Trusted Computing und DRM Hanno 'Rince' Wagner Beim Demokratisches Zentrum Ludwigsburg, Verein für politische und kulturelle Bildung e.V.

Übersicht ➲ Was verbirgt sich hinter den Kürzeln TCPA, TCG, TP und DRM? ➲ Welche Spezifikationen gibt es? ➲ Was für Hardware und Software wird benutzt? ➲ Wo wird DRM eingesetzt? ➲ Gibt es Möglichkeiten sich zu schützen? ➲ Was sagt die Politik dazu?

Definition Trusted Computing ➲ „Trusted Computing“ (etwa: verlässlicher Computereinsatz) war der anfängliche Name, der für Sicherheitslösungen benutzt wurde. Er wird auch weiterhin von IBM verwendet, während Microsoft das Ganze als »trustworthy computing« (vertrauenswürdiger Computereinsatz) und die Free Software Foundation als »treacherous computing« (verräterischer Computereinsatz) bezeichnen.

Was sind Trusted Systems? ➲ Trusted Systems ist der Oberbegriff für eine spezielle Klasse von digitalelektronischen Systemen, seien es PCs, PDAs, DVD-Player und -Recorder, E-Book-Reader, MP3- Player, Workstations oder ähnliche. Sie werden alle durch die TCG und TPM erfasst.

Definition DRM ➲ Zitat Wikipedia (im Mai 2005): „DRM ist ein Verfahren, mit dem Urheber- und Vermarktungsrechte an geistigem Eigentum, vor allem an Film- und Tonaufnahmen, aber auch an Software oder elektronischen Büchern im Computerzeitalter gewahrt und Kopien verhindert, sowie Abrechnungsmöglichkeiten für Lizenzen und Rechte geschaffen werden sollen.”

Was ist die TCPA? ➲ TCPA steht für “Trusted Computing Platform Alliance”, Gründung ➲ Gründungsmitglieder waren u.a. Intel, IBM, Microsoft, HP, AMD ➲ Bis zur Auflösung gehörten knapp 200 Firmen zu der Allianz, siehe members.html members.html

➲ Offizielles Ziel der Gruppe ist die Erstellung eines Industriestandards für sichere Computerumgebungen; dabei erstreckt sich die Spezifikation von Hardware bis hin zu Schnittstellen in der Software. Die Spezifikation ist bewusst nicht auf ein Betriebssystem beschränkt. ➲ Die TCPA verabschiedete die Versionen 1.1 der TPM- Spezifikation im Juli 2001; Version 1.1b wurde im Mai 2002 vorgestellt.

TCG ➲ Die Satzung der TCPA führte zur Handlungsunfähigkeit, daher wurde im April 2003 die TCG (Trusted Computing Group) ins Leben gerufen. Die Mitglieder können sich zwischen 3 Leveln entscheiden; es gibt verschiedene Mitgliedsbeiträge und Stimmrechte; eine Jahresmitgliedschaft kostet diesen Firmen zwischen $7500 und $50000.

➲ Fast alle Mitglieder der TCPA sind auch Mitglied in der TCG ➲ Die TCG hat die Version 1.2 der TPM-Spezifikation im November 2003 vorgestellt. ➲ Letzte Version ist 1.2 Revision 94 vom 29. März ➲ Windows Vista setzt TPM 1.2 voraus!

Die Einzelteile der Spezifikation ➲ TPM-Modul (Chip auf dem Mainboard oder Teil der CPU), umgangssprachlich „Fritz-Chip“ genannt ➲ CRTM (Core Root of Trust Management) ➲ TPM-fähige Hardware wie Grafikkarten, Netzwerkschnittstellen, Festplatten...

Fritz-Chip ➲ Ein Chip, der direkt auf das Motherboard gelötet wird, später direkt in der CPU eingebaut sein soll ➲ Eine “festinstallierte” SmartCard, erster Schritt des Trusted Platform Modules ➲ Ist isoliert von den anderen Teilen des Mainboards ➲ 8-Bit-RISC-Prozessor mit 33Mhz Taktung ➲ Wird zur Speicherung und Berechnung von bis zu 2048bit langen RSA-Keys benötigt.

Aufgaben des Fritz-Chips ➲ Versiegelung: Die Konfiguration des Rechners und dessen Peripherie ergibt einen eindeutigen Hash. Nur solange dieser Hash gleich ist gilt der Rechner als sicher. Ist das TPM defekt muss die Anwendung dafür sorgen dass die Daten nicht verloren sind

➲ Remote Attestation: Versicherung auch nach außen, dass das TP-System sich in einem sicheren und wohldefinierten Zustand befindet. Dafür gibt es mehrere Ansätze – eine Trusted Third Party CA und eine Direct Anonymous Attestation (Vergleich mit Rubiks Cube).

➲ Authentifizierung: Man kann sich bzw. den Computer gegenüber einer Schlüsselstelle authentifizieren ➲ Auslagerung von Schlüsseln: Schlüsselauslagerung auf Festplatte; Verschlüsselung durch Endorsement Key Pair ➲ Sichere Speicherung von Schlüsseln ➲ Zufallszahlengenerator

Schlüsseltypen ➲ Es gibt zwei verschiedene Schlüsselpaare ➲ Schlüssel die den Chip nicht verlassen, keinerlei Kopie die “herausgenommen” und mitgenommen oder übertragen werden kann ➲ Mobile Schlüssel die mitgenommen werden können.

Schlüsselpaare ➲ Endorsement Key Pair: Identifiziert das TPM und damit den Rechner eindeutig Bit RSA Key ➲ Attestation Key Pair: Ebenfalls ein 2048 Bit RSA-Key; diese werden mit dem EKP signiert. Diese Schlüssel können benutzt werden damit der Benutzer Pseudonym arbeiten kann wenn er möchte. Der Benutzer kann beide Teile des Schlüssels mitnehmen

➲ Storage Root Key: Dient zum Speichern und Verschlüsseln der im TPM gespeicherten Daten und Schlüssel. Der private Teil des Schlüssels verlässt den Chip nicht; er kann maximal zusammen mit dem Rest der Daten vom Chip gelöscht werden. Der öffentliche Teil des Schlüssels kann exportiert werden.

CRTM: Core Root Trust Mangement ➲ Ein Stück Software vor dem BIOS-Start. Es überprüft ob das TPM aktiv ist. Wenn nicht, wird das BIOS und der Rechner ganz normal hochgefahren.

➲ Wenn das TPM aktiv ist, werden nacheinander alle TPM- aktiven Geräte und Module eingebunden und von jeder dieser Komponenten-IDs ein Hashwert gebildet. Bei Abschluß der Aktivierung wird ein Hashwert über die Gesamt-Konfiguration gebildet und im TPM selbst abgelegt. ➲ Erst jetzt wird der Rechner normal hochgefahren.

Software ➲ NGSCB (Next Generation Secure Computing Base) ist die Microsoft-Initiative auf der Basis von Microsoft Windows. ➲ Bis 2003 hieß diese Initiative Palladium, wurde dann aufgrund von negativer Presse umgenannt. ➲ Es gibt einen TC-fähigen Bootloader namens TrustedGRUB ➲ Ein EU-Projekt „Open Trusted Computing“ arbeitet an einem Trusted Linux

➲ HP arbeitet ebenfalls an einer TCPA-fähigen Linuxversion ➲ Ziel: Vertrauenswürdige Programme sollen in einer gesicherten Umgebung laufen.

Aufgaben NGSCB ➲ Geschützter Speicherbereich: Für jede Applikation einforderbar; dieser Speicherbereich kann von anderen Programmen weder gelesen noch modifiziert werden ➲ Digitale Signatur: Programme und Treiber müssen signiert sein. ➲ Sichere Speicherung: Man kann Daten sicher (d.h. Verschlüsselt) im Speicher ablegen ➲ Sichere Ein/Ausgabe: Alle Ein- und Ausgabegeräte sind Teil der Sicherheitsarchitektur

➲ Bei Windows gibt es einen Nexus (Zwischenschicht), die den einzelnen vertrauenswürdigen Applikationen (NCA) gesicherten Zugriff gibt. Nur über den Nexus können Daten ausgetauscht werden, auch mit dem “unsicheren” Teil des Systems.

La Grande / TrustZone ➲ Teile der TGC-Spezifikation sollen direkt in die CPU eingebaut werden. ➲ Der Benutzer kann (wie bei TPM und NSGCB auch) entscheiden, ob diese Funktionen aktiviert werden oder nicht.

Was sagt die Politik? ➲ Auf EU-Ebene wurde und wird das Urheberrecht geändert ➲ In den USA gibt es den DCMA (Digital Copyright Millenium Act); Das Umgehen von Kopierschützen (egal wie wirksam sie sind) wird unter Strafe gestellt ➲ Open Source gilt als gut, hilft aber in diesem Fall nicht da alle Applikationen signiert werden müssen.

Pro / Contra ➲ Die Definition von „Vertrauen“ und „sicher“ wird bei diesen Maßnahmen anders ausgelegt als dies beim Allgemeinbenutzer üblich ist: ● Vertrauen baut man auf einer persönlichen Ebene zu einer anderen Person auf. Trusted Computing sagt aber, dass die Softwarehersteller oder die Rechteverwerter den Geräten trauen (können?) die wir gekauft haben, nicht anders herum ● Sicher bedeutet nicht, dass das Programm sicher ist. Sondern dass es in einer (irgendwie) gesicherten Umgebung läuft. Der Softwarehersteller definiert einfach dass das Programm sicher ist. Das hat aber nichts mit Qualitätskontrolle oder Tests zu tun.

➲ Aus der Sicht der Industrie und der Wirtschaft ist eine Kontrolle über Software und Daten sinnvoll; ein Kopierschutz ist dort gewollt ➲ Gab es bei kommerziellen Unix-Systemen auch früher: HostID und daran gebundene Lizenzen. Pro / Contra

Pro / Contra ➲ Contra: Die Kontrolle über den Computer hat nicht mehr der Anwender sondern jemand / eine Firma “draußen” im Netz. ➲ Man muss online sein damit Lizenzen ausgetauscht werden können ➲ Dokumente und Software können auch im Nachhinein invalidiert werden

Implementationsbeispiele ➲ Half-Life 2 braucht eine Aktivierung per Internet, damit war eine zwangsweise Registrierung verbunden. ➲ CDs mit Kopierschutz ➲ Microsoft hat diese Registrierung auch bei Win XP eingeführt ➲ iPOD und das dazugehörige DRM

Implementationsbeispiele ➲ Broadcoms Ethernet-Interface haben inzwischen ein eingebautes TPM ➲ Einige Thinkpads von IBM haben einen Fritz-Chip eingebaut. ➲ Xbox von Microsoft und Playstation 2 von Sony hatten bereits DRM-Techniken eingebaut; im Falle der Xbox wurden Käufer einer Xbox, die später modifiziert wurden, von Xbox-Live ausgeschlossen.

Windows-Umsetzung TCB ➲ Wenn Dateien in Windows Vista mit Schlüsseln abgelegt werden, sind diese Dateien auf dem Filesystem verschlüsselt. Das heißt, andere Programme, die nicht den richtigen Schlüssel besitzen, können diese Dateien nicht öffnen.

Weitere Beispiele ➲ Neues Windows hat die Vorgaben der Filmindustrie 1:1 umgesetzt: Hochauflösende Filme nicht bei Nicht-TPM- Geschützten Umgebungen. ➲ HDTV: Nur noch mit speziellen Schnittstellen (HDMI), die Bildschirme, aber keine Aufzeichnungsgeräte zulassen. Alternativ die Digitalausgänge abschalten. ➲ MacOS: MacOS auf Intel-basierten Computern ist nur auf Computern lauffähig, die von Apple verkauft werden.

Hardware-Implementationen ➲ Sony und seine DAT-Recorder ➲ Sonys neue Multi-Codec-Walkmen: Spielen Audio-CDs und MP3s ab, aber auch Dateien im DRM-Format ATRAC3plus ➲ Philips nutzt ein DRM-System CGMS (Copy Generation Management System) in seinen VHS+DVD-RW- Recordersystemen. Dabei wird bei VHS-auf-DVD-Kopien ein “no-copy”-Bit auf die DVD gebrannt

Direkte Auswirkungen von DRM ➲ Geräte werden weniger kundenfreundlich ➲ Datensammlung bei der Industrie ➲ Wenn Industrie sperrt ist Hardware wertlos ➲ Urheberrecht in Deutschland wird potentiell ausgehebelt ➲ Kopiersperren sind teilweise gesetzeswidrig ➲ Auch Forschung und Lehre und entsprechende Bibliotheken haben in Zukunft Schwierigkeiten mit Mediensammlungen

Weitere Auswirkungen ➲ Hersteller von Software können bestimmen, dass durch die Software entstandene Dokumente nur mit dieser Software auch auf anderen Computern angeschaut werden kann. ➲ Wenn die Software nicht mehr lizensiert wird werden alle Dokumente die damit erstellt wurden zerstört oder zumindest nicht mehr lesbar gemacht. ➲ Mails können nicht mehr weitergeleitet werden.

Weiterführende Webseiten ➲ ➲ ➲ ➲ Telepolis über neue Geräte (Nicht konsumwürdig): ➲ Telepolis: Analog, Digital - sch...egal, Hauptsache TV-Gucken wird illegal! mlhttp:// ml

➲ Heise über Entfernung DVD-Kopierschutz: ➲ Fuji Raw-Datenformat geknackt: ➲ Wie Microsoft die Trusted Computing Plattform nutzen will: csep590/06wi/lectures/slides/Manferdelli_ pdf csep590/06wi/lectures/slides/Manferdelli_ pdf ➲ Heise-Artikel zum Thema sicherer PC: ➲ Der CCC zum Thema DRM:

Heise-Artikel: WinHEC: HD-Inhalte nur mit straffen DRM-Fesseln ➲ [..] In der Fragerunde am Ende des Vortrags stellte sich Seth David Schoen von der Electronic Frontier Foundation (EFF) ans Mikrofon und wunderte sich über den herrschenden Fatalismus und wollte wissen: Warum haben sich Microsoft und die großen PC- Hersteller mit derart haarigen Bedingungen abgefunden? Als Antwort konnte Paul Levinthal die Anwesenden nur beschwören: Es sei wichtig, dass die PC-Plattform nicht von HD-Inhalten ausgeschlossen werde. "I don't know what else to say." Wesentlich deutlicher fiel die Botschaft der Entwicklergemeinde aus: Auf Seth Schoens Frage folgte spontaner Applaus. (ghi/c't)

Wie Attacken sonst funktonieren können...

Gibt es noch Fragen? - einfach stellen! - Mail an - Vortragsfolien gibt es unter