Trusted Platform Module als Netzwerk-Ausweis

Im Rahmen der Initiative Network Admission Control hat Cisco Software entwickelt, die das Trusted Platform Module (TPM) eines Rechners nutzen kann, um über dessen Berechtigung zum Netzwerk-Zugriff zu entscheiden. Damit bietet Cisco nach eigener Aussage mit Network Admission Control (NAC) schon heute einen wesentlichen Teil der Funktionen, die beispielsweise die Trusted Computing Group (TCG) mit Trusted Network Connect (TNC) oder Microsoft mit Network Access Protection (NAP) erst noch entwickeln.

Eine Online-Animation von IBM -- einem strategischen Partner von Cisco -- erläutert, wie der Cisco Trust Agent (CTA) beziehungsweise der Cisco Security Agent (CSA) unter anderem das TPM des Embedded Security Subsystem (ESS) eines IBM-Notebooks nutzt, um den Grad der Vertrauenswürdigkeit dieses Gerätes zu bewerten. Der CTA kann über ein Software-Plug-in des TPM-Herstellers auf das TPM zugreifen. Der Zugriff auf das Firmen-Netzwerk lässt sich also auf bestimmte, eindeutig identifizierte Geräte begrenzen -- anders als bei SmartCards, die an verschiedenen Geräten nutzbar wären (was ja, wie bei Sun Ray, durchaus erwünscht sein kann).

Der CTA funktioniert grundsätzlich auch ohne TPM und kann die Gewährung des Netzwerk-Zugriffs von bestimmten Voraussetzungen der Client-Maschine abhängig machen; der Administrator kann dadurch beispielsweise Systemen mit zu alten Viren-Signaturen oder fehlenden Windows-Updates den Zugriff verwehren oder diese zunächst mit einem speziellen Server verbinden, der die nötigen Updates für die Firmen-Rechner bereithält. Beschreibungen ähnlicher Funktionen sind auch als Präsentationen auf den Webservern von Cisco (PowerPoint) und IBM (PDF) zu finden.

Cisco arbeitet auch mit Microsoft zusammen, um NAP und NAC zueinander kompatibel zu machen. Wie weit dabei auch die TNC-Spezifikation Berücksichtigung findet, ist unklar. Wie flexibel sich ein TPM für allgemeine kryptografische Software-Funktionen nutzen lässt, hängt vom mitgelieferten Software-Stack ab. Atmel und ST setzen dabei auf einen Stack von Ntru, der außer für Windows 2000 und XP auch für Linux ab Kernel 2.4 verfügbar sein soll. Darin enthalten ist beispielsweise ein Cryptograhic Service Provider (CSP), den Windows schon jetzt wie eine SmartCard über die CryptoAPI für Verschlüsselungsfunktionen einbinden kann. Infineon erwähnt explizit, dass der Software-Stack der eigenen TPMs sich für das Windows Encrypted File System (EFS) nutzen lässt; auch die BIOS-Lösung Phoenix TrustedCore Desktop enthält einen CSP. Mit Longhorn will Microsoft einen eigenen Treiber-Stack für TPMs nach Spezifikation 1.2 mitliefern, nämlich sowohl den TPM Driver als auch die TPM Base Services (TBS), die als Dienst laufen. Der von der TCG spezifizierte Software Stack (TSS) muss weiterhin vom TPM-Hersteller kommen.

Mittlerweile haben schon eine Reihe von Anbietern ihre Programme TPM-tauglich gemacht, Beispiele sind Wave Embassy Trust Suite, Utimaco SafeGuard oder Check Point VPN-1 SecureClient. Adobe Acrobat 6.0 kann das TPM von IBM-Rechnern zur Verschlüsselung oder zur Zugriffskontrolle von PDF-Dokumenten nutzen, also als DRM-Lösung.

Nach eigenen Angaben hat IBM übrigens im Verlauf der letzten Jahre bereits deutlich mehr als 16 Millionen Notebooks mit ESS/TPM verkauft und setzt das Modul mittlerweile auch in Servern ein. Auch viele Desktop-Geräte von IBM (beziehungsweise jetzt Lenovo) sind mit einem TPM ausgestattet. (ciw)