[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] "Trusted Computing' Frequently Asked Questions" by RossAnderson - REVISED EDITION 1.1



Zunächst möchte ich die Unterscheide zwischen TCPA und
Kristians Modell aufzeigen, damit klar ist das er nicht
von TCPA spricht - ganz entgegen $subject.

Kristians Modell zu diskutieren ist aber auch sehr interessant,
nur hat man dann natürlich keine Fakten als Grundlage
sondern nur Spekualtionen.

Leider ist Kristian nicht auf den Vergleich zwischen TCPA
Anwendungen mit ganz bestimmtem Verhalten und PGP eingegangen.

Auch ist sein Scenario weiter nur wage beschrieben. Mir würde
weiterhin sehr helfen, wie denn das gleiche Scenario heute
aussieht - eine verblödete Hausdurchsuchung: was machen die
denn mit dem SAP system und dem Dokumenten server? Mitnehmen?
Backup? Platten kopieren? Den Admin um Ausdrucke bitten?
Was wird gemacht, wenn PGP verschlüsselte Dateien gefunden werden?
Den "Besitzer" solange in Haft belassen, bis er bereit
ist die Dateien zu entschlüsseln?

Ich weis es nicht. Mir fällt es sehr schwer eine Scenario
zu untersuchen das sich leicht von heute möglichen Fällen
unterscheidet, wenn ich diese nicht mal kenne.

Nun aber zu (nicht) TCPA:

On Mi, 2003-08-20 at 13:02, Kristian Koehntopp wrote:
> Es ist eigentlich egal, wo die Hintertür ist. Punkt ist, daß die
> Sicherheitsdiensleistung eines konzerngesteuerten
> Rechtemanagements mit den Zielen von staatlichen Ermittlern
> gleich welcher Hutfarbe mehr oder weniger frontal kollidiert.

Bei manchen Nutzungen: ja. Sind die Dateien dagegen "nur"
auf dem Client verschlüsselt: kein Problem.

Zudem lieben Konzerne ja die Key Recovery mit gutem Grund:
ein Mitarbeiter der aussscheidet, gefeuert wird oder stirbt
soll keine Unterlagen mit ins Grab nehmen. Wird aber ein
Key Recovery implementiert, so könnte diese auch durch
staatliche Organe genutzt werden.

Eine genau dosierte Politik, die nur gewisse explosive Dokumente
so schützt, das eher die Dokumente verloren gehen als das sie
einsehbar werden, oder die den Zugriff auf sehr wenige, fest
vorgegebene Personen beschränkt und einen recovery key aussen
vor lässt: erinnert das nicht wieder sehr an Scenarios die mit
PGP und anderen Technologien schon lange machbar sind?

zurück zu TCPA: [Backup der TPM übertragen]
> Bei korrekter Implementierung der Zertifikatsauthority nicht,
> denn die wird dann nicht beim Hardware-Hersteller liegen,
> sondern bei der IT des betroffenen Konzerns.

Ganz genau kenne ich die Spec da nicht, aber mein bisheriges
Verständnis sagt mir: TCPA macht das aber so, und nicht wie
du willst. Die möglichkeit, das ein Konzern das Hersteller Zertifikat
durch ein eigenes ersetzt, und auch die Möglichkeit erhält TPM
Datentransfers selbst zu authorisieren, ist meines
wissens in TCPA nicht vorgesehen.

Doch auch die Grundlage für diese Spekulation - Mistrauen des
Konzerns gegenüber dem Hardware-Hersteller - möchte ich hinterfragen:
Entspricht das denn der Realität? Begeben sich
nicht zur Zeit viele Konzerne, etwa Banken, durch Outsourcing
ganz bewusst in Abhängigkeit der Lieferanten, etwa IBM?

Nicht, das ich eine solche Politik für sinnvoll halte, negative
Erfahrungsberichte gibt es zu genüge.

Zudem möchte ich das Scenario präzisieren, um eventuelle
Missverständnisse auszuräumen: ein TPM Backup von Rechner
A auf Rechner B einzuspielen braucht bei TCPA die Kooperation
des Herstellers. Ich gehe vereinfacht davon aus, es sei bei
beiden Rechnern der selbe, ob es sonst noch möglich ist: ich
weis es nicht.

Der Hersteller erhält dazu aber nicht die TPM daten, sondern
nur die Identifikation der beiden Rechnern. Eine staatliche
Stelle oder Geheimdienst könnte vermutlich den Hersteller
um Kooperation bitten, muss jedoch selbst besagte Backup
Daten besorgen.

Als Firma hätte keine Bedenken die Hilfe des Herstellers
anzunehmen, um sensible Daten von einem Rechner in einen
anderen zu überspielen. Erfährt der Hersteller doch nur,
welcher Rechner defekt ist, und wohin die Daten gelangen,
und das weis der Hersteller meist eh aufgrund eines Support
Vertrages.

Es erübrigt sich, auch die Notwendigkeit hinzuweisen, Backup
Daten unter allem Umständen und in jeder Hinsicht zu sichern.

[software updates]
> Wo ist hier genau das Problem, das Du siehst? Es geht bei der
> ganzen Sache nicht um eine bestimmte Software oder
> Softwareversion, sondern darum, daß alle laufende Software in
> einem der sicheren Compartments sich
> unter einer Menge durch den Systemeigner festlegbaren
> Zertifikaten validieren kann.

TCPA weis nicht wie die software heist, welche version sie hat
oder was sie macht, sondern kennt nur einen hash wert des binaries.
Wenn sich die kette der hash werte ändert, dann ist eine Entschlüsselung
der Daten nicht möglich.

"sichere Compartements" könnte darauf hindeuten, das du auf
NGSCB anspielst? Dort wird jedoch meines wissens keine Aussage
gemacht, wie Daten verschlüsselt abgespeichert werden.

Und wenn es um festlegbare Zertifikate geht, die einen Zugriff
auf daten erlauben oder nicht, so sind wir vollkommen im Bereich
der Anwendungen. Dort verweise ich gerne auf Firma Adobe, die
eine zertifikatsbasierte Verschlüsselung und besondere Sicherheits-
mechanismen in diesem Bereich für Version 5 von Acrobat doch massiv
beworben hat, wenn ich es noch richtig weis.

Mich wundert nur die recht einseitige Fixierung auf Microsoft,
sicherlich der größte Teilnehmer am Markt, aber ich könnte mir
gut vorstellen, das Microsoft wiedereinmal in einem florierenden
Markt einen Anbieter gekauft hat, und deren Software in ihr
eigenes Portfolie integriert. Dies dürfte den anderen Anbietern
diverse Kopfschmerzen bereiten, vermutlich überleben die meisten
nicht. Zumindest dies ist meine Sichtweise, wie Microsoft seit
jahren und mit recht viel Erfolg arbeitet - zumindest in monetärer
oder machttechnischer Sichtweise.

Auch die von dir genannte Webseite über Vorteile des neuen Office
liest sich für micht nur so, als wären Features von Adobe Acrobat
mit ein paar Jahren verspätung auch in Office angekommen.

Etwas neues oder gar revolutionäres kann ich daran nicht erkennen,
einzig wird ein Feature das bisher meines Wissens eher ein
Schattendarsein führte nun ganz in den Vordergrund geschoben.
Aber detailierte Berichte, wie erfolgreiche etwa Adobe mit seiner
DRM technologie in Acrobat war liegen mir nicht vor.

Sicher interessant wäre eine Untersuchung über die Akzeptanz solcher
Massnahmen. Ein mir bekannter Grosskonzern hat viele Manager,
die fast ausschliesslich Ausdrucke ihrer eMail und Dokumente
lesen. Ein IRM/DRM System das Ausdrucke erlaubt hat aber ein massives
Loch. Wo genau kann eine Firma von einem solchen System
profitieren, solange es solches Verhalten akzeptiert, oder
wie wird die Akzeptanz aussehen, wenn Manager ihre Verhalten
ändern müssen?

Der RMS ist übrigens Bestandteil von Windows 2003 Server und
kostet keinen Aufpreis.


> Wir reden hier nicht von internationaler Spionage, sondern von
> einer verblödeten Hausdurchsuchung im Falle etwa eines kleineren
> Deliktes.

Nun, erkläre mir wie bisher in diesem Bereich vorgegangen wird,
auch in fällen SAP Software, PGP Dateien und so weiter, und
wir haben eine gute Grundlage um die Folgen neuer Anwendungen
zu diskutieren. 



> Und wenn das System korrekt konstruiert ist (wovon ich
> bei Microsoft inzwischen erst einmal ausgehen würde), dann ist
> der n-te Angriff immer noch fast genauso teuer wie der erste. Es
> ist also nix mit einmal Knacken, n mal nutzen.

Nun, ich habe obige zweifel, ob generelles interesse an einem
solchen System bestehen. Ich bin sehr gespannt auf deine Antworten
zu meinen Fragen.

> Wenn es eine Hintertür gibt, dann ist natürlich auch die Frage

Womit die Frage, ob eine solche denn überhaupt notwendig ist,
ein weiteres mal ignoriert wurde. Ich sehe ein, das bei kleinen,
übersichtlichen Anwendungen mit kleinen Schnittstellen nur
eine Hintertür bleibt. Beispiel: Telefone der Crypto AG.

Aber in einem Monstrum wie Windows: wo braucht es da eine
Hintertür? Kann man mit genügend Motivation hier nicht immer
ein Loch finden, das sich nutzen lässt?

> individualisiert angepaßten Zwangsupdates durch ein
> automatisches Windows Update).

Bitte um Links zu guten Artikeln zu dem Thema.

Ich habe das Thema bisher ignoriert, da es mir als Hype erscheint.
Zum Vergleich möchte ich auf die Online Registrierung von Windows
verweisen, die seiner Zeit auch viel Aufsehen erregt hat.

Grosse Firmen haben die Select Version, die ohne das auskommt.
Raubkopierer auch. Betroffen sind am Ende nur die Endnutzer
und kleinere Betriebe. Und das sind meiner Ansicht nach beides
Kandidaten, die vielleicht mal Linux probieren, wenn man Sie
zusehr gängelt, daher habe ich gar nichts gegen Microsofts
vorstösse.

Einzig der Terminal Server von MS will *immer* eine Online
Registrierung, ohne die kann man den Server nicht betreiben.
Aber auch damit haben sich viele Admins abgefunden, es ist
nervig aber kein wirklich grosses Problem.

Man kann das natürlich als Schritt zum Abgrund betrachten,
hat Microsoft doch die online Registrierung erfolgreich
eingeführt. Man kann es aber auch als Fehlschlag Microsofts betrachten,
bei dem die grossen Firmen sich nichts aufzwingen
liessen, was ihnen unangenehm war und mehr Arbeit verursacht
hätte.

Spekulieren über Windows Updates kann man ganz einfach:
Microsoft könnte die Updates auf per default an und automatisch
stellen. Damit würden clueless User ihr Update immer bekommen,
der rest kann es sich aussuchen. Falls Microsoft ein Update
erzwingt, und dabei Fehler erzeugt werden, wie schon mehrfach
vorgekommen (siehe Heise archiv), so werden wohl Schadenersatz
-forderungen aufkommen. Sowas kann unter "grob fahrlässig" fallen,
und das keine Software sich mit keiner Lizenz davon freisprechen
kann, das haben wir doch erst eben in einer Studie zu Open Source
nachlesen dürfen, nicht wahr?

Tschüss, Andreas


-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de