Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Turaya - Die offene Trusted-Computing-Sicherheitsplattform

Seite 7: Fazit

Inhaltsverzeichnis

Der Bedarf für vertrauenswürdige Rechnersysteme in verschiedensten Geschäftsfeldern und Anwendungen scheint klar ersichtlich und notwendig. In diesem Kontext sollten Daten- und Urheberschutzaspekte berücksichtigt werden. Eine Sicherheitsplattform, die den Anforderungen eines vertrauenswürdigen Rechnersystems entspricht, darf weder Anwender noch Anbieter benachteiligen.

Die vertrauenswürdige, faire und offene Sicherheitsplattform Turaya berücksichtigt diese Aspekte und bietet die notwendige Sicherheit und Vertrauenswürdigkeit für Rechnersysteme. Die definierten Anforderungen können vollständig von Turaya erfüllt werden, indem die Trusted-Computing-Technologie im positiven Sinne genutzt wird. Sämtliche Programmierschnittstellen von Turaya und der Sourcecode aller sicherheitskritischen Komponenten werden zu Evaluierungszwecken offengelegt, um die Vertrauenswürdigkeit der Implementierung zu erhöhen. Turaya ermöglicht daher auch der Open-Source-Gemeinde, konkurrenzfähig zu bleiben.

Zudem bietet Turaya den Vorteil, dass alle sicherheitskritischen Komponenten und Anwendungen unabhängig von klassischen Betriebssystemen agieren können und damit für zukünftige plattformübergreifende verteilte Anwendungen optimal geeignet sind. Die Autoren wünschen sich, dass möglichst viele Anwendungen auf die Sicherheitsplattform Turaya aufbauen, um eine sichere und vertrauenswürdige Zukunft von Rechnersystemen zu ermöglichen.

  1. Bot-Netze sind Netzwerke, bestehend aus Rechnersystemen, die ohne Wissen der Besitzer unter die Kontrolle von Außenstehenden gebracht wurden und beispielsweise Spam-Mails versenden oder Denial-of-Service-Angriffe durchführen.

  2. Intrusion-Detection-Systeme sind Programme, deren Aufgabe darin besteht, Einbrüche in Rechnersysteme zu detektieren.

  3. Zusätzlich zu einem Passwort wird ein Hardwareelement zur Authentifizierung verwendet. Die zwei Faktoren sind zumeist definiert als Wissen (bspw. PIN) und Besitz (bspw. EC-Karte).

  4. Ein vertrauenswürdiges Rechnersystem ist ein Computersystem, welches sich immer so verhält, wie sein Benutzer es von ihm erwartet und die Daten integer und vertraulich hält.

  5. EMSCB steht für European Multilaterally Secure Computing Base.

  6. Siehe die Webseite der Trusted Computing Group unter http://www.trustedcomputinggroup.org.

  7. Hashwerte sind Werte, die mit Hilfe einer Hashfunktion berechnet werden. Hier berechnet eine Hashfunktion zu einer binärwertigen Folge einen binärwertigen Block fester Länge (den sog. Hashwert; derzeit übliche Länge ist 160 Bit). Der Vergleich zweier Hashwerte erlaubt den Ausschluss von Gleichheit der Ausgangsdaten bei deren Ungleichheit. Der Hashwert entspricht einem Fingerabdruck.

  8. Vgl. Bundesamt für Sicherheit in der Informationstechnik (2006).

  9. L4 ist ein Betriebssystemkern (Kernel), der ursprünglich von Jochen Liedtke entwickelt wurde. L4 bezeichnet heute vor allem die API (Anwendungsprogrammschnittstelle). In diesem Projekt wird die L4-Implementierung Fiasco der TU Dresden verwendet und angepasst. L4 ist ein sehr kleiner Betriebssystemkern, der zumeist als Basis für Echtzeitbetriebssysteme verwendet wird. Sein Vorteil ist, dass er wesentlich kleiner ist als Betriebssystemkerne von herkömmlichen monolithischen Systemen.

  10. HBCI steht für Home Banking Computer Interface – ein nationaler Standard des Zentralen Kreditausschusses.

  11. Als trusted path wird ein Mechanismus beschrieben, der die direkte Kommunikation zwischen einer Trusted Computing Base, wie Turaya, und einem Terminal oder Nutzer beschreibt. Der Kommunikationsweg ist nicht manipulierbar. Er basiert darauf, dass sich alle daran beteiligten Instanzen als vertrauenswürdig ausweisen können.

  12. Secure GUI beschreibt das vertrauenswürdige Secure Graphical User Interface, das vom Sicherheitskern kontrolliert wird und somit nicht von Anwendungen manipuliert werden kann.

  13. Aus dem Englischen: policy = Verfahrensweise, Grundsatz; enforcement = Durchsetzung, Erzwingung.

  14. Digitales Rechtemanagement (DRM) ermöglicht Rechteinhabern die Durchsetzung ihrer Rechte bei geschützten Daten wie etwa Musik- oder Filmdateien.

  15. http://www.emscb.de

  16. Siehe http://www.microsoft.com/resources/ngscb.

  17. Common Criteria ist ein ISO-Standard für die Bewertung der Sicherheit von Informationstechnologien.

  • Barnitzke, A. (2005), "Exploit und Wurm folgen dem Patch schon auf dem Fuße", Computer Zeitung 35, S. 6.

  • Bundesamt für Sicherheit in der Informationstechnik (2006), "Das Trusted Platform Module", http://www.bsi.de/sichere_plattformen/trustcomp/infos/tpm_report/tpm_crtm.htm [20. Dez 2006].

  • Caspers, T. (2004), "Der schmale Grad zwischen Vertrauensbeweisen und Datenschutz", The Information Security Journal (6), S. 35.

  • Dolle, W. (2004), "Trusted Computing: Stand der Dinge", The Information Security Journal (4), S. 20.

  • Kay, R. L. (2005), "The Future of Trusted Computing". https://www.trustedcomputinggroup.org/home/IDC_Presentation.pdf [20. Dez 2006].

  • Linnemann, M. und Pohlmann, N. (2006a), Die vertrauenswürdige Sicherheitsplattform Turaya, in P. Horster (Hrsg.), "DACH Security 2006", syssec Verlag.

  • Linnemann, M. und Pohlmann, N. (2006b), "Schöne neue Welt?! Die vertrauenswürdige Sicherheitsplattform Turaya", IT-Sicherheit – Management und Praxis (3).

  • Sadeghi, A., Stüble, C. und Pohlmann, N. (2004), "European Multilateral Secure Computing Base – Open Trusted Computing for You and Me", Datenschutz und Datensicherheit (9), S. 548 554.

  • The Information Security Journal (2003), "Vertrauenskrise Einsichten und Aussagen vom Trusted-Computing-Symposium", The Information Security Journal (4), S. 12. http://www.kes.info/archiv/online/03-4-012.htm [25. Jan 2007].

  • Windows IT Pro (2004), "Die Bedrohung von morgen", Windows IT Pro (4), S. 14.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten