1. Aktuelle News

Des Palladiums Kern

Wie bereits in TCPA-Teil 1 erwähnt, wird Palladium (wir erinnern uns) von Microsoft das System in 2 Hälften Teilen.
So ist es in einem Bericht auf Heise.de jüngst zu lesen. Brad Brunell, verantwortlich nun für das "Trustworthy Computing" (Vertrauenswürdiges Rechnen), bezeichnet den Kern von TC als "360°-Strategie".
Gemeint war, dass Palladium völlig offen sein werde. Es werde niemals den Benutzer von seinen Daten aussperren und niemals "spionieren" oder ähnliches. Auch werden weiterhin OpenSource-Programm unter Windows laufen, wieso auch nicht!
Dafür teilt Palladium das System (zukunft: Windows2004 Arbeitstitel: Longhorn) in zwei Hälften. Die eine durch Palladium geschützt, die andere eben ungeschützt.
Dies Zweiteilung, welche bis dahin nicht offenbar war, habe ich bereits im TCPA-Teil1 vorhergesagt und, wies aussieht, recht behalten.
Irgendwann wird es dann den guten und den bösen Teil geben und irgendwann wird dann der böse Teil untragbar und das wars.
Sogenannte Manifeste wachen über die Rechte. Sprich: Der Programmierer gibt ein Manifest seinem TCPA-konformen-Programm mit auf den Weg, dieses wird dann vom Fritz-Chip oder der CPU entschlüsselt und dem User entsprechende Rechte gewährt oder verweigert. Nur diese Programme laufen auf der "sicheren Hälfte" des Betriebsystems.
Dabei können solche Manifeste auch von dritten herausgegeben werden.
Liest man sich diese Idee genau durch bemerkt man das Problem, welches viele damit haben. Wer ist dieser dritte? Der Admin? Ein Hacker? Microsoft? Wie verhindert MS, dass ein Hacker ein gefälschtes Manifest ausstellt?

2. Wie wirds werden

2.1. Komponenten

1. Der Fritz-Chip

Kern von TPM (Trusted Plattform Model) ist der Fritz-Chip, welcher jetzt auf dem Mainboard verlötet, dann irgendwann direkt in die CPU wandern soll.
Er koordiniert das ganze. Er beherrscht Verschlüsselung und grundlegende Befehle, mit denen es möglich ist festzustellen, ob eine Hardware oder Software TCPA-Konform ist. Wenn wir versuchen eine Kopiergeschützte CD zu duplizieren, ist er ein wichtiger Teil der Kette die uns sagt: "Du darfst das aber nicht!"

2. Die CPU

Prozessoren von heute haben genug Power um Verschlüsselungsalgorithmen in Echtzeit zu erledigen. Verschlüsselung ist wiederum eine Kernkomponente von TCPA. Die Manifeste werde verschlüsselt abgelegt, das Filesystem verschlüsselt - einfach alles, was Datum ist. Einige Hersteller, allen voran Transmeta, welche den TM5800 bereits produzieren, haben entsprechene Prozessoren schon fertig. Nur wenn er verschlüsseln kann ist ein Prozessor TPM-Tauglich.

3. Die TPM-Hardware

Die Hardware muss zertifiziert sein. Dies macht Microsoft im Rahmen von WHQL schon lange. Für eine echte TPM bedeutet das aber, dass Hardware ohne einen zertifizierten Treiber als unsicher gilt und im gesicherten Teil des Betriebsystems (wir kommen noch drauf zu sprechen) wahrscheinlich nicht funktionieren wird.

4. Die Software

Micorosft nennt es Palladium, vielleicht wird es TPM auch einmal für Linux geben, denn nicht alles an dem TCPA-Masterplan ist schlecht! Derzeit ist, und das ist das beunruhigende, lediglich der Microsoft-Ansatz in Sicht.

Dieser sagt: "Wir halbieren das Betriebsystem in einen sicheren Teil und einen unsicheren!"

2.2. Die Zusammenarbeit

Nun schauen wir uns diese (zugegeben recht einfache) Skizze an. Das System wird unterteilt in "gut" (grün) und "schlecht" (orange). Dies auf Softwarebene und auf Hardwareebene.

Der Fritz-Chip ist nur zur validierung da. Bedeutet: Wenn man ihn fragt: Ist das gute oder schlechte Hardware oder Software, dann gibts eine entsprechende Antwort.
Bei der Validierung von Hardware muss das BIOS und die entsprechende Brücke mitspielen.
Die CPU sorgt für Verschlüsselung. Dabei kann es sich um Daten auf der Festplatte, im Netzwerk oder sogar auf dem Bus des PCs handeln.
Die normalen Kommunikationswege existieren weiter.

Stopft nun also der User eine neue Hardware in das System, dann bemerkt das als erstes das BIOS. Dieses checkt ab, ob es sich um TPM-Hardware handelt. Ist es keine TPM-Hardware, dann wird das dem Betriebsystem mitgeteilt. Ist es TPM-Hardware wird ein entsprechender TPM-Treiber erforderlich.
Gibt es keinen solchen Treiber, ist die Hardware nicht TPM-Konform und kommt in die "böse" Ecke.

Installiert man ein Programm, welche TPM-Konform ist, bringt dieses eine Manifest-Datei mit. Diese muss entschlüsselt werden (CPU) und dann vom Fritz-Chip validiert (sprich: Die Manifest-Datei muss gültig sein).
In dieser Manifest-Datei steht genau drin, was gemacht werden darf und was halt nicht. Will man gewisse Programmfunktionen einschränken oder aber die zeitliche Dauer begrenzen, kann man das in dieser Datei festlegen und da diese verschlüsselt ist, kann der Anwender nichts dagegen tun.
Ein interessanten Feature für Programmierer und für Administratoren.

Ein Treiber ist natürlich auch ein Stück Software, also muss auch er eine Manifest-Datei mitbringen.

Das Management auf Betriebsystem-Ebene übernimmt hier Palladium.

Was aber passiert mit nicht TPM-Hardware? Nun, Palladium läuft in seinem Teil mit TPM-Hardware, aus welchem die nicht-TPM-Hardware ausgesperrt wird, sie steht TPM-Programmen nicht zur Verfügung. Andererseits steht die TPM-Hardware nicht TPM-Prgrammen sehrwohl zur verfügung, jedoch wird ständig von Palladium überwacht.

Ergo: Irgendwann wird man zwischen TPM und nicht TPM streng unterscheiden müssen und auf der Schachtel von Office11 steht vielleicht schon "Dieses Programm benötigt TPM-Konforme Hardware".

3. Was bedeutet...

TPM-Hardware ist anfangs nicht anderes als Hardware, welche über einen TPM-Treiber verfügt. Ein TPM-System ist also ein System, welches über ein TPM-Fähiges BIOS, den Fritz-Chip, hardwareseitiger Verschlüsselung und TPM-Hardware verfügt.

Kaufst Du also 2004 ein Mainboard mit neuem Prozessor, dann kann das BIOS wahrscheinlich TPM und die CPU kann verschlüsseln. Der Fritz-Chip ist auch da!

Willst Du Deine alten Komponenten hinzustecken, dann muss es dafür mindestens einen TPM-Treiber geben, ansonsten hast Du kein TPM-Konformes System mehr.

Am Anfang kann man sicher im BIOS oder Betriebsystem wählen, ob man ein TPM-System nun will oder nicht, doch diese Option wird mit sicherheit irgendwann abgeschafft.

Das klingt nach WHQL! Ist auch nicht viel anders. Nur wirst Du gezwungen, TPM zu nutzen.

4. Vorteile

Sie sind schon genannt worden!

1. Alles kann verschlüsselt werden! Alles! Sogar die Daten auf dem Bus. Damit ist relative Sicherheit gegeben.

2. Eine beschädigung des Betriebsystems durch böse Programme, seien sie nur schlecht programmiert oder Viren, kann es nicht mehr geben. Denn diese laufen in einem sicheren, gesonderten Bereich!

3. Der Einbau von Hardware wird zum Kinderspiel. Am Anfang muss man noch auf das TCPA-Zeichen achten, später dann wird alles TPM-Konform sein und somit kann man es bedenkenlos reinstöpseln. Ist der Treiber TPM-Zertifiziert, hat eine gültige Manifest-Datei, dann sollte die Hardware unproblematisch sein.

4. Administratoren werden es leicht haben. Fernadministration eines Palladium-Systems ist ein Kinderspiel. Man kann sogar Anwendungen funktionsbeschränken und bei illegalen Daten (bspw. Moorhuhnjagd auf einem Firmenrechner während der Arbeitszeit) diese blokieren. Dabei kommt die Hardwareverschlüsselung einem Wunschtraum der Sicherheitsexperten nach.
Admins wird die Möglichkeit gegeben einenen Palladium-Server aufzusetzen, welcher natürlich auch in der Lage ist Inhalte auf ihre Gültigkeit zu prüfen und Daten, Software und Hardware zu verifizieren.
Ändert sich etwas, verteilt man einfach ein neues Manifest. Das könnte Active-Directories und Windows-Domänenmodell revolutionieren.

5. Das eingebaute Rechtesystem kann idiotensicher gestaltet werden. Man speichert seine persönlichen Daten und hat absolute Sicherheit, da kommt keiner ran, der nicht mein Passwort hat.

6. Das Ende aufwändiger Hardware-Kopierschutze für CDs, DVDs usw. Kein Safedisc verdirbt mir den Spass mehr, weil die Audio-CD partout nicht in meinem Player laufen will. Das Digitale Rechtemanagement eines jeden PCs wird checken, ob die Datei abgespielt oder kopiert werden darf. Dafür muss übrigens nur die CD über eine entsprechende manifest-Datei verfügen und bumms: Kopieren unmöglich.
Aber es geht auch defiziler: Einmal kopieren in Mp3 geht. Doch auch diese MP3-Sammlung hat ein Manifest und so kann sie zwar gelöscht, nicht jedoch weiter kopiert werden. Lediglich ausgeschnitten und kopiert.
Eventuell gewährt der CD-Hersteller sogar eine Sicherungskopie über Manifeste.
Auf einem nicht-Palladium-PC wiederum sperrt sich die Audio-CD wie eh und je!

7. DRM ist das Schlagwort schlechthin. Alles kann geschützt, restrikiert oder geöffnet werden. Alles verschlüsselt, alles sicher. Auch Bankenverkehr, Online-Bestellungen. Der Benutzer muss sich um nichts kümmern. Pin/Tan - Schnee von gestern. HBCI - langweilig. Mittels TPM-Hardware und einem eindeutigen Schlüssel für jeden Nutzer kann nun mit der Bank kommuniziert werden. Absolut unkopierbar und sicher!

5. Nachteile

Na, den Zynismus im vorigen Kapitel bemerkt?

1. Alles kann verschlüsselt werden! Windows war eine Schnattertüte, schon immer! Da gingen oft Daten raus, bei welchen man sich dachte: "Was geht das die anderen an?".
Mit Palladium denkt man das nicht mehr. Man kann die Daten nämlich nicht mehr lesen! - verschlüsselt!

2. AntiViren-Software, IDS-Systeme und vieles mehr verlieren ihre Existenzberechtigung. TPM frisst diesen Markt auf. So einiges an heutiger Software wird den Dienst verweigern.

3. Mal eben den neuesten Beta-Treiber von NVidia? Nein! Das geht jetzt nicht mehr. Ab sofort müssen wir sogar aufpassen, dass wir nicht eine Hardware kaufen, welche durch den Treiber in ihrer Funktion zeitlich limitiert wird!

4. Nicht nur Administratoren haben es einfach. Ich persönlich bin gespannt, wie Microsoft Palladium gegen Angreifer absichert. Denn wenn einer eindringen kann, wird der Schaden erheblich grösser sein.
Ausserdem dürft das Konzept an sich Admins und Sicherheitsexperten ärgern. Es ist ein System, welches am besten permanent Online ist.
Die Interkonnektabilität mit anderen Systemen, welche nicht TCPA-Konform sind, dürfte dafür noch schlechter werden. Es wird wieder eine klarere Trennung von Linux und Windows-Welt geben.

5. Idiotensichere Gestaltung macht trotzdem das Arbeiten komplizierter. Ich glaube auch nicht dass gerade Microsoft es schaffen soll, ein System herzustellen, welches nicht umgangen und zerstört werden kann. Jeder andere, vielleicht, nicht aber Microsoft. Wahrscheinlich werden sehr viel Kompromisse eingegangen.

6. Totale Kontrolle meiner Inhalte! Palladium wird das Abspielen von MP3s erlauben, aber das Erzeugen ist verboten. Ich bin mal gespannt, wie sich Palladium verhält, wenn ich einen geschützten Inhalt in einem ungeschützten Format speichern will! Selbst das Kopieren nicht geschützter Inhalte könnte zum Problem werden.

7. Ich weiss nicht, ob es mir gefällt, meine gesammelten Informationen in die Hände von Microsoft zu legen, einer Firma, welche ein sicheres System verkauft, welches von Backdoors und Bugs nur so wimmelt.

6. Schluss für heute

Nun haben wir uns mit der Realisierung beschäftigt. Ich werde mich nun noch einmal zurücklehnen und einen TCPA-PC vorstellen. Ein PC, auf dem alle meine Daten sicher ruhen, weil sie verschlüsselt sind.
Dieses Versprechen stammt von Microsoft!
Ich habe also einen PC, bei dem ich beim kopieren von Daten mir Gedanken machen muss, ob das beim nächsten Kopiervorgang wieder klappt. Ich kann nicht meine Audio-CDs rippen, Filesharing exisitert quasi für mich nicht mehr und Microsoft schützt mich vor Viren. Basteln und schrauben, am Chassis vielleicht, aber Tuning und Tweaking wird wohl irgendwann vorbei sein. Ganze Bereiche meines System sind für mich unzugänglich.

Ich weiss nicht ob unbewust oder bewust versetzt sich Microsoft dabei immer mehr in die Rolle des Big-Brother.

Übertreibung? Hast Du denn schon 1984 gelesen? Als Winston stirbt, beschwört er seine Liebe zum grossen Bruder, da dieser ihm einer Gehirnwäsche unterzogen hat, indem er ihn mit seinen grössten Ängsten konfrontiert.

Der grosse Bruder beschützt Winston vor den bösen Geistern in seinen Ängsten. "Big Brother is watching you" ist eine zweideutige Floskel. Zum einen bedeutet es "aufpassen" und beschützen. Zum anderen bedeutet es "beobachten" und bewachen. Der grosse Bruder argumentiert in Orwells Roman mit ersterer Deutung, der Leser jedoch weiss, es ist letzteres. Das einzige, was der grosse Bruder beschützt, ist sich selbst.

Genau das und nur das macht TCPA mit dem DRM. Es schützt meine Daten und passt auf sie auf...

Das erstaunliche an dieser Parallele ist auch, dass der grosse Bruder im Roman einen Krieg führt, den es gar nicht gibt. Dabei wechseln die Feinde, wie das Wetter, aber der Krieg ist immer der selbe. Opfer sind Zahlen in einer Statistik und natürlich gibt es auf gegnerischer Seite mehr Opfer. Und diese Feinde sind es, die den Wohlstand des Staates gefährden. Orwell wurde übrigens durch den Faschismus und den aufkeimenden Kommunismus zu seiner düsteren Zukunftsvision angeregt ...

Um es mit Microsoft zu sagen: "Which war do you want to fight today?"

pco(2003)