[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[infowar.de] Hintergrund zu TCPA, DRM und dem "sicheren PC" der Zukunft
Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
Ein guter Überblick zu den Bemühungen der TCPA ('Trusted Computing
Platform Alliance'), den PC in Zukunft sicherer zu machen. Gewollter
Nebeneffekt: Digital Rights Management wird automatisch
mitimplementiert, so dass man als User keine Kontrolle mehr über seine
Dateien und Hardware hat...
Gut in diesem Zusammenhang auch: Ross Andersons FAQ zu TCPA,
http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html.
RB
http://www.heise.de/ct/02/22/204/
c't 22/2002, S. 204: Digital Rights Management
Michael Plura
Der versiegelte PC
Was steckt hinter TCPA und Palladium?
Die Industrie-Allianz TCPA ('Trusted Computing Platform Alliance') will
den PC durch zusätzliche Hardware sicherer machen: Ein integrierter Chip
wacht darüber, ob an der Hardware gepfuscht, Software ohne Lizenz
genutzt oder ein Dokument ohne Erlaubnis geöffnet wird. Auf diesen
Ansatz baut Microsoft: Das in die nächste Windows-Version integrierte
Palladium soll zentral gesteuert Raubkopien lahm legen und die
Wiedergabe illegaler Multimedia-Dateien sperren.
Bisher konnten sich die wenigsten Verfahren zum Schutz digitaler Inhalte
bewähren - die meisten Schutzmechanismen wurden bereits kurz nach ih-rer
Veröffentlichung geknackt, etwa die CSS-Verschlüsselung von DVD-Video
oder Adobes E-Book-Sicherung. Einige Verfahren wurden sogar geknackt,
bevor sie am Markt erschienen, etwa die DRM-Komponente (Digital Rights
Management) des Multimedia-Formats Windows Media 7 von Microsoft [1].
Ein wesentlicher Grund dafür liegt darin, dass heutige PCs
sicherheitstechnisch außer Stande sind, Software vor Angriffen zu
schützen. Solange auf jedem Rechner ein Debugger das Verhalten der
laufenden Software beobachten kann, wird sich daran auch nichts ändern.
Dieses Problem hat auch die PC-Industrie erkannt. Das TCPA-Modell soll
den Missstand beseitigen, indem Sicherheitsmechanismen direkt in die
PC-Hardware integriert werden. In absehbarer Zeit soll ein
Krypto-Coprozessor in die CPU selbst integriert werden und den PC damit
zu einer 'sicheren Plattform' machen [2]. Der Chip wird nach dem
US-Senator Fritz Hollings auch 'Fritz Chip' genannt.
Fritz kommt
Der Fritz-Chip soll nicht nur Anwender authentifizieren und
identifizieren, sondern auch Aufgaben zur Ver- und Entschlüsselung
übernehmen. Er erzeugt zudem asymmetrische Schlüssel und überprüft
empfangene Zertifikate auf deren Gültigkeit. Der Fritz-Chip soll auch
Manipulationen an der installierten Soft- und Hardware erkennen und sich
daraufhin abschalten - und damit auch den ganzen TCPA-PC.
Ein solcher Rechner lässt sich zwar auch ohne TCPA starten - in diesem
Modus kann der Anwender jedoch weder TCPA-Anwendungen nutzen noch auf
seine verschlüsselten Dokumente zugreifen.
Auf den ersten Blick erscheint diese Erweiterung der PC-Architektur als
vielversprechender Weg, den PC sicherer zu machen. Die TCPA demonstriert
anhand interessanter Beispiele, wie der Fritz-Chip den PC stabiler und
zuverlässiger macht [3, 4]. Zwei Highlights: Ein entsprechend
ausgestattetes Mail-Programm kann verifizieren, ob E-Mails tatsächlich
vom angegebenen Absender stammen - das Ende für Spam, Viren und
Trojaner. Und sollte ein privates Word-Dokument doch mal in fremde Hände
geraten, können Unbefugte die Datei nicht ohne Schlüssel öffnen.
Scheinbar werden hier also lang gehegte Wünsche und Forderungen der
Anwender und Sicherheitsexperten wahr. Wo soll da also ein Haken sein?
Wie funktioniert TCPA?
Um dem Anwender tatsächlich Sicherheit bieten und Manipulationen
verhindern zu können, setzt TCPA im Systemkern an. In der
Einführungsphase wird der TCPA-Coprozessor als separater Chip auf dem
Motherboard stecken, spätere PC-Generationen integrieren ihn entweder in
den Chipsatz oder gar in den Prozessor.
Im Fritz steckt ein 8-Bit-RISC-Prozessor mit 33 MHz Takt, der einen 2048
Bit langen RSA-Schlüssel in 0,5 Sekunden berechnet. Zwischen zehn und
zwanzig Schlüssel speichert der Chip intern. Den ersten dieser Schlüssel
generiert der Mainboard-Hersteller speziell für das jeweilige Board. Er
wird mit dem Schlüssel des Herstellers signiert, der wiederum von einem
Master-Key der TCPA signiert wurde. Weitere Schlüssel dienen später
dazu, den Benutzer beim ersten Rechner-Start zu identifizieren. Der
Anwender muss seine Schlüssel wiederum von einer Prüfstelle signieren
lassen. Eins bringt der Aufwand ganz sicher: steigende PC-Preise.
Der Fritz-Chip nimmt seine Arbeit auf, sobald der PC eingeschaltet ist.
Ist TCPA aktiviert, überprüft der Coprozessor zunächst das BIOS und
startet die CPU. Danach testet Fritz alle BIOS-Erweiterungen der
Steckkarten im Rechner, bevor er den Prozessor auf sie zugreifen lässt.
Bei jedem Schritt speichert der TCPA-Chip eine Prüfsumme (SHA1 Hash) ab
und bewertet danach den Zustand des PC.
TCPA startet den PC in einem definierten,
sicheren Zustand und übergibt dann die Kontrolle an das
TCPA-konforme Betriebssystem.
Der SHA1-Hash-Algorithmus berechnet aus einem beliebig langen
Datenstrom wie dem BIOS-Inhalt und einem Schlüssel einen 160 Bit langen
eindeutigen Wert. Ändert jemand das BIOS oder verwendet einen anderen
Schlüssel, entsteht eine andere Prüfsumme und TCPA schlägt Alarm.
Nur nichts ändern
Im nächsten Schritt wird die Platte auf TCPA-Konformität geprüft, dann
der Bootsektor, der Betriebssystem-Lader, der Kernel, die Gerätetreiber
und alles, was zum Start des Betriebssystems in den Speicher geladen
wird.
Doch wehe, es kommt an einer Stelle zu Unstimmigkeiten - etwa weil der
Anwender neue Hardware eingebaut hat. Dann ist der Rechner nicht mehr
TCPA-konform und muss neu zertifiziert werden. Dies geschieht online
anhand einer Liste mit geprüfter Hardware (HCL) und gesperrten
Seriennummern (SRL).
Hat der Fritz-Chip den PC und das OS für TCPA-konform befunden, übergibt
er die Kontrolle an das Betriebssystem. Bei zukünftigen
Windows-Versionen wird hier vermutlich Palladium angesprochen, bei Linux
eventuell das von Hewlett Packard geplante HP-Linux.
Beim Start des TCPA-konformen
Betriebssytem gleicht der Rechner den sicheren Timer im
Fritz-Chip ab und lädt Listen mit kompatibler Hardware und gesperrten
Seriennummern vom Server.
An dieser Stelle startet das Betriebssystem den 'sicheren Timer' im
Fritz-Chip und gleicht die Zeit mit einem authentifizierten Zeit-Server
aus dem Internet ab - um Manipulationen an der Systemuhr zu verhindern.
Bei dieser Gelegenheit bringt der Rechner auch gleich die HCL und die
SRL auf den aktuellen Stand.
Ruft der Benutzer nun ein Programm auf, so überprüft das Betriebssystem
dies erst über Fritzens Hash-Funktion auf TCPA-Konformität - dazu
gehören auch eine passende Plattform-ID und eine gültige Lizenz.
Letztere wird mit der SRL abgeglichen, die ja stets über das Internet
auf dem neuesten Stand gehalten wird. Sollte die Lizenz abgelaufen sein
oder der Hersteller die Seriennummer gesperrt haben, schießt das
Betriebssystem das Programm automatisch aus dem Speicher.
Stimmen Lizenz und Seriennummer, holt das Betriebssystem noch eine Liste
gesperrter Dokumente (DRL) von einem Server, damit der Anwender keine
verbotenen Dateien öffnet oder diese in einer unerlaubten Form nutzt.
Erst von diesem Punkt an kann der Anwender mit dem Programm arbeiten.
Tabula rasa
Natürlich existiert auch die Option, nicht TCPA-konforme Software
aufzurufen - zumindest in der Einführungsphase. Startet eine solche
Anwendung, erhalten alle TCPA-konformen Anwendungen ein Signal, dass das
System 'kompromittiert' wurde (SIGCOMP). Daraufhin überschreiben
sämtliche TCPA-Anwendungen den von ihnen genutzten Arbeitsspeicher mit
Nullen und beenden sich.
Auf den ersten Blick dienen diese Schritte tatsächlich der besseren
Sicherheit. Bootsektor-Viren haben auf einem solchen System keine Chance
mehr; es kann auch kein Trojaner mehr eine DLL einschmuggeln.
0190-Dialer können das DFÜ-Netzwerk nicht mehr unbemerkt auf eine teure
Nummer umbiegen.
Ein TCPA-System bootet immer in genau den Status, den der Anwender bei
der Installation festgelegt hat. Jede Änderung der Konfiguration muss
explizit bestätigt werden. Sollte doch einmal eine bösartige DLL oder
ein Trojaner erst im Nachhinein entdeckt werden, kann das Betriebssystem
den Schädling beim nächsten Update der SRL oder der DRL einfach aus dem
System entfernen.
Knackpunkte
Genau an dieser Stelle wird es Datenschützern flau im Magen - ein
solches System ließe sich theoretisch auch zum Schutz vor unerwünschten
Konkurrenzprodukten nutzen.
Um den Teufel an die Wand zu malen: Würde sich etwa Microsoft von der
Browser-Alternative Opera bedrängt fühlen, landete sie einfach auf der
schwarzen Liste - irgendeine Begründung wird sich schon finden lassen.
Crackern öffnen sich ganz neue Horizonte: Das neue Ziel sind keine
Einzel-PCs mehr, sondern die zentralen Server für SRL, DRL und HCL. Wer
zuerst den Palladium-Bootloader auf die schwarze Liste setzt, legt
Millionen von PCs lahm und geht in die Geschichte ein.
Ausgerechnet Microsoft hat in der Vergangenheit wenig Glück mit
Zertifikaten gehabt: Im vergangenen Jahr hatte der Betriebssytem-Gigant
vergessen, die Server-Zertifikate für den Passport-Server zu erneuern.
Als es Mitte 2001 ablief, konnte sich niemand mehr bei MSN und Passport
anmelden. Wenige Monate zuvor hatte das Unternehmen vor einem
VeriSign-Zertifikat gewarnt, das sich ein Unbekannter auf den Namen
'Microsoft Corporation' erschlichen hatte. Solche Zertifikate sollen
Internet-Nutzern beim Herunterladen von Dateien oder bei vertraulichen
E-Mails garantieren, dass sich niemand zwischen Absender und Empfänger
geschaltet hat - trügerische Sicherheit.
Sicherheitsexperten sehen zudem das Risiko, dass Anwender durch
Palladium und TCPA noch weniger Rücksicht auf die Sicherheit ihrer Daten
nehmen. In der Automobilbranche ist zu beobachten, dass eigentlich
sinnvolle Sicherheitsmaßnahmen wie das Antiblockiersystem (ABS) und
Airbags viele Leute zu riskanterem Fahren verleiten - das Auto passt ja
auf. Palladium dürfte einen ähnlichen Effekt haben - wozu noch auf
Sicherheit achten, wenn das Betriebssystem doch automatisch alle
bösartigen Programme abwehrt.
Letztendlich ist es keine Frage, ob Palladium unterwandert wird, sondern
nur, wann es passiert. Hard- und Software sind leider dafür bekannt, in
den ersten Versionen reichlich Fehler zu enthalten. Warum sollte es
ausgerechnet bei TCPA und Palladium anders sein? Der größte anzunehmende
Unfall wäre hier ein Fehler in der TCPA-Hardware selbst, also dem
Fritz-Chip. Für die Behebung einer solchen Panne müssten Prozessor oder
Mainboard ausgetauscht werden - ein hoher finanzieller Aufwand.
Lizenzen
Apropos Austausch: Die stringenten Sicherheitsmaßnahmen besitzen einen
für Microsoft sicherlich äußerst interessanten Nebeneffekt. Um
Sicherheit zu garantieren, muss Palladium neben Dokumenten auch
Programme anhand der Hardware- und Benutzer-ID verschlüsseln - zumindest
teilweise. Damit wird die Software untrennbar an die Hardware gekoppelt
(neudeutsch 'verdongelt') und lässt sich nicht mehr weiterverkaufen.
Will jemand jedoch seinen Palladium-PC mitsamt der Software verkaufen,
löscht er logischerweise seine Schlüssel, damit der Nachbesitzer nicht
unter seiner Identität arbeiten und seine Dateien lesen kann. Bis dahin
ist das noch praktisch, doch bedeutet dies bei einem zu TCPA und
Palladium konformen System ebenfalls, dass die installierte Software
überhaupt nicht mehr läuft. Selbst wenn man es also von der Gesetzeslage
her dürfte, kann man TCPA-kompatible Software nicht mehr weitergeben.
Dies ginge nur über eine Seriennummernfreigabe, und davon ist im
Standard bisher noch nichts zu finden. Unter dem Deckmäntelchen der
besseren Sicherheit würden Microsoft und Co endlich erreichen, was ihre
Lizenzvereinbarungen nicht geschafft haben: unübertragbare Software.
TCPA und Linux
Was wird unter der neuen Sicherheitsordnung aus Linux und der
GNU-/GPL-Software? Wenn Microsoft sich durchsetzt, muss Linux wohl
TCPA-kompatibel werden - sonst wird es plötzlich als 'nicht sicher' aus
den Netzwerken verbannt.
Grundsätzlich dürfte es nicht schwer fallen, Linux an TCPA anzupassen.
Das Problem dürften die darauf folgenden Kosten sein. Schätzungen
zufolge kostet eine Zertifizierung bis zu sechsstellige Dollar-Beträge -
pro Anwendung. Wie beziehungsweise wovon soll ein Open-Source-Entwickler
das bezahlen?
Derweil hat Hewlett-Packard bereits mit der Entwicklung eines
TCPA-konformen Linux begonnen. Der Schritt mag verwundern, doch der
britische Sicherheitsexperte Ross Anderson hat dazu eine plausible
Theorie auf Lager [7]: Durch TCPA und Palladium ließe sich mit Linux
plötzlich richtig Geld verdienen. Dazu macht ein Unternehmen ein
GPL-Programm zunächst TCPA-konform und reicht es dann zur Zertifizierung
ein. Den Quellcode muss das Unternehmen dabei zwar zum freien Download
anbieten, doch lässt sich dieser auf TCPA-konformer Hardware erst mit
einer gültigen Signatur für die Binärdateien und einem Zertifikat für
den Benutzer starten. Anderson bezweifelt, dass etwa HP diese zwingenden
Zusätze auf Dauer kostenlos verteilen wird.
Als Nebeneffekt würde damit die GPL zu Grabe getragen. Sobald die
Mehrzahl der installierten Systeme TCPA-konform ist, kann die GPL nicht
mehr nach dem Willen ihrer Schöpfer funktionieren, da die Software ja an
eine kostenpflichtige Signatur gebunden wäre.
Bekannte Größen der Chip-Industrie wie Intel und AMD, aber auch
Systemhersteller wie IBM, HP und Dell spielen bei TCPA und Palladium in
der ersten Reihe mit. Der Grund liegt auf der Hand: Die Unternehmen
versprechen sich vom neuen Konzept den Absatz neuer Rechnersysteme;
bestehende Hardware lässt sich schließlich nicht auf TCPA aufrüsten.
Nachdem die Bedeutung der Rechner-Performance immer weiter ins
Hintertreffen gerät, soll das künftige Verkaufsargument 'Sicherheit'
heißen.
Gerade Intel hat handfestes Interesse an TCPA und Palladium. Angesichts
der Marktdominanz des Unternehmens kann es nur noch wachsen, wenn sich
der Markt vergrößert. Dies klappt über den Verkauf neuer, 'sicherer'
Prozessoren und durch den breiten Einstieg des Personalcomputer in den
Unterhaltungsmarkt.
Die Entertainment-Industrie signalisiert bereits seit Jahren, wie
wesentlich ihr die Sicherheit ihrer Werke ist - am liebsten wäre ihr,
wenn sich Unterhaltungsmedien und -inhalte überhaupt nicht mehr kopieren
ließen. TCPA und Palladium sind die Garanten, dass sich das zu diesem
Zweck verwendete Digital Rights Management nicht aushebeln lässt. AMD
scheint dasselbe Ziel vor Augen zu haben und ist sogar etwas eher auf
den TCPA-Zug aufgesprungen als Intel.
Am 9. September kündigte Intel auf dem Intel Developer Forum (IDF) das
LaGrande-Projekt offiziell für alle Produkte an. Bei LaGrande handelt es
sich um nichts anderes als TCPA-konforme Prozessoren und Chipsätze.
Damit hat der Fritz-Chip den Weg in die kommende PC-Generation
geschafft. Die Buchstaben 'TCPA' erwähnte Paul Otellini, der President
und Chief Operating Officer von Intel, in seiner Keynote jedoch kein
einziges Mal. Als Beispiel für ein Zielsystem nannte er vielmehr
ausschließlich Palladium.
Ausblick
Die Bewertung der TCPA-Initiative und Palladium fällt nicht leicht -
zumal noch unklar ist, wie stark sich DRM-Verfahren in Zukunft auf die
neuen Möglichkeiten stützen werden.
Ausgerechnet Microsoft stellt sich jetzt als große vertrauenswürdige
Autorität dar. Dabei sind die diversen Windows-Versionen die mit Abstand
am häufigsten von Sicherheitslöchern, Viren und Hintertüren geplagten
Systeme am Markt - dies lässt sich nicht allein durch deren große
Verbreitung erklären.
Mit Palladium soll jetzt auf einen Schlag alles anders werden;
vollmundig verspricht Microsoft die absolute Sicherheit für den
Anwender. Mit Digital Rights Management hat das System angeblich gar
nichts zu tun (siehe auch Kasten 'Hacker meldet Palladium-Patente an').
Möglicherweise sind die Palladium-Entwicker selbst tatsächlich von der
Tugend ihres Werks überzeugt. Doch Microsofts PR-Abteilung weiß
erwiesenermaßen kreativ mit Realität und Wahrheit umzugehen - man denke
nur an das Gerangel darum, ob Windows ohne Internet Explorer überhaupt
laufe.
Es passt auch schlecht zu Microsofts Beteuerungen, wenn Bill Gates die
Motivation für Palladium damit zu erklären versucht, man habe zunächst
nur an die Sicherung von Musikdateien gedacht und erst später gemerkt,
dass E-Mail und Dokumente wesentlich interessantere Bereiche seien ('We
came at this thinking about music, but then we realized that e-mail and
documents were far more interesting domains' [8]).
Somit spricht einiges dafür, dass Palladium nicht nur zum Schutz des
Anwenders vor bösen E-Mails, Viren und Hackern konzipiert wurde. Das
System scheint vielmehr darauf abzuzielen, die beiden leidigen Themen
Raubkopien und Digital Rights Management auf einen Streich zu lösen.
Ginge es Microsoft wirklich um die Sicherheit seiner Anwender, blieben
dem Unternehmen auch ohne Palladium zahlreiche Möglichkeiten, seine
Betriebssysteme weniger angreifbar zu machen. So könnten bei
Standardinstallationen alle Skriptsprachen deaktiviert bleiben - wer sie
nutzen will, muss sie dann gezielt einschalten. Outlook könnte E-Mails
stets nur als reinen Text anzeigen und erst nach dem Klick auf einen
Schalter in die HTML-Sicht wechseln - das würde vielen
Spam-Adresssammler das Handwerk legen. Unerklärlich ist auch, warum Word
und Excel nach der Installation so konfiguriert sind, dass sie
automatisch startende Makros ausführen.
Diskussionsbedarf
Welche großen Gefahren TCPA und vor allem Palladium bergen, beweisen
auch die hitzigen und erstaunlich umfangreichen Diskussionen weltweiter
Sicherheitsexperten. Zumindest Ross Anderson [10] und die
Krypto-Koryphäe Bruce Schneier [11] befürworten die Idee, das
Sicherheitsproblem am PC mit Hilfe von Hardware auf unterster Ebene zu
lösen.
Grundsätzlich stellt TCPA sicherlich einen Schritt nach vorne dar. Gegen
die geplante Implementierung sprechen hingegen die Kosten zur
Zertifizierung, die freier Software zum Galgenstrick werden können.
Jeder sieht aber auch die große Gefahr durch Microsofts Eigeninteressen.
Der Software-Gigant strebt offensichtlich einen eigenen Standard an, der
über TCPA hinausgeht und klar in einer Hand liegt.
Hinzu kommt die Unsicherheit, vor wem ein TCPA-PC letztendlich sicher
sein wird - nur vor dem Anwender oder auch von außen? Es ist nicht
unwahrscheinlich, dass sowohl TCPA als auch Palladium für die
Strafverfolger ein Hintertürchen bereithalten. Man denke daran, wie
irritiert etwa die US-Regierung und der deutsche Bundesinnenminister
bereits auf bestehende kryptographische Verschlüsselungsmöglichkeiten
wie PGP reagiert haben.
Insbesondere ansgesichts der derzeitigen Terror-Paranoia dürften
Gesetzeshüter kein Interesse an der massenhaften Verbreitung von PCs
haben, die ihre Inhalte grundsätzlich stets vor jeglichen fremden Augen
verschlüsseln. Denn TCPA kann nur funktionieren, wenn die entsprechenden
PCs eine kritische Verbreitungsmasse erreichen. Dass von offizieller
Seite bislang noch keinerlei Kritik an TCPA und Palladium laut geworden
ist, wird manchen Privatanwender das Schlimmste befürchten lassen - eine
kleine Backdoor in jedem Rechner, von der PC-Industrie sicher verwaltet.
(ghi)
Literatur
[1] Clemens Gleich, Entfesselte Musik, Microsofts neues Digital Rights
Management ausgehebelt, c't 23/01, S. 62
[2] Gerald Himmelein, Der digitale Knebel, Intel und Microsoft wollen
Daten vor dem Anwender schützen, c't 15/02, S. 18
[3] TCPA-Homepage
[4] Microsoft-Papier zu Palladium
[5] Bruce Schneier, Secrets & Lies, Digital Security in a Networked
World, Wiley Computer Publishing 2000, S. 127 ff.
[6] MULTICS-Homepage
[7] Ross Anderson zu TCPA und GPL
[8] Präsentation zu TCPA von Lucky Green , S. 21
[9] Cormac Herley, Why Watermarking Is Nonsense, IEEE Signal Processing
Magazin 09/02, S.10
[10] Ross Andersons FAQ zu TCPA
[11] Bruce Schneier zu TCPA
[12] Lucky Green zum Palladium-Patent
-------------------------------
Hacker meldet Palladium-Patente an
Microsoft beteuert unentwegt, Palladium habe auf keinen Fall etwas mit
DRM oder der Unterbindung von Raubkopien zu tun. Kein Wunder: Gäbe man
dies zu, würden wohl viele Leute einen großen Bogen um Palladium machen.
Der amerikanische Krypto-Hacker Lucky Green hat auf Microsofts
Versicherungen hin ein Patent auf die Nutzung von Palladium als Mittel
gegen Raubkopien angemeldet [12]. Seine Chancen stehen gut, damit
durchzukommen. Das US-Patentamt stellt drei grundsätzliche Anforderungen
für Patentanträge: Ihr Inhalt muss neu, nützlich und nicht
offensichtlich sein. Das kann Green belegen:
Der Nutzen dürfte außer Zweifel stehen, wenn man sich das Gejammer der
Software-Hersteller und deren Interessengemeinschaft BSA (Business
Software Alliance) anhört, welche Milliardenverluste sie vorgeblich
durch Raubkopien erlitten. Die Idee scheint neu zu sein, da Microsofts
Product Manager für Palladium, Peter Biddle, öffentlich verkündet hat,
er wüsste nichts von einem solchen Einsatzzweck - und das nach fünf
Jahren Entwicklung. Diese Aussage wurde von Microsofts
Sicherheitsexperten, Brian LaMacchia, bestätigt. Derselben Argumentation
folgend ist die Idee auch nicht offensichtlich: Wäre der Einsatz als
Mittel gegen Raubkopien offensichtlich, hätten die Entwickler bei
Microsoft dies ja erkennen müssen.
Damit ist es Lucky Green gelungen, Microsoft in eine Zwickmühle zu
bringen: Entweder gibt Microsoft die PR-Lüge zu, oder der Software-Riese
muss hinterher möglicherweise Lizenzgebühren an den frechen Hacker
zahlen.
-------------------------------
Die Ursprünge der Sicherheit
Es gab Zeiten, da verband man 'Sicherheit' und 'Vertraulichkeit' direkt
mit der Hardware: Da gab es separate Computer für allgemein zugängliche,
für vertrauliche und für hoch-sensitive Daten. Die Rechner arbeiteten
vollkommen getrennt und boten dadurch die nötige Sicherheit - allerdings
ziemlich umständlich und mit hohen Kosten.
In den 60er Jahren entwickelten D. Elliott Bell und Leonard J. LaPadula
ein Modell, um alle Sicherheitsstufen auf einem einzigen System zu
implementieren. Auf diesem 'Multilevel Security Model' beruhen alle
aktuellen Betriebssysteme. Der Ansatz arbeitet mit einem
Schichtenmodell, das die Daten in verschiedene Sicherheitsklassen
einteilt, etwa 'unklassifiziert', 'vertraulich', 'geheim' und 'streng
geheim'. Die Benutzer des Systems erhalten ebenfalls eine
Sicherheitsstufe zugewiesen. Auf dieser dürfen sie Dateien anlegen,
lesen und schreiben. Darüber hinaus erlaubt das Modell aber auch einen
Informationsfluss von unten nach oben. Das Verfahren wird auch als 'no
read-up/no write-down' bezeichnet. Anwender dürfen Dateien mit einer
geringeren Sicherheitsstufe nur lesen, aber nicht schreiben.
Andererseits kann der Benutzer zwar Dateien mit einer höheren
Sicherheitsstufe anlegen, derartige Daten aber nicht lesen.
Auf den ersten Blick mag dieses System unsinnig wirken; seine Vorteile
erschließen sich erst in der Praxis: So darf beispielsweise ein Benutzer
auf der 'Geheim'-Stufe mit Daten aus einer 'geheimen' Datei arbeiten,
kann daraus aber keine unklassifizierten Daten machen, die Unbefugten
zugänglich wären. Dieselben Regeln würden auch einen Virus treffen: Er
könnte also keine vertraulichen Dokumente in alle Welt versenden, wie es
E-Mail-Würmer gern tun.
Anders als bei heutigen Sicherheitskonzepten darf der Benutzer bei 'no
read-up/no write-down' jedoch Dateien erzeugen, die eine höhere
Sicherheitsstufe tragen als ihr Urheber. Der Lesezugriff auf diese
Dateien bleibt ihm dagegen verwehrt. So können Daten also in höhere
Sicherheitsstufen wandern; wichtige Informationen sickern aber nicht
nach unten [5].
Ab 1965 wurde dieses Bell-LaPadula-Modell tatsächlich in die Praxis
umgesetzt. Alle Funktionen des Betriebssystems wurden erst in Code
umgewandelt, nachdem sie mathematisch als korrekt beweisen worden waren.
Dabei entstand das kompromisslos auf Sicherheit ausgelegte MULTICS
('MULTiplexed Information and Computing Service') [6] - hier verlangte
selbst das Logout ein Passwort. Bis vor kurzem lief das System noch auf
Mainframes. 1985 erlangte MULTICS als erstes und für lange Zeit einziges
Betriebssystem das B2-Sicherheitszertifikat des Orange Book des NCSC
('National Computer Security Center'). Die Sicherheitseinstufung von
MULTICS fiel nicht schwer, da hier erstmals das Konzept des 'schlanken'
Kernels umgesetzt wurde - er war nur 56 000 Code-Zeilen lang. So ließ
sich der Systemkern tatsächlich prüfen und als vertrauenswürdig
einstufen.
Microsoft kehrt diese Erkenntnis um und pervertiert sie damit: Da der
Kernel per Definition als sicher gilt, wird einfach so viel wie möglich
hineingepackt - angeblich entsteht dabei ganz von selbst ein sicheres
Gesamtsystem. Wie aber will man ein vertrauenswürdiges System schaffen,
wenn der Anwender jede Woche neue Gerätetreiber aus dem Internet
einspielt - und dies immer auf der höchsten Privilegierungsebene? Um
Palladium wirklich sicher zu machen, müsste Microsoft Windows im Kern
neu konzipieren. Dies ist allerdings nicht geplant, da Palladium nur
eine Zusatzfunktion der nächsten Windows-Version (Codename 'Longhorn')
werden soll.
---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
de-request -!
- infopeace -
de mit "unsubscribe" im Text.