Mit Hilfe des TPM lassen sich entweder auf Bios- oder Betriebssystem-Ebene erweiterte Sicherheitsfunktionen nutzen. Die "HP Protect Tools" etwa, die der Hersteller zusammen mit diversen Modellen seiner Business-Notebooks ausliefert, ermöglichen eine Pre-Boot-Authentifizierung: Dadurch soll verhindert werden, dass Unbefugte noch vor dem Start des Betriebssystems den Rechner manipulieren. Außerdem kann über die Protect-Tools die Funktion "Drive-Lock" aktiviert werden: Dabei findet eine logische Verknüpfung der eingebauten Festplatte mit dem TPM und dem Notebook selbst statt, so dass ein Angreifer, der den Laptop stiehlt und das Laufwerk in einen anderen Rechner einbaut, nicht auf die darauf gespeicherten Daten zugreifen kann. Außerdem bietet HP auf Betriebssystem-Ebene TPM-gestützte Funktionen wie Datei- und E-Mail-Verschlüsselung oder Single-Sign-on an.
Microsoft hatte schon früh das Potenzial von Trusted Computing erkannt und geplant, auf Basis eines TPM umfangreiche Sicherheitsfunktionen in sein Betriebssystem zu implementieren. So gab es Überlegungen, innerhalb des Hauptspeichers von Computern eine abgeschottete Ablaufumgebung, den "Nexus", zu schaffen. Dabei sollten eng mit dem Betriebssystem verzahnte Erweiterungen zusammen mit dem TPM dafür sorgen, dass speziell angepasste Programme auf diesen Speicherbereich zugreifen und nicht von anderen Anwendungen manipuliert werden können.
Aufbau des TPM
Das Trusted Platform Module ist ein kleiner Rechner im Rechner: Es verfügt über einen sicheren Controller, adressierbare Speicherbereiche (RAM und ROM) sowie Ein- und Ausgabekomponenten. Daneben enthält der Chip spezielle Module für diverse Sicherheitsfunktionen: Neben der Verschlüsselungs-Engine gehören ein Zufallsnummerngenerator sowie Komponenten für das Bilden von Hash-Werten sowie das Erstellen der asymmetrischen Krypto-Schlüssel dazu. Geschützt werden diese Einheiten durch einen aktiven Schild, der in der Lage ist, physikalische Angriffe zu erkennen.
Nach heftiger Kritik an diesem Vorhaben - unter anderem wurde die Befürchtung geäußert, Microsoft könne das Verfahren missbrauchen, um nur Software mit dem Segen aus Redmond ausführen zu lassen - ließ der Hersteller diese Pläne wieder in der Schublade verschwinden. Von dem unter dem Codenamen "Palladium" entwickelten und dann in "Next Generation Secure Computing Base" umgetauften Konzept ist nur die Verschlüsselungstechnik "Bitlocker" übrig geblieben. Diese will Microsoft als Bestandteil der Vista-Versionen "Enterprise" und "Ultimate" sowie des "Longhorn"-Servers ausliefern.
Vielfältige Möglichkeiten
Laut Ben Fathi, Corporate Vice President von Microsofts Security Technology Unit, hat der Hersteller jedoch noch Pläne über Bitlocker hinaus: "Wir möchten die Vorteile der TPM-Technik stärker nutzen, um die Systemintegrität weiter zu verbessern." Dazu könnte aus Sicht des Managers auch gehören, Anwendungen digital zu signieren, um Manipulationen am Code zu verhindern.