[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1

To: vb@dontpanic.ulm.ccc.de
Subject: Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1
From: Andreas Jellinghaus <aj@dungeon.inka.de>
Date: Mon, 18 Aug 2003 13:53:49 +0200
Cc: debate@lists.fitug.de
Delivered-to: mailing list debate@lists.fitug.de
In-reply-to: <20030818104000.GB12424@dontpanic.ulm.ccc.de>
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
References: <Pine.LNX.4.33.0308161116050.12492-100000@intra> <200308161204.40687.dietz@rotfl.franken.de> <1061033962.572.69.camel@simulacron> <200308161533.25087.dietz@rotfl.franken.de> <20030818052113.GA14355@p15104972.pureserver.info> <20030818104000.GB12424@dontpanic.ulm.ccc.de>

Dongles für Software stufe ich als form des Rechte Management,
und aufgrund der Funktionsweise auch als DRM ein.

TCPA liefert in Verbindung mit einer online Registrierung
und TAN den perfekten Dongle, auf allen Rechnern vorinstalliert.

> Ich lese allerhand Ã¼ber TCPA, incl. der Specs, aber was ich nicht
> lese, ist die Garantie, dass niemand eine MÃ¶glichkeit finden _kann_,
> das Zeug genauso zu verarschen, wie es mit den gÃ¤ngigen Dongles
> passiert.

Garantie? Rüdiger Weis kann sich ja nicht entscheiden ob er
TCPA als sicher und böse oder unsicher und lächerlich einstuft,
zumindest konnte ich derelei nicht aus seinem Vortrag auf dem
letzten Congress entnehmen. Aber lange listen von potentiellen
Sicherheitslücken hat er sehr wohl vorgebracht.

IBM hat mal geäussert, der Chip wäre nicht wie bei smart cards
gegen spezielle Angriffe gesichert (leider finde ich die
quelle aber nicht mehr).

Das Design sieht aber gut aus, diverse Experten haben sich
nachweislich damit beschäftigt und bisher nichts veröffentlicht.
Sowas ist für Sicherheit ein guter Indikator.

Interessant wird die Frage, wie z.B. Software updates
ohne verlust der gesicherten Daten möglich werden. Bisher
ist der Punkt komplett offen, und ich habe NULL infomationen
finden können, wie das sicher implementierbar ist.

Den Schluss, eine gute Anwendung für TCPA könne es aber
gar nicht geben halte ich für eine Vogel Strauss aktivität.
Ich habe eigene Ideen geposted und auf fremde verwiesen,
ernsthafte Diskussion gab es dazu nicht.


> Wie lange wird es eigentlich dauern, bis jemand die Hardware-
> SchlÃ¼ssel re-engineered hat? Und wie soll jemals verhindert werden
> _kÃ¶nnen_, dass jemand mit einer virtuellen Maschine solche Hardware
> emuliert?

Nein, jeder ausgelesene hardware schlüssel muss auf die CRL,
und diese muss bei jeder remote TCPA verbindung geprüft werden.

Ja, wenn das auslesen der hardware schlüssel routine wird,
dann klappt das ganze system in sich zusammen. Zumindest falls
nicht die gesamte potentiell verwundbare Hardware über Listing
auf der CRL nutzlos wird.

Einen interessanten Angriffspunkt gibt es damit allemal.

> Vor Sicherheitskonzepten aus dem Hause Microsoft

Zeige mir wo Microsoft *konzeptionelle* Fehler macht.
Ein paar kenne ich, aber im wesentlichen machen Sie 
fehler in der Implementierung, also nichts was sich
nicht mit der Zeit beheben lässt. Und der Kontostand
von MS zeigt an, das sie viel Zeit zur Verfügung haben.

Tschüss, Andreas


-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

Follow-Ups:
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
  - From: vb@dontpanic.ulm.ccc.de
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1
  - From: Heiko Recktenwald <uzs106@ibm.rhrz.uni-bonn.de>
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
  - From: Kristian Koehntopp <kris@koehntopp.de>

References:
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1
  - From: Heiko Recktenwald <uzs106@ibm.rhrz.uni-bonn.de>
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
  - From: Dietz Proepper <dietz@rotfl.franken.de>
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1
  - From: Andreas Jellinghaus <aj@dungeon.inka.de>
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
  - From: Dietz Proepper <dietz@rotfl.franken.de>
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
  - From: Kristian Koehntopp <kris@koehntopp.de>
- Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
  - From: vb@dontpanic.ulm.ccc.de

Prev by Date: Re: Cyberpunkstotcpa.txt
Next by Date: Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1
Previous by thread: Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
Next by thread: Re: [FYI] "Trusted Computing' Frequently Asked Questions" by Ross Anderson - REVISED EDITION 1.1
Index(es):
- Date
- Thread