Re: [FYI] c't 22/2002, S. 204: Digital Rights Management

[Andreas Jellinghaus <aj@dungeon.inka.de>]

Hi Cord,

> Laeuft der PC von morgen dann nur noch mit Betriebssystemen, die den
> bewussten Chip kennen und umgekehrt?

c't sieht in Palladium den weltuntergang und verbreitet verschwörungstheorien
(so zumindest mein letzter Stand vom Sommer). Bruce Schneier meinte in
seinem Newsletter, das wäre eh nur für Regierungsbehörden, NSA und Co,
was solls also (ausserhalb der USA wird vermutlich eh niemand der
Software vertrauen).

Ich selbst versuche darin mal einen positiven Aspekt zu sehen:
der Versuch den PC sicherer und leicher administrierbar zu machen.

Hat jemand mal einen Uni Computer pool betreut?
Dann wist ihr ja: erstmal das Booten umkonfigurieren. Solange die leute
Ihre eigenen CDs, disketten oder vom netz booten können ist mit
sicherheit nichts zu wollen. Slashdot hatte einen Weltuntergangsartikel
dazu, aber mal ehrlich: eine kiste ist nur sicher, wenn sie nur sachen
bootet, die man als sicher betrachtet.

Das Problem ist nun eher die frage: Was ist denn sicher?
Microsofts lösung dazu ist: Prüfsumme und Signatur.

Naja, das ist an sich nichts neues. Win 2k hat schon signierte Treiber.
Wer verspielte Benutzer betreuen muss kennt das problem: dauernd kommen
Sie mit neuer hardware, die Sie nutzen wollen. Also ist es entweder
dauernd arbeit für den admin, oder man gibt den leuten eben admin
rechte auf ihrem Laptop oder Desktop. Beide Lösungen sind nicht
sonderlich befriedigend. Microsoft bietet einen dritten weg: man erlaubt
die Installation signierter Treiber. Also nur Treiber, die zertifiziert
sind, keine Probleme verursachen sollten und keine Hintertüren haben
sollten.

So, jetzt fallen tausend leute über mich her, weil man Microsoft doch eh
nicht vertrauen kann und die Treiber von Microsoft doch die
fehlerhaftesten sind. Gut, kann jemand das belegen? Ich weis das
viele Leute immernoch über die Blue screens spotten, ein sauberes
win2k stürzt aber nicht ab.

Und daher möchte ich doch mal nachfragen:
sind Microsoft Treiber wirklich schlecht? Richtig beantworten kann das
wohl nur jemand, der es mal ausprobiert hat, und unter ein paar hundert
Windows Rechnern mit verschiedenster hardware nehme ich niemanden ernst.
Leute mit solchem Umfeld gibt es, ich kenne auch welche, aber auf dieser
Liste ist meines wissens keiner. Schade eigentlich.

Naja, und nach langem umweg zurück zu Paladdium:
Schon mal versucht dem benutzer programme zu verbieten?
Abgesehen vom schlanken rechner mit minmaler installation bleibt da
nur die White list. Der schlanke rechner ist mit windows aber wirklich
viel arbeit, und ob nun minesweeper.exe installiert ist oder nicht
ist nicht das eigentliche Problem. Zudem sind web anwendungen viel zu
häuffig, über die software ausstattung erreicht man bei heutigen
rechnern am internet also gar nichts.

Die white liste mit allen programmen die man ausführen darf hilft
genausowenig, denn es gibt zuviele web anwendungen, und die whitelist
enthält nur dateinamen, keine pfade. minesweeper.exe wird also in
word.exe umbenannt, und schon geht es wieder.

Ähnlich wir mit den Treibern will microsoft auch hier einen dritten
weg zeiten: Limitiere doch einfach die software auf von microsoft
zertifizierter software.

Meine windows kollegen haben duzende MSI packete von allem möglichen
erstellt, und konnten mir bestätigen: Microsoft software ist was
verteilung, installation, pflege etc. betrifft mit am einfachsten zu
handhaben. Schweinereien findet man eher in dritt software (sowas
wie logfiles in %SYSTEMROOT%\win32 anlegen wollen - als benutzer).
Für die Praxis könnte es also durchaus praktisch sein, nur die
Installation von Microsoft Programmen zu erlauben.

Man erzeugt damit nur einschränkungen für normale benutzer,
genaugenommen erlaubt man denen etwas, das sie sonst nicht
dürfen. Administratoren machen weiter was sie wollen.

Problematisch werden nun viele das Wort "Microsoft" sehen: das
Zertifikat dieser Firma legt fest, ob ein Treiber / Programm
installierbar ist oder nicht. Beim Konfigurationswahn der typischen
Microsoft Programme würde es mich aber nicht wundern, wenn man
den Schlüssel irgendwo austauschen kann. Nur wer will das denn?
Wer hat den die Zeit und Fähigkeiten, eine eigene Liste von
vertrauenswürdigen Programmen oder Treibern zu Pflegen. Unter
ein paar zig tausend windows rechnern lohnt der aufwand vermutlich
nicht.

Allerdings fragt man sich doch: Windows benutzen und Microsoft
nicht vertrauen? Ist da nicht eh was schiefgelaufen?

Und da sind wir IMO schon beim knackpunkt: Immer unter der annahme,
das die erlaubnis zertifizierte treiber/software zu installieren
mehr bringt als schadet, wer hat denn ein Interesse an solchen
Lösungen? Im wesentlichen Großbetriebe mit tausenden von Windows
Rechnern. Und die machen insgesamt wieviel aus? 0.1% aller kommerziellen
Windows benutzer? oder 1%? ich weis es nicht, allzuviele werden
es aber nicht sein. Es ist aber eine Kundschaft, die Ansehen und viel
Geld mit sich bringt, weshalb sich Microsoft im schritt von win NT
zu win 2k fast ausschliesslich mit diesem clientel beschäftigt hat,
fast aller neuerungen und erweiterungen bringen dem normalanwender 
gar nichts (active directory, distributed filesyste, smartcard
integration, unterstützung bis 32 prozessoren etc.)


Es raft sich ja sonst niemand dazu auf zu untersuchen, ob Paladium nicht
vor Otto Normal admin irgendwie praktisch wird. Also habe ich es hiermit
mal versucht. Fazit: vielleicht, aber nur selten, eher nicht. 

Egal wie falsch ich liege, Flames bitte nach /dev/null.
Ich will gar nicht behaupten, das ich richtig liege, mir scheint die
Diskussion lediglich zu sehr gepägt von Mistrauen,
Verschwörungstheorien, und keinerlei Ahnung von Windows.

Andreas




--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de