Kontrolliertes Vertrauen Matthias Hannich   28.08.2003 Welche Bedingungen müssten erfüllt sein, um "Trusted Computing" auch für die Benutzerseite attraktiv zu machen Die Trusted Computing Group (  TCG) arbeitet kontinuierlich an ihrer Sicherheitsspezifikation. Gleichermaßen unentwegt arbeiten auch die Kritiker ihrerseits an einer konstruktiven Diskussion, wie zuletzt auf einem  Symposium in Berlin bewiesen. Das Ziel der TCG ist einen Standard zu verabschieden, der "Trusted Computing" regeln soll. Dazu wird es verschiedene  Spezifikationen geben, nach denen Soft- und Hardware eines TC-basierten Systems zu arbeiten haben. Eine zentrale Rolle wird dabei das sogenannte Trusted Computing Module (TPM bzw. "Fritz"-Chip) einnehmen. Das ist ein passiver Chip, der vermutlich einmal in die CPU selbst integriert wird und der protokolliert, ob nichtlizenzierte Soft- bzw. Hardware im Rechner vorhanden ist. Dabei nutzt es verschiedene kryptographische Methoden und Schlüssel. Letztere benötigen ihrerseits wiederum eine Lizenzierung, zum Beispiel durch einen unabhängige Organisation. Der Chaos Computer Club (  CCC) überreichte am 18. März 2003 im Rahmen der CCCeBIT einen  4-Punkte-Katalog an IBM als Vertreter der TCPA. Dieser artikuliert vier der wichtigsten Forderungen aus Benutzersicht gegenüber dem Konsortium: 1.Vollständige Kontrolle des Anwenders über sämtliche gespeicherten Schlüssel 2. Sicherstellung, dass keine verborgenen Kanäle existieren, über die geheime Schlüssel des Anwenders übertragen werden 3. Übertragung von Schlüsseln auf einen anderen Rechner muss ermöglicht werden 4. Transparenz über die Zertifizierungs-Mechanismen Die für den Anwender teilweise unbefriedigend ausgefallenen Antworten können in der c't-Ausgabe  15/2003 nachgelesen werden. Vertrauen ist ein wechselseitiges Verhältnis Ein Aspekt, der auch bei der Namensgebung der TCPA-Nachfolgeorganisation TCG eine Rolle spielte, ist Vertrauen. Die zentrale Frage, die sich dabei stellt, ist, wer hier wirklich wem vertrauen soll: Die TCG-Mitglieder dem Benutzer oder umgekehrt? Das Problem bei dieser Fragestellung ist häufig die Vernachlässigung der Tatsache, dass Vertrauen immer etwas Gegenseitiges ist. Das Vertrauen selbst wäre nutzlos, wenn es nur von einer Seite kommt. Eine zwischenmenschliche Beziehung funktioniert auch nicht, wenn nur eine Seite der anderen vertraut. Genau dasselbe lässt sich auf betriebliche Vertrauensbeziehungen übertragen. So bringt der Chef seinen Angestellten gegenüber Vertrauen dahingehend entgegen, dass sie auch ohne permanente vollständige Kontrolle das tun, was für den Betrieb notwendig ist, also dass sie gewissenhaft und selbstständig arbeiten usw. Im Gegenzug muss der Angestellte darauf vertrauen, dass er nicht überwacht wird, dass man an ihn glaubt. Kurz gesagt, beide Seiten verlassen sich darauf, dass die jeweils andere ihnen auch vertraut. Das ist eine grundlegende Bedingung zur Etablierung von Vertrauen. Beim Trusted Computing hat der Benutzer zu recht Anspruch darauf zu erfahren, ob die Firma oder die Person, der er seinen Rechner anvertrauen, überhaupt vertrauenswürdig ist, da nach derzeitiger Spezifikation (v1.1b) alles darauf hinausläuft, dass er seinen eigenen Rechner der Firma faktisch überträgt (er überträgt die Entscheidung, welche Hard- oder Software er darauf installieren kann). Wie bei betrieblichen oder zwischenmenschlichen Beziehungen kann dieses Vertrauen nicht nur vom Benutzer kommen und muss daher gleichzeitig von der TC-Dienste anbietenden Firma entgegengebracht werden. Die Grundlage jeden Vertrauens ist Transparenz Doch mit welchem ernsthaften Gedanken kann jemand eine Firma wie Microsoft oder Intel für vertrauenswürdig halten? Die Diskussionen um die Identifikationsnummern im Pentium III (  ID-Nummer für Intel-Prozessoren) oder die schlechte Presse wegen der vermeintlichen Spyware im Redmonder Betriebssystem WinXP (  XPionage) haben gezeigt, dass die Benutzer nicht den Großkonzernen uneingeschränktes Vertrauen entgegenbringen. Würde man dies tun, dann hätten die Geschehnisse nur kurzen Klärungsbedarf gebraucht. Ob nun tatsächlich Grund zur Sorge bestand, weil man die Privatsphäre oder den Datenschutz in Gefahr sah, ist bei der Thematik nebensächlich. Die Käufer eines PCs vertrauen in der Regel sich selbst. Wenn Firmen das Vertrauen der Nutzer beim Trusted Computing erlangen wollen, müssen sie verschiedene Voraussetzungen erfüllen. Ansonsten würden sie nur auf "blindes Vertrauen" setzen. Die Basis jeden Vertrauens ist die Kenntnis vom anderen. In Bezug auf Firmen heißt dies Transparenz. Dieser Begriff umfasst viele Prozesse, die wichtigsten sind: Offenheit. Hiermit ist unter anderem Quelloffenheit gemeint. Jedes Softwaresegment, welches am Trusted Computing administrativ teilnimmt, muss in seinem Quellcode zumindest offenliegen (von der Veränderungsfreiheit gar nicht zu sprechen). Hier reicht es also prinzipiell nicht aus, nur die TC-Komponenten selbst im Quellcode offenzulegen, wie das zum Beispiel Microsoft in ihrer Palladium-Technologie vorsieht. Offenlegung der Kommunikationswege. Jegliche Kommunikation, ob zwischen BIOS und TPM, TC-Kernel (z.B. Nexus) und normalen Betriebssystem oder der Datenaustausch mit einem Verwaltungsserver über das Internet muss in allen Teilen definiert und vor allem nachvollziehbar sein. Wie schon der CCC mit seiner zweiten Forderung klarstellte, darf es keinerlei verborgene Kanäle geben, über die Daten jeglicher Art zu einem Firmenserver übertragen werden. Kenntnis der abgespeicherten Inhalte. Dieser Punkt untergliedert sich in zwei Teilbereiche: zum einen die lokal abgespeicherten Daten und zum anderen die, die Firmen erfassen. Jeder Benutzer eines aktivierten TC-Systems muss genau wissen, welche Inhalte auf seinem Rechner gespeichert sind. Nach jeder Kommunikation muss Klarheit darüber herrschen, ob Daten und wenn ja welche neu angelegt oder verändert wurden und zu welchem Zweck dies geschah. Gleichzeitig muss er auch wissen, welche Daten über ihn und warum auf den Servern gelagert sind. Diese müssen einsehbar sein. Kenntnis von den ("verbotenen") Inhalten. Sofern TC vorsieht, dass ohne entsprechende Zertifikate eine Software nicht im trusted-mode installierbar bzw. nutzbar ist, muss nachvollziehbar sein, welche Software Zertifikate bereits erhalten hat. Wichtiger noch ist zu wissen, ob es auch explizite "Negativzertifikate" gibt, durch die eine Software aktiv am Installationsprozess gehindert wird. Wenn es die gibt, dann müssen alle Zertifikate einsehbar sein und zwar mit dem entsprechenden Grund, der dazu geführt hat, dass sie "verboten" wurden. An der Stelle ist es notwendig, dass es offene Konsortien gibt, in denen Richtlinien verfasst werden, nach denen Software oder Inhalte begutachtet wird. Es steht außer Frage, dass an diesen auch unter anderem Vertreter von Bürgerrechtsorganisationen eine wichtige Rolle spielen sollen bzw. Entscheidungsgewalt besitzen müssen. Erst wenn die TCG bzw. die Mitglieder diese Punkte allesamt diskutiert, erfüllt und über einen längeren Zeitraum eingehalten haben, ließe sich überhaupt ernsthaft über ein mögliches Vertrauen ihnen gegenüber reden. Solange die Devise heißt, den Menschen das System nicht vollständig offen zu legen, braucht man selbst auch kein Entgegenkommen von eben diesen zu erwarten, sonst würde das Vertrauen wiederum nur von einer Seite entgegengebracht werden müssen. Zumal die Gefahren für die Nutzergemeinde oder Firmen, die nicht direkt bei der TCG beteiligt sind, zu offensichtlich sind. Danach kann Vertrauen durchaus so existieren, wie es ursprünglich gedacht war, nämlich ohne vollständige Kontrolle und Überwachung - bis zum nächsten Vertrauensbruch. BACK