[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1



> würde bei mir unter Hinzunahme des Kontextes eher lauten
> TCPA und Palladium wird wahrscheinlich beschrünken, welche Software Du
> laufen lassen kannst. Das TCPA Design an sich ist nicht dafür
> konstruiert, aber das Design wird wahrscheinlich im Interesse von MS,
> Sony etc. geändert und Beschränkungen eingefügt.

Nun aus einer Möglichkeit ohne Grundlage eine Vermutung die 
wahrscheinlich eintritt zu machen, das ist eine Spekulation.

Spekulieren darf man, aber dann bitte in solcher weise.
Die Spekulation lautet also:

Microsoft könnte ein Interesse haben, das auf zukünftigen Rechnern
nur noch ihre Software läuft. Mit der X-Box sammelt Microsoft bereits
massiv erfahrung wie man das macht, welche Fehler man
machen kann, und wird aus dieser Erfahrung lernen. Es ist anzunehmen,
das Microsoft auch daher ein grosses Interesse an TCPA
hat, um die nächste X-Box Generation damit besser zu sichern,
aber auch im COTS bereich ein Monopol zu erzwingen. Auch Sony
als Produzent der Playstation könnte ein stärkeres Interesse
an noch sicherer Hardware haben, um gegen Raubkopien vorzugehen.

Nun, wenn man so spekuliert, dann kann man sich die anderen
Marktteilnehmer anschauen. Beginnen wir mit der Software branche.
Die Hersteller von Software für Windows sind zusammen vermutlich
hundertmal so groß wie Microsoft. Diese darf Microsoft nicht verärgern,
auf diese ist Microsoft angewiesen. Ein teil dieser
Firmen könnte Interesse haben nur Windows zu unterstützen.
Aber es ist auch zu beobachten, das zunehmend mehr Firmen 
auch Mac OS X und neu Linux als zielplattform betrachten,
und es stellt sich die Frage, wie ein Vorstoss von Microsoft
auf diese Firmen wirkt. Würden diese klein bei geben, oder würden
diese mit Microsoft brechen? ...

Ein weiterer wichtiger Faktor sind die Hersteller von Computern.
Allen voran ist IBM ein starker verfechter von Linux. Wie wird
IBM auf versuche von Microsoft, was auf zukünftigen
Rechnern für Software läuft, wohl reagieren? ...

Obige diskussion soll nur als Beispiel dienen: man kann hoffentlich
interesseante Fragen und Scenario durchaus durchspielen, und dabei
kenntlich machen, das es sich um solche handelt. Ein plakat oder
flyer mag wegen platzmangel ungenau und überspitzt sein. Auf
einer webseite oder wie hier in email diskussionen ist aber platz
für genaue bezeichnung, worum es geht.


> *Nur* nicht, aber *Mit* doch wohl effektiver. DRM an sich kann eventuell
> gecrackt oder umgangen werden.

Nun, TCPA sichert DRM, das ist klar und habe ich so auch schon
mehrfach in diesem Thread geschrieben. Hier möchte ich aber mal
wieder zitieren:
www.inet-one.com/cypherpunks/dir.2002.08.12-2002.08.18/msg00131.htm

> Actually it does, in order to make it valuable. Without a
> hardware assist, the attack works like this:
...

> With hardware assist, trusted software, and a trusted execution
> environment it (doesn't) work like this:
...

Eine saubere diskussion muss diese beiden möglichkeiten
vergleichen. Die wesentliche bewertung ist: wie schwierig ist
es den zusatzschutz von TCPA zu knacken, und wie schwierig
ist es DRM ohne TCPA zu knacken. Die Spekulationen zu diesen
Fragen sind sehr unterschiedlich.

Eines aber kann man festhalten: wenn beides sehr leicht, oder beides
sehr schwer ist, macht TCPA evtl. kaum einen unterschied. Erst
wenn TCPA schwer zu knacken ist, aber DRM ohne TCPA leicht zu knacken
ist wird der einfluss von TCPA sehr wichtig.

Wenn man Rüdiger Weis von CCC aber zuhört, welche angriffspunkte
es alle gibt, und gegen welche Angriffe TPM alles keinen Schutz
bietet, so frage ich mich ob TCPA wirklich das grosse problem ist.

Und ich frage mich, ob Nexus/NGSCB/Pd nicht viel größere Barrieren
aufbauen, als TCPA alleine das macht, und ob nicht ein Nexus/NGSCB/Pd
ohne TCPA nicht auch eine viel größere Barriere aufbauen könnte, und
somit natürlich, ob TCPA der geeignet Ansatzpunkt ist, um solche
Barrieren zu verhindern.

Die Diskussion, gegen welches Ziel sich vorzugehen lohnt
erfodert aber wieder, das man die einzelnen Komponenten exakt
kennt, und bestimmen kann, welche kritisch ist. Ich bin mir
nicht sicher, ob TCPA wirklich die kritische komponente ist.


> Der Multimediaplayer nicht bereit ist, mp3's ohne Signatur
> abzuspielen, ich Word-Dokumente nur in einem TCPA-Winword
> öffnen kann usw.

Natürlich sind das Scenarios die man durchspielen kann. Aber
auch solche Scenarios brauchen eine Grundlage, ansonsten
sind sie vom Diskussionsthema TCPA unabhängig. Und jede
existierende Information über TCPA besagt eben genau das:
für diese Scenarios gibt es keine Grundlage. Purer FUD.

Immer wieder wird klar gesagt, das alle bisherigen Anwendungen
weiter funktionieren, auch mit Pd, NGSCB und co.

Und was word betrifft: Microsoft baut ein, was Acrobat seit
Jahren hat. Es ist zu erwarten, das beide Produkte TCPA chips
nutzen werden können. Warum prügelt niemand auf acrobat ein?

Die vorstellung, das zwangsweise alle dokumente verschlüsselt
werden ist aber sehr seltsam. Eine firma kann das machen,
wenn sie will. Das geht bisher aber auch schon, ganz ohne TCPA.
Wer kann ein paar firmen benennen, die schon heute verschlüsselung
und DRM durch die Bank nutzen? Ich keine. Adobe und andere firmen
haben die benötigte Software seit jahren im programm.


> > peter befürchtet, das ein zukünftiges windows ohne
> > netz nicht mehr booten wird. was hat das mit tcpa zu tun?
> 
> TPM <-> Win+TCPA <->TCPA Certserver, so was?

Es gibt keinen TCPA Certserver.

Microsoft könnte eine neue X-Box herstellen, die ohne Netzzugang
nicht arbeitet. Das können die mit und ohne TCPA machen. Was
hat diese Überlegung also mit TCPA zu tun? oder mit NGSCB, Pd
oder sonstwas? Erst wenn du sagen kannst, das es nicht ohne
diese komponenten möglich ist, oder mit diesen deutlich einfacher
wird, oder so etwas, dann gehört es zum Thema TCPA, und kann
herangezogen werden, um die Ablehnung von TCPA sauber zu begründen.

Dafür ist aber eine exakte schilderung notwendig, wie ein solcher
mechanismus funktionieren soll, damit man in der exakten schilderung
zeigen kann, das es eben nicht ohne TCPA geht. Die grobe vorstellung,
das so etwas machbar wäre und TCPA irgendwie helfen
könnte, das reicht nicht aus und führt in der Diskussion nur zu FUD.
Leider diskutieren aber einige Teilnehmer auf diesem Niveau.

> Das bezog ich auf die Mitgliederliste, wo tagelang das Entdecken
> und Verbreiten derselben im Netz gefeiert wurde.

Und in der geschäftswelt niemand verstanden hat, was sie ganze
aufregung soll. Mal ehrlich, wenn ich dir von einer industry
association mit grober zielrichtung sicherere rechner
erzählt hätte, welche firmen hättest du dahinter vermutet?
welche nicht.

mich hat nur "open source asia" überrascht. Ausser dem namen
weis ich aber leider nichts über die firma :-(

[spec schon lange im netz]
> OK, da kann mich meine Erinnerung auch trügen.

Ich glaub ich habe auch irgendwo FUD gelesen, der da gegenteiliges
behauptet hat, aber weis lieder nicht mehr wo, kann es also nicht
belegen. Das könnte die quelle sein.

> 
> > > ein Richard Clarke lobpreiste TCPA als Mittel um die verdammte
> > > Anonymität endlich begraben zu können.
>  
> > wer ist richard clarke? jemand mit ahnung von dem fachgebiet?
> 
> ehemaliger Sonderberater des US-Präsidenten für Cyber Security.
> Und wenn nicht er, dann ist bestimmt eine Person in dessen Stab, die
> Ahnung hat(te).

Er mag schon wissen, was er da macht. Aber welche interessen
vertritt sojemand? Den versucht TCPA so zu verkaufen könnte gut
zur Medien Lobby und zur Law&Order mentalität passen, reiht sich
auch gut in TIA, patriot act usw. ein.

Warum interessiert uns überhaupt, was sojemand dazu sagt?
Wäre Seth Schön von der EFF nicht viel besser geeignet, das Thema
Anonymität und TCPA zu erläutern? Sehr lesenswert ist z.B.
http://vitanuova.loyalty.org/2002-08-09.html


> Also bitte, das mit den Motiven klar, aber wir kennen doch aus der
> Vergangenheit die Versuche seitens der US-Regierung, auf
> technische Entwicklungen in ihrem Sinne Einfluss zu nehmen

Ja, nur müssen wir erst verstehen, was um was es sich handelt.
Ansonsten kann man den Einfluss nicht bewerten. Wo genau aber
ist denn der einfluss auf TCPA? ausser deinem statement hier
habe ich dazu noch nichts gelesen.

> Habe ich beim mplayer noch nicht bemerkt.

Wird irgendjemand deine DVDs, CDs, avi files, was auch immer
klauen? wenn nicht: das kann dir zumindest keiner weg nehmen.

Natürlich besteht die möglichkeit, das die film branche.
nachdem es 10 jahre gedauert hat die DVD einzuführen und Video
abzulösen, gleich morgen ein neues, TCPA bassiertes system
pushen will. Ich glaube aber nicht daran, das vor ablauf
von weiteren 10 jahren, irgendeine technik die DVD verdrängen
kann. Und das gibt einen bestand an filmen, der jegliche
verdrängungsversuche durch kundenunfreundliche massnahmen 
leicht ins leere laufen lassen könnte. 

> > Warum ist TCPA
> > der schlüssel am ganzen, und nicht Pd, NGSCB oder sonstwas?
> 
> Ja was denn? Steckt TCPA nicht im OS drin? Was macht TCPA ohne TCPA-OS
> und -Software?

falsche frage. Wenn du TCPA verhindert, kann microsoft mit 
Pd, NGSCB, LT, DRM und co nicht die Ziele weiterhin erreichen?
Und wenn das so ist, was hat es dir gebracht, TCPA zu verhindern?
einen phyrussieg?

> Wenn man Seitens der TCPA-Lobby schon frühzeitig Verbraucherschutz- und 
> Datenschutzvertreter und vielleicht Leute aus den Medien und Politiker
> aus Medientechnologiefolgeabschätzungskomissionen (oh jeh ;o)), oder
> Leute aus der Open Source Bewegung mit einbezogen hätte 

Du meinst leute wie Seth Schön von der EFF, die frühzeitig
mit einbezogen wurden, wenn ich es recht weis? 


> Jo, aber die Welle des Misstrauens, der Ablehung und Halbkenntnis, die
> TCPA jetzt entgegenschlägt, haben die selbst verbockt.

Sie im sinne von c't, heise, ccc, anderson, green? Ja. :-)

Warum MS und co kein vernünftiges Marketing für ihre pläne
hinbekommen, das weis ich nicht. Oder vielleicht haben sie es
ja? vielleicht reicht lobby arbeit aus?

> kann nur in einem Knieschuss enden

Dein wort in gottes ohr.

Ich denke aber, das ich nicht überrasch werde mit meiner "Vision":
- X-Box und co bekommen TCPA als ausgereiftere sicherung.
- Spezialgeräte wie Geldautomaten vermutlich auch.
- Manche Musikstudios vergiessen CD player mit epoxidharz oder sowas
  um eine cd unkopierbar zum probehören auszuliefern. Mit TCPA geht
  das besser.
- Für firmen wird mehr sicherheit angepriesen und verkauft. einige
  werden kaufen, die wenigsten werden es nutzen.
- für otto normal verbraucher ändert sich wenig. 
- evtl. werden einige filme tatsächlich nur an TCPA computer 
  verliehen. das wird in einem desaster enden, da der normale
  benutzer die einschränkungen nicht will. ein teuerer flopp, der
  sich nicht durchsetzt. 
- musik und film branche werden irgendwann aufwachen, und zu  
  günstigen preisen filme und musik verkaufen und vermieten,
  für den kunden wird der deal nicht perfekt, aber angenehm sein.
  ein preisbrecher wird es mit viel umsatz und gewinn vormachen,
  dem rest fehlen die umsätze, und irgendwann ziehen sie nach.
- bis dahin werden noch viele leute wegen p2p piraterie angezeigt
  und verknackt. das angebot wird dadurch nicht kleiner, vielleicht
  lediglich besser versteckt. am ende ist das doch eine sysiphus
  arbeit, die zu keinem großen ergebnis führt.

[IBM]
> Und der vielleicht irgendwann mal so agieren wird wie SCO oder MS? Der
> sein Linux nur auf einem TPM Thinkpad laufen lassen lässt?

SCO macht, was ihnen in ihrere Situation am meisten Geld bringt.
IBM auch. MS auch. Time Warner auch. und so weiter. fast
alle laufen dem Geld hinterher. Oder erkennen zumindest, wenn
ein Konkurrent Geld macht, und dann wird der gestoppt oder
dessen Geschäftsmodell kopiert.

[Visionen und Ängste]
Man muss solche Scenarien aber auch nach der Umsetzbarkeit
bewerten. Die meisten kann ich als spinnerei abtun - etwa
die befürchtung das es sehr bald keine DVD mehr zu kaufen gibt.
DVD einzuführen hat 10 jahre gedauert, schneller kann was
neues nicht auf den markt kommen. Am ende will jeder das Geld
der kunden, und wer keine DVD anbietet, der bekommt kein Geld.
Ein paar vereinzelte käufer einer neuen technologie würden
das nicht rausreissen.

zudem suche ich ja saubere dikussionen von visionen und ängsten.
also nicht nur die vision, und der schluss das TCPA böse ist,
sondern eine saubere verbindung dazwischen. Habe noch *nichts*
gelesen, was meinen ansprüchen entspricht.

Tschüss, Andreas


-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de