstigte Preise für Microsoft-Software zu garantieren. Als einer der größten Microsoft-Kunden Europas müsste das BMI ein großes Interesse daran haben, dass in den Palladium-PCs auf den amtlichen Schreibtischen alles mit rechten Dingen zugeht.

So ist der ‘sichere PC’ ein recht merkwürdiges Phänomen: Alle beteiligten Firmen geben sich bedeckt und verweisen darauf, es gebe ja derzeit noch keine konkreten Anwendungen für TCPA. Dennoch bietet IBM bereits seit April einen Laptop und ein Desktop-System mit TCPA-Chips an, das ThinkPad X30 und den Netvista [3|#literatur].

Intel will den TPM-Chip zunächst nicht in die CPU selbst einbauen, sondern an den ICH anschließen.

Immerhin kristallisieren sich bei der Hardware die ersten Fakten heraus. Auf dem Intel Developer Forum (IDF) zeigte der Chip-Gigant erste Details zur Implementierung des Coprozessors. Dieser wird vorläufig auf die Southbridge gesetzt - bei Intel ICH genannt. Dies geschieht über den LPC-Bus (‘Low Pin Count’, der Nachfolger des ISA-Bus), an dem auch noch ein Super-I/O-Baustein und der Intel Firmware Hub (FWH, BIOS) hängen. Ebenso wie der I/O-Baustein erhält auch das Trusted Platform Module eine eigene IRQ-Leitung (LDRQ) und kann damit DMA-Busmaster-Zugriffe initiieren. Der gesamte Block, also Chip, FWH und Super-I/O, läuft mit 33 MHz, Das TPM selbst wird über die I/O-Portadressen 04E(hex)/04F(hex) angesprochen. Vereinfacht gesagt, ist der Coprozessor also nichts anderes als eine in das Board integrierte ISA-Steckkarte.

Die TCPA-Spezifikation fordert tatsächlich einen Schalter, um die Anwesenheit des Benutzers zu überprüfen.

Ein weiteres pikantes Detail: Die TCPA-Spezifikation fordert einen Schalter am PC, der die physische Präsenz eines Benutzers signalisiert. Die ‘Physical Presence’ muss sich jeglichen Zugriffen durch Software entziehen und darf auch nicht automatisch beim Einschalten des PC aktiviert werden.

Wie dieser ‘Schalter’ umgesetzt werden soll, ist noch unklar: ob als Knopf auf der Tastatur, in Form einer Chipkarte oder eines USB-Steckers oder gar als Sensor unter dem Stuhl. Das Ziel ist eine strenge Kopplung der TCPA-Sicherheitsfunktionen an einen bestimmten Benutzer. So soll verhindert werden, dass der Rechner etwa ferngesteuert wird.

In der aktuellen Diskussion verschwimmen häufig die Grenzen zwischen Palladium und TCPA - so hält sich Microsoft nach wie vor die Option offen, auch auf anderen Hardware-Lösungen aufzusetzen, etwa SmartCards oder dem ‘Embassy’-Sicherheitschip von Wave/AMD. Derweil wächst die Riege der Hersteller von TPM-Chips: Neben Atamel (AT97SC3201) gießen mittlerweile auch National Semiconductor (PC21100), STMicro (ST19XP18) und Infineon (SLD 9630_TT_1.1) die neue Sicherheit in Silizium.

Fehler im Fritz

Fehler bei der Umsetzung von TCPA sind natürlich nicht auszuschließen. Um das Risiko zu reduzieren, hat Intel eigens einen Test entwickelt (auf der IDF noch als ‘Beta TCPA TPM Function Test’ bezeichnet). Dieser stellt sicher, dass die Implementierungen der Spezifikation entsprechen, sich einheitlich verhalten und vor äußeren Zugriffen geschützt sind.

Dabei will Intel auch die TCPA-Spezifikation selbst unter die Lupe nehmen, um eventuelle Design-Fehler aufzuspüren. Würde ein Fehler in der Hardware eine Hintertür für Hacker oder Geheimdienste öffnen, würde dies TCPA einen empfindlichen Dämpfer versetzen.

Auf diese Art fuhr vor einigen Jahren der ‘Clipper’-Chip gegen die Wand - eine Schwachstelle der Architektur ließ sich als Backdoor nutzen. Ob es sich dabei um eine Hintertür für Strafverfolgungsbehörden oder einen Implementierungsfehler handelte, wissen bis heute nur die Hersteller selbst.

Doch möglicherweise müssen abenteuerlustige Hacker ja gar nicht so tief tauchen, um Fehler zu finden. Der amerikanische Sicherheitsexperte Bruce Schneier bringt den Sachverhalt auf einen Punkt: ‘Microsofts Betriebssystem hat Tausende von Fehlern. Es gibt keinen Grund, warum Palladium nicht auch Tausende davon haben sollte’.

TCPA/Palladium abschaltbar?

Eine der häufigsten Leserfragen zum jüngsten Artikel bezüglich TCPA und Palladium [2|#literatur] war, ob man das System abschalten könne. Konkret: Wenn alle Hersteller in absehbarer Zeit ausschließlich TCPA-konforme Hardware entwickeln, kann man den PC dann überhaupt noch sinnvoll in einem Modus betreiben, in dem TCPA und Palladium abgeschaltet bleiben? Das wird erst die Praxis zeigen.

Der Umstand, dass die Sicherheitsmaßnahmen der PC-Industrie den Rechner im Sinne der Anbieter ‘vertrauenswürdig’ machen sollen, statt im Sinne des Anwenders, stößt insbesondere im geschäftlichen Umfeld auf Unverständnis. Wie soll sich ein Unternehmen, egal ob Klitsche oder Global Player, einem von außen reglementierten Kontrollsystem unterwerfen?

Firmen können digitalen Videos und MP3-Dateien bereits jetzt mit Firewalls und Download-Limits einen Riegel vorschieben. Mit gutem Grund legen Netzwerk-Administratoren Wert darauf, die Herrschaft im eigenen Netzwerk zu behalten. Kein Netadmin wird Disney oder Microsoft die Kontrolle darüber geben wollen, was in seiner Domäne getan werden darf und was nicht.

Netzverwaltern bereitet auch der Datenverkehr Sorgen, den ihre Arbeitsplätze durch die ständigen Aufrufe von Zertifizierungs-Servern erzeugen werden, wenn Programme starten und Dokumente geöffnet werden. Hier wird es sicherlich Proxy-Lösungen geben, die andererseits neue Angriffspunkte schaffen - Antworten zu diesem Problem halten weder die TCPA noch Microsoft bereit.

Unklar ist auch, was mit PCs ohne Internet-Verbindung passiert. Dies betrifft nicht nur den privaten Bereich und kleine Firmen, sondern auch Hochsicherheitsbereiche großer Konzerne. So betreiben etwa Banken oft zwei physisch getrennte Netzwerke: eines für einfache Bankgeschäfte, Internet-Banking und Kommunikation, ein zweites für die interne Datenverarbeitung.

Entweder bleiben diese Rechner bei der schönen neuen Sicherheit außen vor oder sie müssen die Listen der gesperrten Seriennummern, Dokumente und Anwendungen anderweitig einspielen. Wie dies funktionieren soll, bleibt hingegen offen: Wenn ein Benutzer diese Daten einfach nicht importiert, müsste ein solcher PC konsequenterweise nach einer gewissen Offline-Zeit einfach den Dienst verweigern.

Anders herum stellt sich die Frage, wie Palladium auf blockierte Netzverbindungen reagieren wird. Was passiert, wenn der PC den Zertifizierungs-Server nicht erreicht? Wer kann belangt werden, wenn das Palladium-gesicherte Mail-Programm aufgrund einer Störung des Zertifizierungs-Servers nicht mehr startet? Fragen ohne Antworten.

Neu: TCPA-Sabotage

Hängen Wohl und Wehe eines EDV-Systems erst einmal komplett vom Zugriff auf einen Server ab, ergeben sich für Hacker ganz neue Angriffsmöglichkeiten. Unruhestifter könnten unkalkulierbaren Schaden erzeugen, indem sie die Kennung eines wesentlichen Programms in die Server-Listen eintragen. Stünde etwa der Windows-Bootloader als ‘verdächtig’ in der Blacklist, blieben prompt alle Windows-PCs mit Internet-Anschluss stehen.

Aber es geht noch wesentlich einfacher: Wenn ein geschasster Arbeitnehmer die Seriennummer des Office-Pakets seiner ehemaligen Firma auf einschlägigen ‘Serialz’-Sites veröffentlicht, verweigern dort kurz darauf Word, Excel, PowerPoint und Co. den Start. So ließen sich auch vertrauliche Dokumente killen: In einer Tauschbörse zum Download bereitstellen und dann als ‘compromised’ melden. Beim nächsten Update der Dokumenten-Blacklist werden alle Palladium-Rechner das Dokument in Quarantäne nehmen.

Derartige Horrorszenarien werden zahlreiche Systemausstatter davon abhalten, sich überhaupt auf TCPA und Palladium einzulassen. Doch die TCPA-Strategie funktioniert erst ab einer bestimmten kritischen Masse - denkbar ist, dass die erste Generation der TPM-Chips zunächst inaktiv auf dem Motherboard schlummert, bis die nötige Verbreitung erreicht ist. In den USA gibt es Anstrengungen, TCPA gesetzlich zu verankern - der Einsatz konformer Rechner würde zur Pflicht.

Im Rest der Welt wird TCPA und Palladium dagegen ein heftiger Wind entgegenwehen. Kaum ein asiatisches oder arabisches Land wird sich damit abfinden wollen, dass ihre Computer plötzlich der Kontrolle von US-Unternehmen unterstehen. Andererseits liegen in China, Indien und Malaysia derzeit die größten Märkte für neue Computer.

Natürlich kann man argumentieren, dass Microsoft genau dort ein starkes Interesse daran hat, Palladium durchzuboxen - laut Angaben der Software-Industrie setzen die Anwender in diesen Märkten zu über 50 Prozent raubkopierte Software ein und produzieren damit Verluste von über elf Milliarden Dollar (in Deutschland sind es ‘nur’ 34 Prozent).

In Europa erheben sich schon die ersten kritischen Stimmen, darunter Philip Lowe, der Chef der künftigen EU-Kartellbehörde. Dieser warnt vor einer Monopolisierung durch TCPA und Palladium. Er will deren Einführung prüfen lassen, um sicherzustellen, dass die Systeme keine Mitbewerber benachteiligen. Aber wohlgemerkt: Lowe lehnt weder TCPA noch Palladium ab - sein Interesse liegt vielmehr darin, Palladium für die Europäische Union marktfähig zu machen. Das entspricht nun nicht unbedingt den Wünschen der meisten Anwender ...

Hinzu kommt, dass Microsoft mit Palladium eine ganz raffinierte Möglichkeit erhält, um eigene Standards weiter am Markt zu etablieren. Der Software-Gigant unterstreicht gern, dass Palladium eine offene Plattform sei, von der man vielleicht auch den kompletten Quelltext veröffentlichen werde. Das mag zwar momentan noch niemand so recht glauben, doch prinzipiell würde dieser Schritt für Microsoft Sinn ergeben.

Eigene Dateiformate

Denn selbst wenn Microsoft den Zertifizierungsmechanismus offen legt, heißt das noch lange nicht, dass etwa die Entwickler von OpenOffice.org eine kompatible Funktion in ihre Software einbauen können - ihnen fehlt ja die Autorität zur Zertifizierung, somit können sie keine ‘sicheren’ Office-Dokumente schreiben.

Der britische Sicherheitsexperte Ross Anderson warnt: ‘Das größte Problem bei TCPA/Palladium ist, dass Microsoft damit eine Art Meta-Monopol erhält - die Kraft, nach Belieben neue Monopole zu produzieren, indem es seine Funktionen zum Aufbau neuer Kompatibilitätsbarrieren ausnutzt.’

Für Entwickler stellt sich die Frage, wie sie überhaupt Anwendungen oder Treiber für Palladium erstellen sollen. Wenn nur zertifizierte Anwendungen auf den Palladium-Kern zugreifen dürfen - muss man dann bei jeder kleinen Änderung den Code wieder zum Abnicken einschicken? Für ein Palladium-gesichertes Outlook dürfte es schon aus Kostengründen keine Freeware-Erweiterungen mehr geben. Professionelle Software-Schmieden leben davon, in der Produktionssteuerung und Telekommunikation innerhalb weniger Stunden Programmfehler zu beseitigen. Da bleibt keine Zeit, auf eine Zertifizierung zu warten. Somit werden Entwickler wohl eine Möglichkeit erhalten müssen, Code selbst zu zertifizieren - dies ist wiederum ein potenzielles Scheunentor für Hacker.

Andererseits bietet Palladium für Software-Hersteller auch interessante neue Marketing-Möglichkeiten. Knauserige Anwender werden dazu gezwungen, endlich ein Update ihrer Software zu erwerben, indem man der Vorgängerversion zentral die Lizenz entzieht. Wer weiterarbeiten will, muss zahlen - was heute nur für ausgewählte Programme im Hochpreisbereich gilt, könnte künftig für jede Anwendung gelten.

Unklar bleibt auch, was mit den erworbenen Lizenzen und den verschlüsselten Dateien passiert, wenn der Zertifizierungs-Chip abraucht oder die Festplatte einem Headcrash erliegt. Wer für mehrere hundert Euro Filme und Musik erworben hat, diese aber weder auf einen anderen Rechner kopieren oder auf eine CD brennen kann, wird sich wohl nicht mit einem lakonischen ‘Pech gehabt’ zufrieden geben.

Aussichten

Die TCPA-Technologie ist kaum mehr aufzuhalten. Die Hardware ist fertig und wird bereits verkauft. Zunächst noch inaktiv im Hintergrund lauernd, schleichen sich die TPM-Chips still und leise in den breiten Markt.

Wenn ihn die nächsten ein, zwei Jahre niemand benutzt, wird er auch nicht stören. Erst wenn genügend TCPA-Computer in den Wohnzimmern und Büros stehen und die kritische Masse erreicht ist, kann das Konzept aufgehen: Dann werden so viele PCs unzertifizierte Dateien ablehnen, dass ‘der Rest’ nolens volens auf TCPA und entsprechende Betriebssysteme hochrüstet, darunter in erster Linie Palladium. Damit hätten die Medienkonzerne gewonnen.

Auf Ablehnung stoßen die auferlegten DRM-Fesseln nur bei den Anwendern - aber gerade die sollen die Hardware ja kaufen. Sollte sich die breite Masse der Anwender nicht an ihre ‘gesicherten’ Rechner zwingen lassen, wird das ganze Konzept zum Rohrkrepierer. In einer idealen Welt könnte unabhängige Software wie Pretty Good Privacy (PGP) dann die brachliegenden TPMs für sinnvolle Dinge nutzen wie die Verschlüsselung von Mails und Signaturen - das bringt mit Sicherheit mehr als Palladium. (ghi)

Literatur und Links

[1] TCPA-Spezifikation v1.1b

[2] Michael Plura: Der versiegelte PC, Was steckt hinter TCPA und Palladium?, c't 22/02, S. 204

[3] Pressemitteilung zum IBM ThinkPad X30

[4] Business Software Alliance

[5] Newsticker-Meldung zu Office 11 (ghi)