Von CW-Redakteur Martin Seiler

Wie lässt sich ein vernetzter Rechner zuverlässig vor Eindringlingen und Manipulationen schützen, so dass sich der Anwender auf die Integrität seines Systems verlassen kann? Mit diesem Security-Problem befasst sich die 1999 gegründete Trusted Computing Group (TCG, ursprünglich Trusted Computing Platform Alliance = TCPA).

Die Fachwelt ist sich einig, dass das mit Software allein nicht zu bewerkstelligen ist. Das von der TCG entwickelte Konzept einer vertrauenswürdigen Plattform setzt daher zusätzlich auf eine spezielle Hardwarekomponente, das Trusted Platform Module (TPM). Dabei handelt es sich um einen auf der Hauptplatine des jeweiligen Rechners fest verdrahteten und vor technischen Manipulationen geschützten Security-Chip, vergleichbar den Modulen, wie sie auf Smartcards zum Einsatz kommen.

Schutz vor Manipulationen

Dieser Chip ist passiv, verfügt über eine eindeutige Kennung und bietet verschiedene Sicherheitsfunktionen: So ermöglicht er es, das Gerät eindeutig zu authentifizieren, was gerade im Hinblick auf mobile Rechner und poröse Unternehmensgrenzen hilfreich sein kann, um unerwünschte Gäste zu identifizieren. Außerdem ist es möglich, aus der Hard- und Softwareausstattung des jeweiligen Systems eine Art digitalen Fingerabdruck in Form eines Hash-Werts zu erzeugen, der sich an das TPM koppeln lässt, um Manipulationen vorzubeugen. Werden PC-Komponenten verändert, wirkt sich das auch auf den Hash-Wert aus, so dass der Anwender die Manipulation bemerkt. Der Nutzer hat jedoch nach wie vor die Möglichkeit, selbst Modifikationen oder Erweiterungen vorzunehmen. Er muss dann allerdings einen neuen Referenzwert erstellen.

Sicherheit für Krypto-Schlüssel

Außerdem kann das TPM dazu dienen, kryptografische Schlüssel sicher zu erzeugen und vor Zugriffen Dritter geschützt abzulegen. Wie Thomas Rosteck, Leiter des Segments Security bei Infineon, erklärt, bietet der Hersteller Anwendern heute bereits die Möglichkeit, etwa den Master Key für das Encrypted File System (EFS) von Windows XP sicher im TPM zu speichern. Das soll vor Angriffen via Software schützen, aber auch vor physikalischen Attacken: Das TPM ist so konstruiert, dass Versuche, den Chip zu manipulieren oder die Daten sonstwie auszulesen, zur Zerstörung der Informationen führen. So können sie immerhin nicht in unbefugte Hände fallen.

Mit Hilfe des TPM lassen sich entweder auf Bios- oder Betriebssystem-Ebene erweiterte Sicherheitsfunktionen nutzen. Die "HP Protect Tools" etwa, die der Hersteller zusammen mit diversen Modellen seiner Business-Notebooks ausliefert, ermöglichen eine Pre-Boot-Authentifizierung: Dadurch soll verhindert werden, dass Unbefugte noch vor dem Start des Betriebssystems den Rechner manipulieren. Außerdem kann über die Protect-Tools die Funktion "Drive-Lock" aktiviert werden: Dabei findet eine logische Verknüpfung der eingebauten Festplatte mit dem TPM und dem Notebook selbst statt, so dass ein Angreifer, der den Laptop stiehlt und das Laufwerk in einen anderen Rechner einbaut, nicht auf die darauf gespeicherten Daten zugreifen kann. Außerdem bietet HP auf Betriebssystem-Ebene TPM-gestützte Funktionen wie Datei- und E-Mail-Verschlüsselung oder Single-Sign-on an.

Microsoft hatte schon früh das Potenzial von Trusted Computing erkannt und geplant, auf Basis eines TPM umfangreiche Sicherheitsfunktionen in sein Betriebssystem zu implementieren. So gab es Überlegungen, innerhalb des Hauptspeichers von Computern eine abgeschottete Ablaufumgebung, den "Nexus", zu schaffen. Dabei sollten eng mit dem Betriebssystem verzahnte Erweiterungen zusammen mit dem TPM dafür sorgen, dass speziell angepasste Programme auf diesen Speicherbereich zugreifen und nicht von anderen Anwendungen manipuliert werden können.

Nach heftiger Kritik an diesem Vorhaben - unter anderem wurde die Befürchtung geäußert, Microsoft könne das Verfahren missbrauchen, um nur Software mit dem Segen aus Redmond ausführen zu lassen - ließ der Hersteller diese Pläne wieder in der Schublade verschwinden. Von dem unter dem Codenamen "Palladium" entwickelten und dann in "Next Generation Secure Computing Base" umgetauften Konzept ist nur die Verschlüsselungstechnik "Bitlocker" übrig geblieben. Diese will Microsoft als Bestandteil der Vista-Versionen "Enterprise" und "Ultimate" sowie des "Longhorn"-Servers ausliefern.

Vielfältige Möglichkeiten

Laut Ben Fathi, Corporate Vice President von Microsofts Security Technology Unit, hat der Hersteller jedoch noch Pläne über Bitlocker hinaus: "Wir möchten die Vorteile der TPM-Technik stärker nutzen, um die Systemintegrität weiter zu verbessern." Dazu könnte aus Sicht des Managers auch gehören, Anwendungen digital zu signieren, um Manipulationen am Code zu verhindern.

Doch nicht nur Microsoft findet Gefallen an Trusted Computing, auch die Open-Source-Szene hat das Thema inzwischen für sich entdeckt. Die EU-Kommission unterstützt das von einem internationalen Konsortium getriebene Projekt Open Trusted Computing (OpenTC). Namhafte Hersteller wie IBM, AMD, HP, Suse oder Infineon sind daran beteiligt, aber auch Forschungseinrichtungen wie das Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum, die Universität Cambridge oder der Lehrstuhl für Datenverarbeitung der Technischen Universität München. Die hinter OpenTC stehende Idee lautet, dass "eine Kombination aus Open-Source-Software und Trusted Computing das Risiko des Einsatzes der Technik zum Nachteil des Verbrauchers minimiert".

Zauberwaffe Trusted Computing

OpenTC hat sich zum Ziel gesetzt, die Zuverlässigkeit von PCs während der Authentifizierung zu verbessern, um so Systeme besser gegen Bedrohungen durch Viren, Trojaner oder sonstige Malware zu schützen. Des Weiteren soll das Framework ermöglichen, dass kritische Anwendungen wie E-Commerce-Software in einer gesicherten Umgebung ablaufen, um sie so vor Manipulationen von außen zu schützen.

Auf Grundlage einer von dem Prozessorspezialisten AMD zu entwickelnden sicheren Hardwarearchitektur sollen ein sicheres Betriebssystem, dazugehörige Protokolle sowie Prototypen von Applikationen erarbeitet und kostenlos bereitgestellt werden. Aus Sicht des OpenTC-Konsortiums wäre das komplette Framework geeignet, "die meisten aktuellen Gefahren zu eliminieren". Die Technik lasse sich überdies nutzen, um die Zuverlässigkeit und Sicherheit von Anwendungen auf mobilen Geräten wie Handys zu gewährleisten.

Daneben arbeitet die Initiative European Multilaterally Secure Computing Base (EMSCB) mit "Turaya" ebenfalls an einem Trusted-Computing-Konzept auf Open-Source-Basis. Erklärtes Ziel ist allerdings, auch eine vertrauenswürdige DRM-Komponente (Digital-Rights-Management) mitzuentwickeln. Die Kombination aus DRM und TPM hat schon für einige Diskussionen gesorgt, weil befürchtet wird, dass einzelne Hersteller diese Kombination nutzen könnten, um letztlich die Rechte des Anwenders zu beschneiden.

Initiiert wurde EMSCB vom Institut für Systemarchitektur der Technischen Universität Dresden, der Ruhr-Universität Bochum, dem Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen, Escrypt Embedded Security und der Sirrix AG. Ebenfalls mit im Boot ist das Bundesministerium für Wirtschaft und Technologie, das das Projekt über drei Jahre hinweg mit jeweils 800000 Euro finanziell unterstützt.

Symantec wartet ab

Die Initiative hat bereits erste Sicherheitsanwendungen entwickelt, die Unternehmen für ihre Zwecke verwenden können. "Turaya Crypt" ist ein Tool zur Festplattenverschlüsselung, während "Turaya VPN" für den sicheren Aufbau von Virtual Private Networks (VPNs) konzipiert ist. Einziges Manko: Die Lösungen laufen derzeit nur unter Linux, eine Portierung auf Windows wird jedoch erwogen.

Ungeachtet dieser Aktivitäten hält sich der Sicherheitsspezialist Symantec derzeit noch vornehm zurück, was Trusted Computing betrifft. Enrique Salem, Group President für Consumer-Produkte, bezeichnet den Ansatz zwar als eine "interessante Initiative", der Hersteller bietet gegenwärtig jedoch keine speziellen Produkte an, die von der Technik Gebrauch machen.

Steigende Nachfrage

Es bleibt daher abzuwarten, wie sich das Thema Trusted Computing weiterentwickeln wird. Weltweit sind nach Schätzungen von IDC vom Februar 2006 bereits über 50 Millionen Systeme (in erster Linie Laptops) mit einem TPM ausgestattet. Bis 2009 erwarten die Analysten, dass etwa 85 Millionen Notebooks, 80 Millionen Server und zirka 75 Millionen Desktop-PCs entsprechende Sicherheitsfunktionen bieten. "Die Akzeptanz von TPM durch OEM-Hersteller wird die Entwicklung der Softwareinfrastruktur stimulieren und beschleunigen", glaubt IDCs Program Manager Shane Rau.

Wie Robert Vasenda, Area Category Manager für Business Notebooks bei HP, erzählt, enthielt allein im vergangenen Jahr ein Drittel aller durch den Hersteller ausgelieferten Profi-Mobilrechner einen solchen Sicherheits-Chip. Für dieses Jahr erwartet der Manager eine "deutlich höhere" Nachfrage. Der Anbieter sieht Trusted Computing als strategisches Thema, das eine zunehmend größere Rolle spielt. Vor allem Großkunden seien an entsprechenden Produkten interessiert, aber auch aus dem Bereich der kleinen und mittelständischen Unternehmen gebe es sehr viele Anfragen.

Nicht zuletzt der Ausblick auf das Erscheinen von Microsofts Vista könnte der Technik noch einmal einen ordentlichen Schub geben. Schließlich müssen Rechner, die das Logo "Windows Vista Premium Ready" tragen wollen, auch einen TPM der Version 1.2 enthalten. Das dürfte zumindest auf die Mehrzahl der Business-PCs und Notebooks zutreffen.

Die Analysten von Gartner sind dennoch skeptisch, was Trusted Computing betrifft: Die Industrie habe mehr geredet als getan, heißt es im aktuellen Report "Hype Cycle for Information Security". Gartner empfiehlt Unternehmen daher, keinen Einsatz der Technik in Standard-IT-Systemen (außer Trusted Storage) vor 2010 zu planen. Erst dann sei eine ausreichend große Durchdringung der installierten Basis erreicht.