[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
c't: Ganz im Vertrauen
Gerald Himmelein
Ganz im Vertrauen
Berliner Symposium zu Trusted Computing
Am 2. und 3. Juli diskutierten knapp zweihundert Teilnehmer im Ministerium
für Wirtschaft und Arbeit über die Risiken und Vorteile des
Industrie-Sicherheitsstandards TCPA.
Wäre Trusted Computing kein kontroverses Thema, hätte das zweitägige
Symposium "Trusted Computing Group" (TCG) im Bundesministerium für
Wirtschaft und Arbeit wohl kaum stattgefunden. Wie lautstark die Skepsis
gegenüber der Sicherheitsinitiative allerdings bisweilen geriet,
überraschte die anwesenden Vertreter der TCG dann doch - Buhrufe und
Hohnlacher untermalten die oft hitzigen Diskussionen am Ende der Vorträge.
Für die TCG sprachen Dr. Michael Waidner von IBM, Bob Meinschein von Intel
und Thomas Rosteck von Infineon. Microsoft verteidigte seine auf TCG
aufbauende Sicherheitsinitiative gleich mit drei Mann.
Das Lager der Kritiker vertraten der britische Mathematiker Ross Anderson
sowie Andy Müller-Maguhn vom Chaos Computer Club (CCC). Ihm zur Seite
stand der Kryptograph Rüdiger Weis von den Cryptolabs Amsterdam. Der
Jurist Prof. Dr. Christian Koenig referierte über die
wettbewerbsrechtlichen Aspekte.
Das Industriekonsortium TCG unterstrich seine Selbstdarstellung als
neutrale Organisation, die sich ausschließlich auf einen
plattformunabhängigen minimalen Sicherheitsstandard konzentriert - derzeit
in Form des Sicherheits-Chips TPM (Trusted Platform Module), Waidner
betonte weiterhin, dass Datenschutz ein wesentlicher Schwerpunkt aller
Entwicklungen sei. Die Aufgabe des TPM beschränke sich auf den Schutz von
kryptographischen Schlüsseln und vor Software-Angriffen.
Das Publikum begegnete den Reden vom Publikum mit spür- und hörbarer
Skepsis. Auf viel Beachtung stieß die Dreiklassengesellschaft der TCG, in
der ein höherer Mitgliedsstatus mit entsprechenden Gebühren erkauft werden
muss. Auch das Lizenzmodell der TCG kam unter Beschuss, das nur
Mitgliedern einen freien Lizenzaustausch garantiert. Allerdings erwähnte
Dr. Waidner, dass man derzeit zwei beitragsfreie Kategorien erarbeite, um
auch Universitäten und anderen gemeinnützigen Organisationen den Zugang zu
ermöglichen.
Ross Anderson, dessen FAQ im Sommer 2003 die Diskussion um Trusted
Computing erstmals auf Touren gebracht hatte [1], begann mit einem
versöhnlich klingenden Vorschlag für ein gemeinsames Kürzel: Die TCPA
spreche von "Trusted Computing", Microsoft nenne es "Trustworthy" und
Richard M. Stallman "Treacherous" (heimtückisch) - das neutrale Kürzel TC
bringe alle Interpretationsmöglichkeiten unter einen Hut.
Ansonsten demonstrierte Anderson schon visuell Kompromisslosigkeit: Er
warf mit einem Tageslicht-Projektor handgeschriebene Folien auf Leinwand -
alle anderen Teilnehmer projezierten ihre digitalen Präsentationen auf
einen großen Schirm am Kopf des Raumes.
Dramatisch beschwor Anderson in seinem Vortrag eine ethische Krise in der
Kryptographie: Verschlüsselung diene mittlerweile häufig dazu, Produkte
aneinander zu binden - so geschehen bei Spielekonsolen, Handyakkus und
Druckerpatronen. Darin bestehe eine Gefahr: Wenn alle Dokumente einer
Firma erst einmal Microsofts System zur digitalen Rechteverwaltung nutzen,
wird die Migration zu einem Konkurrenzprodukt fast unmöglich. Die
potenziellen Vorteile von Trusted Computing stünden in keinem Verhältnis
zu den Risiken des Missbrauchs. Einen Nutzen von TC sieht Anderson
bestenfalls in Nischenmärkten.
Chaos gegen Vertrauen
Der Vortrag des Chaos Computer Clubs beschränkte sich im Wesentlichen auf
eine Wiederholung der Forderungen, die der Verein auf der CeBIT der IBM
übergeben hatte - Details dazu ab Seite 21. Fairerweise ergänzte Andy
Müller-Maguhn sie um IBMs Antworten, die ihn aber nur teilweise
zufriedenstellten.
Auf die von der Industrie erbetene Trennung von TCG und Palladium ließen
sich weder Anderson noch die anderen Kritiker ein - so mussten sich die
Vertreter von Intel und IBM zahlreiche Vorwürfe anhören, die bestenfalls
für Microsoft gelten. Konkrete, auf den Punkt gebrachte Kritik war eher
rar.
Am zweiten Tag stellte Bob Meinschein das LaGrande-Projekt von Intel vor,
das auf einem TPM aufbaut und die Grafikkarte, den Speicher sowie den
Prozessor absichert. Damit würde LaGrande zum betriebssystemunabhängigen
Hardware-Pendant von Microsofts Palladium-Initiative.
Auf die Frage, wie die TCPA auf Ansprüche von Strafverfolgungsbehörden
oder Geheimdiensten reagieren werde, verstummte Meinschein für eine knappe
Minute. Dr. Waidner sprang in die Bresche und erklärte, dies könne kein
Problem darstellen. Bis jetzt habe sich noch keine Regierungsstelle bei
ihnen gemeldet, doch würde sich eine solche Intervention unübersehbar im
Standard niederschlagen. Da die TCPA-Spezifikation offen liege, müsse eine
Hintertür für Geheimdienste konsequenterweise ebenfalls offen gelegt
werden.
Der letzte Vortrag beleuchtete die wettbewerbsrechtlichen Probleme der
TCG. Das Kartellverbot im Artikel 81 des EG-Vertrags verbietet
Wettbewerbsbeschränkungen selbst durch wohlgemeinte Standards. Dass die
Satzung der TCG nur Mitgliedern einen frühzeitigen Zugang zu den Standards
ermöglicht, benachteilige kleine und mittlere Unternehmen. Bei Palladium
ergeben sich zusätzliche Probleme, da Microsoft sowohl Betriebssysteme als
auch Anwendungen herstelle und zudem Märkte jenseits des PC bediene, so
Koenig. Damit forciere Palladium eine vertikale Integration und schaffe
neue Abhängigkeiten.
Der Organisator TimeKontor AG will alle Vorträge in Kürze in einem Band
sammeln, der möglicherweise online gestellt wird. Bis September will Dr.
Ulrich Sandl vom BMWA die Ergebnisse der kritischen Diskussion zudem in
einem speparaten Bericht zusammenfassen. (ghi)
Literatur
[1] Die TCPA FAQ von Ross Anderson: www.cl.cam.ac.uk/~rja14/tcpa-faq.html
[2] Michael Plura, Der PC mit den zwei Gesichtern, TCPA und Palladium -
Schreckgespenster oder Papiertiger?, c't 24/02, S. 186
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de