Norbert Pohlmann Helmut Reimer (Hrsg.)
!n h a Itsverzei
Trusted Computing
c h n is
Einleitung Trusted Computing- eine E i n f 0 h r u n g Norbert Pohlmann 9Helmut Reimer
Grundlagen
13
Die Trusted Computing Group
15
Thomas Rosteck
Trusted Computing Grundlagen
21
Hans Brandl
TPM Virtualization" Building a General Framework
43
Vincent Scarlata. Carlos Rozas 9Monty Wiseman. David Grawrock. Claire Vishik
Trusted Computing und die U m s e t z u n g in h e u t i g e n B e t r i e b s s y s t e m e n
57
Sebastian Rohr
Sicherheitsbausteine
fiir Anwendungen
M e h r V e r t r a u e n s w ~ i r d i g k e i t fLir A n w e n d u n g e n d u r c h eine S i c h e r h e i t s p l a t t f o r m
71
73
Markus Linnemann 9Niklas Heibel 9Norbert Pohlmann Die S i c h e r h e i t s p l a t t f o r m
Turaya
86
Ammar Alkassar. Christian St0ble
Trusted Network Connect- Vertrauensw0rdige Netzwerkverbindungen
97
Marian Jungbauer. Norbert Pohlmann
Interaktionen TPM und Smart Card Florian Gawlas 9Gisela Meister. Axel Heider 9Sebastian Wallner
110
VIII
Inhaltsverzeichnis
Aus dem Bereich IT erfolgreich gestalten Anwendungsszenarien Enterprise S e c u r i t y - I n f o r m a t i o n s s c h u t z im Unternehmen
123 125
Michael Hartmann. Gunter Bitz Unternehmensweites TPM Key Management Mehr IT-Sicherheit durch Pen-Tests Bernhard Weiss von Enno Rey, Michael Thumann und Dominick Baier
140
IT-Sicherheit kompakt verständlich Trusted C o m p u t i n g imund Hochsicherheitsbereich vonPeter Bernhard C. Witt Kraaibeek 9Hans Marcus Kr0ger 9Kai Martius
156
Praxis des IT-Rechts vonTrusted Horst Speichert C o m p u t i n g for automobile IT-Systeme
170
Andrey Bogdanov 9Thomas Eisenbarth 9Christof Paar. Marko Wolf
Der IT Security Manager von Heinrich Kersten und Gerhard Klett
Trusted C o m p u t i n g in mobiler A n w e n d u n g : Von Z u g a n g s k o n t r o l l e
IT-Sicherheitsmanagement nach ISO 27001 zu Identit~iten und Grundschutz Andreas U. Schmidt 9Nicolai Kuntze von Heinrich Kersten, Jürgen Reuter und Klaus-Werner Schröder
Datenschutz- und r e c h t l i c h e A s p e k t e IT-Sicherheit – Make or Buy vonAMarco Müller und Köhler u s w i r kKleiner, u n g e n Lucas von Trusted C o Mario mputin g auf die Privatsph~ire
187
207 209
Markus Hansen 9Marit Hansen
IT-Sicherheit mit System von Klaus-Rainer Müller
Rechtliche Chancen und Risiken des ,,Trusted C o m p u t i n g " Andreas Neumann Trusted Computing von Norbert Pohlmann und Biographien der A u t o r e n Helmut Reimer (Hrsg.)
221
237
Glossar
243
Stichwortverzeichnis
249
www.vieweg.de
Norbert Pohlmann Helmut Reimer (Hrsg.)
Trusted Computing Einleitung Ein Weg zu neuen IT-Sicherheitsarchitekturen Mit 49 Abbildungen
Trusted C o m p u t i n g - eine Ein fLi hrung
Bibliografische Information Der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
N o r b e r t P o h l m a n n ~. H e l m u t R e i m e r ~llnstitut far Internet Sicherheit, FH Gelsenkirchen
[email protected] 2TeleTrusT Deutschland e. V. Chamissostrage 11,keiner 99096Verpflichtung Erfurt Das in diesem Werk enthaltene Programm-Material ist mit oder Garantie
[email protected] einer Art verbunden. Der Autor übernimmt infolgedessen keine Verantwortung und wird keine daraus
folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programm-Materials oder Teilen davon entsteht.
Zusammenfassung
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Angesichts der Tatsache, dass sich die Vertrauensw~rdigkeit des Internets trotz grof3erAnstrengungen der SicherSinne von Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher heitsexperten tendenziell nicht verbessert, verdient ein neues Konzept- wie Trusted Computing- besondere Aufvon jedermannZum benutzt werden merksamkeit. ersten MaI indürfen. der Geschichte der Informationstechnologie haben sich die grogen IT-Systemanbieter im Rahmen der Trusted Computing Group (TCG) entschlossen, gemeinsam Verantwortung f~r wirksame
Höchste und technische Qualität unserer Produkte unser Ziel. Bei der und Abhilfe inhaltliche zu t~bernehmen. Die Implementierung der Ergebnisse derist TCG ist im Gange und Produktion erste Anwendungen sind Auslieferung Bücher wollen wir diewollen Umwelt Dieses Buch ist auf säurefreiem und zeigen, nutzbar. Die unserer Herausgeber dieser Publikation mitschonen: den in diesem Buch zusammengestellten Beitr~igen dass dasgebleichtem Trusted Computing eineDie neue )i,ra ffir die Gestaltung er6ffnet. In chlorfrei PapierKonzept gedruckt. Einschweißfolie bestehtvertrauenswfirdiger aus Polyäthylen IT-LOsungen und damit aus diesem Einfahrungsbeitrag erl~iutert, sich das innovative Potential dieser Technologie grtlndet. Er soll organischen Grundstoffen, wird die weder beiworauf der Herstellung noch bei der Verbrennung Schadstoffe dazu anregen, die Vorteile der bereits standardisierten Hardwaremodule und offenen Schnittstellen auszusch6pfen freisetzen. sowie die neuen Ansfitze in Anwendungsentwicklungen und Infrastrukturservices zu implementieren.
Der TeleTrusT-Verein wird sich im Bereich Trusted Computing engagieren und m6chte helfen, die bestehenden Ans~itze des Zusammenwirkens der Sicherheitsplattform mit den notwendigen Sicherheitsinfrastrukturen und den nt~tzlichen Sicherheitstoken der Nutzer pragmatisch weiter zu entwickeln [TTT07]. Er sieht sich auch in der Rolle des Vermittlers zwischen den Technologieanbietern und-anwendern, um so die Erschlief3ung des Potentials dieser Sicherheitstechnologie Nr eine vertrauensw~rdige IT-Zukunft zu f6rderno 1.innovativen Auflage 2008
Alle Rechte vorbehalten Grunds IT-Sicherheitsl6sungen ©1Friedr. Vieweg & Sohnitzliches Verlag | GWV zu Fachverlage GmbH, Wiesbaden 2008 Lektorat: Günterund Schulz / Andrea Broßler InformationsKommunikationssicherheit sind Themen, die jede Diskussion fber nfitzliche Anwendungen des Internets begleiten. Stets von ist von Chancen, Risiken und Gefahren Der Vieweg Verlag ist ein Unternehmen Springer Science+Business Media. die Rede. Angesichts der fiber eine Milliarde PCs, die 2008 weltweit im Netz sein werden, und noch weit mehr mobiler Endger~ite www.vieweg.de ist sachlich festzustellen: Die Chancen werden genutzt. Einzig und allein dadurch sind die Voraussetzungen ffr das Erkennen bestehender Risiken undseiner Angriffspotentiale sowie die heute m6gliche Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Bewertung der Wirkung von Gegenmal3nahmen Verwertung außerhalbgegeben. der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere Die Nutzer des Internets auf der einen SeiteÜbersetzungen, verhalten sich gegenfber den bestehenden sehr für Vervielfältigungen, Mikroverfilmungen und dieRisiken Eindifferenziert. Im Allgemeinen wird das Ziel, einen deutlich erkennbaren Vorteil zu erreichen, zurzeit mit speicherung und Verarbeitung in elektronischen Systemen. einem nutzerseitigen Vertrauensbonus, nach dem Motto: ,,Es wird schon nichts passieren", verbunden. Die Sensibilit~it ffirUlrike Sicherheitslfcken oder fitr Angriffe entsteht eher durch negative Erfahrungen als Umschlaggestaltung: Weigel, www.CorporateDesignGroup.de durch Wissen oderIlmenau Pr~ivention. Satz: Oliver Reimer, Druck und buchbinderische Verarbeitung: MercedesDruck, Berlin Auf der auf anderen Seite betonen die IT-Sicherheitsexperten Gedruckt säurefreiem und chlorfrei gebleichtem Papier. das weit gef'~icherte Spektrum der potentiellen Bedrohungen. Aus dieser Bedrohungssicht ist eine grof3e Vielfalt von hochwertigen IT-SicherheitslOPrinted in Germany N. Pohlmann, H. Reimer, (Herausgeber): Trusted Computing, Vieweg (2007), 3-12 ISBN 978-3-8348-0309-2
Vorwort
Die Informationstechnik (IT) hat in den letzten zwei Jahrzehnten alle wichtigen Lebensbereiche durchdrungen. In Privatleben, Wirtschaft, Verwaltung und selbst bei kritischen Infrastrukturen ist die funktionierende und sichere IT der Grundpfeiler moderner GescMftsprozesse und Kommunikationsverbindungen. Sichere Verfahren des EGovernment und des E-Commerce sind ebenso nur mit Hilfe sicherer IT realisierbar. Damit wird die Informationstechnik zunehmend selbst zu einer kritischen Infrastruktur, deren Ausfall oder missbr~iuchliche Nutzung ernste Folgen far die gesamte Gesellschaft begrtinden kann. Dies geht einher mit einer qualitativ und quantitativ steigenden Zahl von IT-Sicherheitsvorf'~illen, wie der Bericht zur Lage der IT-Sicherheit in Deutschland 2007 des Bundesamtes far Sicherheit in der Informationstechnik zeigt. Der Trend zur Kommerzialisierung und Professionalisierung der Internetkriminalit~it scheint bei einem zum Teil nur geringen Schutzniveau vieler IT-Systeme ungebrochen.
Dr. Markus DOrig, Bundesministerium des Innern
Konventionelle Ansfitze zur Verbesserung der IT-Sicherheit versuchen oft, potenziell unsichere Systemkerne mit einer Vielzahl von Schutzschichten nach augen hin sicherer zu macheno Die Trusted Computing-Technologie etabliert die Sicherheitsfi.mktionalit~it dagegen direkt in den Systemkern. Das Bundesministerium des Innern h~ilt diesen Ansatz f'th"vielversprechend und begNgt grunds~itzlich jede Magnahme, die dem Ziel eines besseren Schutzes der Informationstechnik dient. Allerdings mfissen die Mal3nahmen derart gestaltet sein, dass alle Bestandteile gesetzeskonform sind. Insbesondere die Aspekte des Datenschutzes mfissen berficksichtigt werden. Denn es k6nnen nur Mal3nahmen unterstfitzt werden, die dazu geeignet sind, das Vertrauen der Nutzer in die Informationstechnik zu erh6hen. Voraussetzungen sind eine transparente Informationspolitik in Bezug auf die Schutzkonzepte und Schutzmaf3nahmen, sowie die Einbeziehung aller Interessengruppen bei der Planung, Entwicklung und Vermarktung von Schutzmechanismen. Schutzmagnahmen im IT-Bereich dfirfen keinesfalls dazu missbraucht werden, Marktzugangsschranken zu schaffen. Der Grundidee ,,vertrauenswfirdiger Informationstechnik" folgend, sieht das Bundesministerium des Innern mit grogem Interesse auf die Standardisierungen innerhalb der Trusted Computing Group (TCG), insbesondere der Spezifikationen zum Trusted Platform Module (TPM). Bereits im Jahre 2004 suchte die Bundesregierung das Gesprfich mit der TCG, indem in Form eines Anforderungskataloges zu den
VI damaligen Entwicklungen Stellung genommen wurde. Die seinerzeitigen Forderungen gelten in ihrem Grundsatz bis heute fort und lassen sich wie folgt zusammenfassen: 9 Offenheit, Transparenz und freie VerfiJgbarkeit der Standards ~ Entscheidungsfreiheit f'tir einen Einsatz TPM-basierter Systeme 9 Nachvollziehbare und transparente Zertifizierung 9 Gew~ihrleismng der Interoperabilit~it mit alternativen L6sungen 9 Volle Kontrolle tiber Inbetriebnahme, Konfiguration, Anwendung und Stilllegung von TC-L6sungen 9 Einhaltung der Bestimmungen des Datenschutzes. Werden Trusted Computing-L6sungen, diesenAnforderungen gerecht, so k6nnen Sie einen wesentlichen Beitrag zur Erh6hung der IT-Grundsicherheit eines jeden Nutzers darstellen. Dabei ist es unwesentlich, ob sie auf den Spezifikationen der TCG basieren oder altemativen Ans~itzen folgen~ Gleichzeitig ergeben sich neue Chancen und M6glichkeiten, die Sicherheitsmechanismen auch anderen IT-Anwendungen zur Verffigung zu stellen und ein h6heres Vertrauen in E-Government und E-Commerce zu begrtinden.
!n h a Itsverzei
c h n is
Einleitung Trusted Computing- eine E i n f 0 h r u n g Norbert Pohlmann 9Helmut Reimer
Grundlagen
13
Die Trusted Computing Group
15
Thomas Rosteck
Trusted Computing Grundlagen
21
Hans Brandl
TPM Virtualization" Building a General Framework
43
Vincent Scarlata. Carlos Rozas 9Monty Wiseman. David Grawrock. Claire Vishik
Trusted Computing und die U m s e t z u n g in h e u t i g e n B e t r i e b s s y s t e m e n
57
Sebastian Rohr
Sicherheitsbausteine
fiir Anwendungen
M e h r V e r t r a u e n s w ~ i r d i g k e i t fLir A n w e n d u n g e n d u r c h eine S i c h e r h e i t s p l a t t f o r m
71
73
Markus Linnemann 9Niklas Heibel 9Norbert Pohlmann Die S i c h e r h e i t s p l a t t f o r m
Turaya
86
Ammar Alkassar. Christian St0ble
Trusted Network Connect- Vertrauensw0rdige Netzwerkverbindungen
97
Marian Jungbauer. Norbert Pohlmann
Interaktionen TPM und Smart Card Florian Gawlas 9Gisela Meister. Axel Heider 9Sebastian Wallner
110
VIII
Inhaltsverzeichnis
Anwendungsszenarien
123
Enterprise S e c u r i t y - I n f o r m a t i o n s s c h u t z im Unternehmen
125
Michael Hartmann. Gunter Bitz Unternehmensweites
TPM Key Management
140
Bernhard Weiss Trusted C o m p u t i n g im Hochsicherheitsbereich
156
Peter Kraaibeek 9Hans Marcus Kr0ger 9Kai Martius Trusted C o m p u t i n g for automobile
IT-Systeme
170
Andrey Bogdanov 9Thomas Eisenbarth 9Christof Paar. Marko Wolf Trusted C o m p u t i n g in mobiler A n w e n d u n g : Von Z u g a n g s k o n t r o l l e zu Identit~iten
187
Andreas U. Schmidt 9Nicolai Kuntze
Datenschutz- und r e c h t l i c h e A s p e k t e A u s w i r k u n g e n von Trusted C o m p u t i n g auf die Privatsph~ire
207 209
Markus Hansen 9Marit Hansen Rechtliche Chancen und Risiken des ,,Trusted C o m p u t i n g "
221
Andreas Neumann
Biographien der A u t o r e n
237
Glossar
243
Stichwortverzeichnis
249
Einleitung
Trusted C o m p u t i n g - eine Ein fLi hrung N o r b e r t P o h l m a n n ~. H e l m u t R e i m e r ~llnstitut far Internet Sicherheit, FH Gelsenkirchen
[email protected] 2TeleTrusT Deutschland e. V. Chamissostrage 11, 99096 Erfurt
[email protected] Zusammenfassung Angesichts der Tatsache, dass sich die Vertrauensw~rdigkeit des Internets trotz grof3erAnstrengungen der Sicherheitsexperten tendenziell nicht verbessert, verdient ein neues Konzept- wie Trusted Computing- besondere Aufmerksamkeit. Zum ersten MaI in der Geschichte der Informationstechnologie haben sich die grogen IT-Systemanbieter im Rahmen der Trusted Computing Group (TCG) entschlossen, gemeinsam Verantwortung f~r wirksame Abhilfe zu t~bernehmen. Die Implementierung der Ergebnisse der TCG ist im Gange und erste Anwendungen sind nutzbar. Die Herausgeber dieser Publikation wollen mit den in diesem Buch zusammengestellten Beitr~igen zeigen, dass das Trusted Computing Konzept eine neue )i,ra ffir die Gestaltung vertrauenswfirdiger IT-LOsungen er6ffnet. In diesem Einfahrungsbeitrag wird erl~iutert, worauf sich das innovative Potential dieser Technologie grtlndet. Er soll dazu anregen, die Vorteile der bereits standardisierten Hardwaremodule und offenen Schnittstellen auszusch6pfen sowie die neuen Ansfitze in Anwendungsentwicklungen und Infrastrukturservices zu implementieren. Der TeleTrusT-Verein wird sich im Bereich Trusted Computing engagieren und m6chte helfen, die bestehenden Ans~itze des Zusammenwirkens der Sicherheitsplattform mit den notwendigen Sicherheitsinfrastrukturen und den nt~tzlichen Sicherheitstoken der Nutzer pragmatisch weiter zu entwickeln [TTT07]. Er sieht sich auch in der Rolle des Vermittlers zwischen den Technologieanbietern und-anwendern, um so die Erschlief3ung des Potentials dieser innovativen Sicherheitstechnologie Nr eine vertrauensw~rdige IT-Zukunft zu f6rderno
1 Grunds
itzliches zu IT-Sicherheitsl6sungen
Informations- und Kommunikationssicherheit sind Themen, die jede Diskussion fber nfitzliche Anwendungen des Internets begleiten. Stets ist von Chancen, Risiken und Gefahren die Rede. Angesichts der fiber eine Milliarde PCs, die 2008 weltweit im Netz sein werden, und noch weit mehr mobiler Endger~ite ist sachlich festzustellen: Die Chancen werden genutzt. Einzig und allein dadurch sind die Voraussetzungen ffr das Erkennen bestehender Risiken und Angriffspotentiale sowie die heute m6gliche Bewertung der Wirkung von Gegenmal3nahmen gegeben. Die Nutzer des Internets auf der einen Seite verhalten sich gegenfber den bestehenden Risiken sehr differenziert. Im Allgemeinen wird das Ziel, einen deutlich erkennbaren Vorteil zu erreichen, zurzeit mit einem nutzerseitigen Vertrauensbonus, nach dem Motto: ,,Es wird schon nichts passieren", verbunden. Die Sensibilit~it ffir Sicherheitslfcken oder fitr Angriffe entsteht eher durch negative Erfahrungen als durch Wissen oder Pr~ivention. Auf der anderen Seite betonen die IT-Sicherheitsexperten das weit gef'~icherte Spektrum der potentiellen Bedrohungen. Aus dieser Bedrohungssicht ist eine grof3e Vielfalt von hochwertigen IT-SicherheitslON. Pohlmann, H. Reimer, (Herausgeber): Trusted Computing, Vieweg (2007), 3-12
4
Trusted Computing- eine Einfahrung
sungen entstanden, deren Komplexit~it oft fiber das Fassungsverm6gen des durchschnittlichen Nutzers hinausgeht und die deshalb eher in geschlossenen Nutzergruppen (wie in Untemehmen oder besonders sensiblen Anwendungsbereichen, z.B. im Gesundheitswesen) mit entsprechenden Infrastrukmrinvestitionen Anwendung finden. Es ist im Interesse einer kontinuierlichen Verbesserung der Sicherheitslage im gesamten Intemet dringend erforderlich, Wege zu finden, mit denen die bestehende Diskrepanz zwischen dem blinden Vertrauen vieler Nutzer und den realen Schgden abgebaut werden kann. Die Entwicklung des Intemets und die Verbreitung von kompatiblen und interoperablen Endgergten ist durch entsprechende Industriestandards entscheidend mitbestimmt worden. Nur deren pragmatische Implementierung in Hard- und Software fahrte zu der heute erreichten weltweiten Interoperabilit~it von Intemetdiensten und-anwendungen. Gleichzeitig ist auf diesem Wege auch die Grundlage far den riesigen Markt mit relativ kostengt~nstigen Angeboten far die technische Basis entstanden. fi~hnliches gilt auch far wichtige Internet Sicherheitsstandards und -protokolle, wie SSL (TLS), S/ MIME, IPSec usw., die praktisch in alle verfagbaren Betriebssysteme und viele Anwendunge implementiert sind. Auch Kryptoverfahren stehen mit quasistandardisierten Parametem allgemein zur Verfagung. Obwohl diese Werkzeuge fiber ein hohes Potential im Hinblick auf die Verbesserung der Informations- und Kommunikationssicherheit verfagen, ist ihre Anwendungsbreite weit hinter den Erwartungen zurfickgeblieben. Drei wesentliche Grfinde k/Snnen- neben der oben genannten Risikobereitschaft- fitr die Anwendungszm'fickhalmng genannt werden: 9 Das Handling von Anwendungen mit Sicherheitsfunktionen wird komplizierter, oft sinkt die Performance. Eine unmittelbare Wirkung von Sicherheitsmagnahmen ist far den Nutzer hfiufig nicht erkennbar. 9 Ffir den Anwender ist es - in Anbetracht der Komplexitgt der fiblichen Intemetanwendungen und der far ihn ungberschaubaren Angriffsziele- nicht m6glich zu beurteilen, welches Gewicht eine von ihm implementierte Sicherheitsmal3nahme auf die Sicherheitsqualit~it der Anwendung besitzt. 9 Kryptographieanwendungen erfordern Infrastrukmren und-dienste. Der Nutzer sieht sich hierbei vor neue Herausforderungen gestellt: Neben der Qualit~it der Services und den mit ihrer Inanspruchnahme verbundenen Kosten, ist h~iufig ungekl~irt, wie die Vertrauenskette zum Diensteanbieter gerechtfertigt werden kann. Aus Sicht der Sicherheitsexperten gibt es darfiber hinaus zwei entscheidende und permanente Risikofaktoren: 9 Die Einbettung der Sicherheitsfunktionalit~ten als Software in eine offene System- und Netzumgebung und 9 das Nutzerverhalteno Allgemeine Bedrohungsanalysen far IT-Systeme und -Anwendungen haben bereits Anfang der 1990er Jahre zu der Erkenntnis gefahrt, dass in Software implementierte kryptographische IT-Sicherheitsl6sungen durch Hardwaremodule wirkungsvoll erg~inzt und gegen Angriffe besser geschtitzt werden k6nneno Ft~r geschlossene Benutzergruppen sind dies komplexe Hardware Security Module (HSM); ein klassisches Beispiel ist der im Bankenbereich verbreitete Kryptoprozessor IBM 4758. Ft~r den Einzelnutzer wurde das Konzept der Kryptoprozessor SmartCard entwickelt. Inzwischen ist dieser Ansatz - durch ein umfangreiches ISO-Normenwerk begleitet- Grundlage far SmartCard basierte Token als ein entscheidendes Sicherheitsinstrument in der Hand des Nutzers. Allerdings steigen die
Trusted Computing- eine E i n t ' t ~ n g
5
Infrastrukturanforderungen und-aufwendungen, bedingt durch die erforderliche Personalisierung und Verwaltung des Lebenszyklus von SmartCards, erheblich an. Zudem hat sich herausgestellt, dass der Sicherheitsanker ,,personalisiertes Token" im Hinblick auf Anwendungsumgebungen zu schwach ist. Alle Angriffe auf die t~brigen IT-Systemkomponenten bleiben wirksam. Deshalb werden zusammen mit der SmartCard zahlreiche zus~itzliche Sicherheitskomponenten (sichere Kartenterminals, sichere I/O-Kan~ile, sicherer Viewer, virenfreie Anwendungsumgebung usw.) empfohlen, die kostentr~ichtig sind und die Anwendungsflexibilit~it reduzieren. Bisher ist die Verbreitung dieser LOsung mit niedriger Performance, komplexem Handling und nur wenigen Akzeptanzstellen gering. Ihre konsequente Umsetzung als Grundlage fiir sichere IT-Anwendungen erfolgt zungchst nur propriet~ir und Ftir geschlossene Anwendergruppen. Das Risiko des Nutzerverhaltens zeigt sich insbesondere dadurch, dass die Nutzer auf Links in E-Mails von unbekannten Absendem und mysteri6sen Webseiten klicken, und sich so Schadsoftware auf ihren Rechnersystemen laden. Dabei nutzen sie oft keine Virenscanner und Personal Firewalls und sind aus diesem Grund far Angreifer leichte Opfer. Zudem tragen sie zur Verbreitung von Schad- und Angriffsprogrammen bei. Als ein Fazit ergibt sich: V611ige Sicherheit ist als Vertrauensgrundlage nicht erreichbar! Die Verantwortung aller Partner in der Netzwelt (Anwender, Anbieter von L6sungen oder GescMftsprozessen, Dienstleister, Infrastrukturbetreiber usw.) f'~ einen vertrauenswtirdigen Systemzustand kann von Technologie zwar unterstf~tzt, aber durch sie nicht abgel6st werden.
2 Die Alternative zu heutigen Sicherheitsl6sungen Vor dem Hintergrund der bisher zusammengefassten Erfahrungen wird deutlich, dass die bisher verfolgten Konzepte zur IT-Sicherheit erg~tnzungsbedfirftig sin& Erfolgversprechende Bemfihungen in diese Richtung sollten vor allem folgende Ziele verfolgen: 9 Reduzierung der Kosten ftir Sicherheits-Hardwaremodule und ffir Infrastrukturdienste; 9 Integration standardisierter Sicherheits-Hardwaremodule in Ger~ite und Systemkomponenten zur Verwaltung von Ger~iteidentit~iten sowie zur Prfifung der Vertrauenswfirdigkeit und Integritfit ihrer Konfiguration; ~ Vereinfachung des Handlings der Sicherheitsl6sungen und Verbesserung ihrer Performance; ~ Durchsetzung einer betriebssystemunabh~ingigen Standardisierung der Sicherheitsfunktionen und ihrer Anwendbarkeit; ~ Standardisierung von Schnittstellen f-fir sichere Anwendungen, weitere Kryptoger~ite (SmartCards, USB-Token, intelligente Speicherkarten usw.), Infrastrukturen und Management. Letztendlich k6nnen nur auf diesem Wege hochwertige Sicherheitsfunktionen in die allgemein verfagbaren Anwendungen und Systemarchitekmren eingebracht werden.
2.1 Das Trusted Computing Konzept Das Trusted Computing Konzept greift diese Ziele auf, indem zun~ichst konsequent ein SicherheitsHardwaremodul (Trusted Platform Module - TPM) definiert und spezifiziert worden ist, das in prozessorgestfitzte Gergteplattformen fest integriert werden kann. Seine standardisierten Grundfunktionen und Schnittstellen unterstfitzen die lokale Anwendung von Kryptoverfahren auf einem Sicherheitsniveau,
6
Trusted Computing- eine Einfahrung
wie es auch von SmartCards geboten wird. Darfiber hinaus er6ffnet das Konzept zahlreiche weitere Ans~tze far innovative L6sungen, mit denen die Vertrauenswttrdigkeit und die Sicherheit von IT-Systemen erh6ht werden k6nnen. Die Darstellung dieser M6glichkeiten ist ein Grundanliegen dieser Publikation. Da die IT-Systeme tendenziell komplexer und heterogener werden, entscheidet die Bewertbarkeit des Sicherheitszustandes von Systemkomponenten (PCs, aber auch andere computergestt~tzte Ger~ite im Netz wie Mobiltelefone, Speicherger~tte, Drucker usw.) zunehmend tiber die Vertrauenswfirdigkeit von Anwendungen. Diese Anforderung stand bei der Formulierung des Trusted Computing Konzeptes Pate. Das Trusted Platform Module (TPM) kann mittels kryptographischer Verfahren die Integrit~it der Soft- und Hardware-Konfiguration eines Ger~ites messen und deren Hashwerte (Prafwerte) sicher im TPM speichern. Diese Messwerte k6nnen remote t~berprfift werden und machen Anderungen der Soft- oder Hardware-Konfiguration erkennbar. Trusted Computing ben6tigt dazu als Voraussetzung und Infrastrukturkomponente eine Sicherheitsplattform (eigenst~indiges, sicheres kleines Betriebssystem), welche diese Integrit~its(iberprfifungen anst6f3t und auch auswertet. W~ihrend die beteiligten Hardwaremodule und die entsprechenden Software-Schnittstellen standardisiert sind, wird die ben6tigte Sicherheitsplattform propriet~ir sowohl vonder Software-Industrie als auch von Open Source Teams entwickelt. Bedeutsam ist, dass mit dem Trusted Computing Konzept die entscheidenden Marktplayer Verantworrang far die Gestaltung und Umsetzung der genannten Ziele fibernommen haben. So besteht die reale Chance, entsprechende L6sungen von unterschiedlichen Anbietem wettbewerbsneutral u n d - was die Hardwareerg~tnzung betrifft- zu geringstm6glichen Zusatzkosten bereit zu stellen. Der Erfolg wird wesentlich durch die Nutzerakzeptanz bestimmt werdeno Hier spielt die Transparenz der angebotenen Sicherheitsfunktionen eine entscheidende Rolle. Sie sollte far die Vertrauensbildung als ebenso bedeutend angesehen werden wie die Befolgung der Kerkhoff-Prinzipien 1 far die verwendete Kryptographie.
2.2 TPM Verbreitung Spezifikationskonforme TPM 1.2 Module werden von mehreren fahrenden Chip-Produzenten angeboten und inzwischen in die Motherboards von Servern, Desktops und Laptops verbreiteter Marken integriert. Die renommierte Marktforschungsorganisation IDC hat dazu eine Analyse und Vorschau geliefert (siehe Abbildung 1). Es wird erwartet, dass im Jahr 2010 bereits mehr als 250 Millionen TPM Module ausgeliefert werden.
1 Die Sicherheitdes Kryptosystemsdarfnicht von der Geheimhaltungdes Algorithmusabh~ingen.Sie darfsich nur auf die Geheimhaltungdes Schlfisselsgrfinden.
Trusted C o m p u t i n g - eine Einfahrung
7
ii !
84iii!iiii
....
....,,......
~@! I D C
(in mi![ions of un;~s shipped)
300 250 200 150 100 50 0 ~0
0 0
0 0
0 0
0 0
0 0
0 0
0 0
0 0
0 0
0 0
0 --~
Source: IEC
Abbildung 1" TPM Module Forecast (IDC- Oct. 2005) In 2010 k6nnen dann nahezu 100 Prozent der ausgelieferten Laptops und ca. 90 Prozent der ausgelieferten Desktop Systeme mit einem TPM Modul ausgestattet sein (Abbildung 2). Geht man von einer Erneuerungsrate von 10-20 Prozent pro Jahr far die PC-Ausstatmng im privaten Bereich und in Unternehmen aus, k6nnte in fanf bis zehn Jahren mehr als 80 Prozent der PC-ClientBasis des Intemet mit TPM-Modulen ausgestattet sein. Desktop vs. Notebook [] Desktop [] Notebooks 160 r
c
.2 .=_
140 120
c 100 (1} G}
.c
e,_ BJ
m
80 60
40 20 0 2002
2003
2004
2005
2006
2007
2008
2009
2010
Jahr
Abbildung 2: TPM Module in Desktops vs. Notebooks (Roger L. Kay, Endpoint Technologies Associates)
8
Trusted Computing- eine Einfahrung
Diese Entwicklung ist durchaus vergleichbar mit der Einfahrung der USB-Schnittstelle. Vom Abschluss der ersten Spezifikation bis zur ihrer allgemeinen Verfagbarkeit sind ebenfalls etwa zehn Jahre ben6tigt women.
3 Neue V e r t r a u e n s m o d e l l e etablieren Nun ist es das Ziel von Trusted Computing Computing die Sicherheit von und das Vertrauen in die ITSysteme zu erh6hen. Aber das Thema Vertrauen und Sicherheit ist heute in unserer vernetzten Wissensund Informationsgesellschaft ein komplexes und vielschichtiges Thema. Das Internet ist sehr schnell zu einem ~iugerst grogen und komplexen Kommunikations- und Informationssystem herangewachsen, das fiber alle geographischen, politischen, kulturellen und administrativen Grenzen hinausgeht. Es stellt somit eine ungewohnte Herausforderung far die internationale Gesellschaft dar. Dabei ist jedoch festzustellen, dass in den letzten Jahren die Auswirkungen von Sicherheitsproblemen nicht kleiner, sondern sehr viel gr613er geworden sind und dass das Vertrauen in die angebotenen Dienste zwangsl~iufig durch negative Erfahrungen immer kleiner wird. Diesen Herausforderungen muss mit entsprechenden L6sungen angemessen begegnet werden. Aber was heil3t eigentlich Vertrauen und Sicherheit far eine vernetzte Wissens- und Informationsgesellschaft?
3.1 IT-Sicherheit und deren Bedeutung Die IT-Sicherheit hilft, die Risiken bei der Nutzung von IT-Produkten und IT-Angeboten zu minimieren. Bis heute nutzen die Angreifer jede Systemschwachstelle, um durch den Diebstahl von Identitfitsdaten, das Passwort-Fishing sowie Viren, Wtirmer und Trojanische Pferde u.a. die IT-Anwendungen negativ zu beeinflussen und den Nutzer zu verunsichern. Es ist leider festzustellen, dass auch die von uns allt~iglich genutzten Dienste, wie z. B. E-Mail-Dienste oder Online-Banking, immer wieder Schwachstellen offenbaren, die ihre Anwendbarkeit far kritische Gesch~iftsprozesse aus einer Risikobetrachtung heraus in Frage stellen. Die privaten Benutzer sind mit diesen Sicherheitsproblemen fiberfordert. Sie haben oft keine Chancen und M6glichkeiten damit umzugehen, weil sie nicht genau wissen, wie sie sich verhalten mfissen und wie sie sich angemessen scht~tzen k6nnen. Selbst Experten f~illt das zuweilen schwer. Aus diesem Grund sollen passende IT-Sicherheitmal3nahmen helfen, das Risiko eines Schadens angemessen zu reduzieren. Trusted Computing ist ein Sicherheitskonzept, das helfen wird, dieses Ziel nachhaltig zu erreichen.
3.2 Was ist und wie entsteht Vertrauen? Hundertprozentige Sicherheit kann es nicht geben. Risiken lassen sich durch geeignete Mal3nahmen minimieren, Restrisiken verbleiben jedoch immer. Der konkrete Anwendungskontext bestimmt das Mal3 an Restrisiken, das toleriert werden kann. Wird dieses Mag regelm~igig nicht fiberschritten, stellt sich Vertrauen ein. Mit der stetigen Weiterentwicklung der Angriffsverfahren erh6hen sich die Risiken. Damit das zul~issige Restrisiko nicht fiberschritten wird, ist die kontinuierliche Weiterentwicklung der Schutzmagnahmen eine Notwendigkeit. Vertrauen ist ein individuelles Gefahl und eine Vorbedingung far die Aufnahme von Gesch~iftsbeziehungen. Es erg~inzt bei wenigen sachkundigen Nutzern vorhandenes und bei vielen unkundigen Nutzern fehlendes Wissen um differenzierte Sicherheitsmechanismen. Vertrauen kann bei positiven Anwendungserfahrungen wachsen und bleibt solange erhalten, bis es ersch(ittert wird. Zerst6rtes Vertrauen ist
Trusted Computing- eine Einfiihmng
9
schwer wieder aufzubauen. Gerade deshalb tragen die Anbieter von elektronischen Gesch~iftsprozessen, von Sicherheitsl6sungen und Infrastrukturdiensten eine hohe Verantwortung. In unserer vernetzten Wissens- und Informationsgesellschaft k6nnen verschiedene Aspekte der Bildung und des Erhalts von Vertrauen betrachtet und diskutiert werden: 9 Vertrauen heil3t auch Zutrauen Zutrauen, dass die Anbieter von IT-Produkten und-Leistungen in der Lage sind, Technologie verl~isslich und ausreichend sicher umzusetzen. Angebotene Produkte und Dienste m%sen ordnungsgem~if3 und ggf. hinreichend transparent arbeiten, um Vertrauen nicht zu gef'~ihrden. 9 Zuverl~issigkeit erh~ilt Vertrauen Mit Zuverl~issigkeit ist gemeint, dass IT-Produkte und L6sungen genau die Dinge tun, die gew~nscht s i n d - nicht weniger, aber auch nicht m e h r - und das immer. 9 Haftung stCttzt Vertrauen Wenn sich die Anbieter in der IT-Branche ihrer Verantwortung in dem gleichen Mar3 stellen, wie wir das beispielsweise aus der Automobil-Branche kennen, und Produkthafmng bieten, kann dies Vertrauen stfitzen. 9 Vertrauen impliziert Gewissheit Gewissheit, dass sich jemand kompetent um die Angelegenheiten kftmmert, die ausreichende Sicherheit herstellen. 9 Glaubwfirdigkeit tr~igt Vertrauen Glaubwfirdigkeit der Aussagen, die zur Informationssicherheit gemacht werden, gemessen an den darauf folgenden Aktivit~iten. Die Beachtung dieser Vertrauensaspekte untersttitzt die Herausbildung einer neuen Intemetkultur der Nutzer, mit der sie risikoarm mit dem Internet und den angebotenen Diensten umgehen k6nnen. Erst dann sind sie in der Lage, sein Potential voll auszuschOpfen. Sie mt~ssen mit Regeln und richtigen Verhaltensweisen vertraut gemacht werden, um Risiken und Gefahren erkennen und abschfitzen zu k6nnen. Wichtig sind aul3erdem konkrete Hilfestellungen bei Fragen zu Anwendungen im Internet, wie Online-Banking, Intemet-Telefonie, Kaufen und Bezahlen im Internet, Informationsbeschaffung und deren Bewertung, Chatten, Spiele im Intemet und bezfiglich Raubkopien. Um Problemen vorzubeugen oder ihnen angemessen begegnen zu k6nnen, ist es wichtig zu wissen: Was darf ich und was darf ich nicht? Ein klares, t~bersichtliches und verinnerlichtes Regelwerk kann beim Intemet-Nutzer Vertrauen aufbauen. Zu all den genannten Aspekten des Vertrauens kann das Trusted Computing Konzept wirkungsvolle Beitr~ige liefem. IT Konzepte und L6sungen unterliegen einer schnellen Entwicklung. Es werden also Sicherheitsl6sungen ben6tigt, die flexible und passende Sicherheitsmechanismen beinhalten, welche entsprechend anpassungsf'~ihig sein mt~ssen, damit die Sicherheit als Basis des Vertrauens stabil bleiben kann.
4 Neue IT-Konzepte werden wirksam Zukt~nftig werden die Teilnehmer im ,,Netz" mit intelligenten Endger~iten jederzeit, von fiberall, auf allen Wegen, mit jeder Kapazit~it und in der gewfinschten Dienstqualit~it ihre gesch~iftlichen und ihre pers6nlichen Anliegen mit jeglichem Partner abwickeln.
10
Trusted Computing - eine Ein~hrung
Gesch/iftsmodelle und IT-Strukturen werden sich in Zukunft deutlich rascher ver/indern und stellen den einzelnen Teilnehmer mit seinem Equipment in den Mittelpunkt. Von der zunehmenden Ausstattung der privaten Haushalte und der einzelnen Personen mit immer intelligenteren IT-Systemen gehen inzwischen massive Rt~ckkoppelungen auf die Geschgftsmodelle, das Verh/iltnis zwischen Arbeitgeber und Arbeitnehmer und auch auf die IT-Infrastruktur der Unternehmen aus. Die gr6fJten Umw/ilzungen stogen derzeit das Web 2.0, die Technologien der Consumer Electronic und die virtuellen Communities an (z.B. Xing/openBC). Die Haupttrends sind zum Einen der Wandel von Produkten zu Services und zum Anderen die Ver~inderung des Umgangs mit der IT und deren Diensten. Der Nutzer der Zukunft empf~ingt seine Informationen von verschiedenen multimedialen Quellen und ist in der Lage, Aufgaben parallel zu verarbeiten. Des Weiteren wird der Nutzer der Zukunft in vielen FNlen zuerst Bilder, Ton, Video und dann erst Text bearbeiten. Er interagiert gleichzeitig mit vielen anderen, dabei lemt und agiert er ,,Just-in-Time". Die im Web 2.0 vernetzte Generation organisiert sich selbst, baut Gemeinschaften aufJerhalb der Unternehmen aufund zwingt Unternehmen, ihre IT-Infrastruktur und Produktwelten sowie Servicestrukturen den Wfinschen der Arbeitnehmer anzupassen. Es wird in Zukunft ffir Unternehmen immer schwieriger werden, ihre interne und externe IT-Umgebung zu kontrollieren. Ein heute tibliches Business Netz mit der ,traditionellen' Perimeter-Sicherheit und einer unflexiblen IT-Sicherheitspolicy reicht nicht mehr aus. Die neuen IT-Konzepte bedeuten, dass Informationen weltweit fiber fremde IT-Systeme und Netzstrukturen fibertragen und verarbeitet werden. Dennoch mtissen diese Informationen auf fremden ITSystemen entsprechend ihres Schutzbedarfs behandelt werden. Es werden pragmatische sowie innovative Sicherheitsans~itze und-konzepte ben6tigt, die in verteilten und komplexen Systemen einen notwendigen Sicherheits- und Vertrauenslevel schaffen k6nnen. Hier ist die Trusted Computing Technologie mit ihren M6glichkeiten ein richtungweisender Ansatz.
5 Vision Das Trusted Computing Konzept definiert 25 Jahre nach der Markteinftihrung des PCs sehr pragmatisch eine neue Qualit~it von Sicherheit und Vertrauen durch die Verbindung von allgemein verffigbaren ITSicherheitsmechanismen. Es ftihrt sowohl zu Innovationen bei Rechnerarchitekturen als auch zu neuen Umsetzungsstrategien bei Betriebssystemen oder Software-Sicherheitskomponenten. Das zugrunde liegende, strenge Standardisierungsprinzip, das von den marktentscheidenden Anbietern von Hard- und Software auch umgesetzt wird, erm6glicht nun eine kostengtinstige und investitionssichere Vorbereitung von Anwendungen, die dann von gestiegener Sicherheitsqualit~it profitieren. Die zunehmende Verbreitung von Prozessoren in Ger~iten ffir fast alle Lebensbereiche (Ubiquitous Computing) und ihre gegenseitige Vernetzung stellen dabei Sicherheits-Herausforderungen dar, denen nun auf dem beschrittenen Wege entsprochen werden kann. Sicherheitsplattformen auf der Basis von Trusted Computing bewirken bereits einen Quantensprung in der IT-Sicherheit. Mit einem geringen Mehraufwand an Hardwarekosten und einem intelligenten Ansatz an Sicherheitstechnologien k6nnen ger~itefibergreifend neue Gesch~iftsmodelle umgesetzt werden, die ein notwendiges h6heres Mal3 an VertrauenswiJrdigkeit bieten und damit unsere Zukunft sichern. Insbesondere in Deutschland, einer mittelstandsorientierten Softwarelandschaft mit mehr als 10.000 SoftwareMusern oder software-orientierten Unternehmen und einem Land, in dem die Werte Vertrauen und Sicherheit eine tiberproportionale Rolle spielen, ist die neue Sicherheitstechnologie von hohem Wert.
Trusted Computing - eine Einffihrung
11
Die Trusted Computing Technologie kann die IT-Sicherheit der eigenen Anwendungen verbessern und wird helfen, neue und wichtige Differenzierungsmerkmale far die internationale Wettbewerbsfiihigkeit aufzubauen und positiv zu nutzen. Es muss konsequent darauf geachtet werden, dass die Spezifikationen zum Trusted Computing Konzept far alle often und anwendbar bleiben und dass Anwendungsstandards entwickelt werden, mit denen sich die Unternehmen international sehr gut positionieren k6nnen. Gleichfalls muss die Nutzerakzeptanz ein vorrangiges Ziel bleiben. Bei allgemeiner Verfagbarkeit von Trusted Computing L6sungen, die ein Nutzer verwendet, weil er ihnen vertraut, wird er kfinftig auch dazu bereit sein, eigene Mitverantwortung far die allgemeine Sicherheit zu fibernehmen.
6 Zu den Beitr igen in diesem Buch Ffir das Trusted Computing Konzept sind durch die Trusted Computing Group Grundlagen und Erg~inzungen far wichtige Anwendungsbereiche spezifiziert worden. Die dabei entstandenen Industriestandards fahren zu neuen M6glichkeiten, die Informations- und Kommunikationssicherheit in der vernetzten Wissens- und Informationsgesellschaft zu verbessem. Die Herausgeber des Buches Trusted Computing wollen mit dieser Publikation fiber diese M6glichkeiten aufld/~ren und zu ihrer Anwendung ermutigen. Sie sind davon fiberzeugt, dass Trusted Computing in der Zukunfl eine ganz besondere und wichtige Rolle spielen wird. Die allgemeine Verfagbarkeit von standardisierten Hardwaresicherheitsmodulen ist abzusehen. Damit wird ein Wendepunkt im Bezug auf die Integration von Sicherheitsl6sungen in Sicherheitsarchitekturen, Betriebssystementwicklungen und Anwendungs- und Administrationswerkzeuge markiert. Sicherheitsplattformen auf der Basis von Trusted Computing sind innovativ. Sie verbinden die Erfahrungen bei der Entwicklung und Anwendung von IT-Sicherheitsl6sungen und bieten die derzeit besten Voraussetzungen, um zukfinftig Rechnersysteme sicherer und vertrauenswtirdiger zu machen. Das Spektrum der Sicherheitsqualit/~ten reicht dabei vom Grundschutz far die Anwenderumgebung oder Unternehmensnetze bis zur Unterstfitzung von L6sungen im Hochsicherheitsbereich. Mit dem Trusted Computing Konzept werden far einige Anwendungen auch neue Gesch/fftsmodelle z.B. far ein Digital Rights Management- erschlossen, die hinsichtlich der Akzeptanz durch die potentiellen Nutzer und des erforderlichen Datenschutzes sorgfNtig beobachtet werden mfissen. Im Kapitel ,,Grundlagen" wird das Basiswissen fiber die Trusted Computing Technologie und die dazugeh6rigen Sicherheitsfunktionen vermittelt, und es werden die Ziele und Arbeitsmethoden der Trusted Computing Group erl/~utert. Ausfahrlich werden die grundlegenden Funktionen des Sicherheitsmoduls (TPM) dargestellt. Ebenso behandelt wird die Weiterentwicklung und Anpassung von Betriebssystemen an die standardisierten Schnittstellen und Funktionalit/~ten des TPM, wie die Vision eines virtuellen TPM als ein flexibel in Systemumgebungen integrierbares Sicherheitskonzept. Im Kapitel ,,Sicherheitsbausteine far Anwendungen" werden weitere Sicherheitsbausteine beschrieben, die far die Einbindung der Sicherheitsfunktionen in die Anwendung wichtig sind. Es wird die Idee und Umsetzung einer Sicherheitsplattform sowie deren Sicherheitsnutzen dargestellt. Zus~itzlich werden Anwendungsfelder aufgezeigt, in denen Sicherheitsplattformen auf der Basis von Trusted Computing aus heutiger Sicht eine besondere Rolle spielen. Augerdem wird das Trusted Network ConnectionKonzept (TNC-Konzept) erl~iutert, das den Zugriff von nicht einsch/~tzbaren Rechnersystemen auf vertrauenswfirdige Netze erm6glicht. Das Kapitel endet mit der Beschreibung, wie die SmartCard in das Trusted Computing Konzept sinnvoll eingebunden werden kann.
12
Trusted Computing- eine Ein~hrung
Im Kapitel ,,Anwendungsszenarien" werden unterschiedliche Anwendungsbereiche des Trusted Computing Konzeptes und die jeweiligen Anforderungen an die Sicherheitsl6sungen behandelt. Zuerst werden Umsetzungsideen zum Enterprise Rights Management beschrieben. Anschliegend wird aufgezeigt, welche Aspekte beim Key-Management der Trusted Computing-Funktionalit~it berficksichtigt werden mfissen. Dann wird geschildert, welche weiteren Aspekte von Trusted Computing bei Hochsicherheitsanwendungen zu berticksichtigen sin& Das breite Wirkungsspektrum des Trusted Computing Konzeptes wird anhand erreichbarer neuerer Sicherheitsqualit~iten bei mobilen Anwendungen und embedded Systems im Automotiv-Bereich dargestellto Im Kapitel ,,Datenschutz und rechtliche Aspekte" sind grundsgtzliche Positionen zum Verh~iltnis zwischen datenschutzrechtlichen Maximen und den Ausgestaltungsm6glichkeiten der Trusted Computing L6sungen sowie eine Bewermng der rechtlichen Chancen und Risiken zu finden.
Literatur [TTT07]
Trusted Computing Whitepaper: http://www.teletrust.de/fileadmin/files/publikationen/Whitepaper/ TTT-TC_070330.pdf
Grundlagen
Die Trusted Computing Group Thomas Rosteck Infineon Technologies AG, Am Campeon 1-12, Neubiberg
[email protected] Zusammenfassung Trusted Computing ist nicht nur ein technologischer Begriff. Um die Technologie zu definieren und umsetzbar zu machen, wurde die Trusted Computing Group gegr~ndet. Diese Organisation und die wichtigsten Ziele zu erkl~iren, ist Aufgabe dieses Artikels. Dabei sollen auch die aktuellen Hauptfokusgebiete der TCG erl~iutert werden. Tiefere technische Einblicke in die Standards der TCG kann der Leser dann im folgenden Artikel finden.
1 Trusted Computing 1.1 Was ist Trusted Computing? Die Forderung nach Trusted Computing (Vertrauenswfirdige Datenverarbeitung) ist nicht wirklich neu~ Schon zu Beginn der Datenverarbeitung wurden sensitive und geheime Informationen genutzt, gespeichert und weitergeleitet. Die milit~irische Nutza.mg war einer der wesentlichen Treiber ~ die Weiterentwicklung der Kryptographie, deren Methoden die Basis Dr das heutige Trusted Computing sind~ Und schon immer war der Schutz der Daten und Systeme (oder umgekehrt der Angriff darauf) einer der wichtigen Ziele. Seit dieser Zeit haben sich einige Dinge ge~indert. Die Rechenleistung der Computer, die Verfagbarkeit von Informationen und insbesondere der Zugriff auf Daten und Systeme. W~ihrend fraher ,,Datentransfer" das Liefern von Lochkarten war, kann man heute riesige Datenmengen online verschicken oder anfordem. Natfirlich steigen damit auch die M6glichkeiten, gespeicherte Daten und verbundene Computer anzugreifen. Interessanterweise beinhaltet der Begriff ,,Trusted Computing" den Begriff ,,Vertrauen". Vertrauen in Zusammenhang mit Maschinen scheint zun~ichst einmal ungew6hnlich, da man Vertrauen in der Regel in Personen und ihre Handlungsweisen hat (oder auch nicht). Aber das ist eine passende Analogie, denn bei der Datenverarbeitung geht um das Vertrauen in ein vernfmftige und sichere Implementierung der Prozesse, Softwareprogramme und Hardwareplattfomen. Die Definition der TCG zu Vertrauen ist daher: ,,Man kann jemanden oder etwas vertrauen, wenn es sich f'tir einen bestimmten Zweck jedes Mal erwartungsgemN3 verMlt. ''1
1 An entity can be trusted if it alwaysbehavesin the expectedmannerfort the intendedpurpose. N. Pohlmann, H. Reimer, (Herausgeber): Trusted Computing, Vieweg (2007), 15-20
I6
Die Trusted Computing Group
1.2 Der Anfang" Trusted Computing Platform Alliance Die Trusted Computing Platform Alliance (TCPA) wurde im Jahr 1999 von Compaq, HP, IBM, Intel und Microsoft gegrfindeto Innerhalb k{irzester Zeit stieg die Anzahl der Mitglieder auf fiber 200. Klarer Fokus der Aktivit~iten waren PC's und Notebooks, obwohl bereits damals auch fiber andere Plattformen nachgedacht wurde. Das Ziel der TCPA war die Schaffung vertrauenswth'diger Komponenten fttr alle Computersysteme. W~ihrend und besonders am Ende der ersten Standardisierungsaktivit~iten stellte sich dann jedoch heraus, dass die alte TCPA-Organisationsstruktur, die z.B. Einstimmigkeit bei den Beschltissen und Standards forderte, bei dieser Gr613e nicht mehr effizient genug war. In einer Organisation dieser Gr613e eine neue Satzung umzusetzen, erwies sich ebenfalls als schwierig, da auch hier alle Mitglieder h~ttten zustimmen mfissen. Im Jahre 2003 wurde deshalb eine Nachfolgeorganisation, die Trusted Computing Group (TCG) [TCG03] mit einer reformierten und angepassten Satzung (z.B. nur noch 2/3 Mehrheit ffir BeschlCtsse) geschaffen und auf diese die Ziele und das Wirken der TCPA fibertragen.
1.3 Die Trusted Computing Group 1.40rganisation Mit der Trusted Computing Group wurde auch eine neue Struktur aufgesetzt, die eine effiziente Standardisierungsarbeit erlaubt. So wird die TCG von einem Board of Directors (BOD) gesteuert, das die endgfiltigen Entscheidungen flir die TCG trifft. Unterstt~tzt wird das BOD vom Technical Committee, dem h6chsten technischen Gremium der TCG. Alle Spezifikationen mfissen das Technical Committee passieren, bevor das BOD sie zur Ver6ffentlichung freigibt. Die eigentliche technische Standardisierung findet in den Arbeitsgruppen statt. Zus~ttzlich hat die TCG noch eine Marketing-Arbeitsgruppe, die die Zusammenarbeit mit der Presse, die Messeaktivit~tten der TCG und die Planung der Marketingaktivit~iten im Rahmen der Ver6ffentlichung yon Spezifikationen verantwortet. Neu bei der TCG im Gegensatz zur TCPA sind auch die unterschiedlichen Mitgliedslevel: ~ Promotoren sind der h/Jchste Level der TCG und werden nur auf Einladung des BOD ernannt. Sie erhalten einen Sitz im BOD und im Technical Committee. ~ Contributoren sind Mitglieder, die aktiv in Arbeitsgruppen mitarbeiten und vollen Einblick in den Arbeitsstand der Spezifikationen haben. ~ Adaptoren sind Mitglieder, die frfihzeitig Zugriff auf neue Spezifikationen erhalten, die aber nicht in Arbeitsgruppen mitarbeiten wollen. Der Mitgliedsbeitrag der TCG richtet sich nach dem Level der Mitgliedschaft. Um auch kleinen Firmen die M6glichkeit der Teilnahme zu er6ffnen, wurde die Small-Adaptor-Mitgliedschaft fftr kleinere mittelst~tndische Betriebe eingeffihrt, Dr die ein geringerer Mitgliedsbeitrag berechnet wird. Zus~itzlich hat die TCG nach umfangreichen Diskussionen mit verschiedenen Regierungen und anderen Organisationen noch weitere Programme ins Leben gerufen, die die Kommunikation mit diesen Institutionen erm6glichen sollen.
Die Trusted Computing Group
17
Das Liaison-Programm erm6glicht die Zusammenarbeit mit Regierungsorganisationen sowie Universitgten und anderen Instituten. Diese Organisationen k6nnen aktiv in den Arbeitsgruppen mitwirken. Beim Mentor-Programm, das sich haupts/~chlich an Forschung und Lehre richtet, erh/~lt diese Institution einen freiwilligen Mentor einer der TCG-Mitgliedsfirmen, der Fragen beantwortet und bei Projekten unterstfitzen kann. Neben diesen Programmen wurde noch ein Advisory-Board etabliert, in dem bekannte Personen aus der IT-Sicherheitsbranche die TCG beraten.
2 Das Ziel" Hardware-basierte Sicherheit Die TCG definiert ihr Ziel wie folgt: "Trusted Computing Group members develop and promote open, vendor-neutral, industry standard specifications for trusted computing building blocks and software interfaces across multiple platforms." (www.trustedcomputinggroup.org/home) Dabei fokussiert sich die TCG aufhardware-basierte Sicherheit. Das bedeutet, dass die angebotenen Sicherheitsfunktionen sich auf Hardware-Komponenten zurfickf'thhren lassen, die bestimmte Sicherheitseigenschaften haben mtissen. So m~ssen diese z.B. gegen logische Angriffe von Viren und Trojanern resistent sein und auch Gegenmal3nahmen gegen die sogenannten Dictonary-Attacks (WOrterbuchangriffe) auf die Passworte der Sicherheitskomponenten implementiert haben. Zusgtzlich sind aber auch Gegenmaf3nahmen gegen bestimmte physikalische Angriffe notwendig, bei denen die Sicherheitskomponente mit physikalischen Methoden, z.B. mit l~erspannungen attackiert wird. Diese Widerstandsf'ghigkeit gegen Angriffe ist eine der wesentlichen Unterschiede, die die Trusted Computing Group in ihren Standards gegent~ber konventionellen Sicherheitsimplementierungen bietet. Wesentlich bei allen Umsetzungen von Sicherheitsfunktionen in diesen Komponenten ist, dass die Implementierung nachvollziehbar und durch vertrauenswttrdige Dritte fiberprfifbar sein muss. Die TCG hat sich entschlossen, die Sicherheitsevaluierungen z.B. ffir die Trusted Platform Module (TPM) nach dem international zwischen Regierungsorganisationen definierten Common Criteria Schema [CC01] durchzuffihren. Mit der Evaluierung durch unabMngige Sicherheitslabore und der Zertifizierung dieser Untersuchung durch Sicherheitsbeh6rden, wie z.Bo in Deutschland dem Bundesamt ffir Sicherheit in der Informationstechnik (BSI), erhalten Kunden und Anwender eine transparente Best~itigung der Sicherheitsqualit~tt der von ihnen eingesetzten Komponenten.
3 Das Spektrum der TCG Inzwischen besch~iftigt sich die TCG nicht mehr nur mit PCs und Notebooks, auch wenn diese am weitesten fortgeschrittenen Spezifikationen immer noch die Vorreiterrolle bei der Umsetzung der Spezifikationen in Produkte haben. Viele der Mitglieder haben inzwischen den Vorteil der TCG ,,building blocks" ffir ihre spezielle Branche erkannt und so haben sich eine Reihe von Arbeitsgruppen gebildet, die der Adaptierung der TrustedComputing-Komponenten in einem speziellen Plattformtyp Rechnung tragen. So sind die Architekturen, die Leistungsanforderungen und auch die Aufgabenbereiche, die solche Komponenten erfallen sollen, durchaus unterschiedlich, wenn es sich um einen PC, einen Server, ein Mobiltelefon oder um ein
18
Die Trusted Computing Group
Speichermedium handelt. Dies sind dann auch die im Moment aktiven Arbeitsgruppen, die im Folgenden kurz betrachtet werden sollen. Dabei kommt es weniger auf die einzelnen Arbeitsgruppen an, als vielmehr auf die Bedeutung, die Trusted Computing in diesen Bereichen erreicht hat. Das zeigt auch das ,,Big Picture" der TCG, mit dem die TCG ihre heutigen Fokusbereiche definiert.
Abb. 1: Hauptfokusgebiete der TCG (Quelle: TCG) In den folgenden drei Kapiteln sind beispielhaft Plattformen erl~iutert, wobei im Wesentlichen kurz auf die Verwendungsm6glichkeiten (die ,,Use Cases") eingegangen werden soll.
3.1 Die Computerwelt PCs und Notebooks sind seit 1999 die Vorreiter in der Arbeiter der TCG (bzw. vor 2003 der TCPA). Hier wurde das sogenannte TPM (Trusted Platform Module) standardisiert, d a s - fest mit dem Mainboard des Computers verbunden- folgende wesentliche Aufgaben hat: ~ Prfifen der Systemintegrit~tt 9 Authentisierung und attestieren des Sicherheitsstatus des PCs ~ Sicherer Speicher Dabei wurde sichergestellt, dass der Benutzer bzw. der Eigen~mer des PCs die ultimative Kontrolle fiber das TPM hat.
Die Trusted Computing Group
19
Das TPM ist Bestandteil der Root of Trust des PCs, an denen sich andere Komponenten, z.B. das Betriebssystem, sicherheitstechnisch verankem k6nnen. Die Funktion, bestimmte Geheimnisse (z.B. Schl~ssel) sicher und unver~inderbar aufbewahren zu kOnnen, bietet die Grundlage auf der auch Applikationen ihre Sicherheit aufbauen k6nnen. Eine genauere Beschreibung der Aufgaben des TPMs findet sich im n~ichsten Artikel dieses Buches.
3.2 Mobiltelefone Mobiltelefone entwickeln sich immer weiter. In einigen Bereichen ist es schwierig zu definieren, wo die Grenze zwischen Mobiltelefon und Notebook genau liegt. Leistungsf'~thige Gergte haben inzwischen viele der PC-Applikationen integriert und werden mit PCs synchronisiert bzw. greifen auf dieselben Daten in Netzwerken zu. Damit wird die Bedrohung f'~ Mobiltelefone denen far PCs immer ~ihnlicher. Aber auch far Ger~ite, die ,,nur" zum Telefonieren da sind, gibt es Sicherheitsanforderungen, die teilweise sogar gesetzlich vorgeschrieben sind. So muss ein Telefon fiber seine eindeutige Seriennummer (IMEI) jederzeit identifizierbar sein. Die Notruffunktion muss in jedem Land unabhgngig vom aktuellen Provider funktionieren, was Anforderungen an die Systemintegrit~it stellt. Somit gibt es viele Grfinde far die gesamte Bandbreite der Mobiltelefone, Komponenten des Trusted Computing zu verwenden. Die Use Cases, die der Mobiltelefonspezifikation der TCG zugrunde liegen, beschreiben unter anderem folgende Aufgaben: [TCG04] 9 Schutz der Plattform-Integrit~it 9 Unterstfttzung der Plattform-Authentisierung 9 Unterstfitzung einer robusten Digital Rights Management (DRM) Implementierung, um neue Gesch~iftsprozesse zu erm6glichen 9 Schutz einer sicheren Software-Download-Funktion 9 Mobile Bezahlfunktionen und mobile Tickets 9 Schutz der Benutzerdaten auf dem Gergt sowie der Privatsph~ire des Benutzers
3.3 Speichermedien Bei Speichermedien stehen im Moment Festplatten im Vordergrund. Wesentlich far die Besch~iftigung mit diesen Speichern ist, dass insbesondere beim PC die CPU und die zugeh6rige Peripherie selbst nur beschr~inkt far den Schutz der Daten auf Festplatten sorgen kann. In vielen FNlen k6nnen alle Sicherheitsmal3nahmen der Plattform durch das Ausbauen der Festplatte und Einbauen in ein anderes System umgangen werden. Aber auch weitere, zusgtzliche Use Cases pr~igen die Arbeit der StorageArbeitsgruppe: [TCG05] 9 Vertrauenswfirdige Verbindung zwischen Speichermedium und Plattform 9 Unaufl6sbare Verbindung zwischen Speichermedium und Plattform 9 Gescht~tzter Speicher far sensitiver Daten 9 Integrit~it der Festplatte und sicheres Update der Firmware
20
Die Trusted Computing Group
4 Fazit" Zukunft des Trusted Computing Die Diskussion fiber Trusted Computing geht im Moment fiber die Aktivit~iten der TCG hinaus. Weiter Applikationen beginnen sich mit dem Konzept und den Vorteilen zu besch~iftigen. Schutz der Integrit~it von Daten und Gergten sowie starke Authentisierung- um nur einige der Vorteile zu n e n n e n - sind in fast allen vernetzten Systemen notwendig. Obwohl die TCG bisher noch keine Spezifikation hierffir definiert hat, gibt es bereits Trusted Computing Komponenten z.B. in Routern und anderen Netzwerkkomponenten. Wesentlich dabei ist die hardware-basierte Sicherheit, die eine neue Qualit~it von ,,Schutz" zur Verffigung stellen kann. Auch viele Artikel diese Buches demonstrieren, dass sich unterschiedlichste Organisationen mit sehr unterschiedlichen Anforderungen und Blickwinkeln intensive mit dem Thema auseinandersetzen. Daher ist zu erwarten, dass die Konzepte des Trusted Computing in vielen unterschiedlichen Applikationsbereichen Anwendung finden werden. Die Trusted Computing Group muss dabei nicht zwangsl~tufig die einzige Standardisierungsinstitution darstellen, bietet aber eine gute Grundlage fiir weitere Aktivit~iten.
Literatur [TCG03] https://www.trustedcomputinggroup.org/about/, Webseite der TCG [CC01 ] http://www.bsi.de/cc/index.htm, Gemeinsame Kriterien far die Prtifung und Bewertung der Sicherheit von Informationstechnik [TCG04] Mobile Phone Working Group, Use Case Scenarios, v2.7, Trusted Computing Group [TCG05] Storage Work Group, Use Case Whitepaper-vl,0, Trusted Computing Group
Trusted Computing Grundlagen Hans Brandl Infineon Technologies AG, Am Campeon 1-12, Neubiberg hans.brandl@infineon, com
Zusammenfassung Der Mangel an Sicherheit und Verl~isslichkeit in den heutigen vernetzten IT-Systemen hat in den letzten 20 Jahren zu immer intensiveren und komplexeren Angriffen auf die Sicherheit der Computer-Infrastruktur gefahrt. Besonders in der PC-Welt mit ihrer tiefen Vemetzung und dem Einsatz von SW, die auf diese stark zunehmenden Angriffe nicht vorbereitet war, hat dies zu erheblichen Sch~iden im Gesch~ifts- aber auch im privaten und 6ffentlichen Bereich gefahrt, die zudem auch Auswirkungen auf die gesamte volkswirtschaftliche Infrastruktur mit sich brachten. Wghrend man jahrelang mit hohem Forschungs- und Entwicklungsaufwand vergeblich versuchte durch den punktuellen Einsatz von verschiedenen kryptographischen und anderen Sicherheitsverfahren diese Systeme zu schatzen entwickelten sich neue Angriffsverfahren vor allem gegen die Integrit~it der einzelnen Computer-Plattformen. Hinzu kam, dass durch die zunehmende Komplexit~it moderner Computersysteme (OS und SW-Umfiinge im Gigabyte Bereich) es nicht mehr m6glich war, die Korrektheit solch grof3er Systeme bereits bei der Entwicklung zu verifizieren. Prinzipiell ungewollte Entwicklungs-Fehler wirkten sich deshalb in der gleichen Weise sch~idlich aus, wie von augen in das System eingebrachte Angriffe. Mit der Trusted Computing Technologie wurde auf diese ausufernde Bedrohungssituation reagiert und Methoden und Werkzeuge geschaffen, mit denen die Uberpriifung der Integritfit eines Systems m6glich wird. Damit kann dann festgestellt werden, ob ein System ungewollt ver~indert wurde (gleich ob durch einen externen Angreifer oder durch einen internen Fehler), ob dem System noch Vertrauen entgegengebracht werden kann oder ob es far bestimmte (sicherheitskritische) Anwendungen nicht mehr einsetzbar ist. Prinzipiell werden dabei bekannte kryptographische Methoden und Prozeduren verwendet, allerdings mit einer vollkommen neuen Ausrichtung hin zur Integrit~its-Uberp~fung. Die Weiterentwicklung der Trusted Computing Technologie l~isst zudem erwarten, dass nicht nur die Integrit~it eines Systems verifizierbar ist, sondern dass mit ~ihnlichen Methoden auch Safety (Eigensicherheit) und Ausfallsicherheit verbessert werden kann. Dies l~isst im weiteren auch auf die weitere Verbesserung der Eigenschaften, Stabilit~it und Funktionalit~it, von komplexen Systemen z.B. im Verkehrswesen ( Automobiltechnik ) und bei industriellen Anlagen hoffen. Das Trusted Computing Kernelement ist das Trusted Plattform Module (TPM), ein Sicherheits-Chip auf der Prozessorbaugruppe (fihnlich einem sicheren Chipkartenprozessor), der sowohl die Integritfit der SW messen kann als auch eine sichere, geschiitzte Umgebung f~r kritische Variablen und Schlt~ssel bereitstellt. Dieses TPM ist aber lediglich ein passives Element das wiederum von einem sicheren Betriebssystem gesteuert werden muss. FOr die Erfallung aller Erwarmngen ist zudem eine neue Generation von Prozessoren und Peripherie-Baueinen notwendig die zusfitzliche Schutz-Mechanismen enthalten. Dazu geh6ren z.B. sichere Tastatur-Encoder, die die Eingabedaten bereits an der Tastatur verschlt~sseln und sicher zum Zentralprozessor leiten, eine Graphikeinheit die verhindert, dass eine Bildschirmausgabe eines Programms nicht durch ein anderes Programm iiberschreiben werden kann und na~rlich auch sichere Speicher- und Kommunikationsmedien. Erst das Zusammenwirken vieler Teile die sich auch gegenseitig scht~tzen, erm6glicht die Entwicklung wirklich sicherer, vertrauenswardiger Computerplattformen.
1 Einleitung Bisherige konventionelle Ans~itze zur Entwicklung von sicheren Computersystemen beruhten darauf, dass vorhandene, unsicherere System-Keme mit einer zunehmenden Zahl von Schutzschichten ummantelt wurden (Firewall, Virenscanner, Verschl~sselung usw.). Diese Systeme befinden sich stgndig N. Pohlmann, H. Reimer, (Herausgeber): Trusted Computing, Vieweg (2007), 21-42
22
Trusted Computing Grundlagen
in einem nicht zu gewinnenden Wettlauf mit immer neuen Angriffsarten: Der Kern ist ja immer noch prinzipiell unsicher und damit ein lohnendes Ziel. Die Schutzschichten sind zudem auf der gleichen gef~ihrdeten Umgebung mit den gleichen Methoden wie der zu schfitzende Kern realisiert. Gelingt es einem Angreifer durch eine Vergnderung des Codes oder der Daten diese Schutzschichten oder aber den Kern selber gezielt zu ver~indern, so ist ein solcher Angriff in der Regel erfolgreich. Dabei hilft auch nicht dass z.B. durch den Einsatz von hochsicheren Chipkarten kryptographische Schlftssel oder Zertifikate sicher abgespeichert werden k6nnen und besonders kritische Operationen nur im Inneren solcher sicherer Chipkartenprozessoren ausgeftthrt wurden: Der Angreifer geht eben nicht gegen das hochgescht~tzte Chipkartensystem vor, sondern vergndert mit wesentlich einfacheren Mitteln die Computerplattform auf der ein solches System realisiert wurde, sodass z.B. der Chipkarte vollkommen andere Daten zum Signieren vorgelegt wurden. Typische, ver6ffentlichte Beispiele sind die bereits vor einigen Jahren vorgeffihrten Attacken gegen das HBCI-Homebanking System oder auch die in [Cre01 ] beschriebene, m6gliche Attacke gegen eine Digitale Signamrapplikation, die sogar gemN3 deutschem Signaturgesetz zertifiziert war~ Generell muss dabei festgestellt werden, dass auch heute immer noch typische Anwendungen nach dem Signaturgesetz lediglich einen Gesamt-Sicherheitslevel besitzen, der dem schwgchsten Glied in der Kette, eben der Standard-Computerplattform entspricht. Der mit Trusted Computing (TC) m6gliche, neue Sicherheitsansatz integriert hingegen die ben6tigten Sicherheitsfunktionen (wie Integrit~itsfiberprfifung von SW und Hardware, digitale Signatur und 12Jberprfifung von Datenkomponenten, sicheres Generieren und Verwalten von Schl~isseln und digitalen Zertifikaten, sicheres Booten, Virmalisierungs-Kompartments) in den Systemkern und sorgt ftir Sicherheit von innen heraus. Durch die Universalit~it des TC-Konzepts wird es zudem m6glich, von den bisherigen deprimierenden Sicherheits-Erfahrungen aus der PC-Welt zu lernen und mit dieser neuen Technologie vollkommen neue Konzepte auch f'ttr die sonstigen Rechnernetze und-Systeme zu entwickeln. Damit k6nnen ~ihnliche Fehler wie bei PCs vermieden und vertrauenswfirdige Plattformen entwickelt werden, die ffir die Weiterentwicklung der Computer- und Netzwerktechnologie dringend erforderlich sind. TC-Systeme k6nnten theoretisch nach vielerlei Grunds~itzen und Prinzipien aufgebaut werden. Grundsgtzliche Bedeutung hat allerdings bisher nur die Standardisierungsarbeit der Trusted Computing Group (TCG) [TCG01] erreicht. Mittlerweile etwa 170 Firmen und Organisationen als Mitglieder (darunter alle Nhrenden Firmen) und deren Spezialisten arbeiten gemeinsam an der Schaffung des Standards. Bei Drucklegung diese Buchs war auf der often zug~inglichen Webseite der TCG [TCG02] etwa 2000 Seiten Standardisierungstext zug~inglich. Da zudem der TCG Standard anders als sonstige Standards nicht mit Lizenzen belegt und frei verfagbar ist, erm6glicht diese freie Verbreitung eine entsprechende Akzeptanz und damit den Einsatz von TC in einem breiten Umfeld von Computer-Plattformen und Systemen. Dieser Beitrag beschreibt demzufolge auch im Wesentlichen die TC-Implementierung nach dem TCG-Standard: Der unter diesen Prgmissen geschaffene Standard impliziert eine sichere Hardwarestruktur, dessen Hauptkomponente, das Trusted Plattform Module (TPM) [TCG04], als hochintegrierter Sicherheitschip spezifiziert ist. Er beruht zu einem wesentlichen Teil auf den Erfahrungen der letzten Jahre fiber hochsichere Chipkarten und ihren Anwendungen, von denen folgerichtig wesentliche Teile der Architektur und Sicherheitseigenschaften t~bemommen wurden~ Mmlich wie wir mit dem kryptographischen Mechanismen der Chipkarte die sensitiven und geheimen personenrelevanten Daten sowie kritische Prozesse in einer Sicherheitsumgebung schfttzen, k6nnen im TPM mit diesen Funktionen auch die Integrit~it, aber auch der Schutz von Benutzerdaten einer Plattform abgesichert werden. Nochmals prgzisiert:
Trusted Computing Grundlagen
23
Der TCG-Standard bietet Integrit~itsprafung, Authentifizierung und Beglaubigung der Plattform, nicht des Anwenderso Zus~itzlich erlaubt der Standard die sichere Speicherung yon kritischen Geheimnissen wie z.B. Schlfisseln. Ft~ die Authentisierung des Anwenders ist die Interaktion mit Chipkarten und ~ihnlichen kryptographischen Token vorgesehen. Das EinNgen eines sicheren TPMs in eine Computer Plattform die andererseits noch mit unsicheren Standard-Bausteinen aufgebaut ist verhindert allerdings keinen intelligenten Angriff mit Hardware-Debugging und Analyse-Tools. Zwar erh6ht das TPM die Widerstandf'~higkeit und das Sicherheitsniveau einer solchen Plattform (vom TPM geschfitzte Daten sind quasi unangreifbar), trotzdem muss einkalkuliert werden, dass auch eine solche konventionell aufgebaute Plattform keine 100%ige Sicherheit gegen einen direkten physikalischen Angriff vor Ort erreicht wird. Das derzeitige Schutzziel will Computerplattformen gegen logische Angriffe von augen und Fehler des eigenen Systems schfitzen, nicht aber gegen physikalische Angriffe des eigenen Besitzers. Einen wesentliche Verbesserung und H~irtung auch gegen solche fortgeschrittenen und komplexen Angriffsverfahren wird erst die n~ichste Generation der ebenfalls nach TC-Prinzipien entworfenen Prozessoren und Peripherie-Bausteine bringen.
2 Trusted Computing Systeme" Hardware und Software m issen zusammenwirken Trusted Computing Systeme bestehen aus drei wesentlichen Grundbestandteilen, die sich gegenseitig erg~inzen mf~ssen um wirksam zu werden:
2.1 Trusted Plattform (definiert durch die TCG) Eine Trusted Plattform ist eine sichere Rechnerplattform (PC-Prozessorbaugruppe aber auch andere Computer wie zB. Embedded Systeme), die in der Lage ist, die elementaren Geheimnisse, Zertifikate und Schlt~ssel sowie kritische (vor allem Krypto-) Operationen sicher in einer geschtitzten HardwareUmgebung zu halten bzw. auszuffihren sowie ihre Integrit~it zu messen. Als wesentliches Element dafar wurde von der TCG dazu das Trusted Plattform Module (TPM) definiert. Diese damit geschaffene Trusted Plattform soll betriebs-systemunabh~ingig sein und mit standardisierte Funktionen und Sicherheitsschnittstellen (als Applikation Programm Interface, API) dem jeweiligen Betriebssystem und den Applikationen vertrauenswfirdige Sicherheitsfunktionen za~rVerfagung stellen. Die TCG hat mit einer sehr pr~izisen und granularen Definition und Spezifikation der TPM-Funktionalit~it und vor allem des zugeh6rigen TPM Software Stacks (TSS) die Voraussetzungen geschaffen, dass solche Baugruppen auch aus verschiedenen Quellen verffigbar werdeno
2.2 Sichere Prozessorarchitektur (definiert durch die
Prozessorhersteller)
Die meisten aus der PC-Welt bekannten Sicherheitsprobleme lassen sich auf die Universalit~it der heutigen Prozessoren zurfickf'tihren mit der Anwendung und Ausnutzung von komfortablen Befehls- und Addressierfunktionen. Eigenschaften wie die sehr flexible Nutzung yon Pointer-Registern geben einerseits dem Programmierer alle M6glichkeiten seine Daten zwischen Data-, Code- und Stack-Segmenten beliebig hin und her zu bewegen und zus~itzlich erlauben die DMA-Funktionen der Peripherie den Transfer von grogen Datenbl6cken, ohne dass die CPU dabei fiberhaupt diese Daten zu Gesicht be= kommt. Andererseits sind genau dies die Funktionen, die Angriffe (gleich ob lesend oder ver~indernd) erst erm6glichen oder erleichtern. Nach nicht besonders erfolgreichen Zwischenl6sungen, haben mitt-
24
Trusted Computing Grundlagen
lerweile die beiden grogen Prozessorhersteller Intel und AMD jeweils eine neue Generation mit zusgtzlichen Sicherheitsfunktionen geschaffen, die diese Architekturschw~ichen konsequent beschr~inken. Die Firma ARM stellt ~ihnliche, sichere Prozessoren far den Einsatz in Embedded Systemen (Steuerungen far Mobiltelefone, Unterhaltungselektronik, Industrie und Autos) her, deren neueste Varianten ebenfalls nach Sicherheitskriterien entworfen sind und far TC geeignet sind. All diese Hersteller untersttitzen mit Ihren Prozessoren die definierten Sicherheitsfunktionen der TCG Trusted Plattform (TP), sind aber nicht Objekte der TCG-Standardisierungsarbeit.
2.3 Sichere und vertrauensw0rdige Betriebssysteme Sichere Betriebssysteme sind die Voraussetzung um die Sicherheits-Funktionen der sicheren Prozessoren als auch der TP ftberhaupt nutzen zu k6nnen und diese Dienste dem Anwender zur Verfagung zu stellen. Entgegen der optimistischen Annahmen der letzten Jahre ist gerade dieser wesentlichste Bestandteil einer sicheren Trust-Architektur das am schwersten zu realisierende, langwierigste und meist unterscMtzte Element geworden. Zu Beginn der Trusted Computing Architektur Aufbruchsphase wurde von Betriebssystemherstellem noch voller Optimismus angenommen, dass sich eine spezielle Sicherheitsumgebung, ~ihnlich wie die bekannte DOS-Box, einfach als vertrauenswtirdige Umgebung in ein normales Betriebssystem integrieren lassen wtirde. Erst die Beschfiftigung mit den vielen, vielen kleinen, aber grunds~itzlichen Realisierungsproblemen (wie denn z.B. ein sicherer IO-Kanal parallel zu einem traditionellen IO-Kanal auf die gleiche Peripherie zugreifen k6nne, trotzdem aber keine verborgenen KanNe zwischen Normal- und Trust-Betriebssystem existieren sollten) und viele weitere Interoperabilit~its-Probleme zeigten, dass man sich pl6tzlich mit einer bisher str~iflich vernachl~issigten, besonderen SW-Technologie bescMftigen musste. W~ihrend man z.B. aus der Chipkartentechnologie durchaus wusste, wie man kleine hochsichere, genau spezifizierte Sicherheits-Betriebssysteme far alle m6glichen Anwendungen (wie sicheres Banking, Identifikationssysteme und vieles mehr, die noch dazu bis CC EAL5 zertifizierbar waren) konstruieren konnte, erkannte man, dass die H~irtung von KomfortBetriebssystemen doch eine deutlich andere Gr613enklasse dieses Problems war. Derzeit arbeiten alle wichtigen OS- und Prozessorhersteller, aber auch OpenSource Gruppen an der Schaffung einer geeigneten Systemarchitektur, die sowohl HW als auch SW-Komponenten miteinander verbindet. Gerade bei dem jetzt pl6tzlich aufgetretenen Bedarf nach entsprechendem Trusted OS-KnowHow r~ichen sich die mittlerweile eingetretene Gew6hnung bzw. die Tolerierung bekannter Schwachstellen von Betriebssystemen und ghnlichen SW-Entwicklungen, sowie die Vernachl~issigung von Sicherheitsansprfichen. Sicherheit, Vertrauen und Verfagbarkeit waren bisher nicht unbedingt die Produktmerkmale, die eine Investitionsentscheidung der potentiellen Anwender wesentlich beeinftusste.
3 Grundlegende Sicherheitsfunktionen im TCG Standard Eine Trusted Plattform gem~ig der TCG besteht aus vertrauenswtirdiger Hard- und Software auf der Plattform, der sicheren Kommunikation zwischen Plattformen, sowie der An- und Einbindung von externen Trustcentern (Certification Authorities (CA), bereits bekannt aus den ,,konventionellen" Chipkarten-Signaturl/3sungen) um die Identit~it und Integrit~it einer Plattform auch gegent~ber der Aul3enwelt sicher bestimmen zu k6nnen.
Trusted Computing Grundlagen
25
3.1 Das Trusted Platform Modul (TPM) Gem~il3 der TCG-Architekmr erbringt das TPM die besonders zu schfttzenden Sicherheitskernfunktionen, die deshalb auch in einer sicheren Chip-Hardware-Umgebung implementiert werden. Um die Datenschutz-Anfordemngen zu erffillen ist das TPM als passives Teil ausgelegt. Es besitzt keine M6glichkeiten den Programmablauf des Zentralprozessors oder den Boot- Vorgang aktiv zu beeinflussen oder gar zu unterbrechen. Es empf'~ingt lediglich Steuer- und Zustandsmessdaten vom Zentralprozessor, verarbeitet, speichert und liest sie wieder aus seiner sicheren Struktur aus und gibt diese Ergebnisse an den Zentralprozessor wieder zurack. Erst dort wird mit Hilfe dieser Ergebnisdaten der weitere Ablauf der S icherheitsprozeduren gesteuert. Lediglich der Zugriff zu besonderen Daten (wie z.B. Schl~sselmaterial) wird vom TPM selbst vonder Vorlage entsprechender Authentifizierungsmuster abh~ingig gemacht. Der innere Aufbau eines TPMs entspricht im Wesentlichen einem sicheren Chipkartenchip da er auch ~ihnliche Sicherheitsfunktionen ausRihrt: Schutz von Schliisselmaterial Die verschiedenen Schltisselklassen werden geschOtzt im nichtflt~chtigen Speicher des TPM abgelegt. Je nach SchlOsseltyp (TPM-gebunden, migrierbar, Signatur, Identit~it (AIK), Binding Keys) wird das Zugriffsverfahren gew~ihlt. Authentifizierung des Systems Authentifizierung und Validierung der Plattform gegent~ber Dritteno Kommunikation des Sieherheitsstatus des Systems (Attestation) Vertrauenswtirdige Kommunikation der sicherheitsrelevanten (yore Plattform-Besitzer definierten) Konfigurationo Zufallsgenerator Hardware Zufallszahlengenerator zur Erzeugung sicheren Schlfissel
26
Trusted Computing Grundlagen
AktiverSchild zur Erkennung physikalischerAngriffe
Memory Controller +C:.Pll ~tJf dem Motherboard
I 9 .. I " 9
LPC(Low Pin Count) Interface
I I I
RSA 2048Rechenwerk
SicherheitsController
Ang riffs-Sensoren (U,f,T,Schild)
Hash SHA-1
Programm 128KB
m
Daten 8KB
m
Asym. SchKisselGenerator
N ichtfKichtige Daten 32KB
L_J
Host-Prozessor auf d e m Motherboard
....
HW-RauschGenerator
.J . . . . . . . . . . . . . . . . . . . Trusted Plattform Modul (TPM)
North-Bridge ( S p e i c h e r und IOSteuerung )
-"
South-Bridge IO-Steuerung
LPC-Bus
Abb. 1" Blockschaltbild Trusted Plattform Modul (TPM) Versiegelung von Dateien (Sealing) Bindung von Daten an die Systemkonfiguration und Signierung der Daten beim Speichern mit dem Hash-Wert der Konfiguration. Der Zugriff auf solche Daten (zB. Schliissel) ist dann nur noch bei der gleichen Konfiguration m6glich. Sicheres Abspeichern der System Konfiguration zur Erkennung von ~,nderungen Die Konfiguration der Host-SW wird mit dem eingebauten Hash-Algorithmus gemessen (Bildung eines Hashwerts tiber einen Datenblock) und in den Plattform Configuration Registem (PCR) sicher abgelegt. Diese Zustandswerte k6nnen entweder signiert mit einer anderen Plattform ausgetauscht werden (Information tiber die Konfiguration der Plattform) oder aber zur Verschliisselung und Entschltisselung vorzugsweise von Schltisseln verwendet werden mit denen der Zugang zu besonderen Diensten nur bei einer vorher eingestellten Systemkonfiguration m6glich ist.
Die Durchfiihrung sowohi dieser Integrit~itsmessungen als auch yon Sealing oder anderen Funktionen muss aufjeden Fall vom Betriebssystem her angestoBen werden. Der TPM verh~ilt sich rein passiv Lind dient nur als Sicherheitserweiterung. Zur Verhinderung von Angriffen auf den TPM wurde yon der TCG noch Wert auf einige allgemeine, aber mindestens ebenso wichtige Eigenschaften gelegt: 9 Schutz gegen Angriffe auf die Integrit~it des TPM, insbesondere gegen physikalische Angriffe 9 Preisgiinstige Implementierung, um eine weite Verbreitung zu erm6glichen. 9 Erfallung der weltweiten Exportkontrollvorschriften um den intemationalen Handel mit TCPlattformen (PCs) nicht zu behindern. 9 Und als wichtigstes eine Realisierung seiner Funktionen, die den Schutz der Privatsphiire und die Selbstbestimmung fiber die Daten des Nutzers unterstiitzt.
Trusted Computing Grundlagen
27
Ein geschickter Entwurf dieses Systems erm6glicht ffir die Realisierung einen minimalen und damit preisgt~nstigen Umfang an kryptographischer und Sicherheits-Hardware im TPM: 9 Spezialisiertes Kryptorechenwerk zur schnellen Berechnung von RSA-Kryptographie bis zu 2048 Bits; 9 Schlftsselerzeugung mr RSA-Schlfissel bis 2048 Bits; 9 Hardware-Hash-Rechenwerk ffir den SHA-1 Algorithmus; 9 Echter Hardware Rauschgenerator als Input zur SchlCtsselerzeugung; 9 Interner Prozessor mit der entsprechenden Firmware um die kritischen Funktionen (z.B. RSA mit dem geheimen SchlCtsselteil) in einer sicheren Umgebung vertrauenswttrdig berechnen zu k/Snnen; 9 Monotone, geschfttzter Ereignis- und Zeit-Zghler um Reply-Attacken zu erkennen; 9 Nichtflfichtiger Speicher (EEPROM) zum Erhalten der TPM-(Schlfissel)-Daten auch beim Ausschalten der Betriebsspannung; 9 Sensoren und interne Sicherheitsstrukturen (z.B. aktiver Schirm t~ber der obersten Verdrahtungslage des Chips) um physikalische Angriffe zu erkennen und diesen zu begegnen; 9 Low-Pin-Count (LPC)-Interface zur Verbindung mit dem Prozessor des Mainboards; 9 TPM Selbsttest Funktion. Eine umfangreiche, interne Firmware realisiert das vom Standard vorgegebene Schnittstellenprotokoll zu den darfiber liegenden Schichten der Host-SW (TSS) und bentitzt dazu die genannten HardwareFunktionen. Daneben fiberprfift und verwaltet diese Firmware auch die verschiedenen Sicherheits-Sensoren und reagiert entsprechend auf erkannte physikalische Manipulationen oder Ver~inderungen am Chip oder seiner Umgebung. Die Korrektheit der Implementierung wird dabei durch ein komplexes Zertifizierungsverfahren (siehe 3.3) von einem unabMngigen P~finstitut kontrolliert und best~itigt.
3.2 Grundlegende Funktionen des TPM f~ir Trusted
Computing
3.2.1 Core Root of Trust Der generische TCG Ansatz ergibt neue Systemstrukturen: W~ihrend bisher Sicherheit durch zus~itzliche Ebenen von Verschlt~sselung oder Anti-Virus Software erreicht werden sollte, beginnt TC bereits auf der untersten Ebene der Plattform und dort bereits zu Beginn des Bootvorgangs eines solchen Systems mit der Messung der Integrit~it der SW- und gegebenenfalls der HW-Integrit~it der Plattform. Dem TPM als zertifiziertem HW-Sicherheitsbaustein wird dabei a priori vertraut. Wie diese Messung genau abl~iuft wird wiederum vom BIOS und dem zu startenden Betriebssystem vorgegeben. Dabei wird in der Regel abwechselnd ein Code- oder Datenblock vom TPM gemessen (mit der Hashfunktion) und anschliel3end vom Zentralprozessor ausgefahrt. Von dieser untersten Schicht wird beim Systemstart eine ununterbrochene Sicherheitskette (,,Chain of Trust") bis zu den Applikationen hochgezogen. Sobald jeweils die untere Ebene t~ber eine stabile Sicherheitsreferenz verfggt, kann sich die ngchste Ebene darauf absttitzen. Jede dieser Dom~inen baut auf der vorhergehenden auf und erwartet damit, dass jede Transaktion, interne Verbindung und Ger~iteanbindung vertrauenswttrdig, zuverl~issig, sicher und gescht~tzt ist.
28
Trusted Computing Grundlagen ExecutionFlow
MeasurementFlow Applikations--Code (BIOS)
5
OS-Code 3 OS-Loader Code
I "
"1
1
CRTM-Code (BIOS) Trusted Building Blocks + Root of Trust
Abb. 2: Aufbau der ,,Chain of Trust" Das TPM als Hardware-Sicherheits-Referenz stellt dabei zusammen mit den ersten Bytes des BIOS die Wurzel (,,Root of Trust") der gesamten Sicherheitskette dar. Diese Startsequenz des BIOS (die gegen Ver~inderungen gesch~tzt sein muss) aktiviert t~ber einen speziellen (memory absent) Treiber den TPM und gibt ihm die Anweisung den ersten Bootblock zu messen. Daran schlieBt sich dann Block far Block die Messung der weiteren Bootsequenz an. Ahnliche lJberprfifungsmechanismen mit Hilfe des TPM verifizieren dann nacheinander z.B. die Korrektheit des BIOS, des Bootblocks, des Laders und des Betriebssystems selbsto Durch die Auswertung der Messwerte kann dann sp~iter fiberpraft werden ob sich die Signatur (und damit die Konstellation) der Plattformkomponenten ver~indert hat, doh. ob die SW oder eine der HWKomponenten (Plattenspeicher, LAN-Anschluss usw.) ver/~ndert wurde oder gar entfemt oder ersetzt wurde. W~ihrend des ganzen Startvorgangs, aber auch noch spgter, ist damit der Sicherheits- und Vertrauenszustand des Systems - allerdings nur mit Einwilligung des Plattform-Besitzers - t~ber den TPM abfragbar. Damit kann dann auch eine kompromittierte Plattform sicher von anderen erkannt werden.
3.2.2 Zertifikats-Verwaltung und sicherer Datenspeicher Da die Spezifikation des TPM gemN3 den Vertrauensanforderungen der TCG vollkommen 6ffentlich und ffir jedermann zug~inglich ist, k6nnte man nach dieser Spezifikation seinen eigenen TPM auf einem Prozessor nachbauen. Werden dann z.B. sichere e-commerce Prozesse abgewickelt, so k6nnte der Besitzer dieses ,,speziellen" TPM problemlos die intemen Daten zu seinem Vorteil ver~indern: Ein solches Modul wfirde sicher das volle Vertrauen seines eigenen Besitzers geniegen, aber fftr den Austausch vertrauenswfirdiger Prozesse vollkommen ungeeignet sein. Man hat deshalb eine Vertrauens-Struktur implementiert, die bereits von hochsicheren Bankenkarten (siehe MULTOS-Betriebssystem [MULT01 ]) her bekannt ist: Die kritischen Daten und Schlfissel und auch die Chipidentit/~t werden von einem Chip individuellen Schlfisselpaar (dem Endorsement Key (EK)) signiert und es werden weitere Schlfissel aus dem EK abgeleitet um damit auch die Integrit/it der internen Datenstruktur des TPM nachweisen zu k6nnen.
Endorsement Key Am Ende der Fertigung des TPM-Chips (nach dem Endtest) erzeugt der Hersteller im TPM ein Private/ Public Key Paar mit 2048 Bits, den so genannten Endorsement Key. Dieser ist so abgespeichert, dass der Private Key (PK) nicht mehr auslesbar ist, sondern nur noch intern im TPM verwendet werden kann. Zudem wird der EK noch vom Hersteller durch ein Hersteller-Zertifikat signiert. Damit wird vom
Trusted Computing Grundlagen
29
Hersteller elektronisch best~itigt, dass dieser TPM in einem vertrauenswiirdigen Prozess von einem kontrollierten Hersteller erzeugt wurde und den Anforderungen der Spezifikation gent~gto Auf diesem Prozess und der Einzigartigkeit des EK beruht zum gr6f3ten Teil die Vertrauenswiirdigkeit des kompletten TPM-Systems. Der Anwender muss dabei dem Hersteller vertrauen, dass der private Teil des Schlfissels nirgendwo sonst noch gespeichert und auch niemand anderem zuggnglich ist. Im Rahmen der Sicherheitsevaluierung wird auch dieser Aspekt intensiv gepdift. Bei qualifizierten Herstellem wird dieser gmndlegende Prozess wie bei Chipkarten im gleichen, zertifizierten Hochsicherheitsbereich durchgeNhrt. TPM
Key Cache Manager
I
/ [] StorageKey A AIKKey
~ O
SignatureKey AIIg. Daten
I
Abb. 3: Interne Organisation von Daten und Zertifikaten Ein zus~itzliches, externes Abspeichem des EK beim Hersteller w~ire allerdings auch schon deshalb sinnlos, da die TPMs in einem anonymen Prozess gefertigt, sp~iter rein zufNlig verteilt in die Motherboards montiert und dann die PCs als Massenware ebenso an die Kunden verteilt werden. Ein Verfolgen eines bestimmten TPM mit seinem EK ist damit praktisch unm6glich.
Storage Root Key (SRK) Der SRK bildet die Wurzel einer Schlfisselhierachie, in der die Daten (Blobs) und Schlfissel des TPMEigentttmers aber auch der weiteren Nutzer sicher abgelegt sind. Deren Vertrauenswfirdigkeit h~ingt damit vom SRK ab. Der SRK wird bei der Inbesitznahme des TPM (,,Take Ownership") durch den Eigentfimer in einem speziellen Protokoll erzeugt. Alle weiteren Nutzer Zertifikate mtissen bei der Erstellung vom SRK signiert werden und h~ingen damit auch von der G~ltigkeit des SRK ab. Falls der Besitzer eines TPMs diese Ownership aufgibt, wird damit auch der SRK gel6scht, die Zertifikatshierarchie ist unterbrochen und damit sind auch alle unter dem SRK angeordneten Schliissel nicht mehr gfiltig und nutzbar.
Attestation Identity Key (AIK) Der Begriff Attestation enthNt sowohl die Bedeutung von Authentifizierung und Integrit~it. Mit Hilfe von AIK's und externen Trustcentem k6nnen (auch anonyme) Identit~iten gebildet werden. AIKs werden vom SRK abgeleitet und k6nnen auf Grund Ihrer Verwendung auch nachtrgglich noch gebildet oder gel6scht werden. Es sind mehrere AIKs pro Plattform und pro User m6glich. Dieses Attestationkonzept ist neu und weicht von bisherigen X.509 Zertifikatskonzepten deutlich ab. Typische Anwendungen hierfgr sind:
30
Trusted Computing Grundlagen 9
S erver-Authentifizierung
~ Plattformgebundene digitale Inhalte (DRM) ~ Anonyme Identit~iten in Beschaffimgs- und Vergabeplattformen Daneben ist nattMich auch nach wie vor die Unterstfitzung bekannter X.509 Zertifikatsstrukmren m6glich.
Plattform Zertifikat Das Plattform Zertifikat wird vom Motherboard/PC-Hersteller in den TPM eingebracht und best~itigt, dass ein gfiltiger TPM in eine korrekte Plattform montiert wurde. Der PC-Hersteller kann individuelle Hersteller-Daten in das Plattform-Zertifikat einbringen und damit sp~iter erm6glichen dass z.B. der PCTyp oder die Variante sicher erkannt wird~ Typische Anwendungen daRtr sind Third-Party oder ,,after buy" Business bei dem z.B. bestimmte Software oder andere Dienste auf ausgewfihlte Plattformen zu besonderen Konditionen automatisch tiber das Netz installiert werden kann.
Conformance Zertifikat Das Conformance Zertifikat wird von einem Prfiflabor ausgestellt und bestgtigt, dass die Sicherheitsfunktionen des TPM und des Motherboards positiv ftberpriift wurden und dem Protection Profile der TCG entsprechen. Die Verkettung dieser verschiedenen Zertifikate, Credentials und Keys, die es erlauben daraus diverse Sicherheitsaussagen abzuleiten, stellt ein durchaus interessantes und anspruchsvolles logisches System dar. Der interessierte Leser sei auf [TCG03] verwiesen.
Direct Anonymous Attestation Um Bedenken der Datensch(itzer tiber die Sicherheit von und das Vertrauen in externe oder 6ffentlichen Trustcenter (Certification Authority: CA) Rechnung zu tragen wurde noch zus~itzlich ein auf ZeroKnowledge Verfahren (Direct Proof) beruhendes Attestation-Verfahren definiert. Damit k6nnen sich zwei Plattformen ohne externe CA gegenseitig attestieren und durch den Wegfall eines extemen Dritten kann eine verbesserte Anonymit~it erreicht werden [TCG03].
3.2.3 Externe Zertifikats-Integrit~its- und Identit~itskette Gem~iB der TCG-Philosophie sind alle relevanten Standards often und allgemein verffigbar. Es w~ire also ein leichtes per SW-Emulation einen TPM nachzubauen und diesen auch entsprechend einzusetzen. Um aber sicher zu stellen dass auf der anderen Seite der Kommunikationsbeziehung auch ein sicherer Hardware-TPM aus einer vertrauenswfirdigen Produktion beteiligt ist, benutzt man daher ein bereits von hochsicheren Chipkarten her bekanntes Verfahren: Die korrekte Implementierung des TPMs wird durch den Hersteller mit einer digitalen Signatur best~itigt. Wie aus dem vorhergehenden Kapitel bekannt, enth~iltjeder TPM ein individuelles RSA-Schlfisselpaar (den sogenannten Endorsement-Key (EK)) bei dem der 6ffentliche Schlfissel durch ein Zertifikat des Herstellers signiert werden kann. Der TPM-Hersteller erzeugt dazu am Ende des Produktionsprozesses ffir jeden einzelnen TPM ein individuelles EK-Paar, signiert dieses und l~idt es in den TPM. Der geheime Teil des EK ist danach nur mehr f'~ interne Verschlt~sselungsoperationen zug~tnglich, der 6ffentliche Teil des EK kann aber ausgelesen und far die Verifikation benutzt werden. Ffir die Uberprtffung
Trusted Computing Grundlagen
31
der TPM-Signatur wird der 6ffentliche SchliJsselteil des Hersteller-Zertifikats benutzt (mit dem die EK-Signatur auch erstellt wurde). Das Hersteller-Zertifikat ist sinnvollerweise z.B. auf der Webseite des Herstellers 6ffentlich verfOgbar [IFX02], so dass die 0berprtifung eines TPMs durch jedermann erfolgen kann.
Erstellung der dig. Signaturkette Root CA Verisign
Hersteller
0berprefung der dig. Signatu rkette
Public KeyVp
VerfQgbar im Internet
Public }/Signed Public Key Ip Key Vs(Ip)
',O
TNC-Client LLI |. . . . . . . . . !
i>,
Network Access Requestor
Policy Enforcement Point
t m Q. ~i f }
an
VPN Gateway
Abb. 3" Strukmr von TNC Auf Seiten des Netzwerks existieren zwei TNC-Elemente" Der Policy Decision Point (PDP) stellt die Gegenseite zum Access Requestor (AR) dar. Es handelt sich dabei um einen Server, der die Aufgabe hat die Messwerte eines Access Requestors zu sammeln und mit Hilfe yon Policies eine Zugriffsentscheidung zu formuliereno Diese Entscheidung wird anschlief3end der ausffihrenden Stelle ffir den Zugriff mitgeteilt. Die Network Access Authority (NAA) im Policy Decision Point entscheidet, ob ein AR Zugriff bekommen soll oder nicht. Dazu fragt der NAA den TNC Server, ob die Integrit/~tsmessungen des ARs mit der Security Policy fibereinstimmen. Nur wenn das der Fall ist, ist das zugreifende Rechnersystem vertrauenswfirdigo
Trusted Network Connect- Vertrauenswfirdige Netzwerkverbindungen
103
Auf dem PDP stellen so genannte ,,Integrity Measurement Verifier" (IMV) das Gegenstiick zu den IMCs des AR dar. Auch hier existieren mehrere IMVs fOr die unterschiedlichen Sicherheitskomponenten. FOr jede zu fiberprfifende Sicherheitskomponente muss es, neben dem IMC, auch einen passenden IMV geben (siehe Abbildung 3)~ Sie vergleichen die fibermittelten Messwerte anhand der in den Policies festgelegten Regeln und teilen ihr Ergebnis dem TNC-Server im PDP mito Dieser trifft mit den Teilergebnissen eine Gesamtentscheidung fiber die Integrit~it des Rechnersystems und teilt diese Entscheidung dem Policy Enforcement Point t~ber die NAA mit. Der Policy Enforcement Point (PEP) ist das TNC-Element am Eintrittspunkt des Netzwerkes. Seine Aufgaben sind die Entgegennahme und Weiterleitung von Verbindungsanfragen sowie die AusfOhrung der Handlungsentscheidung des PDPs. Der PEP stellt als Eintrittspunkt den zuerst adressierenden Verbindungspunkt des Netzwerkes dar. Ankommende Verbindungsanfragen eines AR werden direkt an den PDP weitergeleitet. Nachdem ein PDP seine Entscheidung fiber die Vertrauenswfirdigkeit des AR getroffen hat, teilt er diese dem PEP mit, der gem~ig dieser Entscheidung den Zugriff auf das Netzwerk mit seinen Diensten gestatten oder verhindern muss. Ein PEP kann laut TNC-Spezifikation ein eigenst~indiges Rechnersystem sein oder in den PDP oder in anderes Netzwerk-Equipment integriert sein. So ist es m6glich, den PEP wahlweise direkt in ein VPNGateway zu integrieren oder, um vorhandene Netzwerkstrukturen unbert~hrt zu lassen, vor beziehungsweise hinter diesem Gateway.
3.3
Beispielkonfiguration
anhand
yon WLAN
Im Folgenden wird das TNC-Konzept anhand eines WLAN Beispiels etwas kor~reter dargestetlt.
f
...... ..... [
!
,Mcs
t:
I 802. lX Authenticator Abb. 4: WLAN-TNC-Beispiel
Abbildung 4 zeigt eine m6gliche Konfiguration eines mit TNC-Funktionen erweiterten und mit WPAEnterprise gesicherten WLANs. Da WPA-Enterprise EAP und 802olx nutzt, kann die TNC-Spezifikation in diesem Fall sehr einfach in die vorhandene WLAN-Struktur integriert werden.
104
Trusted Network Connect- Vertrauenswfirdige Netzwerkverbindungen
Mit einem Notebook, linke Seite, wird ein Verbindungsaufbau zum WLAN initiiert, das heigt, dass das Notebook die Rolle des Access Requestor fibemimmt. Auf diesem Notebook ist ein 802. Ix-Supplicant installiert der um einen NAR erweitert wurde. Zus~itzlich existiert ein TNC-Client, der die erforderlichen IMCs, in diesem Beispiel far Virenscanner bzw. Desktopfirewall, anspricht. Der zur Zugriffssteuerung genutzte 802.1x Authenticator des WLAN Access Points (PEP) wurde um einen TNC-PEP erweitert. Dieser kommuniziert direkt mit der NAA, die in den Radiusserver des Authentication Server (PDP) implementiert wurde. Zus/~tzlich besitzt der Server einen TNC-Server und mehrere IMVs die jeweils Zugriff auf eine (oder mehrere) Policy haben. Durch die sehr allgemein gehaltene Spezifikation ist das oben gezeigte Beispiel nicht nur eines von vielen Einsatzgebieten, sondern auch nur eine m6gliche L6sung des konkreten WLAN-Problems. Eine andere M6glichkeit w/~re es den TNC-Client in den Supplicant und den TNC-Server in den Radiusserver zu integrieren.
3.4 A n w e n d u n g s f e l d e r Trusted Network Connect soll m6glichst flexibel bei vielen Anwendungen zum Einsatz kommen, weshalb die Spezifikation sehr allgemein gehalten ist. Zwischen den vielfNtigen Anwendungsfeldem stechen zwei klassische Einsatzgebiete heraus. Diese sind der Schutz des Firmennetzes und der direkte Schutz des Intranets, die jeweils in den nfichsten Abschnitten vorgestellt werden.
3.4.1 Schutz des Firmennetzes TNC soll den Schutz des Intranets vor Angriffen von augen erh6hen. Heimarbeiter und insbesondere Augendienstmitarbeiter, die sich in st/~ndig wechselnden Sicherheitsumfeldem aufhalten, wghlen sich heute, zwecks Datenzugriff, meist fiber VPNs in das eigene Firmennetz ein. Wurde ein Rechnersystem eines Aul3endienstmitarbeiters kompromittiert, so stellt ein Zugriff fiber das VPN eine Umgehung der Sicherheitsmagnahmen, beispielsweise einer Firewall, des Firmennetzes dar. Die Malware auf dem kompromittierten System erhNt Zugriff auf das Firmennetz und die darin angeschlossenen Rechnersysteme. Durch eine Erweiterung des VPN-Zugriffs mit TNC-Funktionalit/~t l~isst sich die Integrit/it der Rechnersysteme messen und damit die Vertrauenswfirdigkeit vor dem Zugriff auf das Netzwerk mit seinen Diensten feststellen, um diesen gegebenenfalls, also bei Nichterfallung der Sicherheitspolicy, zu unterbinden. Durch die Nutzung der Funktionen eines Trusted Platform Modules (TPM) ist es zus~itzlich m6glich, einen VPN-Zugang an bestimmte Rechnersysteme zu binden, um etwa einen Zugriff von aul3erhalb mit gestohlenen Zugangsdaten zu verhindem.
3.4.2 Direkter Schutz des Intranets Neben dem Einsatz nun Schutz vor Angriffen von augen l~isst sich TNC auch zum Schutz vor Angriffen yon innen einsetzen. Mit 802.1x unterstfitzt TNC eine verbreitete Methode zur Authentifizierung. Durch die Ausstattung aller Rechnersysteme im Intranet mit um TNC-Funktionen erweiterten 802. IxSupplicants, k6nnen Angriffe von innen pr~iventiv abgewendet werden. Zus~itzlich besteht die M6glichkeit Rechnersysteme von G/~sten zuverl~issig auf ihre Integrit/it zu prafen und somit m6gliche Gefahren durch firmenfremde Rechnersysteme zu minimieren.
Trusted Network Connect- Vertrauenswfirdige Netzwerkverbindungen
105
3.4.3 Weitere Einsatzfelder Abgesehen von diesen klassischen Einsatzgebieten l~tsst sich TNC noch viel spezieller einsetzen. Aufgrund der offenen Spezifikation, lassen sich auch VPN-Gateways als Endpunkt ansehen. So wird eine sichere Anbindung yon Niederlassungen an ein Firmennetz mittels TNC-Mechanismen erm6glicht. Diensteanbieter im Internet, wie zum Beispiel Banken, erhalten die M6glichkeit, von ihren Kunden die Installation von aktuellen Virenscanner sowie einer Personal-Firewall zu verlangen. So wird verhindert, dass potentiell gef'~ihrdete Rechnersysteme auf die Dienste zugreifen und damit sich selbst und die angebotenen Dienste gef'~ihrden. Als Einschr~inkung far dieses Einsatzfeld muss bedacht werden, dass vorher entweder eine VPN-Verbindung zu den Servern etabliert sein muss (was technisch kein Problem darstellt und aus Sicht der Sicherheit nicht negativist), oder, neben VPN und 802. lx, eine weitere M6glichkeit von TNC-gesicherten Netzwerkverbindungen geschaffen werden muss.
4 Alternative Ans itze Neben TNC existieren weitere NAC-Ans~itze. Die prominentesten Vertreter sind Microsoft NAP und Cisco NAC die hier n~iher erl~iutert werden. Die alternativen L6sungen, auch die von Microsoft und Cisco, sind, im Gegensatz zur offenen TNC-Spezifikation, propriet~ir und vom Grundsatz her nicht interoperabel (n~iheres in Kapitel 5).
4.1 Microsoft NAP Microsoft entwickelt mit der ,,Microsoft Network Access Protection" (Microsoft NAP) eine eigene NAC-L6sung [Micr06a]. Microsoft NAP soll mit der auf Microsoft Vista aufbauenden Server-Version verfagbar werden. Client-Software wird sowohl far Vista als auch far Windows XP entwickelt. Die Steuerung des Netzwerkzugriffs erfolgt mittels vorhandener Technologien wie 802. l x und bietet unter anderem Untersttitzung far VPNs. Dadurch ist es weitestgehend hardwareunabh~ingig. Auf Softwareseite werden mit dem Network Policy Server (NPS) sowie der n6tigen Clients Softwareprodukte von Microsoft zwingend vorausgesetzt.
4.2 Cisco NAC Cisco Network Admission Control (Cisco NAC) ist Teil der ,,Self-Defending Network"-Strategie und geh6rt ebenfalls zu den Policy-basierten Zugriffssteuerungen [Cisc04]. Cisco setzt dabei komplett auf ihre eigene Hardware, d.h. dass im ganzen Netz spezielle NAC-f~ihige Hardware ben6tigt wird, was zu einer zwingenden Bindung an Cisco-Hardware fahrt. Cisco NAC ist bereits auf dem Markt verfagbar.
4.3 Weitere L6sungen Neben den drei ,,grol3en'~ vorgestellten LOsungen existieren viele weitere Ans~itze von Firmen wie zum Beispiel: ~ Check Point 9 Juniper Networks ~ StillSecure ~ Symantec ~ Vernier Networks
106
Trusted Network Connect- Vertrauenswfirdige Netzwerkverbindungen
5 Kritische Betrachtung Im Folgenden werden einige Aspekte des TNC-Konzeptes kritisch diskutiert. Dazu geh6ren die Vertrauenswfirdigkeit der erfassten Messwerte, die Administration, die Sicherheit und insbesondere die Interoperabilitgt~
5.1 Vertrauensw irdigkeit der Messwerte Die Sicherheit von TNC ist abh~ingig von der Vertrauenswt~rdigkeit der Messwerte. Diese mt~ssen korrekt gemessen und unverf~ilscht an den TNC-Server fibermittelt werden. Bei heutigen Systemen gibt es zungchst keine M6glichkeit, die korrekte Messung des Systemzustands und dessen korrekte 121bertragung zu garantieren. Wurde die Hardware oder das Betriebssystem eines Rechnersystems kompromittiert, mfissen auch die Messwerte als nicht mehr vertrauenswfirdig angesehen werden, da diese durch die Malware jederzeit beeinflusst werden k6nnen. Da die Messwerte aber zur Entdeckung von fehlender Integrit~it genutzt werden sollen, entsteht durch die st~indige Gefahr der unbemerkten F~ilschung ein dauerhaftes Misstrauen gegent~ber den Messwerten. Dies wurde unlfingst auf der Black Hat Konferenz 2007 anhand von Cisco NAC vorgefahrt. Mittels eines modifizierten Cisco Trust Agent (CTA) war es jederzeit m6glich, unabh~ingig vom Rechnerzustand, Zugriff auf ein NACgeschfitztes Netzwerk zu erlangen [Heis07]. Um dieses Paradoxon zum umgehen, bietet TNC durch seine optionale und direkte Unterstfitzung des Trusted Platform Moduls (TPM) einen gewissen Schutz vor Manipulation der Hardware sowie die M6glichkeit der Signierung und somit Absicherung der 121bertragung der Messwerte. Ohne eine vertrauenswfirdige Ermittlung der Messewerte ist die durch den TPM-Einsatz erreichte Sicherheit aber immer noch begrenzt. Erst mit Einffihmng von geeigneten Sicherheitsplattformen, wie zum Beispiel der Turaya Sicherheitsplattform des EMSCB Projektes [Emsc07], lassen sich auch die Messwerte aller Sicherheitskomponenten vertrauenswftrdig ermitteln. Dieses Problem stellt aber kein spezifisches Problem von NAC-Ans~itzen dar, sondem ein Gesamtproblem heutiger Rechnersysteme, das durch die zuldinftige Nutzung von Sicherheitsplattformen, die auf Trusted Computing aufbauen, gel6st werden kann.
5.2 Administration Neben der Problematik der vertrauenswfirdigen Messdatenerfassung und -fibermittlung verursachen Policy-basierte Ans~itze einen erh6hten Administrationsaufwand bei der Planung als auch w~thrend des Betriebs eines Netzwerks. Dies gilt besonders in heterogenen Netzwerken. So mftssen ffir alle im Netz befindlichen Endpunkte Zugriffsregeln f'ttr jede erdenkliche Konfiguration definiert werden. Zus~itzlich besteht die Gefahr, dass zu enge Regeln weitere Nebeneffekte erzeugen. Schreiben zwei Firmen nicht nur allgemein, also herstellerunabh~ingig, einen Virenscanner vor, sondern verlangen spezielle Virenscanner unterschiedlicher Hersteller, so ffthrt dies unter Umst~inden auf dem Notebook eines Mitarbeiters, der in beiden Firmen t~itig ist, zu Inkompatibilit~iten. Ein weiterer wichtiger Punkt ist das Thema Patch-Management. Es muss gekl~irt werden, wie die Daten der Policies optimal aktuell gehalten werden. So muss zum Beispiel jederzeit bekannt sein, welche Versionsnummer die aktuelle Virensignatur eines Virenscanners hat, ob die eingesetzte Personal-Firewall aktuell (das heif3t frei von bekannten Sicherheitslficken) ist und welchen Stand die Patch-Datenbank des
Trusted Network Connect- Vertrauenswfirdige Netzwerkverbindungen
107
eingesetzten Betriebssystem und der verwendeten Anwendungen hat. Diese Informationen mfissen von den Herstellern der einzelnen Komponenten bereitgestellt und an den Netzbetreiber fibermittelt werden. Ein Netzbetreiber ist somit nicht nur beim Aufbau des Netzes auf die Hersteller, die ihre Software mit IMC und IMV-Funktionen ausstatten m~ssen, angewiesen, sondern auch w~ihrend des Betriebes. Hier mtissen neue Formen der Zusammenarbeit gefunden und vertragliche Aspekte zur Haftung gekl~irt werden. Es muss klargestellt werden wie man die einzuspielenden Patches bezieht und installiert. M6glich wgre ein zentraler Patch-Server innerhalb der Firma oder ein Bezug direkt von den Herstellern. Ein zentraler Patch-Server minimiert auf der einen Seite den Datenverkehr zum Internet. Auf der anderen Seite stellt es sich als schwierig dar, s~imtliche Patches immer aktuell verfagbar zu halten, in der Praxis w~ire deshalb eine Kombination beider M6glichkeiten optimal. Besonders in wechselnden Umgebungen sind weitere Probleme denkbaro Schreibt eine Organisation aus Grfinden der Kompatibilit~it (mit anderen Programmen) eine veraltete Version einer Software vor und eine andere Organisation eine neuere Version, so kOnnen nicht beide Policies erfallt werden. Ein st~indiges Up- und Downgrade der Versionen ist entweder vom Aufwand her nicht vertretbar, oder schlichtweg nicht m6glich.
5.3 Sicherheit Ein weiteres ,,Problem" aller NAC-Ans~itze ist die netzabh~ingige Sicherheit. Das heigt, dass zwar eine Messung m6glich ist, aber kein Vergleich der ermittelten Daten mit den Policies. Wird ein offline betriebenes Rechnersystem t~ber lgngere Zeit nicht mit Updates gepflegt, steigt die Gefahr einer Kompromittierung wieder. Dies fahrt dann ebenfalls zu einer Gefiihrdung der zuvor aus dem Netzwerk kopierten Daten. Erst mit einem erneuten Aufbau zu einem mit NAC gesicherten Netzwerk werden diese Schwachstellen erkannt. Dieser Aspekt ist aber kein Schwachpunkt der NAC-Ans~ttze sondern soll durch andere Sicherheitsmechanismen, wie zum Beispiel Enterprise Rights Management Systeme, gel6st werden. Grund hierfar ist, das NAC zuallererst ein Netzwerk mit seinen angeschlossenen Rechnersystemen und angebotenen Diensten schfitzen soll.
5.4 Interoperabilit~it und Standardisierung Trotz ~ihnlicher Strukturen und zumeist gemeinsam genutzter Basistechnologien sind alle auf dem Markt und in der Entwicklung befindlichen NAC L6sungen zumeist propriet~ir und nicht kompatibel zueinander. Dieser Punkt stellt sich als Hemmnis far die Verbreitung dieser L6sungen dar, da Firmen die sich heute far eine auf dem Markt befindliche L6sung entscheiden keine Sicherheit haben, dass die gew~ihlte L6sung sich auf dem Markt behaupten wird. Durch die Wahl von L6sungen marktbeherrschender Hersteller besteht deswegen eine besonders grol3e Gefahr der Bildung von De-facto-Standards, die andere Mitbewerber aus dem Markt dr~ingen. Des Weiteren besteht far Rechnersysteme die in h~iufig wechselnden Umgebungen eingesetzt werden, beispielsweise von Aul3endienstmitarbeitern, ein zus~itzlicher Aufwand. Diese Ger~ite m%sen Far alle erdenklichen L6sungen vorbereitet sein. Seit Mitte 2006 bestehen mehrere, unterschiedliche Bestrebungen die Interoperabilitgt verschiedener L6sungen zu gew~ihrleisten. Diese Bestrebungen werden im Folgenden kurz erlgutert und diskutiert:
108
Trusted Network Connect- Vertrauenswfirdige Netzwerkverbindungen 9 Cisco und Microsoft haben im September 2006 die Unterst~itzung der jeweils anderen L6sung angekfindigt [Micr06b]. Hinter dieser Ankfindigung verbirgt sich keine direkte Anpassung der Architekturen sondern haupts~ichlich eine Unterstfitzung beider Technologien auf Client-Seite. Das heif3t, dass die Clients beider Hersteller sowohl Netzwerke mit Cisco NAC als auch mit Microsoft NAP unterstfitzen~ Auf Netzwerk-Seite mfissen sich die Netzbetreiber weiterhin fttr eine der L6sungen entscheiden. 9 Verschiedene Hersteller von NAC-Produkten (Anm.: nicht Cisco NAC) gestalten ihre Produkte zu mehreren L6sungen kompatibel (Beispiel: Complete NAC von StillSecure). Hier findet zumeist eine Konzentration auf die drei ,,grol3en" LOsungen Cisco NAC, Microsoft NAP und TNC statt. Dies bedeutet mr L6sungen anderer Hersteller ein Wettbewerbsnachteil. 9 Microsoft hat sein Statement of Health-Protokoll (Soil) der Trusted Computing Group zur Verf'tigung gestellt. Diese hat Soil als zus~itzliche Schnittstelle (IF-TNCCS-SOH) zwischen dem TNC-Client und dem TNC-Server spezifiziert [Trus07a] [Trus07b]. Dieser Schritt bietet zuallererst den TNC=geschfitzten Netzwerken, die die Neue Schnittstelle unters~tzen, den Vorteil, dass als Client seitens des AR die bei Windows Vista/Longhorn Server mitgelieferten NAP-Clients genutzt werden k6nnen. Auf der anderen Seite bleibt abzuwarten, inwieweit sich beide Schnittstellen gemeinsam Administrieren lasseno Sollte der Administrationsaufwand stark steigen, so werden wahrscheinlich beide Schnittstellen nicht koexistieren k6nnen. Zus~itzlich finden sich bisher keine Aussagen dartiber, wie neue Versionen des SoH-Protokolls entwickelt werden (das heil3t ob gemeinsam mit anderen Anbietern oder alleine von Microsoft) und ob diese Protokolle als offene Spezifikation ver6ffentlicht werdeno ~ Die zurzeit einzige Bestrebung einer Standardisierung im NAC-Sektor findet durch die IETF mit der ,,Network Endpoint Assessment Working Group" statt. Anfang Mai 2007 erschien die zweite Version des ,,Overview and Requirements"-Papers [Ietf2007] ffir das ,,Network Endpoint Assessment" (NEA) in dem unter anderem zur Begriffsbildung ein auf TNC, Cisco NAC und Microsoft NAP basierendes Referenzmodell beschrieben wird. Mitglieder dieser Arbeitsgruppe sind unter anderem Cisco und Symantec.
6 Fazit Im Zuge der immer st~irkeren Vernetzung innerhalb und zwischen Firmen fiber unsichere Netzwerke ist eine Erh6hung der Vertrauenswttrdigkeit von Netzwerkkommunikation unabdingbar. NAC-L6sungen wie die TNC-Spezifikation der Trusted Computing Group bieten die M6glichkeit, Endpunkte auf deren Integrit~it zu untersuchen, und tragen somit zu einer Erh6hung der Vertrauenswtirdigkeit bei. Im Gegensatz zu anderen, propriet~iren L6sungsans~itzen besitzt TNC durch seine Offenheit einen grogen Vorteil. Durch die Offenheit ist TNC weder an die Hard- noch an die Software bestimmter Hersteller gebunden. Dies erm6glicht eine Akzeptanz und Adaption durch alle Hersteller von Systemkomponenten und Netzwerktechnologie, was einen wichtigen Faktor far den Erfolg darstellt. Es ist aber zu beachten, dass bei allen Ans~itzen ohne den Einsatz sicherer Betriebssystemstrukturen die Vertrauenswttrdigkeit der Komponenten nicht ausreichend gew~ihrleistet wird und somit der momentan zu erreichende Grad an Vertrauenswfirdigkeit begrenzt ist. Da TNC weder spezielle Hardware, wie TPMs, noch spezielle Betriebssystemstrukturen voraussetzt und zudem vorhandene Netzinfrastrukturen unterstt~tzt (bzw. darauf aufbaut), lgsst es sich schon heute sehr gut in vorhandene Netzwerke integrieren.
Trusted Network C o n n e c t - Vertrauenswfirdige Netzwerkverbindungen
109
Literatur [Cisc04] [Emsc07] [Heis07] [Hart05] [Ietf07] [JuPo06] [Micr06a] [Micr06b] [Micr06b] [Trus06] [Tru+06] [Trus07a] [Trus07b]
Cisco Systems GmbH, Die Evolution des Self-Defending Network, 2004 http://www.cisco.com/global/AT/pdfs/prospekte/Securtiy_CNAC_032004.pdf Das EMSCB-Projekt, www.emscb.de News: Ciscos Netzwerkzugangskontrolle NAC ausgetrickst- M~irz 2007 http://www.heise.de/ newsticker/meldung/mail/87663 Michael Hartmann, Trusted Network Connect- Netzwerkhygiene auf hohem Niveau, 2005, Datenschutz und Datensicherheit (DUD) Network Endpoint Assessment (NEA): Overview and Requirements, Mai 2007 http://www.ietf.org/ internet-drafts/draft-ietf-nea-requirements-02.txt M. Jungbauer, N. Pohlmann: ,,VertrauenswOrdige Netzwerkverbindungen mit Trusted Computing- Sichef vernetzt?" IT-Sicherheit - Management und Praxis, DATAKONTEXT-Fachverlag, 6/2006 Microsoft Corporation, Network Access Protection- Homepage 2006 http://www.microsoft.com/ technet/network/nap/default.mspx Microsoft Corporation, NAP-Whitepaper, 2006 http://www.microsoft.com/technet/network/nap /naparch.mspx Microsoft Corporation, Cisco and Microsoft Unveil Joint Architecture for NAC-NAP Interoperability, 2006 http://www.micr•s•ft.c•m/presspass/press/2••6/sep•6/•9-•6SecStandardNACNAPPR.mspx Trusted Computing Group: Trusted Network connect Subgroup, 2006 https ://www.trustedcomputing group, org/groups/network Trusted Computing Group, TCG Trusted Network Connect TNC Architecture for Interoperability, 2006 https://www.trustedcomputinggroup.org/specs/TNC/TNC_Architecture_vl 2 r4.pdf Microsoft and Trusted Computing Group Announce Interoperability, Mai 2007 https://www.trustedc•mputinggr•up.•rg/news/press/TNC-NAP-inter•p-re•ease-•na•-may18.pdf TCG TNC IF-TNCCS: Protocol Bindings for Soil, Mai 2007 https://www.trustedcomputinggroup.org/ spec s/TNC/IF-TNC CS- SOH_v 1.0_r8.pdf
Interaktionen TPM und Smart Card Florian Gawlas 9 Gisela M e i s t e r - A x e l Heider Sebastian Wallner Giesecke & Devrient GmbH, Prinzregentenstral3e 159, 81677 Mt~nchen {florian.gawlas ] gisela.meister I axel.heider[ sebastian.wallner }@gi-de.com
Zusammenfassung Trusted Platform Module (TPM) entsprechend dem Industriestandard der Trusted Computing Group (TCG) ~ihneln von ihrer Funktionalitfit einer Smart Card. Doch w~ihrend eine Smart Card als Plastikkarte mit Chip oder als Token transportabel ist, wird das TPM fest in ein Ger~it (z.B. Mainboard des PCs) oder einen anderen Hardwarebaustein integriert. Ziel der vonder TCG entwickelten Konzepte ist es, den Schutz der Integritfit der Ger~ite in einer zunehmend vernetzten Welt zu gew~ihrleisten. Die bestehenden Anwendungen zum TPM zeigen, dass neben den gerfitebezogenen auch personenbezogene Daten vom TPM verwaltet werden. Dies hat mr den Anwender hinsichtlich der Benutzerfreundlichkeit sowie der Datensicherheit Nachteile. In diesem Kapitel stellen wir Ans~itze zur geeigneten Einbindung von personenbezogenen Smart Cards in die TCG-Konzepte vor.
1 Trusted Computing heute Das TPM als zentraler Baustein der TCG (siehe [Trus07]) gewinnt weiter zunehmend an Bedeumng. Schon heute z~ihlt die TCG mehr als 100 Mitgliedsfirmen. In neue Laptops werden TPMs standardm~igig integriert. Auch in vielen Desktoprechnem sind TPMs mittlerweile verfiigbar. Der Verbreimng an TPMs steht aber immer noch ein Mangel an Anwendungen und Betriebssystemen gegent~ber, welche die M6glichkeiten des TPMs ausreichend nutzen k6nnen. Des Weiteren sehen viele Menschen im TPM eher eine Bedrohung, da der Entzug der Kontrolle fiber den eigenen PC und die eigenen Daten befarchtet wird. Ein wichtiger Schritt fttr mehr Vertrauen in TCG-Anwendungen k6nnte die Trennung von personenbezogenen oder hoch-kritischen Daten vom Gergt (also vom TPM) und eine st~irkere Bindung der Daten an die entsprechende Person sein. Hierzu bieten sich vor allem Smart Cards an. Smart Cards sind eine bew~ihrte Technologie, die den allerh6chsten Sicherheitsanforderungen gent~gt und auch deshalb ein entsprechendes Vertrauen bei Benutzern geniel3t. Diese Empfehlung hat auch die Deutsche Bundesregierung bereits 2003 in einer Stellungnahme geguBert [Bund07]:
,,Insofern das Sicherheitsmodul (TPM) fest mit der restlichen Hardware des IT-Systems (z.B. PC) verbunden ist, sollte sich die Funktionalit~it des Sicherheitsmoduls darauf beschr~inken, die Sicherheit und Integritdt der Plattform zu gewgihrleisten. Die Nutzung von personalisierten Programmen, Daten und Onlinedienstleistungen sollte wenn nOtig nicht an das Sicherheitsmodul (TPM) gebunden werden, sondern an eine personalisierte N. Pohlmann, H. Reimer, (Herausgeber): Trusted Computing, Vieweg (2007), 110-121
Interaktionen TPM und Smart Card
111
Smart-Card. Damit liefle sich der anwenderbezogene Zugriff auf Daten flexibler gestalten und Migrationsprobleme wiirden deutlich reduzierto " Das Vertrauen in die Sicherheit von Smart Cards wird unter anderem durch die mittlerweile fiblich gewordenen Common Criteria (ISO 15408) Evaluierungen entsprechend der Stufe EAL 4 mit hoher Mechanismenst~irke (SOF-hoch) gewonnen, wobei man die Vertrauensw~rdigkeitsklassen um eine Analyse far Angriffe mit hohem Angriffspotential erweitert. Smart Cards sind unter alleiniger Kontrolle eines Benutzers und sind somit aus Sicht des Datenschutzes zur Speicherung personenbezogener Daten unbedenklicher als andere Technologien wie etwa das TPM, das auch von mehreren Anwendern genutzt werden kann. 9 Die Daten auf einer Smart Card k6nnen vom Benutzer unwiederbringlich physikalisch zerst6rt werden, beispielsweise durch Zerschneiden mit einer Schere. Um ein TPM auf dem Motherboard im Inneren eines Ger~its ausfindig zu machen, braucht man schon mehr Kenntnisse der Elektronik. Es gibt zwar einen TPM-Befehl zum L6schen aller Inhalte; dieser l~isst sich aber an einem defekten Ger~it na~rlich nicht mehr ausfahren. 9 Smart Cards erlauben es, dem Benutzer seine Geheimnisse (z.B. Schlfissel, Passw6rter) nicht nur an einem bestimmten Ger~it sondern an vielen Ger~iten zu nutzen, w~thrend sich der Datentransport bei TPM basierten Systemen technisch anspruchsvoll gestaltet. 9 Die Zugangsbeschr~inkungen des TPMs basieren heute weitgehend allein auf Wissen, w~ihrend die Zugangsbeschrgnkung bei Smart Cards aus Besitz und Wissen oder Besitz und biometrischem Merkmal bestehen k6nnen, und damit eine h6here Sicherheit bieten (siehe auch [Meis04]). 9 Nach Auslieferung des TPM-gesicherten Ger~its oder einer Smart Card sind Korrekturen am ausfahrbaren Chipcode in der Regel nicht mehr m6glich. Treten nachtr~iglich Sicherheitslficken am TPM auf, ist ein Austausch des TPMs nicht m6glich, ohne dabei das gesamte Ger~it austauschen zu m~ssen. Smart Cards k6nnen dahingegen mit wesentlich geringerem Aufwand ausgetauscht werden. 9 W~ihrend TPMs eine Anwendungsschnittstelle far Applikationen bieten, die aul3erhalb des TPMs betrieben werden, enth~ilt die Smart Card neben dem Betriebssystem auch die Applikation. Die Anforderungen an die Smart Card hinsichtlich Funktionalit~it und Sicherheit k6nnen somit speziell auf die Anwendung zugeschnitten werden. Die Anforderungen an spezielle Anwendungen (z.B. auch die in Europa rechtsgt~ltige qualifizierte elektronische Signatur) ist mit einer extern gehaltenen Anwendung nicht vereinbar. Es zeigt sich, dass das TPM im Rahmen der PC-Sicherheit die Smart Card keinesfalls ersetzen kann. Andererseits ist auch die Smart Card nicht in gleichem Mal3e geeignet die Integrit~it des Ger~its zu gew~ihrleisten. Die Herausforderung liegt also eher in der geeigneten Kombination yon Smart Card und TPM-Technologie um ein Maximum an Benutzerfreundlichkeit und Datensicherheit zu gew~ihrleisten. Kombinierte L6sungen sollten auch helfen die Akzeptanz neuer Sicherheitstechnologien zu erh6hen.
2 Gesamtl6sungen Erste GesamtlOsungen bestehen bereits. Beispielsweise werden Smart Cards zur Benutzerautorisierung eingebunden. In dieser L6sung werden Schw~ichen des allein TPM-basierten Systems durch die Nutzung von speziellen Eigenschaften der Smart-Card-Technologie verbessert. Eine solche Anwendung ist also ein gutes Beispiel far eine gelungene Gesamtl6sung. Man gelangt zu unterschiedlichen L6sungen, je nachdem ob man nach Verbesserungsvorschl~igen far TPM-Anwendungen oder nach einer besseren
112
Interaktionen TPM und Smart Card
Anbindung bereits bestehender Smart-Card-Infrastrukturen sucht. Beide Aspekte werden im Folgenden n~iher diskutiert.
2.1 Gesamtl6sungen aus Sicht des TPMs Der am weitesten erprobte Ansatz zur Verbesserung des TCG-Konzepts unter Einbeziehung der Smart Card, ist das Konzept der Benutzerautorisierung ([GaMe05],[Patr03]).
2.1.1 Passw6rter Nach der TCG Spezifikation 1.2 bestehen die Autorisierungsdaten aus einem 20 Byte langen, m6glichst zuf'~illigen Wert. Die Benutzerschnittstelle des TPMs (Teil des TCG Software Stacks - TSS) bietet verschiedene Protokolle zur Generierung, Anderung oder zum Nachweis der Autorisierungsdaten an. Ein Beispiel ist das OSAP-Protokoll. Im OSAP-Protokoll wird zun~ichst ein Sitzungsschlfissel ausgehandelt. Der Sitzungsschlfissel wird aus einer HMAC-Berechnung fiber die Autorisierungsdaten und jeweils einer Zufallszahl des TPMs und einer Zufallszahl des Benutzers erzeugt. Der Sitzungsschlfissel wird anschliel3end benutzt, um einen Autorisierungsblock wieder mit Hilfe eines HMACs fiber Kommandodaten der TPM-Befehle zu berechnen. Das TPM hat damit die M6glichkeit, die Zugriffsberechtigung des Benutzers far bestimmte Objekte zu prCtfen. Das Problem an den meisten Implementierungen dieses Autorisierungsverfahrens, liegt an der Verwendung von einfachen Passwortmechanismen zur Eingabe der Autorisierungsdaten: 9 20 Byte lange, rein zuf'~illige Passw6rter sind zu lang, um sie sich zu merken. Der Benutzer wird sich die Passw6rter aufschreiben und untergr~ibt damit die Sicherheit des Systems. 9 Wer sich Passw6rter nicht aufschreiben will, wird in der Regel keine rein zufNligen Zeichenfolgen als Passwort w~ihlen und ist damit eher anfNlig gegen W6rterbuchangriffe. 9 Wenn ein Passwort ausgesp~iht wurde, erlaubt es dem Angreifer den direkten Zugriff auf die jeweiligen Daten. Eine zus~itzliche Hfirde, z.B. die Inbesitznahme eines pers6nlichen Tokens, ist bei einem TPM-gesicherten PC in dieser Variante nicht gegeben. 9 Heute verwenden verschiedene TSS-Implementierungen noch unterschiedliche Mechanismen, um aus einen Benutzer-Passwort ein 20 Byte langes Passwort zu erzeugen. Daher ist es unter Umst~tnden mit bestehenden Systemen nicht m6glich, auf ein Objekt zuzugreifen, wenn eine andere Software oder gar ein anderes Betriebssystem verwendet wird. Um das Passwort zu verkfirzen, aber die Sicherheit nicht zu reduzieren, kann man eine Smart Card in das Konzept integrieren. Die Sicherheit von Smart Cards basiert auf Wissen und Besitz. Zus~itzlich erlauben Smart Cards Zugangskontrollen mit einem Fehlbedienungsz~ihler, der bei mehrmaliger Falscheingabe der PIN den Zugangsmechanismus sperrt. Fttr TPMs ist ein solcher Fehlbedienungszghler schwerer umsetzbar, weil der Verwaltungsaufwand f'tir Ger~ite mit blockierten TPMs wesentlich schwerer zu handhaben ist, als far blockierte Smart Cards. Entsprechende Mechanismen k6nnen nur in Software, beispielsweise im TSS, implementiert werden. Die TPM Spezifikationen definieren zwar, dass ein TPM beispielsweise W6rterbuchangriffe erkennen soll, lassen jedoch often, wie dies genau umgesetzt werden soll. Durch Einbindung der Smart Card l~isst sich der Wissensanteil auf eine vier- bis sechsstellige zufgllige numerische PIN verkfirzen. Die angestrebte Gesamtl6sung kann sich wie folgt darstellen: ~ Die 20 Byte langen Autorisierungsdaten werden auf der Smart Card generiert. Diese stellt sicher, dass auch tats~ichlich 20 zufNlige Byte verwendet werden und nicht nur Buchstaben oder Zahlen.
Interaktionen TPM und Smart Card
113
9 Die Smart Card und das TPM handeln zu Beginn einer Sitzung einen Sitzungsschl%sel aus. Die dazu verwendete Zufallszahl des Benutzers wird vonder Smart Card mit einem Zufallszahlengenerator erzeugt. 9 Die PC Applikation sendet zungchst TPM-Befehle zur Smart Card, die anschliegend mit Hilfe des Sitzungsschl~ssels einen Autorisierungsblock berechnet, und diesen an die PC-Applikation zurfick schickto 9 Die PC-Applikation schickt den Autorisiemngsblock inklusive dem TPM Befehl ans TPMo 9 Das TPM verifiziert mit Hilfe seines Sitzungsschlfissels den Autorisierungsblock und erlaubt bei erfolgreicher P~fung den Zugriff auf das entsprechende Objekt. Eine solche Smart Card / TPM L6sung bietet eine verbesserte Benutzerfreundlichkeit, weil sie den Wissensanteil stark reduziert und gleichzeitig den Schutz der vom TPM verwalteten Daten durch eine verbesserte Zugangskontrolle u.a. durch den zus~itzlich ben6tigten Besitz erhOhto
2.1.2 Bootprozess Auch hinsichtlich des authentisch gemessenen Bootprozesses k6nnen Smart Cards das bestehende TCG Konzept unterstfitzen. Beim Booten eines Gergts werden nach dem Konzept der TCG Integrit~itsmessungen der Reihe nach fiber das BIOS, die Laderoutine des Betriebssystems, das Betriebssystem und andere Komponenten gerechnet. Das TPM stellt sichere Speicherzellen (Plattform Configuration Register oder kurz PCR) zur Speicherung zur Verfagung. Ein extemer Server kann sich dann nach Bedarf die Inhalte der PCRs vom TPM signiert schicken lassen, um sich ein Bild vom Zustand des TPM gesicherten Systems zum Zeitpunkt des Bootens zu machen. Vireninfizierte Rechner k6nnen so beispielsweise von einem zentralen Server schnell innerhalb eines Firmennetzwerks identifiziert werden. Sind Rechner allerdings nicht vernetzt, bleiben diese Messungen im Allgemeinen ungenutzt, weil die TCG dem TPM eine rein passive Rolle zugeordnet hat. Das TPM misst, tiberl~isst aber die Bewertung der Messungen in der Regel anderen. Das TPM spem also beispielsweise nicht den Zugang zu einem mit Viren infizierten Rechner, es verhindert nur die Nutzung gewisser Schlfissel, die an einen bestimmten Zustand gebunden sind. Der Boot-Vorgang der TCG ist damit nicht zu verwechseln mit einem sicheren Boot-Vorgang, bei dem zwangslgufig in einen sicheren Zustand gebootet wird. Smart Cards k6nnen aber far den Benutzer die Rolle der 12Iberprafung der Integrit~itsmessungen fibernehmen. Hierzu ist folgendes Konzept denkbar (siehe auch Abb.1): 9 Die PC-Anwendung erfragt die signierten PCR Inhalte vom TPM. 9 Die PC-Anwendung schickt die signierten PCR-Inhalte zur ()berprfifung an die Smart Card. 9 Die Smart Card vergleicht die Werte mit entsprechenden auf der Smart Card gespeicherten Referenzwerten ~. 9 Das Ergebnis der Uberprfifung wird an den Benutzer (z.B. in Form einer geheimen Nachricht auf dem Bildschirm) weitergeben. Dariiber hinaus werden erst nach erfolgreicher Uberprfifung gewisse Funktionen auf der Smart Card freigeschaltet. Auch im Fall vemetzter Rechner kann die Smart Card eine wichtige Rolle spielen. Beispielsweise, wenn die Nachricht fiber den Integrit~itszustand eines Rechners anonymisiert an einen Server weitergeben werden soll. Die Smart Card teilt einem entfemten Server nur noch mit, dass sich eine Plattform 1 Eine Verwaltungder Referenz-PCR-Werteauf der Smart Card hinsichtlich Software~inderungenauf dem Ger~ithat durch den Administrator zu erfolgen,
114
Interaktionen TPM und Smart Card
in einem vertrauenswttrdigen Zustand befindet, nicht aber, wie dieser genau aussieht. Der Server kann somit keine direkten Rfickschlfisse ziehen, welche Software auf der Plattform l~iuft. PC Server PCR Contents
Smart Card
Result
Abb. 1: Konzept Integrit~itsmessung Auch in dieser Anwendung bietet die Einbindung der Smart Card eine Erweiterung des TCG Konzepts hinsichtlich Datensicherheit und Datenschutz. Ein Rechner mit TPM und Smart Card bietet die M6glichkeit, vor der Eingabe von Passw6rtern etwas fiber den Integrit~itszustand des PCs zu erfahren. Der Anwender kann selbst entscheiden, wie er auf m6gliche Integrit~itsverletza.mgen reagieren m6chte. Aul3erdem k6nnen Konfigurationsdaten des Ger~its vor dem Server verborgen werden, ohne dem Server den Integrit~itszustand der Ger~ite Software vorzuenthalten.
2.1.3 Authentizit~itspr~ifu ngen Jedes TPM wird in der Produktion mit einem RSA-Schlfisselpaar ausgestattet, den man Endorsement Key (EK) nennt. Der 6ffentliche Schlfissel wird von einer Zertifizierungsinstanz zertifiziert und kann anschliel3end aus dem TPM exportiert werden. Die Verwendung des privaten EKs durch das TPM z.B. zur Erstellung von Signamren wfirde es einer externen Instanz erlauben, Nachrichten einem bestimmten Ger~it zuzuordnen. Dies ist aus Datenschutzgrfinden nicht gewollt. Die TCG-Konzepte sehen deshalb vor, dass das TPM zus~itzliche Schlfisselpaare generiert, sogenannte Attestation Identity Keys (AIKs), die als Pseudonyme des EKs eines TPMs verwendet werden. Damit eine dritte Instanz einer AIK-Signatur vertrauen kann, braucht sie eine Beglaubigung des zugeh6rigen 6ffentlichen Schltissels. Solche Zertifikate werden v o n d e r Zertifizierungsinstanz erstellt, nachdem die AIKs signiert mit dem EK an die Zertifizierungsinstanz fibertragen werden. Die Zertifizierungsinstanz, die den 6ffentlichen EK vertrauenswfirdig bekommen und sicher gespeichert hat, kann entsprechend die Signatur fiber die AIKs verifiziereno Dieses Konzept basiert auf grol3em Vertrauen in die Verffigbarkeit und die Sicherheit der Zertifizierungsinstanz und ist deshalb auch innerhalb der TCG umstritten. Als Alternative wurde von der TCG, basierend auf Zero-Knowledge-Protokollen ein Verfahren aufgenommen, das auch ohne eine zentrale Zertifizierungsinstanz auskommt und unter dem Begriff Direct Anonymous Attestation (DAA) bekannt ist (siehe [Bric04]).
Interaktionen TPM und Smart Card
115
Altemativ zu dem DAA-Verfahren kann aber auch eine Smart Card eingesetzt werden, um die Schw~ichen einer zentralen, jederzeit verfagbaren Verwaltung yon Zertifikaten zu umgehen (siehe [He06]). Hierbei wird eine Smart Card vonder Zertifizierungsinstanz herausgegeben, welche die Rolle der Zertifizierungsinstanz beim Zertifizieren der AIKs fibemimmto AIKs werden vom TPM erzeugt, mit dem EK signiert an die Smart Card geschickt, welche die Signatur prfift und bei positivem Ergebnis ein Zertifikat fiber den AIK ausstellt. Mit einer geeigneten Schlt~sselverwalmng k6nnen die Spuren der Smart Cards verwischt werden. Das Ergebnis sind zertifizierte AIKs, die selbst von der Zertifizierungsinstanz nicht mehr einem bestimmten TPM zugeordnet werden k6nnen und eine Zertifikatsinfrastukmr, die keinen zentralen, jederzeit verfagbaren Server ben6tigt.
2.1.4 Schl~isselspeicherung und Kontrolle Die Spezifikation des TPMs sieht nicht vor, dass Schlt~ssel im TPM selbst gespeichert werden (mit Ausnahme des EK und des Storage Root Keys (SRK)). Die Speicherung von Schlfisseln erfolgt verschlfisselt in sogenannten Schlfisselblobs auf extemen Speichermedien. Der Schlfissel zum Ver- und Entschlfisseln des Schl%selblobs ist entweder der SRK selbst oder ein Schlfissel, der selbst wieder in einem Schl~isselblob gespeichert wurde. Wird ein Schlfissel im TPM ben6tigt, mfissen die ben6tigten Schlt~sselblobs ins TPM geladen werden. Auf extemen Speichermedien besteht jedoch kaum Kontrolle fiber die Blobs, so dass sie beliebig vervielf'~iltigt werden k6nnen. Dabei ist zwar der verschlfisselte Schlfissel innerhalb des Blobs vertrauenswfirdig gespeichert, aber ein Schlfisselblob kann in den Besitz Dritter kommen. Problematisch wird dies, wenn die Nutzungsberechtigungen far einen Schlfisselblob ge~indert oder sogar das Passwort fttr die Nutzung des Schlfissels bekannt wird. In jedem Fall wird dann vom TPM ein neuer Schlfisselblob erzeugt. Das TPM selber kann jedoch nicht verhindem, dass der alte Schlfisselblob mit dem alten Passwort bzw. den alten Berechtigungen weiter genutzt wird. Dies muss durch das Betriebssystem, den TSS oder eine andere Instanz gew~ihrleistet werden. Erfolgt die Speicherung der Schlfisselblobs auf einer Smart Card (die handelsfiblich fiber 64 K-Byte verfagt), so hat diese die volle Kontrolle fiber den Schlfisselblob und kann sicherstellen, dass jeweils nur eine aktuelle Version des Schlfisselblobs existiert (siehe [He06])~ Unter der Vorraussetzung, dass zwischen Smart Card und TPM ein sicherer Kanal aufgebaut werden kann, sollte die Kommunikation zwischen Smart Card und TPM zus~itzlich verschlftsselt erfolgen um ein Aussp~ihen beim Ein- oder Auslesen von Schlfisselblobs zu verhindem. Auch beim Konzept der Schl%selmigration von einem TPM auf ein anderes Ger~it kann die Smart Card nfitzliche Dienste leisten. Unter Einbindung der Smart Card liege sich der in den TCG-Konzepten bestehende Migrationsprozess feiner steuern: Die Migration kann damit in mehrere Arten aufgeteilt werden, beispielsweise: 9 121bertragung eines Schlfisselblobs von einem TPM auf ein anderes wobei der Schlfissel danach nicht mehr mit dem alten TPM nutzbar ist. Die Smart Card stellt die Echtheit des Ziel-TPMs durch Prfifung von dessen Zertifikat(en) sicher. ~ 12rbertragungdes Schlfisselblobs an eine Instanz, die kein TPM ist, jedoch im jeweiligen Szenario trotzdem ein Migrationsziel sein kann. ~ Kopie des Schlfisselblobs, damit er mit beiden TPMs bzw. von verschiedenen Instanzen genutzt werden kann~ 9 Migration des Schlfissels auf die Smart Card 9 Backup des Schl%sels, so dass eine Freigabe erfolgen kann, falls das TPM zerst6rt wurde.
116
Interaktionen TPM und Smart Card
In allen Fgllen fibernimmt die Smart Card die Rechteverwaltung. Dies hat den Vorteil, das in den TPMProtokollen keine generische Rechteverwaltung flit alle denkbaren Anwendungsszenarien n6tig ist, denn diese kann sehr komplex und somit schwer fiberschaubar werden. Die Smart Card hingegen muss nur solche Verwaltungen implementieren, die far das jeweilige Szenario benOtigt werden~ Spfitere Erweiterungen sind dann ggf. durch Austausch der Smart Card m6glich, wobei die hierbei verwendeten Prozesse dann nicht mehr an das TPM gebunden sind, sondern von den Betreibern des jeweiligen Systems bestimmt werden.
2.2 Gesamtl6sungen aus Sicht der Smart Card Aus Sicht der bestehenden Smart-Card-Anwendungen wgre es sinnvoll, eine Kompatibilit~it zwischen den bisher unterschiedlichen Konzepten der TCG und denen der Smart-Card-Standards anzustrebeno Das TPM muss dazu nicht notwendigerweise eine ISO-7816-Schnittstelle anbieten, aber das TPM sollte eine sichere Umsetzung auf der Ebene der PC-Anwendungen erlauben. Dies bedeutet letztlich, dass die PC-Anwendung keinen besonderen Schutz ben6tigen sollte, weil alle Geheimnisse auf dem TPM oder auf der Smart Card verbleiben und nicht im Klartext ausgetauscht werden mfissen. Das Verfahren sollte sicherstellen, dass das TPM und die Smart Card bei der gegenseitigen Authentisierung Sitzungsschlfissel aushandeln die ffir einen sicheren Kanal zum authentischen und vertrauenswttrdigen Austausch von sicherheitsrelevanten Daten zwischen den beiden vertrauenswfirdigen Endpunkten TPM und Smart Card verwendet werden k6nnen (siehe Abb. 2). Um eine solche L6sung mit einer echten Ende-zu-Ende Sicherheit zu realisieren, k6nnte man beispielsweise eine kleine Applikation auf dem TPM unterbringen~
d Data \
TPM
Trusted Platform Abb. 2: Sicherer Datenaustausch Smart Cards der n~ichsten Generation k6nnen auch direkt fiber USB mit dem PC verbunden werden. Die Kommunikation erfolgt dann fiber TCP/IP sowie HTTP und SSLo Eine solche Internet Smart Card kann dann direkt mit dem TSS auf dem PC kommunizieren, indem dessen Webservice Schnittstelle und SOAP verwendet wird. Somit kann eine Internet Smart Card fiber das TSS direkt mit dem TPM kommunizieren, w~ihrend der Benutzer die Internet Smart Card fiber seinen Browser nutzt (Abb~ 3). Uber die
lnteraktionen TPM und Smart Card
11 7
Internetverbindung des PCs kann die Internet Smart Card mit entfernten Servern Kontakt aufnehmeno Folgende Anwendungsszenarien w~iren dann denkbar: 9 Bereitstellung eines VPNs in ein Firmennetzwerk fiber die Internet Smart Card nach erfolgreicher Integrit~itsprafung des PCs. 9 Internet Smart Card als Proxy zur Zugriffsbeschr~inkung und Anonymisierung des eigenen PCs und TPMs gegenfiber Servern, die ebenfalls die Webservice Schnittstelle des TSS nutzen wollen. ~ Bindung von Audio/Video Content an die Internet Smart Card statt an das TPM; eine Freigabe der Daten durch die Internet Smart Card kann auch im Offline Betrieb nach erfolgreicher Integrit~itspriifung erfolgen.
Internet Smart Card
Trusted Platform
Abb. 3" Internet Smart Card und TPM
3 Die Zukunft von Token und TPMs Zur Zeit werden TPMs ausschliel31ich in PCs integriert. Die TCG bescMftigt sich aber in einer eigenen Arbeitsgruppe auch mit der Sicherheit von mobilen Ger~iten im speziellen mit Mobiltelephonen. Mobile Ger~ite verfagen heute im Allgemeinen fiber Schnittstellen zur Einbindung von Smart Cards z.B. USBAnschlfisse und SIM-Slots. Neben Smart Cards werden m6glicherweise in zuktinftigen Ger~iten Mufig auch fest integrierte Sicherheitsbausteine zu finden sein. Anwendungen k6nnen dann for die Absicherung der Ger~itesoftware, die Gergteauthentisierung, zur Absicherung sicherheitskritischer Applikationen und zur Benutzerauthentisierung variable und fest integrierte Sicherheitsbausteine wie Smart Cards und TPMs in geeigneter Art und Weise verwendeno
3.1 Fest integrierter Sicherheitschip Dieser Typ, zu dem auch das TPM geh6rt, ist ein Sicherheitsbaustein der fest in ein Gergt integriert ist. Dem TPM entsprechend soll dieser Baustein eine Schnittstelle fftr Anwendungen bieten, die auf den Ger~itespeichern liegen und selbst keine Anwendung gespeichert haben. Der Vorteil der sich durch die feste Anbindung ergibt ist, dass der Baustein schon zu einem sehr frfihen Zeitpunkt im Bootprozess Sicherheit gew~ihrleisten kanno
118
Interaktionen TPM und Smart Card
In jfingster Zeit werden TPM/~hnliche Hardwarebausteine immer h/~ufiger direkt in Schnittstellenbausteine z.Bo LAN, W-LAN Controller oder in eingebettete Systeme implementiert. Der Vorteil ist hier einerseits eine Flgcheneinsparung auf dem PCP-Board und eine h6here Ausfallsicherheit, andererseits aber auch die M6glichkeit das TPM mit einer schnelleren Kommunikationsschnittstelle (z.B. PCI, USB) z.B. fin" Echtzeitanforderungen auszustatten. Des Weiteren enthalten speziell abgewandelte TPMs zusgtzliche kryptografische Funktionen, bei denen z.B. ein symmetrischer Verschlfisselungsalgorithmus in Hardware implementiert wurde, um einen hohen Datendurchsatz bei der Verschlfisselung von z.B. Audio- oder Videodaten zu erreichen.
3.2 Variabler Sicherheitschip Dieser Typ, zu dem auch die Smart Card geh6rt, ist ein Sicherheitsbaustein der in einem kleinen tragbaren Geh~iuse sitzt und fiber eine Schnittstelle von einem Ger~it genutzt werden kann. Einem solchen Smart Card Chip ist eigen, dass die Applikation auf dem Chip gespeichert und betrieben wird. Neben der klassischen Smart Card im Scheckkarten oder SIM Karten Format sind das z.B. USB-Token mit Sicherheitschip, oder Secure Multi Media Karten. Der Vorteil hier ist, dass die Applikation sicher verwahrt ist, das Gergt ,Smart Card' sehr preisgfinstig und die Smart Card klein, handlich und ger/~teunabh~ingig iSto
3.3 L6sungen mit variablen und fest integrierten Sicherheitsch ips Ft~r fast jedes Netzwerk stellt sich die Aufgabe die mobilen und station~iren Ger~ite im Netzwerk sowie die Zugriffe durch Benutzer zu kontrollieren. Ein Beispiel ist ein Firmennetzwerk. Es geht also einerseits um Ger~iteidentifikation und andererseits um Benutzerauthentisierung in einem Netzwerk. Bei der Ger~iteidentifikation kann das TPM oder ein anderer fest integrierter Sicherheitschip des Ger/its nfitzliche Dienste leisten, denn er ist eng mit dem Ger~it verbunden. Ffir die Benutzerauthentisierung ist ein fest integrierter Sicherheitschip allerdings ungeeignet (siehe Diskussion in Kapitel 1). Die Benutzerauthentisierung mittels Smart Cards bietet nicht nur dem Benutzer sondern auch dem Netzbetreiber wesentliche Vorteile. In vielen Fgllen sind Smart Cards auch bereits Bestandteil der Infrastmktur z.B. als Betriebsausweise in einem Firmennetzwerk.
3.4 Hardwaresicherheit in eingebetteten Systemen Kryptografische Funktionen wie Verschl~sselung und Authentifizierung spielen in modernen eingebetteten Systemen eine wichtige Rolle. Gerade mit dem Einzug elektronischer Systeme in immer mehr Bereiche des t/~glichen Lebens und einer damit verbundenen fortschreitenden Speicherung pers6nlicher Daten in elektronischer Form, sind die Rechteinhaber von digitalen Inhalten wie Musik- und VideoDaten oder Software daran interessiert, eine unberechtigte Vervielf~tltigung zu verhindern (z.B. durch Digital Rights Management [DRM]). Ein unsicheres System kann z.B. aber auch ffir die Hersteller von Spielekonsolen zu empfindlichen finanziellen Einbugen fahren, wenn sich Daten (z.B. Videospiele) beliebig kopieren lassen und fiber das Internet Verbreitung finden.
Interaktionen TPM und Smart Card
119
Gleichzeitig sind die Hardware-Ressourcen in eingebetteten Systemen, abh~ingig vom anvisierten Zielmarkt, beschr/inkt. So ist gerade bei Produkten der Unterhaltungselektronik der Preis ein entscheidender Faktor far den Erfolg eines Ger~ites. Der Einsatz von Kryptografie muss daher mit m6glichst geringem Aufwand und Kosten in Form von Chipfl/~che und Stromverbrauch m6glich gemacht werden. Die spezielle Fokussierung bei der Implementierung von kryptografischen Algorithmen far ressourcenbeschr~inkte Ger~te wird auch unter dem Begriff ,,Lightweight Cryptography" zusammengefasst [PaaPelSchWeiWol]. Hier wird versucht, far die bereits bekannten symmetrischen (z.B. AES, 3DES) und asymmetrischen (z.B. RSA, ECC) Verfahren effiziente Hardwarerealisierungen zu entwickeln, die sich durch eine besonders kleine Siliziumfl/~che bzw. durch eine besonders geringe Stromaufnahme auszeichnen. In verschiedenen Projekten werden neben Optimierungsm6glichkeiten bestehender Verfahren [PaaPelSchWeiWol] auch alternative Verfahren betrachtet [M~IWal]. A11gemein ist davon auszugehen, dass der Bedarf an ,,leichtgewichtigen" kryptografischen Funktionen in der Zulamft aufgaxmd von immer mehr batteriebetriebenen Ger/~ten noch entscheidend zunehmen wird. Chip-to-Chip Bussysteme sind ein Kembestandteil vieler eingebetteter Systeme. Sie stellen die Verbindung zwischen einzelnen Komponenten eines Ger/~tes her, die sich nicht auf einen Chip integrieren lassen. Diese Busse stellen einen empfindlichen Punkt im Sicherheitskonzept eines Systems dar, da durch die fortschreitende technische Entwicklung ein Man-in-the-Middle Angriff oder ein Abh6ren der Daten zwischen einzelnen Chips in einem System mit einfachen Mitteln m6glich ist. Ein prominentes Beispiel, wie mit einfachsten Mitteln fiber einen unverschlfisselten Datenbus das Sicherheitskonzept eines Ger/~tes umgangen werden kann, ist der von A. Huang beschriebene Angriff auf die erste Generation der Microsoft Spielkonsole XBOX aus dem Jahre 2002 [Hua]. Ein Schwachpunkt war u.a. die fehlende Busverschlfisselung, die es erm6glichte einen einfachen Angriff auf das Gesamtsystem durchzuffihren. Dabei wurde mit einem FPGA basierenden Logic Analyzer die Kommunikation auf dem Bus zwischen Southbridge und Northbridge abgeh6rt und analysiert. Huang ist es mit dieser Methode gelungen, den Secret Boot Block der XBOX vollst/~ndig zu rekonstruieren und daraus den geheimen RC4 Schlt~sseI zu extrahieren. Mit der Kenntnis des geheimen Schlfissels war es nun m6glich, einen eigenen Bootloader in das System einzubringen und verschlfisselt im Flash-ROM der XBOX abzulegen, welcher das Abspielen beliebiger Programme bzw. das Abspielen kopierter Spiele erm6glicht. Bei der im November 2005 als Nachfolger der XBOX auf den Markt gebrachten XBOX 360 hat Microsoft das Sicherheitskonzept deutlich ~iberarbeitet. Trotz des neuen Sicherheitskonzeptes wurde im M~irz 2006 ein DVD-ROM Firmware-Hack ffir die XBOX 360 ver6ffentlicht, der fiir das Abspielen kopierter Spiele-DVDs verwendet werden kann. Im Intemet sind hierzu weitere Informationen zu finden. Im Nachfolgenden soll kurz auf das verwendete Sicherheitskonzept eingegangen werden und ein m6glicher sicherer L6sungsansatz mit TPMs pr~isentiert werden. Bei der XBOX 360 wird fiber ein Challenge-and-Response-Protokoll zwischen dem DVD-Laufwerk und dem System geprfifl, ob es sich bei der eingelegten DVD um eine Original-DVD handelt. Die Responses befinden sich physikalisch in bestimmten Regionen der DVD, welche bei einer kopierten DVD defekt oder nicht vorhanden sind. Somit schl/~gt die Authentifizierung bei einer kopierten DVD fehl.
120
Interaktionen TPM und Smart Card
Es ist jedoch gelungen, die Firmware des DVD-ROM Laufwerks auszulesen und das Challenge-andResponse-Protokoll zu rekonstruiereno Mit diesem Wissen konnte eine modifizierte Version der DVDROM Firmware geschrieben werden, die eine Authentifizierung simuliert, auch wenn sich keine original Spiele-DVD im Laufwerk befindet. Die Firmware im dem Flash Speicher des DVD-Laufwerks war nicht geschtitzt. Eine m6gliche L6sung wgre hier der Einsatz eines TPMs oder eines embedded TPMs in den IDE-Controller des DVD-ROMs der es erm6glicht, eine sichere Identifikation der Hardware fiber ein Challangeand-Response mit dem t~brigen System durchzuffihren und verschl~sselt zu kommunizieren. Im Gegensatz zu softwarebasierenden L6sung von Microsoft w~ire hier eine hohe Sicherheit zu gew~ihrleisten. Das Konzept lieBe sich wie in Abbildung (Abbo 4) dargestellt erweitern, indem jede Komponente in einem System einen TPM ~hnlichen Chip erh~ilt, der sich gegent~ber dem Hostsystem (CPU) authentisieren muss. Weitere L6sungsans~itze ftir die Identifikation von Systemkomponenten in konventionellen Bussystemen (z.Bo AMBA Bus-System) sind unter [MfilWal] zu finden. Ergfinzend zu dem Einsatz des fest integrierten Sicherheitschips bei Spielekonsolen w~ire es auch denkbar, einen variablen Sicherheitschip (Smart Card) beim Kaufvon Spielen fiber das Internet einzusetzen. Hier k6nnte die personenbezogene Smart Card, vorausgesetzt ein entsprechender Kartenslot oder eine Kontaktlosschnittstelle steht beim Ger~it zur Verffigung, ffir den Bezahlvorgang eingesetzt werden. Eine Kombination von variabler und fest integrierter Sicherheitstechnologie w~ire in diesem Fall einfach vorstellbar. Gerneineamer vertrauenswLirdiger Bereich
Um oicherheiisfunktioner~ en~Jeiterter Bus-Controller
. ~
.... . . . .
I
1/
//
........
......
....
~~ "
............. V e r s c h l a s s e l t e
Kommunikation
.....
Bus / /
Abb. 4" Absicherung von Hardwarekomponenten in einem Chip-to-Chip Bussystem mittels einer Sicherheitsfunktion die mit Hilfe eines TPMs realisiert ist.
4 Fazit Smart Card und TPM erg~inzen sich bereits in einigen Anwendungsf~tllen gut. Das Potenzial an neuen Technologien in dieser Richtung ist aber noch lange nicht ausgesch6pft. Die Erweiterung der PCs durch ein TPM Sicherheitsmodul wird zu einer verbesserten Absicherung der Smart Card / PC Verbindung ffihren. Hieraus ergeben sich neue M6glichkeiten fin" verbesserte GesamtI6sungen.
Interaktionen TPM und Smart Card
121
Literatur [Bric04]
E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation. In Proceedings of l lth ACM Conference on Computer and Communications Security, ACM Press, 2004
[Bund07]
Bundesamt far Sicherheit in der Informationstechnik: ,,Stellungnahme der Bundesregierung zu den Sicherheitsinitiativen TCG und NGSCB im Bereich Trusted Computing~ In: http://www.bsi.bund.de/ sichere_plattformen/trustcomp/stellung/StellungnahmeTCG l_2a.pdf
[DRM]
http ://www.drmwatch.com
[GaMe05] Gawlas, Florian & Meister, Gisela: ,,Interaktionen TPM und Smartcard." In: Smartcard Workshop 2005, http://www.sit.fraunhofer.de/_veranstaltungen/smartcard-ws/ [He06]
Heider, Axel: ,,Interaktion von Chipkarten der n~ichsten Generation mit vertrauenswiirdigen Rechnerumgebungen", Diplomarbeit, TU Mtinchen, 2006
[Hua]
Huang Ao: ,,Keeping Secrets in Hardware: The Microsoft XBOX Case Study", Proceedings of the Workshop on Cryptographic Hardware and Embedded Systems (CHES), ppo 213-227, LNCS, Springer 2002
[Meis04]
Meister, Gisela: ,,Die Rolle der Smart Card in der eSociety." In: Smartcard Workshop 2004, http:// www.sitofraunhofer.de/_veranstaltungen/smartcard-ws/
[MtilWal] Mtihlbach S., Wallner S.: "Secure and Authenticated Communication in Chip-Level Microcomputer Bus Systems with Tree Parity Machines", Proceedings of IEEE IC-SAMOS'07- Greece, July 2007 [PaaPelSchWeiWol] Paar C., Pelzl J., Schramm K., Weimerskirch Ao, Wollinger %, ,,Eingebettete Sicherheit: Stateof-the-art", D-A-CH Security, Basel 2004 [Patr03]
George, Patrick: ,,User Authentication With Smart Cards In Trusted Computing Architectures." http:// www.gemplus, com/smart/rd/publications/pdf/S AM2406 .pdf
[Trus07]
Trusted Computing Group: ,,http://www.trustedcomputinggroup.org"
Anwen d u ngsszenari en
Enterprise SecurityInformationsschutz im Unternehmen Michael Hartmann 9 Gunter Bitz SAP AG {michael.hartmann ] gunter.bitz} @sap.com
1 Enterprise Security Das Thema Enterprise Security ist sehr vielschichtig, angefangen bei dem Schutz von Leib und Leben der Mitarbeit, fiber den Schutz der Gebgude, Zutrittschutz zum Geb/iude, physikalischer Schutz der Anlagen, Schutz der IT-Systeme bis zum Schutz des Intellectual Property, der Information als solcher. Im weiteren Artikel werden wir uns auf den Schutz der Informationen und den damit zwangsl/iufig einhergehenden Schutz der IT-Systeme konzentrieren. In einem global aufgestelltem Konzem mit einem stark ausgepr/~gtem Okosystem ist Verfagbarkeit von Informationen und die damit einhergehende notwendige Vernetzung der Partner und deren IT-Systeme, sowie der eigenen IT-Systeme ein entscheidender Erfolgsfaktor. Vertriebsmitarbeiter, Berater, Kunden, Partner, tun nur einige zu nennen, mfissen jederzeit und von ftberall auf die flu" sie bestimmten und relevanten Informationen zugreifen kOnnen. Zulieferer, Kunden, Partner und Dienstleister werden stetig weiter in die eigenen Gesch~iftsprozesse integriert. Dabei gilt es die Prozesse und die damit verbundenen IT-Systeme flexibel zu gestalten, um zeitnah neue Projekte, Partner, Veranstalmngen, etc. erm6glichen zu k6nnen. Bei all diesen Anforderungen muss selbstverst~indlich die Vertraulichkeit, Integrit~tt und Verfftgbarkeit der Informationen gew~ihrleistet sein. Gleiches gilt daher auch ft'~rdie IT-Systeme. In der / Microsoft-Sicherheitssmdie 2006 wurden die Bedrohungen der IT-Systeme nach ihrer Bedeutung bewertet. Rang Eins erreichte der ,,Irrmm und Nachl/issigkeit eigener Mitarbeiter", gefolgt von Malware (Viren, Wfirmer, Trojanische Pferde .... ) sowie Software- und Hardware-M/~ngeln/Defekte. Erst danach kommen ,,unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage", Hacking (Vandalismus, Probing, Missbrauch,...) und ,,Manipulation zum Zweck der Bereicherung". Um diesen Bedrohungen zu begegnen, werden unterschiedliche Gegenmal3nahmen eingesetzt, die sich in drei Kategorien einteilen lassen: Vertragliche Verpflichtungen und organisatorische Magnahmen (dazu z~ihlen Arbeitsvertr/~ge, Geheimhaltungsvereinbarungen, Policies, etc.), technische Ans/~tze (Network Access Control, Antivirensoftware, Firewalls, Intrusion-Detection-Systeme, Intrustions-Prevention-Systeme, Identity und Access Management Systeme, etc.) und Awareness-Magnahmen. Tabelle 1 zeigt eine Aufstellung, welche Magnahmen den einzelnen Bedrohungen entgegengesetzt werden:
N. Pohlmann, H. Reimer, (Herausgeber): Trusted Computing, Vieweg (2007), 125-139
126
Enterprise Security- Informationsschutz im Unternehmen Tab. 1: Bedrohungen und m6gliche GegenmaBnahmen. Bedrohung
Mafinahme
Irrtum und Nachl~issigkeit eigener Mitarbeiter (und Awareness MaBnahmen, Identitymanagement, ArbeitsExterner) vertrag .... Malware (Viren, Warmer, Trojanische Pferde ....)
Virenscanner, Personal Firewall, IDS, IPS, ADS ....
Software- und Hardware-M~ingel-/Defekte
CERT, Patchmanagement, Einkaufsbedingungen ....
unbefugte Kenntnisnahme, Wirtschaftsspionage
Informationsdiebstahl, Arbeitsvertrag, NDA, Need-to-Know-Prinzip
Hacking (Vandalismus, Probing, Missbrauch ....)
Firewalls, IDS, IPS, ADS ....
Manipulation zum Zweck der Bereicherung
Arbeitsvertrag, gesetzliche Vorgaben, Segregation of Duty, ...
Zur Durchsetzung der Einhaltung vertraglicher/organisatorischer Maf3nahmen, dem sogenannten Policy Enforcement, ergeben sich durch den Einsatz der Trusted Computing Technologie einige neue M6glichkeiten. Diese werden im Folgenden n~iher beschrieben.
2 Policy Enforcement mittels Trusted Computing Wie bereits in anderen Artikeln dieses Buches erw~ihnt baut die Trusted Computing Technologie auf dem so genannten Trusted Platform Module (TPM) auf. Dieser physikalisch geschfitzte und mit dem IT-System verbundene Hardwarebaustein bildet den grundlegenden Vertrauensanker (,,root-of-trust") in einer langen Vertrauenskette (,,chain-of-trust"). Das TPM erm6glicht eine eindeutige Messung des mit ihm verbundenen Systems, beginnend mit dem Bootvorgang fiber das geladene Betriebssystem bis zu den darauf installierten Applikationen und deren Konfiguration. 15ber diese Messung lasst sich gegent~ber einem Dritten die Konfiguration des System nachweisen und durch diesen Dritten auf seine Integrit~it fiberprfift werden. Hier spricht man von ,,remote attestation". Wenn dadurch die Systemintegritgt eines einzelnen Systems sichergestellt ist, kann dart~ber ein gesicherter Netzwerkzugang realisiert werden, der letztendlich die Integrit~it der gesamten Infrastruktur und deren Nachweisbarkeit erm6glicht. Die Integrit~it der eigenen Infrastruktur stellt eine wichtige und zwingende Voraussetzung far ein zuverl~issiges Policy Enforcement dar. Darauf aufbauend kann dann ein Enterprise Rights Management (ERM) System realisiert werden, welches die Rechteverwaltung der Informationen innerhalb der Organisation und in einem weiteren Schritt organisationst~bergreifend realisiert. Der gesicherte/vertrauenswt~rdige Netzwerkzugang wurde bereits vonder Trusted Computing Group (TCG) unter dem Namen ,,TNC - Trusted Network Connect" spezifiziert und wird in einem anderen Artikel in diesem Buch n~iher erl~iutert. TNC bietet eine gute, weitere technische M6glichkeit, die Verbreitung und Auswirkungen von Malware zu bek~impfen und kann gleichzeitig Hacking-Angriffe von Insidern reduzieren, da der Zugang zur Netzwerkinfrastruktur restriktiv verwaltet werden kann. ERM hat als Ziel die Informationen einer Organisation direkt zu schtitzen und die Regelungen far den Umgang damit durchzusetzen (Policy Enforcement). Dadurch eignet sich ERM dazu die Bedrohungen, die sich aus dem Irmun und der Nachl~issigkeit von Mitarbeitern ergeben zu begegnen, genauso wie den vors~itzlich begangenen Regelverst0gen vorzubeugen, da die Informationen direkt geschfitzt werden und nur noch die erlaubten Verwendungsoptionen von Informationen m0glich sind. Im Folgenden werden wir das Enterprise Rights Management als eine der komplexesten M6glichkeiten der Trusted Computing Technologie genauer betrachten.
Enterprise Security- Informationsschutz im Untemehmen
127
3 Enterprise Rights Management ERM bedeutet im Zusammenhang mit Informationen die technische Umsetzung einer Informationsklassifikationsvorschrift sowie die Definition eines Informationseigen~mers~ Diese zwei Forderungen sind Bestandteil von Sicherheitsrichtlinien vieler Untemehmen, werden aber in der Regel nicht konsequent eingehalten. Viele vertrauliche Dokumente werden so z.B. entgegen ihrer Klassifikation weitergegeben, weil der Absender des Dokuments dies im eigenen Ermessen ,,fitr eine gute Idee" h~ilt. Es mag im Einzelfall durchaus berechtigt sein, den Empf'~ingerkreis einer vertraulichen Information zu erweitern, weil dies zur AusNhrung eines Gesch~iftsprozesses notwendig ist. Allerdings wird durch ein bloges Weiterleiten einer Information die Sicherheitsrichtlinie verletzt, da der Ersteller, d.h. der Informationseigentfimer, nicht in diesen Prozess eingebunden wirdo Die Situation wird v611ig unkontrollierbar, wenn die augerhalb jedes Sicherheitsprozesses hinzugekommen Empf'gnger einer Information diese selbst wieder an weitere Personen versenden. Der Informationseigentfimer und damit das Untemehmen verlieren die Kontrolle fiber die Information. Dadurch wird der Weitergabe von Information an Dritte, die dem Untemehmen schaden k6nnen, T~r und Tor ge6ffnet, da ein potentieller T~tter unter diesen Umst~inden h6chstwahrscheinlich unentdeckt bleiben wird. Das Kernproblem digital vorliegender Informationen ist deren einfache Kopierbarkeit. Die Kopie ist dem Original gleichwertig. Die Erstellung einer Kopie ist ffir einen zugangsberechtigten Nutzer in der Regel sehr einfach. ,,Enterprise Rights Managements" oder ERM versucht, dieser Problemstellung zu begegnen. Der Begriff hat sich in der Industrie zunehmend durchgesetzt, um sich bewusst von den ,,Digital Rights Management" Konzepten der Multimedia Industrie abzugrenzen. Auf den ersten Blick mag die Zielsetzung, also die Erstellung nicht autorisierter Kopien eines Originals, zwar identisch sein, allerdings finden sich doch im Detail erhebliche Unterschiede. Zun~ichst einmal handelt es sich im Multimedia-Umfeld um ein Massenproblem, man wird hier eher versuchen, die illegale Verbreimng urheberechtlich geschfitzter Werke quantitativ einzuschr~inken. Hier ist es durchaus als Erfolg zu werten, wenn technisch normal versierte Anwender keine Kopien erstellen k6nnen. Im Enterprise Umfeld kann bereits eine einzige Kopie eines sensiblen Dokuments erheblichen Schaden ft~r das Untemehmen bedeuten. Ebenso ist die Verwalmng der Berechtigungen im Unternehmensumfeld wesentlich komplexer. Es gilt m6glichst geschickt und ohne zus~itzlichen Aufwand ffir den Benutzer, die Frage zu beantworten, wer auf welche Dokumente unter welchen Umst~inden zugreifen darf. In der Vergangenheit, als Informationen im Wesentlichen noch in gedruckter Form verffigbar waren, war die Durchsetzung einer Sicherheitsrichtlinie entsprechend einfachero Das Dokument wurde an einem gesicherten Ort z.B. in einem Tresor verwahrt. Es gab die Rolle des ,,Archivars", dessen Aufgabe darin bestand, die Zugangsberechtigung von Antragstellem zu prfifen und ein Dokument nur an berechtigte Personen auszugeben. Dies wurde ebenso wie die Rt~ckgabe des Dokuments in einem ,,Logfile" vermerkt. Fflr besonders scht~tzenswerte Dokumente erfolgte die Ausgabe in einer speziell gesicherten Umgebung ohne Kopierm6glichkeit. Das Dokument konnte nur an Ort und Stelle in dieser sicheren Umgebung eingesehen werden. Damit wurden unberechtigte VervielfNtigungen effektiv verhindert.
128
Enterprise Security- Informationsschutz im Unternehmen
3.1 Status aktueller ERM Implementierungen Eine ERM-Implementierung [Micr03,Auth04,Sea105] simuliert elektronisch den oben beschriebenen Prozess der sicheren Dokumentenausgabe an berechtigte Personen in einer sicheren Umgebung. Insbesondere bei der Definition einer sicheren Umgebung wird Trusted Computing einen wesentlichen Beitrag leisten, doch dazu sp~iter mehr. Die Funktionsweise von ERM l~isst sich wie folgt in Analogie zu dem ,,Archivar" beschreiben: Zu jeder Information, besser gesagt zu einem Block von Informationen physisch abgebildet in einer Datei, werden ein Informationseigentttmer und eine Dokumenten-Policy definiert. Technisch ist meistens der Ersteller eines Dokuments auch gleichzeitig der Informationseigentamer, sodass die ERM-Software auch den Ersteller automatisch als Informationseigentfimer definiert. Sollte davon abgewichen werden mfissen, kann natarlich der Ersteller einmalig einen anderen Informationseigentfimer definieren~ Er gibt damit aber alle Rechte an der Datei an den Informationseigentfimer ab. Die Aufgabe des InformationseigentfLmers ist die Definition der Dokumenten-Policy. Typischerweise hat ein Unternehmen verschiedene vordefinierte Policies. Z.B. ffir verschiedene Abteilungen wie HR, Finance, Research, Sales, Training, Consulting, Production, usw. Einer vordefinierten Policy sollte auch direkt eine vordefinierte Liste von zugangsberechtigten Personen zugeordnet werden~ Die PolicyErstellung l~isst sich erheblich vereinfachen, wenn man sie rollenbasiert gestaltet und in ein Identity & Access Management System integriert. Stehen solche vordefinierten Policies zur Verffigung, sollte sich die Arbeit des Informationseigentttmers darauf beschr~inken, dem Dokument die passende Policy zuzuordnen. Sogar dieser Vorgang k6nnte noch automatisiert werden, indem ein Content-Scanner das Dokument nach Schlfisselworten durchsucht, automatisch klassifiziert und die entsprechende Dokumenten-Policy vergibt~ Der Name der Dokumenten-Policy wird im Header des Dokuments abgespeichert, w~ihrend die Policy selbst auf einem zentralen, firmeninternen ERM Policy-Server gespeichert wird. Dies hat den grogen Vorteil, dass die Policy auch nach Distribution des Dokuments noch ge~indert werden kann, z.B. um weitere berechtigte Personen in die Liste der Zugangsberechtigten aufzunehmen. W~ire die Policy innerhalb des Dokuments selbst gespeichert, w~ire in diesem Fall eine erneute Verteilung des Dokuments erforderlich ebenso wie das LOschen der alten Version, was ein mt'thsames Unterfangen w~ire, wenn viele dezentrale Kopien existieren. Die Nutzdaten des Dokuments und der Header, welcher den Namen der anzuwendenden Policy enth~ilt, sind verschlt~sselt, um eine Manipulation des Policy-Namens lind ein unberechtigtes Einsehen des Dokumenteninhalts zu verhindern. Ein mit ERM geschfitztes Dokument lgsst sich zun~ichst also wegen der Verschl~sselung nicht 6ffnen. Die Rolle des ,,Archivars" (vergl. oben) wird vonder ERM-Software fibernommen. Die ERM-Software schafft sozusagen die sichere Umgebung, in welcher ein kontrollierter Zugriff auf die Information gew~ihrt wird. Die ERM-Software wird als Programm-Modul direkt in die Anwendung, die das Dokument 6ffnen soll, integriert (z.B. gibt es Module flir die Microsoft Office Palette, f'ttr html und Adobe Acrobat. Prinzipiell w~ire ein Modul Ftir jede in Frage kommende Anwendung denkbar und wird wohl - entsprechende Nachfrage vorausgesetzt - auch entwickelt werden.) S~imtliche Ein- und Ausgaben der betreffenden Software werden nun vom ERM-Modul kontrolliert. Zun~ichst dekodiert das ERM-Modul den Policy-Namen und l~idt sich die betreffende Richtlinie vom Policy-Server, wenn diese lokal nicht vorhanden ist. In der Tat bedingt eine ERM-Implementierung,
Enterprise Security- Informationsschutz im Unternehmen
129
dass jeder Anwender- zumindest beim ersten Offnen der D a t e i - in der Lage sein muss, eine Verbindung zum Policy-Server aufzubauen. Danach ist prinzipiell auch eine offline Nutzung m6glich, da die ERM Module die Policy aber auch Schlasselmaterial, ben6tigt zum Entschltisseln des Dokumenteninhaltes, lokal auf dem Client Rechner zwischenspeichern. Eine Ausnahme bilden jene Dokumente, far die explizit eine reine online Nutzung per Dokumenten-Policy gefordert ist. In diesem Fall werden keine Daten lokal zwischengespeichert und stattdessen immer neu vom Policy-Server geladen. Dadurch werden Anderungen an der Dokumenten-Policy ohne Verz6gerung bei allen Anwendern beim n~ichsten Offnen der Datei wirksam. Nach dem Laden der Dokumenten-Policy prfift das ERM-Modul nun, ob der auf das Dokument zugreifende Anwender gem~il3 Dokumenten-Policy fiberhaupt zugangsberechtigt ist. Ist dies nicht der Fall, so bricht der Vorgang ab und es werden keine Schlfissel zum Dekodieren des Dokuments geladeno Ist der Anwender zugangsberechtigt, so wird das Dokument dekodiert und alle Rechte des Anwenders nach Auswertung der Dokumenten-Policy lokal in einer Tabelle vermerkt. Bei jeder weiteren Ein- Ausgabe-Operation wie z.B. Speichern, Speichern als, Copy & Paste, Bildschirmkopie, Andern des Dokuments (auch Tastatureingaben) wird gepraft, ob der Anwender zu dieser Operation befugt ist~Ansonsten wird der Vorgang abgebrochen, bzw. eleganter erst gar nicht im Programm-Menfi angeboten~ So l~isst sich z.B. durch Sperren von ,,Copy & Paste" und ,,Speichern als" verhindern, dass fiber diesen Umweg eine neue Kopie des Dokuments erstellt wird. Zum Beispiel s~ihe eine typische Dokumenten-Policy fttr einen Informationsempf'~inger, der die Information nicht weiter modifizieren muss, dergestalt aus, dass far berechtigte Personen ein lesender Zugriff (Offnen) auf das Dokument gew~ihrt wird, w~ihrend alle weiteren Rechte gesperrt sin& Dadurch kann dieser Informationsempf~inger die Datei lediglich ansehen, sie aber nicht ver~indern. Ebenso wenig k6nnte er den Kreis der zugangsberechtigten Personen ~indern. Somit kann jeder Anwender lediglich im Rahmen seiner in der Dokumenten-Policy erlaubten MOglichkeiten agieren. Das ERM-Software Modul stellt dies technisch sicher. Die Frage der Robustheit solch einer L6sung gegen Angriffe wird separat diskutiert werden~ Trusted Computing stellt hier einen guten L6sungsansatz dar, tun ffir Anwendungen mit hohem Schutzbedarf eine sichere Ablaufumgebung ffir das ERM-Modul bereitzustellen.
3.2 ERM und TC Gerade beim Datenaustausch mit Externen kann die Sicherheit von Rights Management signifikant mittels einer Sicherheitsplattform auf Basis der Trusted Computing Technologie erh6ht werden. Es bietet dem Informationseigentfimer eine bequeme M6glichkeit, fiber die Integrit~it des Systems, welches auf sein Dokument zugreifen m6chte, einen verlgsslichen Zustandsbericht zu erhalten. Entspricht dieser Zustandsbericht nicht den Vorgaben des Informationseigent~mers, so wird der Zugriff auf das Dokument automatisch verwehrt. Damit l~isst sich fiber die Grenzen der eigenen IT Infrastruktur hinweg eine technische Forderung an die Client Systeme durchsetzen, um z.B. sicherzustellen, dass keine Software auf dem System vorhanden ist, die geeignet w~ire, den Rights Management Schutz anzugreifen. Trusted Computing kann also eine sichere Ablaufumgebung far ERM Softwaremodule bereitstellen und dies messbar machen. In dieser sicheren Umgebung kann nun durch die ERM-Software selbst auf Informationen und Dokumente zugegriffen werden kann. Dabei muss verhindert werden, dass ein b6sartiger Angreifer versucht, den ERM-Schutz zu umgehen, indem er die Plattform, also die Umgebung in der die ERM-Software
130
Enterprise Security- Informationsschutz im Unternehmen
ausgefahrt wird, oder die ERM-Software selbst oder die Anwendtmg, die das Dokument 6ffnet, manipuliert. Letztendlich soll Trusted Computing die Integrit~it der gesamten Plattform sicherstellen. Die Trusted Computing Group bezeichnet diese Funktionalit~it als ,,remote attestation", also als die verbindliche Aussage eines Systems fiber seinen Zustand, in dem es sich gerade befindet~ l)blicherweise versteht man darunter einen detaillierten Bericht fiber die auf dem System gestarteten Anwendungen. Mit Hilfe von TC kann fiber den Zustand eines Systems zweifelsfrei berichtet werden kanno Durch Verwendung einer ,,root-of-trust"- fiblicherweise realisiert in Hardware mittels eines TPM - kann das zu prfifende System diesen Bericht fiber seinen eigenen Zustand nicht f'~ilschen. TC stellt sicher, dass die Messung und 12rbermittlung des Zustandes immer korrekt ist. Es verhindert jedoch nicht, dass ein System in einen unsicheren Zustand wechselt, macht dies aber nach augen sichtbar. Die prinzipielle Funktionsweise von TC im Kontext Unternehmenssicherheit wurde sehr gut von IBM [Sail04] beschrieben.
3.3 Angriffsvektoren Es werden die unterschiedlichen Angriffsvektoren auf ERM Systeme erl~iutert. Um zu verstehen, wie die aktuellen Entwicklungen der Trusted Computing Group die Sicherheit des ERM-Schutzes verbessern k6nnen, ist es hilfreich, Angriffszenarien auf Rights Management Szenarien zu studiereno Hier kann man auf Erfahrungen aus dem Multimediabereich zurfickgreifen. Da die zu Grunde liegende Technik vergleichbar ist, ist damit zu rechnen, dass diese Angriffe auch auf in diesem Artikel dargestellte Anwendungsgebiete fibertragen werden. 9 Black Box Angriff: Hierunter versteht man einen Angriff auf eine mit ERM geschfitzte Datei, wobei der Angreifer lediglich fiber die Datei selbst verffigt. Damit bleiben nur die Wege, die Verschlfisselung der mit ERM geschtitzten Datei zu brechen oder den ERM Policy-Server anzugreifen. Beide Angriffvektoren sind sehr schwierig auszuffihren und k6nnen durch gutes Design der Anwendung noch weiter erschwert bis unm6glich gemacht werdeno Allen im Folgenden beschriebenen Angriffen ist gemeinsam, dass der Angreifer teilweise fiber Berechtigungen verf~igt und nun versucht, diese zu erweitem~ Ein direkter Angriff auf den Policy-Server ist wie beim Black Box Angriff sehr schwierig auszut~hren, daher wird der Angreifer in der Regel eine Komponente des Client Systems attackieren~ Er wird versuchen, den ERM-Schutz komplett zu entfernen bzw. den Inhalt der Datei in eine neue Datei ohne ERM-Schutz zu transferieren. 9 Angriff auf ERM Client: Hierbei wird der Angreifer versuchen, die auf dem Client installierte ERM-Software dergestalt zu modifizieren, dass sie sich gegenfiber dem ERM Policy-Server v611ig normal verhNt, also z.B. auch Schlfisselmaterial zum Lesen der Datei anfordert, ansonsten aber die vom Server gelieferte Dokumenten-Policy weitgehend ignoriert und dem jeweiligen Benutzer volle Kontrolle t~ber das Dokument einr~iumt. Der Angreifer hfitte dann z.B. die M6glichkeit fiber ein einfaches ,,Speichern unter" ein neues Dokument zu erzeugen, das keinen ERM-Restriktionen unterliegt.
Enterprise Security- Informationsschutz im Unternehmen
131
Client Components Application / RM Client
ClientAttacks