Heute wollten wir uns mal um ein ernsteres Thema kümmern, daher wird es nun etwas fachlicher. Daten und Lizenzen müssen gerade in den Zeiten der modernen Technologie geschützt werden. Um dies zu ermöglichen kann man das Konzept des Trusted Computing verwendet. Dieses gehört zur Trusted Computing Group und wurde von dieser entwickelt sowie beworben. Hierbei ist „Trusted Computing“ ein Fachausdruck, welches an das Trusted System angelehnt worden ist. Allerdings hat es auch eine eigene Bedeutung. Im Grunde kann man das Trusted Computing so beschreiben: Der Betreiber eines PC-Systems übergibt die Kontrolle über verwendete Hard- und Software an einen Dritten weiter. Insofern kann die Sicherheit stark erhöht werden, da Manipulationen schneller erkannt werden. Selbstverständlich kommt auch der Begriff „Trusted Computing“ nicht irgendwoher. Das englische „trusted“ steht für Vertrauen. Dieses soll das Konzept an den Kunden vermitteln.
Was ist Trusted Computing?
Heute ist die Trusted Computing Plattform nicht mehr nur auf PCs verfügbar, sondern auch anderen computergestützten Systemen wie Mobiltelefone, Laptops oder Tablets. Hierzu muss man das Gerät nur mit einem zusätzlichen Chip ausstatten, welcher das Trusted Platform Modul enthält (Einer der Hersteller der Module ist Infineon).Durch eine kryptographisches Verfahren wird die Integrität der Software-Datenstrukturen und auch der Hardware genau gemessen. Die gemessenen Werte werden dann nachprüfbar und manipulationssicher abgespeichert. Das Betriebssystem des Computers sowie andere Programme oder Dritte können dann prüfen, ob die Messwerte in Ordnung sind. Sollten sie es nicht sein, dann kann man diese per Hard- und Software-Konfiguration überarbeiten und verändern. Mögliche Reaktionen können dann eine Warnung an den Benutzer oder auch ein sofortiger Programmabbruch sein.
Die Vorgehensweise des Systems
Damit das Trusted Computing auch wirklich als Daten- und Lizenzschutz verwendet werden kann, wird eine angepasste Bootloader vorausgesetzt. Auch das entsprechende Betriebssystem darf nicht fehlen. Dieses darf die Integritätsüberprüfungen nicht abstoßen oder behindern. Hierbei ist das TPM nicht aktiv beteiligt, sondern ein passiver Part. Das Trusted Computing kann Programme nicht selbstständig überprüfen oder bewerten. Auch der Programmablauf oder der Start des Betriebssystems kann nicht eingeschränkt oder verhindert werden. Die Trusted Computing Group definiert bei ihren TC-Verfahren immer die beteiligten Hardwaremodule und die entsprechenden Software-Schnittstellen.
Das Sicherheitssystem von Trusted Computing
Am interessantesten ist natürlich der Sicherheitsaspekt beim Trusted Computing. Deswegen sollte man sich diesen einmal genauer ansehen. Hierbei geht das Trusted Computing ganz neue Systemstrukturen an. Im Normalfall werden zusätzliche Ebenen von Verschlüsselungen oder Anti-Virus-Software genutzt. Beim Trusted Computing ist das nicht der Fall. Dieses System beginnt schon auf der untersten Ebene der Plattform und arbeitet sich hoch. Genau auf dieser Ebene beginnt dann der Bootvorgang. Schon beim Systemstart wird von der untersten Schicht aus eine ununterbrochene Sicherheitskette gebildet. Diese wird bis zu den Applikationen hochgezogen. Somit kann man dies als Pyramidensystem bezeichnen. Sobald die untere Ebene eine stabile Sicherheitsreferenz bietet, kann die nächste Ebene sich darauf abstützen. Jeder dieser Domänen baut auf der vorigen Ebene auf. Insofern sind alle Transaktion des Systems vertrauenswürdig, zuverlässig, sicher und geschützt. Das gilt natürlich auch für Daten und Lizenzen.
Wie funktioniert die Sicherheitsüberprüfung?
Bei jedem Systemstart werden die Wurzeln der Sicherheitsreferenz überprüft. Diese Überprüfung zieht sich dann durch die gesamte Sicherheitskette. Zu Beginn wird verifiziert, ob sich die Signaturen der Plattformkomponenten verändert haben. Das bedeutet, ob einer der Komponenten verändert oder sogar entfernt oder ersetzt worden ist. Die Überprüfungsmechanismen werden dann bis zur obersten Ebene durchgeführt. Hierbei werden Punkte wie Bootblocks und das Booten selbst, Korrektheit der BIOS und Co. überprüft. Jedoch wird diese Inspektion nicht nur beim Systemstart durchgeführt, sondern in regelmäßigen Abständen. Hierfür muss man natürlich seine Einwilligung geben. Damit kann dann auch eine kompromittierte Plattform sicher und von anderen identifiziert werden. Der Datenaustausch ist dabei in einem angemessenen Rahmen eingeschränkt.
Durch das System von Trusted Computing ist es also möglich, dass man eine moderne und vernetzte Plattform-Struktur besitzen kann, die gerade Sicherheit bietet. Es können dann viele unterschiedliche Funktionen genutzt werden wie das sichere Erzeugen, Verwalten und Bereitstellen von Schlüsselmaterial für Sicherheitsapplikationen. Durch verschiedene Programme könnte dieses Schlüsselmaterial ausgehoben werden. Das System von Trusted Computing verhindert dies. Auch digitale Zertifikate für elektronische Signaturen können sicher bei TPM abgelegt und verwaltet werden. Das macht den Umgang mit Lizenzen und Daten viel einfacher, sowie zusätzlich wird ein sicheres Booten garantiert. Selbst die einzelnen Bootschritte werden überwacht. Durch diesen Vorgang wird verhindert, dass Plattenspeicher von gefundenen PCs oder Notebooks „verwertet“ werden können. Der letzte große Bereich des Daten- und Lizenzschutzes ist die sichere Implementierung von WLAN und Netzwerkzugängen. Die benötigten Schlüssel und Zertifikate werden im TPM verwaltet.
Hier noch was zum anschauen 🙂
