Eine Frage des Vertrauens
Vor ein paar Jahren präsentierte die Firma Microsoft unter dem Namen Palladium erstmals ihre Vorstellung von "Trusted Computing". So mancher befürchtete, dass Microsoft damit das Ende der freien Software-Entwicklung eingeläutet hätte. Mehr dazu im Ö1-Magazin matrix, heute 22.30 Uhr.
Heute spricht niemand mehr von Palladium, sondern von Microsofts neuem Betriebssystem Windows Vista. Von den Plänen für die "Next Generation Secure Computing Base", abgekürzt NGSCB, blieb darin - außer dem BitLocker - nicht viel übrig.
Mit Hilfe dieser Laufwerkverschlüsselung soll zumindest den Dieben von Festplatten der Zugriff auf fremde Daten verwehrt bleiben. Vor einiger Zeit stieß diese Vorstellung den amerikanischen Sicherheitsbehörden noch sauer auf: Auf der einen Seite "verlieren" ihre Mitarbeiter zwar mehr und mehr Laptops, auf der anderen Seite wollen sie sich selbst den freien Zugriff auf fremde Rechner nicht verbieten lassen. Schließlich geht es um den Kampf gegen Terror und Kinderpornografie.
BitLocker: Nicht sicher genug
Vor ein paar Tagen gab es von dieser Seite jedoch Entwarnung. Die forensische Arbeit der Ermittler werde durch den BitLocker nicht behindert, schrieb das Magazin "The Register". Grund dafür sei kein Sicherheitsloch, sondern die Tatsache, dass es noch andere Möglichkeiten gibt, an die Daten heranzukommen. Erfahrungsgemäß seien die meisten vorinstallierten Sicherheitssysteme schlecht konfiguriert und die Passwörter können leicht erraten werden.
David Grawrock von Intel präzisiert: "Der BitLocker verwendet einen vierstelligen PIN-Code. Der ist deswegen sicher, weil dabei die Vorteile des TPM-Chips [TPM steht für Trusted Platform Module] genutzt werden.
Wenn Sie den Code zehn Mal falsch eintippen, dann müssen Sie jetzt eine Minute, zwei Minuten, zehn Minuten lang warten, bis Sie es wieder probieren können. Diese verlängerte Ratezeit sorgt für mehr Sicherheit, weil dadurch die Dynamik der Angreifer gedrosselt wird."
Einzigartiges TPM
David Grawrock arbeitet bei Intel und ist federführend an der Spezifikation für den so genannten TPM-Chip beteiligt. Das Besondere am diesem Chip sei, dass er für jede Maschine einzigartig ist. Damit soll gewährleistet werden, dass Eindringlingen, wenn sie den Zugangscode zu einem Rechner geknackt haben, nicht sofort die ganze Rechnerfarm in die Hände fällt. Angriffe nach dem Prinzip "BORE" - "break once run everywhere" - sollen damit der Vergangenheit angehören.
Vertrauen durch Offenheit?
Vor ein paar Jahren wäre es noch unvorstellbar gewesen, dass Trusted Computing auch unter dem Label Open Source verkauft werden kann. Schließlich ist die Freie-Software-Bewegung angetreten, die Freiheit zu garantieren, dass Code nicht nur gelesen, sondern auch modifiziert werden kann.
Eine Vorstellung, von der sich OpenTC verabschiedet hat. Das Projekt Open Trusted Computing, das von HP, IBM, AMD, Infineon und Novell/Suse betrieben und von der Europäischen Union gefördert wird, erfülle zumindest alle formalen Anforderungen für ein Open-Source-Projekt, meint Dirk Kuhlmann von Hewlett Packard, Leiter von OpenTC.
GPL ohne Sicherheit
Die Haltung von Richard Stallmann, der 1984 die Freie-Software-Bewegung eingeleitet hat, bezeichnet er zwar als politisch und ideologisch konsistent, aber als unvollständig: Sie gewähre keine Sicherheit, weil weder in der alten noch in der neuen GPL eine Verantwortung für den Code übernommen werde.
Es fehle darin auch eine Aussage darüber, was ein bestimmtes Stück Programmcode verursachen könne. Eine etwas fadenscheinige Begründung, denn schließlich wehrt sich die ganze Softwarebranche gegen die Haftungsfrage.
Verschwommene Verpflichtungen
Die Industrie beruft sich lieber auf ihr Gentleman's Agreement, das besagt, dass schwer wiegende Fehler behoben werden. Die Trusted Computing Group hat über die Jahre dazugelernt und definiert jetzt ihre Grenzen ein wenig verschwommener.
Auch wenn der Einsatz abseits von Firmen noch etwas auf sich warten lassen wird, zumindest manche MP3-Player, SIM- und Smartcards bieten schon eine Idee davon, was sich die Industrie unter "vertrauenswürdigem Verhalten" vorstellt.
Heute in matrix, 22.30, auf Ö1: Trusted Computing, eine Frage des Vertrauens oder der Kontrolle? Den Text zum zweiten Beitrag in der heutigen Sendung zum Künstlerduo Machfeld lesen Sie auf den Seiten von Ö1.
(matrix | Mariann Unterluggauer)