TCPA: Das steckt hinter der neuen Sicherheitstechnik

 7/9
Volker Rißka
67 Kommentare

Ein Tag im Leben mit einem TCPA-Computer

Und so schaut es dann aus: Der Rechner startet, das Bios wird per Hash-Code überprüft. Natürlich läuft alles im Standard-Takt, Overclocking war gestern und wird jetzt vom Trusted Platform Modul auf dem Mainboard und in der CPU unterbunden. Dann folgt die Überprüfung aller installierten Komponenten (AGP, PCI, SCSI). Wenn diese übereinstimmen, geht es über den Bootsektor zum Betriebssystem-Loader. Jetzt startet der Betriebssystem-Kernel, das Herz des Betriebssystems mit allen Routinen zur Speicher- und Geräteverwaltung. Sollte sich hier etwas an der Hardware geändert haben, sucht der Chip in seiner vorhandenen Tabelle, ob diese neue Hardware bereits einen Key besitzt. Sollte dies nicht der Fall sein, versucht der Rechner bereits während des Bootvorgangs mit dem Internetserver zu kommunizieren, um einen gültigen Key von einer Liste oder aus einer Tabelle auf dem Server für die neue Hardware zu bekommen. Wenn das alles vollbracht ist und der dazugehörige "Hash" übereinstimmt, übernimmt letztendlich das TCPA-konforme Betriebssystem die Kontrolle über den Rechner. Wenn jetzt eine Internetverbindung hergestellt ist, wird, falls die neu installierte Hardware nicht mit einer Signatur bedacht wurde, diese vom Server abgerufen. Sollte diese wiederum fehlschlagen, ist zu Anfangszeiten von TPM und Palladium sicherlich "blos" mit einem alle 5 Minuten erscheinenden Pop-Up-Fenster zu rechen, was einen daran erinnert, sich eine Signatur für seine Hardware zu besorgen. Wie es aussieht, wenn TCPA vollkommen im Markt integriert ist, kann nur spekuliert werden. Dann wird es sicherlich so gut wie keinen Rechner mehr ohne Internet geben, damit man sich jederzeit einen Key vom Server holen kann, so dass Windows nicht plötzlich seinen Dienst verweigert.

Aber zurück zum Systemstart. Der Prozeß ist noch nicht vollendet: Die installierte Software, Treiber, etc. wird dahin überprüft, ob ihr "Schlüssel" passt. Microsoft macht bereits seit längerem den Anfang mit dem WHQL-Zertifikat. Nur dass dieses, oder ein ähnliches dieser Art, dann Pflicht sein wird, sonst wird der Treiber erst einmal abgelehnt. So, dann hat man es endlich geschafft, man ist in Windows, falls man es benutzt. Jetzt übernimmt das Trusted Platform Modul eine untergeordnete Funktion, Palladium steht an erster Stelle. So werden die Zertifikate für Software nicht mehr softwareseitig in Windows abgelegt, sondern hardwareseitig auf dem TPM gespeichert. So hat man zum Beispiel im Jahr 2007 seine Alien 6 DVD. Nach dem Authentifizierungsprotokoll, in dem die DVD prüft, ob alles mit rechten Dingen zugeht und ich der "richtige" Benutzer bin, kann es losgehen. Diese DVD lässt sich allerdings nur mit dem mitgelieferten AOL-Player 3.0 abspielen, dessen Zertifikat natürlich auch erst einmal geprüft wird. Der AOL-Server sendet darauf hin die verschlüsselten Inhalte mit einem Schlüssel, den das Trusted Platform Modul zur Entschlüsselung derselben verwendet. Diesen Schlüssel stellt das TPM nur der autorisierten Anwendung zur Verfügung und auch nur so lange, wie die Rechnerumgebung als "vertrauenswürdig" gilt. Will der Benutzer nun aber nicht den AOL-Player benutzen, sondern einen alternativen, zertifizierten Player, so können ihm einige Elemente vorenthalten werden. Man kann sie aber auch für den alternativen Player freischalten lassen, bezahlt dann aber eine extra Gebühr. Für diesen "Premium-Service" wird ja bereits jetzt auf einigen Seiten Geld verlangt, damit man zum Beispiel einen kompletten Test zu einem Produkt online lesen kann. So können DVDs natürlich auch kostenlos verteilt werden, aber bei jedem Abspielen wird das eigene Konto mit 5 Euro belastet.

Hat man das endlich erfolgreich, oder auch nicht, geschafft, kann man sich anderen Dingen im Alltag mit einem Computer widmen. Im Internet surfen ist nur über einen zertifizierten Browser möglich, Open Source existiert nicht. Aber im Internet wird man solche Sorftware noch finden. Will man diese ziehen, mag das vielleicht noch klappen, aber installieren scheitert, da es kein Zertifikat gibt und die Open-Source-Software so als unsicher gilt. Genug gesurft - Office 13 ist angesagt, also wird fleissig ein Text geschrieben, der anschliessend per Mail verschickt werden soll. Nachdem man zum Start von Office bereits 5 Haken zu Sicherheitseinstellungen gesetzt hat, verweigert das Programm trotzdem den Dienst und will den Text einfach nicht verschicken, da der Empänger nicht auf der Liste der "Vertrauenswürdigen" steht. Erst nach 2 Stunden Online-Hilfe hat man den Bogen raus und ist seinen Text endlich los.

Was hat man da nun für einen Rechner? Einen PC, auf dem alle Daten sicher liegen, weil sie verschlüsselt sind. Basteln und Schrauben kann man vielleicht noch am Gehäuse und ein paar Teilen, aber Tuning und Tweaking fällt flach. File-Sharing existiert nicht mehr, Audio CDs rippen geht auch nicht, Mircosoft schützt mich vor Viren und allem anderen Schädlichen. Schöne, neue Computerwelt!