Interview: Trusted Computing stimmt Geheimdienste fröhlich

RuediWeis200300

Vor einigen Jahren begann eine Diskussion um Trusted Computing und „vertrauenswürdige Chips“, die kontrollieren, was auf den Geräten passiert. Diese Diskussion gewinnt seit der Einführung von Windows 8 an Aktualität. Und dann gibt es noch den NSA-Überwachungsskandal. Wir haben den Krypotologen und Sicherheitsforscher Prof. Dr. Rüdiger Weis von der Beuth Hochschule für Technik Berlin dazu interviewt. Weis gilt als einer der Experten für Trusted Computing und vor allem interessierte uns, wie diese technologische Entwicklung im Hinblick auf die Snowden-Enthüllungen zu bewerten ist.

netzpolitik.org: Microsoft betreibt mit der Einführung von Windows 8 eine grundlegende Änderung der Sicherheitsarchitektur. Was bedeutet das in Zeiten von PRISM & Co.

Rüdiger Weis: Mit dem Trusted Computing Konzept versuchen Microsoft und befreundete Firmen die Computerwelt vollständig zu ändern. In jedes elektronische Gerät soll ein Aufpasserchip namens „Trusted Computing Module“ (TPM) integriert werden, der nicht nur die Geheimdienst fröhlich stimmen dürfte. Zusammen mit den nun von Microsoft implementierten Verfahren innerhalb von Windows 8 (insbesondere Secure Boot) wird dem Nutzer weitgehend die Kontrolle über seine eigene Hardware und Software entzogen.

Es erinnert fatal an eine elektronische Fussfessel. So kann beispielsweise über das Netz angefragt, werden ob nur genehmigte Software läuft. Das Ende der persönlichen Computer und Smartphones. Es klingt wie ein Traum für ausser Kontrolle geratene Geheimdienste und repressive Staaten.

netzpolitik.org: Kann man nicht einfach ein anderes Betriebssystem starten?

Rüdiger Weis: Für eine Übergangszeit ist es möglich, aber schwierig. In einer der aktuellen Ct-Ausgaben werden gleich über mehrere Seiten über durch Windows 8 verursachte Linux Bootprobleme diskutiert. Noch enthalten die aktuellen Implementierungen ein sogenanntes Compatibilty Support Module (CSM), welches das Starten mit einigen Tricks das Starten von Konkurrenzbetriebssystemen ermöglicht. Hierbei müssen aber einige datenverlustfreundliche Modifikationen vorgenommen werden. Die Hardware-Richtlinien von Microsoft schreiben vor das das CSM standardmässig abgeschaltet ist. Der Nutzer muss es in der Regel trickreich einschalten. Eine lustige Hacker Nachmittagsbeschäftigung. Normale Anwender empfinden dies wohl weniger unterhaltsam. Da ist es wenig tröstlich, dass dies auch treue Microsoft Kunden trifft, die versuchen ihre laufenden Windows Systeme parallel zu Windows 8 zu betreiben.

Linus Torvalds hat mit nachvollziehbarenen Argumenten und selbst für ihn ungewohnt heftigen Worten einen Microsoft Schüssel in den Linux Kernel ausgeschlossen. Es ist folglich stark zu befürchten, dass nach einer Übergangszeit durch Secure Boot und Trusted Computing Linux auf Standardhardware gar nicht mehr startet.

netzpolitik.org: Bringt diese Kontrollverlust nicht eine Erhöhung der Sicherheit?

Rüdiger Weis: Nach den Snoden Enthüllungen bestimmen Fragen des staatlichen Zugriffes auf persönliche Daten die öffentliche Diskussion. Einige Aspekte in der neuen TC Spezifikation erhöhen sogar noch diese Gefahr. Brisant ist beispielsweise die Tatsache, dass die geheimen Schlüssel während des Herstellungsprozesses ausserhalb des Chips erzeugt und danach in den Chip übertragen werden. Hier ist es trivial eine Kopie aller Schlüssel herzustellen. Es ist nicht auszuschliessen, dass entsprechende Rechtsvorschriften bestehen und über diese nicht berichtet werden darf.

Das TPM ist ein Dream Chip für die NSA. Auch das andere realistische Szenario, dass der TPM Hersteller nicht in der Reichweite der NSA sondern in China sitzt, kann nicht wirklich beruhigen.

netzpolitik.org: Gibt es abgesehen von dem viel diskutierten Zugriff von Geheimdiensten weitere technische Probleme?

Rüdiger Weis: Einige. Erschreckend insbesondere, dass auch an einigen mehreren unstrittigen Punkten im neuesten Standard massiv Schritte in die falsche Richtung unternommen wurden. Um nur zwei Beispiele zu nennen: Verfehlte Integration und gebrochene Kryptofunktionen.

Die Tatsache, dass nicht wie von Sicherheitsexperten gefordert die TPM Funktionalitäten nur von einen zertifizierten eigenen Chip implementiert werden, eröffnet weitere Angriffsmöglichkeiten. Es ist nicht besonders mutig erfolgreiche Hardware-Angriffe vorauszusagen. Hierbei werden beispielsweise die schlecht geschützten Bereiche physikalisch ausgelesen werden. Besonders anfällig dürften Integration in Netzwerkchip und System on a Chip (SoC) Systeme sein. Dies gilt auch für sogenannte Side Chanel Angriffe bei denen etwa der Stromverbrauch oder das Timingverhalten analysiert werden, um an die geheimen Schlüssel zu gelangen.

Es ist leider nur in Fachkreisen verstanden, dass kryptographische Hashfunktionen einen zentralen Dreh- und Angelpunkt von Sicherheitslösungen bilden. Sie sind unverzichtbar unter anderem bei Integritätsprüfungen, Zertifikaten und Digitalen Signaturen. Der Trusted Computing Standard erlaubt die Weiterverwendung der gebrochenen SHA1 Hashfunktion. Hiervon wurde schon seit mehr als einem Jahrzehnt gewarnt.

Diese kryptographischen Schwäche sind schon seit vielen Jahren praktisch nutzbar. So ist es nicht nur für freundliche Hacker wie Jakob Applebaum et al möglich ziemlich finstere Dinge mit Zertifikaten zu treiben.

Neu ist, dass eine Analyse von stuxnet ergab, dass die NSA über Techniken zum Angriff auf die MD4-basierte Hashfunktionen Familie verfügt, die in der öffentlichen Forschung bisher nicht bekannt waren. Amerikanisch gesprochen ist dies ein ’smoking gun‘.

netzpolitik.org: Klingt nicht besonders gut. Kann man noch etwas tun?

Rüdiger Weis: Da neben den Überwachungsmöglichkeiten auch die Programmauswahl der Nutzer behindert wird, stellen sich natürlich kartell- und verbraucherrrechtliche Fragen. Insbesondere die Tatsache, dass Microsoft die übliche Praxis verlassen hat und den Überwachungschip automatisch einschaltet und faktisch nicht mehr ausschalten lässt, verstösst unter anderem gegen das Eckpunktepapier des Bundesinnenministeriums.

Ansonsten war schon der Versuch mittels Trusted Computing eine schöne neue überwachte Welt zu schaffen, vor 10 Jahren am Widerstand der Netzgemeinde gescheitert. Selbst Apple nutzte die zunächst verbauten TPM Chips nicht und liess sie nach 2009 heimlich, still und leise ganz verschwinden. Gerade in der Mobilwelt steht Microsoft sicher nicht mehr so mächtig da, wie vor 10 Jahren. Wenn Microsoft die Nutzer weniger respektiert als Apple und Google, dann werden diese nur schwer zu motivieren sein zu Windows8 zu wechseln.

Worum es bei Trusted Computing geht, erklärt dieses Video (Immer noch eines meiner Lieblingsvideos):

In diesem Fenster soll der Inhalt eines Drittanbieters wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an diesen Anbieter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Viele Unternehmen nutzen die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an den Drittanbieter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Der Drittanbieter betrachtet Deinen Klick möglicherweise als Einwilligung die Nutzung deiner Daten. Weitere Informationen stellt der Drittanbieter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Vimeo

Zur Datenschutzerklärung von netzpolitik.org

Trusted Computing from lafkon on Vimeo.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

20 Ergänzungen

  1. Ist der UEFI-Sondermüll inzwischen hardwareseitig obligatorisch oder gibt es noch aktuelle Standard-Motherboards
    ohne diesen?Mit BIOS.

      1. Alle Hardware, die das „kompatibel mit Windwos 8“-Logo enthält muss UEFI implementieren. Hier aus unserer Analyse:

        Also ist das Problem von „Secure Boot“ nicht beschränkt auf „Connected Standby Systems“ (wahrscheinlich ein großer Teil des zukünftigen Markts von Notebooks, Netbooks und PCs) und Computern basierend auf ARM-Mikroprozessoren (hauptsächlich „Tablets“ und Mobiltelefone), sondern kann von Microsoft jederzeit auf jede Art von Gerät erweitert werden. Genauso können Hersteller, die keine Geräte für Windows 8 herstellen, UEFI „Secure Boot“ oder andere Startprozesse einsetzen, die mit Hilfe von kryptographischen Signaturen beschränkt werden. TiVo tut dies seit einem Jahrzehnt und verschiedene Spielkonsolen, von Sony bis Microsoft, benutzen ebenfalls kryptographisch beschränkte Startprozesse. Andere Gerätehersteller könnten Spezifikationen oder Vorgaben ähnlich den „Windows 8 Hardware Certification Requirements“ einsetzen, um die Einsatzmöglichkeiten von IT-Geräten künstlich zu begrenzen.

  2. microsoft betrachtet die welt, als wenn private haushalte jetzt eigentum der firma microsoft sind.
    wo sich angestellte (private haushalte) ihren computer selber kaufen und microsoft bestimmt, was mit den computer gemacht werden darf.

    das ist aufhebung der privatsphäre und globale überwachung, da bekommt man die meinung diktiert, die man in zukunft haben darf.

    v wie vendetta

  3. Ich frag mich schon lange, ob die Leute das mitmachen würden. Ich bin noch zu keinem Ergebnis gekommen.
    Einerseits – ja, iPhones und ähnliche Geräte, in denen das praktisch eingebaut ist, verkaufen sich auch wie warme Brötchen. Aber andererseits – ein Computer ist doch noch mal was ganz Anderes. Oder?

    1. gedanke:

      wenn ich etwas kaufe geht der besitz der sache an mich über, in dem ich bezahle.
      wenn ich etwas leihen will für ein zeitraum, geh ich in ein internetcafe….

      1. „Laut einer Stellungnahme des BSI warnt das Bundesamt »weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8«. Trotzdem betont das BSI, dass man bei »bestimmten Einsatzszenarien“ bei denen Windows 8 und TPM 2.0 verwendet werden, »kritische Aspekte« sieht. Für manche Nutzer sei diese Kombination aber durchaus sinnvoll, beispielsweise für Anwender, die sich nicht selbst um die Sicherheit ihrer Rechner kümmern »können oder wollen, sondern dem Hersteller des Systems vertrauen, dass dieser eine sichere Lösung bereitstellt und pflegt«. “

        http://www.gamestar.de/software/microsoft-windows-8/news-artikel/windows_8,473,3026887.html
        ________________________________

        ich bin mir sicher, du vertraust dein rechner voll und ganz der nsa, öhm, microsoft an, um ein sicheren rechner zu haben.

        falls nicht, passen die über die hintertür zum skyp abhören auf dich auf, das du alles richtig machst am rechner und nur legale software von microsoft installierst.

        nicht etwa open office oder so, damit verdient doch ms nichts und wird wie durch zauberhand abstürzen, systemfehler haben.

        natürlich wollen die nur dein bestes, dein geld!

        *beide daumen für dich drück*

        hf and gl

  4. Ich finde es schade, das in der wichtigen Diskussion immer wieder munter verschiedene Technologien durcheinander geworfen werden und dadurch der Diskussion an sich die Qualifikation entzogen wird. Beispielsweise hat CSM nichts mit Linux oder nicht Linux zu tun. CSM ist nur dazu da, alte, BIOS-basierte Betriebssyteme noch starten zu können. Mit UEFI startet jedes aktuelle Linux ohne weiteres.
    Secure Boot ist ein anderes Thema, auch wenn es Linux-Distributionen gibt, die durchaus mit eingeschaltetem SecureBoot starten – hier kommen dann die acht Seiten aus der c´t wieder ins Spiel, die sich aber ausdrücklich auf den Parallelbetrieb von Linux und Windows beziehen und nicht nur auf den Einsatz von Secure Boot.
    TPM wiederum ist etwas anderes. Auch wenn TPM gerade (wieder) zum Anlass genommen wird, das Sommerloch zu füllen. Secure Boot kann auch ohne TPM Linux aussperren und mit einem TPM Chip kann die NSA auch keinen Linuxrechner „einfach so übernehmen“ usw. Im Grunde kann die NSA einen gezielten Nutzen von TPM Chips gar nicht mögen – schließlich ermöglichen bestimmte Funktionen dieses Chips doch gerade die starke Verschlüsselung. Vielleicht hilft mein Artikel, da etwas Klarheit zu schaffen: http://dieerklaerung.de/angst-wegen-tpm-chips-geschuert-sommerloch-13092/

    1. wegen:
      __________
      „Die bereits 2006 heraufbeschworene Geiselnahme der Benutzer-PC-Systeme hat noch nicht stattgefunden.“

      http://dieerklaerung.de/angst-wegen-tpm-chips-geschuert-sommerloch-13092/
      _________

      sicher? dürfte ein befehl reichen, damit der user ignoriert wird, bzw. rechner, tablet, handy gesperrt ist.
      sofern er sich nicht schon vorher selbst gesperrt hat und darauf zurückgreifen muss….

      http://technet.microsoft.com/de-de/library/dd851452.aspx

      _________
      „Auch gibt es immer noch Inhalte, die kopiert werden können und genauso gab es vor den TPM-Modulen bereits Kopierschutz-Systeme und individuelle Merkmale von Computersystemen.“
      _________

      ja gab es, allerdings wurden die „kopierschutz“ systeme nicht in die hardware eingebaut, sondern in der software!
      von den fahlerhaften, mal ganz zu schweigen!1!

      da reiben sich die ganzen zensurheinis und die fazken von der musik industrie, sicher schon die hände…

      wer bestimmt was erlaubt ist? der user sicher nicht mehr…

      dazu noch das lesen:

      http://www.n-tv.de/politik/Belegt-Tech-Konzerne-kooperieren-mit-NSA-article11225881.html

      natürlich ist alles halb so schlimm…gut geschmiert, ist halb gewonnen.

      gehen sie bitte weiter, hier gibt es nichts zu sehen!
      natürlich würden die nie die macht missbrauchen…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.