TCPA – Die sicherheitstechnische Revolution im Bereich der Hard- und Software oder eine aufgezwungene Einschränkung der Privatsphäre und Entmündigung des Computerbenutzers? Die Internetgemeinde ist in zwei Lager gespalten: Die einen sehen mehr Schaden als Nutzen für den Anwender, die anderen halten ein solches System für eine längst überfällige Notwendigkeit.

TCPA – Was ist das?
Die “Trusted Computer Platform Alliance” (Allianz für vertrauenswürdige Computerplattformen) ist ein Zusammenschluß führender Hard- und Softwarehersteller, die eine neue, sichere Hardware-Plattform für PCs und andere vernetzte Geräte schaffen wollen. Diese basiert auf dem auch als “Fritz-Chip” bekannten TPM (Trusted Platform Module), in dem Prüfsummen von verschiedenen Hardware-Komponenten gespeichert sind, die das System über ein sicheres Betriebssystem im Internet verifizieren und identifizieren können. Dadurch soll gewährleistet werden, dass in naher Zukunft nicht mehr nur der Benutzer (über Benutzerkennung & Passwort), sondern auch Computer und andere Netzwerkgeräte eindeutig als “vertrauenswürdig” erkannt werden können. Im Prinzip handelt es sich bei dem TPM um nichts anderes als eine fest in die Hardware integrierte und weiterentwickelte SmartCard, also eine zur Authentifizierung dienende Chipkarte.
Oft mit dieser Technik assoziiert und verwechselt wird eine unter dem Namen “Palladium” bekannte Sicherheitskomponente Microsofts für kommende Windows-Versionen, die eng mit dem TPM zusammenarbeitet. Damit könnten z.B. Dateien und Dokumente mittels “Digital Restrictions Management” (DRM, etwa: Digitale Einschränkungsverwaltung) nur auf “vertrauenswürdigen” TPM-Systemen geöffnet und verarbeitet werden.

Vorteile – Einige Argumente der Befürworter
Wie oben bereits angesprochen bietet der TPM die Möglichkeit, eine Computerplattform zu identifizieren. Dadurch könnten z.B. Server und Dienstleistungsangebote im Internet bei jedem Zugriff eines Kunden feststellen, ob sie sein System kennen und ob es vertrauenswürdig ist. Im Gegensatz zu einer SmartCard bietet der fest eingebaute TPM einen Plattform-Sicherheitsstatus, d.h. da er nicht entfernt werden kann, “weiß” er durch die gespeicherten Hardware-Checksummen über alle Veränderungen bescheid und kann – je nach Umfang der Veränderung – das System zulassen oder nicht. Dies ist ein erheblicher Fortschritt im Vergleich zur simplen Anmeldung mit Benutzername und Kennwort, da wesentlich mehr Daten des Kunden zur Auswertung verfügbar sind.
Jedoch sind die Funktionen des TPM nicht nur im Internet nutzbar. Vor allem durch die DRM-Technik wäre es möglich, die allgegenwärtige Raubkopiererei und Softwarepiraterie zu beschränken. Wenn sich zum Beispiel Audio- und Videodateien nur noch auf einem eindeutig identifizierten System entschlüsseln und ansehen bzw. hören lassen würden, wäre eine Verbreitung durch portable Medien oder das Internet nutzlos, da die Systeminformationen des jeweiligen TPM ja eindeutig und einmalig sind.
Ein weiterer Vorteil gegenüber anderer Systeme ist die Plattform- und Betriebssystemunabhängigkeit. Vom Prinzip her kann das TPM-Konzept nicht nur auf Computern, sondern auch bei Handys oder anderen Netzwerkfähigen Geräten eingesetzt werden. Und da es angeblich auch keine Möglichkeit gibt, den TPM von außen einzuschalten oder irgendwelche Hintertüren zu nutzen, ist die angebotene Vertrauenswürdigkeit eine freiwillige Sache.

Nachteile – Die andere Seite
Ein Argument der Gegner des “Trusted Computing” ist folgendes: Da sich die meisten Sicherheitslücken auf der Softwareebene befinden, also in Anwendungen und dem Betriebssystem, kann das hardwareorientierte TPM-Konzept hier keine großartige Abhilfe schaffen. Im Gegenteil, insbesondere durch die Kombination mit dem geplanten Palladium überlässt man sozusagen Microsoft und Konsorten die Entscheidung, was denn nun auf dem eigenen Rechner laufen darf und was nicht. “Palladium soll scheinbar in erster Linie sicherstellen, dass ein Anwender ein bestimmtes Betriebssystem nutzt – sprich Microsoft Windows”, so Lucky Green, ein US-Amerikanischer Kryptoexperte. Dazu ist noch hinzuzufügen, dass sich natürlich auch im Bereich der Anwendungen wie Textverarbeitungs- oder Email-Programme eine Monopolstellung schnell ausbauen lässt, indem man z.B. sicherstellt, dass nur MS Word selbst noch DRM-geschützte Dokumente lesen kann, und keine andere Textverarbeitung. Aus diesem Grund gibt es seit August 2002 auch eine Arbeitsgruppe des Bundesamts für Sicherheit und Informationstechnik, die die technologische Entwicklung aufmerksam beobachtet und die Bundesregierung – insbesondere das Bundeskartellamt ist daran interessiert – auf dem Laufenden hält.
Grund zum Nachdenken liefert auch die Tatsache, dass sich die meisten der über 170 Mitgliedsfirmen und Organisationen der TCPA verdeckt halten – bis auf die Gründer Compaq, HP, IBM, Intel und Microsoft. Man sollte eigentlich annehmen können, dass die Entwickler von fortschrittlichen und gemeinnützigen Projekten auch zu ihrer Arbeit stehen können oder ist da vielleicht doch etwas faul? Microsoft zumindest hat es vorgezogen, auf konkrete und detailierte Fragen zum Thema TCPA/Palladium in einer Kryptographie-Mailingliste nicht zu antworten und den Dialog abzubrechen.
Ein weiteres Problem aus der Sicht der TCPA-Gegner ist auch, dass man eigentlich keine Wahl hat. Intel will demnächst die TPM-Technologie in seinem LaGrande-Chip zum Einsatz bringen, Betriebssystem-Marktführer Microsoft das dazu passende Software-Pendant Palladium in einer der nächsten Windows-Versionen. Durch den starken Einfluss, den die Befürworter des Digital Restrictions Management auf die weltweiten Gesetzgeber ausüben, könnte DRM schon bald zur Pflicht für alle Computer-Plattformen werden, auch wenn der Markt selbst Palladium und TCPA eigentlich ablehnen würde (wie er auch Intels Prozessor-ID abgelehnt hat).

Fazit
Insgesamt lässt sich sagen, dass die ganze TCPA-Technologie ziemlich in Richtung totaler Überwachung und Kontrolle sowohl von Informationen als auch von Computerbenutzern abzuzielen scheint. Statt den PC für den Anwender zu sichern, scheint eher eine Sicherung des PCs vor dem Anwender geplant zu sein: Da ist es nicht verwunderlich, dass viele TCPA-Gegner die Verwirklichung von George Orwells erschreckenden Zukunftsvisionen aus “1984″ befürchten. Da bleibt nur zu hoffen, dass man das System wirklich abschalten kann, und dass sich vielleicht doch noch Alternativen bilden.

Links zum Thema:
trustedcomputing.org – Homepage der TCPA
notcpa.org – offizielle Seite der TCPA-Gegner

(Gast | 03.05.03)