Menü Startseite

Windows 8 und TPM

Hurray, wir haben wieder ein Thema gefunden, um vom Überwachungsstaat abzulenken! Statt sich auf die verpflichtenden Abhörschnittstellen bei europäischen Telekomunternehmen zu konzentrieren oder ob man Bekannte von Journalisten an Flughäfen festhalten darf oder den Verkauf von Patientendaten oder Vorratsdatenspeicherung, Flugdatenübermittlung, SWIFT … alles Themen, die EUROPA betreffen, was sich im Wahlkampf aber eventuell nicht so gut macht. Also,.. NSA und Microsoft. ZEIT ONLINE hat einen Artikel veröffentlicht mit dem wenig zurückhaltenden Titel: “Bundesregierung warnt vor Windows 8”. Normalerweise kommentiere ich politische Ereignisse ja eher nicht, da begebe ich wie so manch anderer in ein “Neuland”.

Summary: Offenbar geht es ähnlich wie bei UEFI/Secure Boot lediglich um die Fragestellung, ob ein TPM Chip in der Hardware deaktivierbar ist. Hat nicht einmal etwas direkt mit Windows zu tun,…

[UPDATE] Es gibt eine Stellungnahme des BSI

DISCLAIMER: Das ist mein privater Blog/Meinung, für offizielle Stellungnahmen bitte an den jeweiligen Unternehmenssprecher von Microsoft wenden, danke…

Die Zeit berichtet über Trusted Computing:

Diese Hintertür heißt Trusted Computing und könnte zur Folge haben, dass Microsoft jeden Computer aus der Ferne steuern und kontrollieren kann. Und damit auch die NSA.

Wir könnten WAS? Vor drei Wochen war es der Updatemechanismus bei SSL-Zertifikaten, nun kommt der TPM Chip dran. Und weiter geht es:

Trusted Computing ist alles andere als ein neues Phänomen. Seit rund zehn Jahren ist die Technik auf dem Markt. Vereinfacht gesagt, geht es dabei um den Versuch, den Rechner vor Manipulationen durch Dritte zu schützen, zum Beispiel vor Viren und Trojanern. Der Benutzer soll sich dabei um nichts mehr kümmern müssen. Um das zu erreichen, braucht es erstens einen speziellen Chip, der Trusted Platform Module (TPM) genannt wird, und zweitens ein darauf abgestimmtes Betriebssystem. Zusammen regeln sie unter anderem, welche Software der Nutzer auf einem Computer installieren darf und welche nicht.

Korrekt ist: es ist nicht neu. Seit vielen Jahren haben vor allem Business-Laptops einen TPM Chip eingebaut. Wir hatten diese Diskussion auch alle schon zu Vista-Zeiten und davor. Kann sich jemand an Palladium und NGSCB erinnern? Nie realisiert, aber mitunter vermischen sich die Meinungen über Palladium immer noch mit anderen Themen, wie eben TPM. Aber zurück zu aktuellerem, wo wird der TPM bei Windows 8 bzw. Windows 8.1 genutzt:

  • Virtuelle Smartcards
  • Bitlocker

Anti-Malware oder das Blockieren von Anwendungen, wie ZEIT ONLINE vermutet, gehören nicht zur direkten Nutzung des TPM in Windows. Der TPM selbst ist gegen Malware geschützt und ich kann das Zertifikat zur Authentifizierung nehmen, aber das sind beides vollkommen andere Szenarien als berichtet. Zum Blockieren von Anwendungen kann man z.B.  Applocker nutzen (Windows 7 und Windows 8 Enterprise), das hat aber weder etwas mit dem TPM noch der NSA zu tun, sondern wird über Gruppenrichtlinien vom Unternehmen selbst verwaltet. Der Satz:“Der Hersteller des Betriebssystems legt fest, welche Anwendungen auf einem Gerät installiert werden können und welche nicht” ist für Windows Vista, Windows 7, Windows 8 oder Windows 8.1 nicht zutreffend.

Die Zeit schreibt weiter, “Man müsse davon ausgehen, dass die NSA die entsprechenden Rechner problemlos kompromittieren könnte – ebenso übrigens die Chinesen, wenn die TPM-Chips in China gefertigt würden.”

Ich darf wirklich stark bezweifeln, dass die NSA Schnittstellen für die Chinesen absegnet. Hier wäre mehr Information erforderlich, ob es sich dabei um akademische, theoretische Problemstellungen handelt, die man bei einer Schlüsselverwaltung generell diskutieren könnte, oder ob es sich um Issues mit einer tatsächlichen, real existierenden Implementierung handelt.

Der Eindruck, der hier vermittelt wird, nämlich dass Remote auf Rechner durch Microsofts Hilfe zugegriffen werden kann, wurde von Microsoft schon mehrmals und eindeutig zurückgewiesen: “An dieser Stelle betonen wir nochmals, dass Microsoft keiner Regierung die Möglichkeit gibt, unsere Verschlüsselung zu brechen und Microsoft auch keiner Regierung Schlüssel zur Entschlüsselung zur Verfügung stellt.”

Ein paar Fakten

TPM mag durchaus auch zu kompromittieren sein, wie jede Sicherheitstechnologie. Bisher haben sich die Experten des BSI bezüglich TPM aber positiv geäußert, ich verweise mal auf das, was öffentlich ist: Das Bundesamt für Sicherheit in der Informationstechnik EMPFIEHLT den Einsatz eines TPM ausdrücklich. Nachzulesen im Leitfaden BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz oder auch (und hier zitiere ich sogar aus der Zeit):

Das BSI empfiehlt Behörden, Unternehmen und Privatanwendern den Einsatz dieser Technik auch, sofern sie bestimmte Voraussetzungen erfüllt. Zu diesen Voraussetzungen aber gehören die Optionen des Opt-in und des Opt-out – und die fallen künftig weg.

Mag sein, dass die Empfehlung der Microsoft Hardware Certification das Opt-In vorwegnehmen (Auslieferungszustand des PCs), aber es ist den Verantwortlichen für die nationale deutsche Sicherheit zuzutrauen, dass sie die Systeme nach ihren Vorstellungen konfigurieren (und da ist ja weit mehr notwendig!). Die IT wird auch zukünftig in der Lage sein, den TPM zu deaktivieren und dass solche Geräte (die den TPM deaktivierbar haben)  so wie jetzt, auch noch in Zukunft zu beziehen. Denn derzeit lässt sich meiner Information nach bei 100% der Geräte der TPM deaktivieren. Nachdem Hardwarehersteller wohl nicht noch weniger Devices verkaufen wollen, erschließt es sich mir nicht, aufgrund welcher realen Vorstellungen sich in naher oder ferner Zukunft eine Änderung einstellen sollte. 

Die Windows 8.1 Hardwarezertifizierung schreibt ab 2015 einen TPM 2.0 Chip verpflichtend vor – allerdings kann dieser deaktiviert werden oder sein, er muss nicht mal bei Auslieferung aktiv sein (siehe http://msdn.microsoft.com/en-us/library/windows/hardware/hh748188.aspx ), es ist lediglich die Empfehlung diesen aktiv auszuliefern. ”It is recommended the TPM state when shipped is enabled and activated“. Ich habe keinen Hinweis gefunden, dass der TPM aktiv sein MUSS.

Heißt also: sollte ich wirklich bedenken haben, im Unternehmen oder auch privat, dann werde ich diese Sicherheitsfunktion nicht nutzen. Das ist ähnlich wie die UEFI Funktion “Secure Boot”, wo Microsoft sogar verpflichtend vorschreibt, dass diese bei x86 Maschinen deaktivierbar sein muss – sonst wird das Gerät nicht zertifiziert. Ob durch Deaktivieren der Sicherheitsfunktionen die reale Sicherheit tatsächlich gesteigert wird, darf stark bezweifelt werden.

Technische Informationen zu TPM in Windows 8 und Windows Server 2012 stehen in TechNet bereit: http://technet.microsoft.com/de-de/library/jj131725.aspx

Weitere Informationen: Medienberichte über US-Sicherheitsprogramm

Kategorien:Archive

Georg Binder

I'm a blogger and technology addicted geek with a strong interest in Star Wars, Star Trek, LoTR and Microsoft. Microsoft employee. My opinions not my employer's. Follow me on Twitter https://twitter.com/gbinder

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

%d Bloggern gefällt das: