Open Source im professionellen Einsatz
Linux-Magazin 04/2006
© photocase.com

© photocase.com

Trusted Computing für Linux: Stand der Dinge

Höllenglut

,

Das Thema Trusted Computing für Linux ist ein heißes Eisen, kein Artikel wird es abkühlen können. Wohl aber vermag er Leser in die Lage zu versetzen, sich selber ein Bild über die Chancen und Risiken der Fritz-Chip-Technik zu machen.

1111

Dass Bill Gates vielleicht später als andere dahinter gekommen ist, ändert nicht die Tatsache: Sicherheit ist ein elementares Bedürfnis aller Nutzer des Internets. Denn Angriffe auf die Vertrauenswürdigkeit elektronischer Kommunikations- und Geschäftsprozesse durch Phishing, Pharming, Würmer, Trojanische Pferde und Rootkits sind Teil unserer Erlebniswelt und werden es bleiben.

Ein Weg, der Gefahr Herr zu werden, wäre es, Netzwerke stärker zu überwachen und zwecks Abschreckung per Gesetz unerwünschte Aktivitäten mit Strafen zu belegen. Die damit verbundenen Risiken in Sachen Datenschutz und Privatsphäre sind eigentlich bekannt. Trotzdem scheinen es immer mehr Bürgerinnen und Bürger als das kleinere Übel anzusehen.

Eine Alternative oder Ergänzung könnte sein, die begrenzte Sicherheit, die eine reine Softwarelösungen erreichen kann, mit Hilfe von Hardwarekomponenten zu verbessern. Diese Idee ist nicht neu: Mit Kryptochips ausgestattete Smartcards arbeiten schon lange als sichere Umgebung für kryptographische Operationen und geheime Schlüssel. Kritik erwächst der Alternative dadurch, dass sich die geplanten Verfahren auch eignen, um digitale Inhalte fest an eine Plattform zu binden und so eine (unerlaubte) Wieder- und Weitergabe zu unterbinden.

Funktionsbausteine des Trusted Platform Module

Eine Trusted Platform muss in der Lage sein, wichtige Geheimnisse, Zertifikate, Schlüssel sowie kritische (kryptographische) Operationen sicher in einer geschützten Hardware-Umgebung zu speichern beziehungsweise auszuführen. Das TPM der TCG (siehe Kasten "Trusted Computing der TCG") ist das Herzstück dieser Plattform.

Es lässt sich in seiner Arbeitsweise mit einer auf dem Motherboard verlöteten Smartcard vergleichen, wobei es anders als diese nicht den Benutzer authentisiert, sondern die Integrität der Hard- und Software dieser Plattform. Details zum TPM sind in [3] zu finden, den Grundaufbau zeigt Abbildung 1.

Abbildung 1: Ein TPM besteht aus fünf kryptographische Funktionseinheiten, einem nicht-flüchtigen Speicher mit drei Schlüsseln und einem flüchtigen Bereich.

Das TPM - zeitweise Fritz-Chip genannt - enthält fünf kryptographische Funktionseinheiten. Der Hardware-Zahlengenerator liefert Zufallszahlen von sehr hoher Qualität, die sowohl für die Schlüsselerzeugung auf dem Chip selber als auch für Applikationen nutzbar sind. Die Hash- und die HMAC-Einheit (Hashing for Message Authentication Calculator) signiert Daten. Das TPM kann 2048 Bit lange RSA-Schlüssel direkt auf dem Chip erzeugen. Die fünfte Einheit nimmt RSA-Ver- und Entschlüsselungen vor.

Im nicht-flüchtigen TPM-Speicher liegen drei wichtige Schlüssel: Der Endorsement Key ist ein 2048 Bit langes RSA-Schlüsselpaar, das der Hersteller auf den Chip schreibt. Er bildet die Grundlage für eine unverwechselbare Kennung des TPMs und ist mit dem Master Key einer Zertifizierungsstelle unterschrieben. Die beglaubigt damit, dass es sich um einen Originalschlüssel handelt.

Während der private Teil des Schlüssels das TPM niemals verlässt, erfüllt der öffentliche Teil zwei Aufgaben. Erstens werden mit ihm die Daten verschlüsselt, die der Chip gesendet bekommt - das ist zum Beispiel beim Übernehmen des Besitzes nötig (siehe unten). Zweitens dient der öffentliche Schlüssel der Platform Attestation (Beglaubigung der Plattform). Da der öffentliche Teil des Schlüssels aus Sicht der Privatsphäre kritisch ist, darf der Benutzer die Weitergabe deaktivieren. Eine Platform Attestation ist dann aber nicht mehr möglich.

Der Storage Root Key (SRK) ist ebenfalls ein RSA-Schlüsselpaar mit 2048 Bit. Der Besitzer erzeugt es beim Übernehmen der Hardware. Das Paar verlässt den Chip nie, der Besitzer darf es aber löschen. Der SRK verschlüsselt weitere Schlüsselpaare (Wrap). Der 160 Bit lange Owner Authorization Secret Key lädt sich wie der SRK bei der Besitznahme in den Chip. Er hilft dort Befehle autorisieren, die der Benutzer an das TPM übergeben hat.

Zugeständnisse nach Kritik

Der flüchtige Bereich bietet Platz für zehn temporäre RSA-Schlüssel, 16 PCRs (Platform Configuration Register), die Hashwerte von Hard- und Softwarekonfigurationen aufnehmen, und zwei Arten von Handles. So genanntes Sealing (Versiegeln) bindet Daten durch eine Verschlüsselung über die PCRs an die Systemkonfiguration. Das Unsealing läuft nur erfolgreich, wenn die Werte in den Registern mit denen bei der Verschlüsselung übereinstimmen.

Key Handles braucht das TPM, um den geladenen Schlüsseln Namen zuzuordnen. Befehle greifen auf diese Schlüsselnamen zu. Das Authorization Session Handle hilft den Status der Autorisierung konservieren, wenn mehrere Befehle hintereinander eintreffen.

Kritiker sehen in dem unveränderlichen Endorsement Key und der darauf fußenden Platform Attestation die Basis für ein Hardware-DRM. Mit der TPM-Spezifikation 1.2 hat es die TCG als Zugeständnis den TPM-Herstellern erlaubt, einen überschreibbaren Endorsement Key in den Chip zu integrieren. Der Besitzer kann so den vorgegebenen Schlüssel löschen und für ungültig erklären. Dadurch verliert er allerdings unwiederbringlich den Zugang zum ursprünglichen Vertrauenssystem und muss ein eigenes System von Vertrauensstellungen aufbauen.

Ebenfalls neu ist die so genannte Direct Anonymous Attestation (direkte anonyme Beglaubigung). Der Benutzer eines TPM-Systems darf hierbei für seine öffentliche Kommunikation beliebig viele anonyme Zertifikate ausstellen und bei jedem Kommunikationspartner ein anderes benutzen - dies soll das Erstellen eines Benutzerprofils verhindern.

Trusted Computing der
TCG

1999 trat mit der Trusted Computing Platform Alliance (TCPA) unter der Führung von Compaq, HP, IBM, Intel und Microsoft eine industrielle Interessengruppe an und entwickelte ein umfangreiches und öffentliches Standardisierungswerk zur Definition und Integration von Trusted Plattformen. Im April 2003 trat die von AMD, HP, Intel und Microsoft gegründete Trusted Computing Group (TCG, [1]) die Rechtsnachfolge an.

TCG hat die Spezifikationen der TCPA übernommen und entwickelt sie weiter. Ursprünglich für Serversysteme und Endbenutzer-PCs gedacht, erstrecken sich die Bestrebungen inzwischen auch auf Netzwerk- und Storage-Komponenten, Settop-Boxen, Spielkonsolen, Geldautomaten sowie auf Mobiltelefone und PDAs.

Die TCG gliedert ihre Spezifikationen in die Bereiche Infrastructure, Mobile, PC Client, Server, Software Stack, Storage, Trusted Network Connect und Trusted Platform Module (TPM). Für die Software ist zurzeit die 314 Seiten starke "TCG Software Stack Specification" in der Version 1.1 vom September 2003 aktuell.

Das TPM, also den Kryptochip selbst, beschreiben die 675 Seiten der Version 1.2 (Revision 85) der "TCG TPM Specification" vom Februar 2005 in drei Teilen: Design Principles, TPM Structures und Commands).

Die Diskussion kam erst mit Palladium

Der im Jahr 2000 veröffentlichten TCPA-Spezifikationen folgte erst Mitte 2002 eine nennenswerte öffentliche Diskussion, als Microsoft die Sicherheitserweiterung Palladium für das angekündigte Windows Vista (damaliger Codename: Longhorn) vorstellte. Später benannte der Konzern das Konzept in Next Generation Secure Computing Base (NGSCB) um. Gerade Microsoft haben die Kritiker zum Vorwurf gemacht, primär die Verankerung der digitalen Rechteverwaltung (Digital Rights Management, DRM) vorantreiben zu wollen [2].

2003 veranstaltete das deutsche Bundesministerium für Wirtschaft und Arbeit (BMWA) angesichts der Debatte ein Trusted Computing Symposium und formulierte eigene Anforderungen an den Einsatz dieser Technik, von denen einige in den "Kriterien- und Präferenzkatalog" der Bundesregierung zu den Sicherheitsinitiativen TCG und NGSCB Eingang fanden.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • In Kinderschuhen

    In vielen aktuellen Rechnern steckt ein Chip, den zwar niemand nutzt, um dessen Sinn sich aber Mythen ranken. Dabei könnte sich das Trusted Platform Module durchaus für sinnvolle Aufgaben eignen, wie erste Beispielanwendungen zeigen. Deren Reifegrad lässt aber Wünsche offen.

  • Sicher unschädlich

    Ab 2005 soll im Rahmen der Trusted-Computing-Initiative die Windows-Erweiterung Palladium zur Plattform für erfolgreiche Geschäftsmodelle werden. Kopiergeschützte Inhalte wie Musik oder Video scheint die Industrie dabei mehr anzuvisieren als höhere Sicherheit für den Anwender.

  • Unauffällig bespitzelt?

    Mit TCPA und Palladium wird der eigene Rechner zur Datenbank für Fremde. Was soll da eigentlich auf unseren Festplatten gespeichert werden? Und was sagt der Datenschutz dazu?

  • Sicherheitsplattform Turaya: Finissage in Darmstadt

    Das Konsortium für die European Multilaterally Secure Computing Base (EMSCB) stellt seine Turaya-Software derzeit in Roadshows vor. Das Projekt ist eine geförderte Referenzplattform, die Ansätze des Trusted Computing auf Grundlage von Microkerneln umzusetzen versucht.

  • TPM

    Das einst geschmähte Trusted Platform Module könnte künftig zu einem sicheren Anker für die Chain of Trust auf Rechnern werden. Warum das so ist, wie es aktuell um TPM unter Linux steht und wohin die Reise gehen könnte, erklärt Security-Experte Matthew Garrett in diesem Artikel.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.