Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Aufreger der Woche: Die Bundesregierung warnt vor TPM und der Trusted Platform - was steckt dahinter?

Information Sicherheit Sicherheitsgrundlagen

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

21.08.2013, aktualisiert 22.08.2013, 8246 Aufrufe, 19 Kommentare, 11 Danke

Der Inhalt spiegelt natürlich nur meine eigene und persönliche Meinung wieder.

Aktuell gibt es in der Presse Berichte über eine Warnung der Bundesregierung zum Thema "Windows 8", "Trusted Platform" und TPM. Aber was steckt dahinter, was sollte der Admin dazu wissen?

Update: Mittlerweile ist das Thema auch beim BSI angekommen und wird mit dieser Stellungnahme dementiert.

Ich zitiere mal aus Wikipedia was TPM ist:

Das Trusted Platform Module (TPM) ist ein Chip nach der TCG-Spezifikation, der einen Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert. Diese Funktionen können beispielsweise den Zielen des Lizenzschutzes und/oder denen des Datenschutzes dienen. Der Chip verhält sich in einigen Punkten wie eine fest eingebaute Smartcard, allerdings mit dem wichtigen Unterschied, dass er nicht an einen konkreten Benutzer (Benutzer-Instanz), sondern an den lokalen Computer (Hardware-Instanz) gebunden ist. Außer der Verwendung in PCs und Notebooks kann das TPM in PDAs, Mobiltelefonen und Unterhaltungselektronik integriert werden. Ein Gerät mit TPM, speziell angepasstem Betriebssystem und entsprechender Software bildet zusammen eine Trusted Computing Plattform (TC-Plattform). Eine solche „vertrauenswürdige Plattform“ kann nicht mehr entgegen den Interessen des Eigentümers bzw. Administrators genutzt werden, sofern dieser Beschränkungen festgelegt hat. Ein möglicher Vorteil für einen normalen Benutzer eines solchen Systems liegt im Schutz gegen softwareseitige Manipulation durch unbefugte Dritte.

Natürlich sollte noch erwähnt werden, das in fast allen IBM, HP und DELL Notebooks, in allen Apple Macs, iPhones, iPads, Galaxy 3 und 4 und vielen weiteren Smartphones und Tabletts bereits ein TPM Chip und damit die "Trusted Platform" eingebaut ist. Oft wir die "Trusted Platform" zur Verschlüsselung des jeweiligen Geräts benutzt.

Kommen wir also jetzt zu der Warnung vor Windows 8:

Mein erster Gedanke dazu: Unter allen Windows Versionen seit Vista lässt sich das Grundsystem nur mit Hilfe eine TPM-Chips verschlüsseln (seit Windows 7 gibt es noch eine recht umständliche Möglichkeit per USB Stick, aber die ist in der Regel für den Enduser zu kompliziert). Wäre der TPM-Chip in Zukunft in allen Systemen eingebaut, könnte jeder Windows 8 User mit nur einem Klick sein gesamtes System schnell und einfach verschlüsseln und in eine "Trusted Platform" verwandeln. Eigentlich doch ziemlich cool.

Aber warum keine Warnung z.B. für Windows 7?

Bei Windows 8 soll beim ersten Einschalten des Computers das TPM schon aktiviert sein. Im Gegensatz zum bisherigen Verhalten kann das TPM beim Start nicht mehr ausgeschaltet oder nachträglich deaktiviert werden. Wer einen Apple Computer zu Hause stehen hat, für den ist dieses Verhalten schon heute "normal". Auch die Smartphones oder die Tabletts arbeiten nicht anders.

Mir stellt sich daher die ganze Zeit die Frage, warum die eigentliche Warnung nicht auf das "TPM" oder die "Trusted Platform" zielt, sondern auf das Betriebssystem, was diese Technik nun aktiv nutzen möchte. Das Deaktivieren eine TPM-Chips gehört aus meiner Sicht eher zur Abteilung Hardware und daher zu den Herstellern. Die Trusted Computing Group (TCG) wurde vor zehn Jahren auch nicht alleine von Microsoft gegründet, Intel, Cisco, AMD, Hewlett-Packard und Wave Systems sind daran genauso beteiligt. Warum sollte es vom Hersteller aus nicht mehr möglich sein, diesen Chip ein- oder auszuschalten. Ist der Chip ausgeschaltet, funktioniert Windows 8 wie bisher, man kann halt nur keine TPM Funktionen nutzen. Warum hat die Regierung also den Focus auf das Betriebssystem gelegt?

Hier ein Auszug, wie das BSI zu dem Thema TPM steht:

Trusted Computing bietet eine Möglichkeit, mit der Betriebssysteme und Anwendungen langfristig Probleme des täglichen Lebens lösen können. Gegenwärtig ist man beim Bezahlen mit Kreditkarten unsicher, ob der Betragsempfänger nicht doch eine Kartenkopie herstellt. Bei Bestellvorgängen per Telefon oder per Fax ist keine Garantie vorhanden, dass der Empfänger die Bestellung entgegen nehmen darf. Bei Vertragsabsprachen ist man niemals sicher, dass die Dokumente unverändert bleiben und ob sich beide Parteien richtig verstanden haben. Und schließlich ist es bisher nicht gelungen, digitalen Unterschriften tatsächlich eine rechtliche Bindung zukommen zu lassen.
Solcherlei Vorgänge verlangen gegenwärtig noch blindes Vertrauen. Das TPM als Sicherheits-Chip auf dem Mainboard härtet ein Computersystem und schafft Vertrauen in dessen Aktionen. Bei einer Kreditkartenbestellung kann die für den Bestellvorgang eingesetzte Software mit Hilfe eines TPM sicherstellen, dass Daten nur an einen einzigen autorisierten Server übertragen werden und dass kein Hacker die übertragenen Informationen umleitet. Selbst wenn die Daten mitgelesen werden sollten, kann niemand sie nutzen. Auch kurzfristig erhöht das TPM die Sicherheit für Endbenutzer durch Passwörter und Schlüssel sowie eine potenzielle Warnfunktion, falls ein durch Computer-Viren verändertes Betriebssystem gestartet wird.

Die aktuelle Bundesregierung scheint diesem Bericht aber nicht genau gelesen zu haben. Sie sieht das etwas anders. So heißt es in einem Papier aus dem Wirtschaftsministerium von Anfang 2012:

"Durch den Verlust der vollen Oberhoheit über Informationstechnik" seien "die Sicherheitsziele 'Vertraulichkeit' und 'Integrität' nicht mehr gewährleistet".

An anderer Stelle stehen Sachen wie:

Erhebliche Auswirkungen auf die IT-Sicherheit der Bundesverwaltung können damit einhergehen. Die Schlussfolgerung lautet dementsprechend: Der Einsatz der 'Trusted-Computing'-Technik in dieser Ausprägung … ist für die Bundesverwaltung und für die Betreiber von kritischen Infrastrukturen nicht zu akzeptieren."

Mir persönlich ist schon klar, warum die Regierung diese Sicherheit nicht wirklich will. Also muss ein Grund gefunden werden, um die Masse a) für blöd zu erklären und b) davon abzuhalten, die grundlegenden Sicherheitsfunktionen des eigenen Systems zu erweitern.

Also warnt die Regierung die Massen vor diesem unbürgerlichem Verhalten und der Benutzung von Windows 8.

Warum aber warnt die Regierung nicht auch vor Apple Geräten, oder generell vor allen aktuellen Smartphones? Warum möchte die Regierung nicht, das jeder User mit nur einem Klick sein System verschlüsseln kann? Warum warnt die Regierung nicht auch vor Software wie dem Windows Server 2012, der auch "Security Policies" einstellen und an seine User verteilen kann. Warum fordert die Regierung nicht eine Stellungsnahme von Microsoft oder der "Trusted Computing Group"? Warum, warum, warum?

Zu viele Fragen zu dieser ominösen Warnung bleiben wie immer unbeantwortet.

Allerdings ist unsere Presse auch nicht faul und so entstehen neue Annahmen und Möglichkeiten, warum wie kein TPM brauchen. So schreibt zum Beispiel ein Golem.de Autor, der wohl sehr tief in der Materie steckt:

Microsoft könnte damit theoretisch bestimmen, dass kein Textverarbeitungsprogramm außer Microsoft Word unter Windows 8 funktioniert.

In der Tat, Microsoft könnte das theoretisch machen, alle Hersteller die TPM benutzen, könnten das. Aber ehrlich warum sollten sie das tun? Jeder Hersteller hat die Hoheit über sein eigenes Betriebssystem, dazu braucht es keinen extra TPM Chip. Da würde schon die automatische Update-Funktion völlig ausreichen.

Wer die Abhängigkeit zu einem Hersteller, egal ob Microsoft, Apple, etc., nicht will darf in Zukunft eben nur noch Open-Source Systeme benutzen.

Ich denke tief in uns kann sich jeder selbst ein Bild davon machen, warum die Bundesregierung wirklich vor Windows 8 (oder generell jedem Betriebssystem, dass TPM nutzen kann), dem TPM Chip selbst oder dem "Trusted Computing" warnt. Gerade jetzt, wo Themen wie NSA und Verschlüsselung so wichtig geworden sind, warnt uns die Regierung davor, diese auch zu benutzen.

Was denkt Ihr darüber, was ist Eure Meinung? Liege ich richtig oder sehe ich das völlig überzogen und falsch? Und wenn ich es falsch sehe, dann bitte mit sachlichen Argumenten diskutieren.

Gruß
Frank
Mitglied: Lochkartenstanzer
21.08.2013 um 12:54 Uhr
ich zitiere mal aus golem:

Drei Punkte sind dafür entscheidend:
  • Erstens ist das TPM im Gegensatz zum bisherigen Standard künftig schon beim ersten Einschalten des Computers aktiviert. er den Computer in Betrieb nimmt, kann also nicht mehr selbst entscheiden, ob er die Trusted-Computing-Funktionen nutzen will (Opt-in).
  • Zweitens ist künftig kein nachträgliches, vollständiges Deaktivieren des TPM mehr möglich (Opt-out)
  • Drittens übernimmt das Betriebssystem die Oberhoheit über das TPM, im Fall eines Windows-Rechners also letztlich Microsoft.

Für mich liegt die Problematik, darn, daß ein Opt-Out nicht mehr möglich ist. Und ich halte es für ein Unding, daß man überhaupt ein Opt-Out machen muß, statt eines Opt-Ins.


Das jetzt die Bundesregierung da ein großes Trara darum macht, statt schon in den 90er gegenzusteuern ist in meinen Augen eher Effekthascherei. Die müßten sich einfach mal hinstellen und MS sagen Nix gibt's Aber dank LobbyArbeit wie von der Anke Domscheit Berg und anderen wird ja gegenüebr herstelelrn ein Kuschelkurs gefahren, statt ordentlich zu sagen, wer das sagen hat.

lks
Bitte warten ..
Mitglied: Robobob
21.08.2013 um 12:56 Uhr
Hallo Frank,

erstmal vielen Dank für die ein oder andere Belehrung.
Und zweitens schließe ich mich dir da an.

Muss mich da noch genauer mit auseinander setzen, aber das Problem der Regierung liegt ja beinahe schon auf der Hand.
Man möchte es nur nicht direkt hier niederschreiben ;)

Gruß

Max
Bitte warten ..
Mitglied: kontext
21.08.2013 um 13:22 Uhr
Hi Frank,

danke für die Information.
Habe einen Link zur gleichen Problematik heute morgen gepostet:
http://www.administrator.de/link/trusted-computing-bundesregierung-warn ...

Habe in meinem Link eine Verlinkung (so viele Links) zu dieser Information eingefügt.

Gruß
kontext
Bitte warten ..
Mitglied: Frank
21.08.2013, aktualisiert um 14:25 Uhr
Hallo @Lochkartenstanzer,

Für mich liegt die Problematik, darn, daß ein Opt-Out nicht mehr möglich ist. Und ich halte es für ein Unding, daß man überhaupt ein Opt-Out machen muß, statt eines Opt-Ins.

Ich bezweifle doch stark, dass das Opt-In oder Opt-Out eines TPM-Chips Sache des Softwareherstellers ist. Ob es über das Bios oder UEFI Bios ein- oder ausgeschaltet werden kann, liegt doch nicht in den Händen von Microsoft? Da würde ich eher Apple oder alle Smartphone Hersteller schon heute kritisieren. Versuche z.B. mal bei Apple den TPM Chip per Opt-In oder Out ein- oder auszuschalten - das geht nämlich nicht. Selbst bei dem sooo offenen Android-System sind wird auf die Hersteller angewiesen, damit sie ihren Bootloader (der per TPM geschützt ist) für die Masse entsperren (was nicht alle Hersteller von Android auch machen).

Es wäre auch sicherheitstechnisch Unsinn, wenn man das TPM, einmal aktiviert, so ohne weiteres wieder per Opt-out ausschalten könnten. Klar, dass man dann nicht mehr auf das System zugreifen darf. Wer ein Opt-out haben will, wird um das "Ausschalten des TPM per Hardware" und die "Neuinstallation von Windows" nicht herumkommen. Würde mich mal interessieren, wo beim Opt-out zwischen Windows 8 und Windows 7 der Unterschied liegen soll. Wer hat Lust ...?

Wenn es die Hardwarehersteller weiterhin ermöglichen den TPM-Chip per Bios oder UEFI Bios auszuschalten, funktioniert Windows 8 auch ohne TPM einwandfrei. Mann kann dann nur die Sicherheitsfeatures wie Verschlüsslung der Systemplatte, etc nicht nutzen.

Gruß
Frank
Bitte warten ..
Mitglied: 112778
21.08.2013, aktualisiert um 14:59 Uhr
Hallo,

die Warnung der Bundesregierung ist nicht ganz unberechtigt, was die Verwendung von TPM und Microsoft-Software in kommunalen Einrichtungen und innerhalb der Bundes-/Landesregierungen angeht.

Allerdings sollten sie nicht groß dagegen tönen, sondern gesetzgeberische Maßnahmen einleiten und durchsetzen die solche Zwangsmaßnahmen verhindern oder verbieten. Die EU müsste von allen Herstellern, die TPM verwenden und in der EU nutzen und einführen, per Richtline verlangen, dass jeder, der Computer mit Zwangs-TPM verkauft oder in die EU einführt,ein Käufer umfassend und vollständig informiert werden muss und Möglichkeiten zur Abschaltung von TPM bestehen müssen.

Wo kommen wir denn hin, wenn ein Anwender und Eigentümer eines Rechners nicht mehr selbst bestimmen kann, wer wie darauf Zugriff hat.

Gruß
Bitte warten ..
Mitglied: ColdZero89
21.08.2013, aktualisiert um 14:43 Uhr
Endlich ein Mitstreiter der dieser ganzen Wuselei der Regierung auch mal seine Meinung entgegensetzt.

Das was nur sehr schleichend durchkam in den Medien: Der BND gibt Daten - UNSERE Daten - an die NSA weiter.
Die Regierung will nicht das die Endnutzer eine Sicherheitstechnik nutzen, die zu aufwändig wäre zu knacken. Somit könnten sie selbst nicht mehr handeln und uns überwachen.

Wir sind keine Demokratie mehr, wir wählen, ja, aber was die oben machen, ist eine Diktatur. Nur das nicht einer Bestimmt sondern viele und dennoch alle die selbe scheiße bauen.

Das man das System nicht ausschalten kann, ist mist und dadurch ein Aufgezwungenes verfahren das TPM zu nutzen, dennoch finde ich es sinnvoll, somit nutzt es jeder Enduser direkt.
Die meisten wollen den PC anmachen und direkt los legen ohne viel einzustellen. Also ist ein Optionaler Opt-Out wichtig und wäre richtig. Die MEnschen die sich damit beschäftigten, die beschäftigen sich damit. Die die es nicht juckt, die juckt es halt nicht.

Das Problem was unsere liebe Bundesregierung hat ist, das sie in ihrem Handeln beschnitten werden wenn jeder das TPM system nutzt.

Aber wie gesagt wurde: Effekthascherei, genau wie Merkel im KZ Dachau während des Wahlkampfes und danach im Biergarten.

Deutschland verweichtlicht immer mehr. Den USA ham wir Verbal keine geknallt und den Firmen knallen wir auch keine.
Wieviel war es das ausländische Firmen mit Sitz in Deutschland am Fiskus vorbeiführen weil der Hauptsitz im Ausland liegt? 1,5mrd€ glaube ich. Da sagt auch KEINER der CDU/CSU was. Wir sind eine Bananenrepublik. Haste genug Geld kannst alles machen. Die SPD ist tatsächlich die erste Partei die dort mal sagt so geht es nicht weiter.

Es sei gesagt: Nein keine der Aktuellen Partein ist für mich würdig auch nur da zu sitzen wo sie sitzen. Es sind "quatsch"partein wie die Piraten die einen Umschwung erzeugen können.

Gruß Zero
Bitte warten ..
Mitglied: Frank
21.08.2013, aktualisiert um 15:12 Uhr
Hallo @112778,

Die EU müsste von allen Herstellern, die TPM verwenden und in der EU nutzen und einführen, per Richtline verlangen, dass jeder, der Computer mit Zwangs-TPM verkauft oder in die EU einführt Käufer umfassend und vollständig informiert werden muss.

Beim ersten Teil stimme ich Dir zu. Aber der zweite Teil "Computer mit Zwangs TPM" ist für mich zu schwammig. Das TPM ist erst einmal nur eine Chip der in die Hardware eingebaut ist. Ob er nun genutzt wird oder nicht liegt alleine am Hersteller oder am Betriebssystem. Das Betriebssystem muss TPM unterstützen, erst dann kann ein Hersteller es überhaupt nutzen (egal ob Linux, Windows, Mac etc.). Daher müsste es aus meiner Sicht eher so heißen:

Die EU müsste von allen Herstellern, die die Hardware TPM-Möglichkeiten in ihrer Software nutzen, per Richtlinie verlangen, den Käufer umfassend und vollständig über a) mögliche Einschränkungen b) Weitergabebedingungen und c) Folgen der Nutzung informieren.

Wo kommen wir denn hin, wenn ein Anwender und Eigentümer eines Rechners nicht mehr selbst bestimmen kann, wer wie darauf Zugriff hat.

Da sind wir bereits, willkommen in der Smartphone und Tablet-Welt. Überall wo es einen App-Store gibt, gibt es auch ein Rechtemanagement (per Software DRM oder TPM).

Es würde mich mal interessieren was passiert, wenn man den Bundestagsabgeordneten ihre iPhones oder iPads wegen des TPM-Chips in allen Apple Produkten abnehmen würde (der ist da nämlich schon heute eingebaut)? Ich wette das haben die noch gar nicht richtig realisiert.

Gruß
Frank
Bitte warten ..
Mitglied: 112778
21.08.2013, aktualisiert um 15:05 Uhr
Hi,

es ist ja bald Wahltag, vielleicht ändert sich ja doch was, allerdings habe ich wenig Hoffnung. Doch bekanntlich stirbt die Hoffnung ja zuletzt.

Dann gibt es ja noch die sogenannten Verbraucherschutz-Organisationen und entsprechende Gerichte, die schon mehrfach z. B. Microsoft vor den Koffer ge...... haben.

Mal abwarten.

Gruß
Bitte warten ..
Mitglied: C.R.S.
21.08.2013 um 15:28 Uhr
Zitat von Frank:
Also warnt die Regierung die Massen vor diesem unbürgerlichem Verhalten und der Benutzung von Windows 8.

Hallo Frank,

es gibt keine Warnung der Bundesregierung vor Windows 8.

Der Zwei-Mann-IT-Redaktion (oder waren es drei?) von Zeit-Online liegt offenbar ein internes Dokument aus dem BMWi vor, das auf Grundlage der technischen Gegebenheiten zu einer Meinung gelangt, deren Praxisrelevanz sich erst noch erweisen wird.
Zusammen mit differenziert richtigen Aussagen des BSI, die Autor Beuth zu kategorischen, falschen Aussagen verdreht, wird daraus der reißerische Artikel mit Spy-Tech-Faktor, der zur Zeit gefragt ist.

Fakt ist: Bundesbehörden setzen bereits Windows 8 ein.

Grüße
Richard
Bitte warten ..
Mitglied: Frank
21.08.2013 um 15:42 Uhr
Hallo Richard,

das würde auch erklären, warum ich zu dem "Windows 8" Thema in Kombination mit der "Warnung" nichts öffentliches gefunden habe.
Daher habe ich es auch in meiner Überschrift nicht genutzt. Allerding ist unsere Presse da nicht so genau:

Golem.de: Bundesregierung warnt vor Windows 8
Zeit.de Bundesregierung warnt vor Windows 8
t3n.de Bundesregierung warnt vor Windows 8
deutsche-wirtschafts-nachrichten.de NSA-Überwachung: Bundesregierung warnt vor Sicherheitsrisiko bei Windows 8
pcwelt.de Regierung warnt vor NSA-Hintertür in Windows 8

und viele andere ...

Gruß
Frank
Bitte warten ..
Mitglied: 112778
21.08.2013, aktualisiert um 16:08 Uhr
Die PC-Welt als Nachrichtenquelle in einer Aufzählung mit seriösen Publikationen einzuschließen, halte ich für bedenklich. Die kannten immer die geheimsten und undokumentiertesten Tipps und Nachrichten ganz genau als Erste. Lieber sähe ich die unter "und viele andere ..." eingeschlossen..
Bitte warten ..
Mitglied: Lochkartenstanzer
21.08.2013 um 17:35 Uhr
Zitat von Frank:
Hallo @Lochkartenstanzer,

> Für mich liegt die Problematik, darn, daß ein Opt-Out nicht mehr möglich ist. Und ich halte es für ein
Unding, daß man überhaupt ein Opt-Out machen muß, statt eines Opt-Ins.

Ich bezweifle doch stark, dass das Opt-In oder Opt-Out eines TPM-Chips Sache des Softwareherstellers ist. Ob es über das Bios
oder UEFI Bios ein- oder ausgeschaltet werden kann, liegt doch nicht in den Händen von Microsoft?

Doch. Wenn MS sagt, daß Windows-Logo gibt es nur, wenn es nach aktivieren hinterher nicht mehr abschaltbar ist, wird es kein Hersteller wagen, das anders zu machen. Genauso wie die neueren Systeme alle nur Secureboot mit EFI haben, obwohl das ganze nur Murks ist, statt etwas vernünftiges zu machen, daß dem Benutzer keine Klimmzüge aufzwingt, wenn er andere Betriebssysteme als Windows einsetzen will.

lks
Bitte warten ..
Mitglied: C.R.S.
21.08.2013 um 18:59 Uhr
Das BSI hat nun dankenswerterweise eine PM herausgegeben:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Windows_ ...

"Aus Sicht des BSI geht der Einsatz von Windows 8 in Kombination mit einem TPM 2.0 mit einem Verlust an Kontrolle über das verwendete Betriebssystem und die eingesetzte Hardware einher. Daraus ergeben sich für die Anwender, speziell auch für die Bundesverwaltung und kritische Infrastrukturen, neue Risiken. Insbesondere können auf einer Hardware, die mit einem TPM 2.0 betrieben wird, mit Windows 8 durch unbeabsichtigte Fehler des Hardware- oder Betriebssystemherstellers, aber auch des Eigentümers des IT-Systems Fehlerzustände entstehen, die einen weiteren Betrieb des Systems verhindern. Dies kann soweit führen, dass im Fehlerfall neben dem Betriebssystem auch die eingesetzte Hardware dauerhaft nicht mehr einsetzbar ist. Eine solche Situation wäre weder für die Bundesverwaltung noch für andere Anwender akzeptabel. Darüber hinaus können die neu eingesetzten Mechanismen auch für Sabotageakte Dritter genutzt werden. Diesen Risiken muss begegnet werden."


Dito. Nur leider lässt diese Risikobewertung sicher noch genug Spielraum für eine mystifizierende Lesart Richtung "NSA-Hintertür".

Um es ganz klar zu sagen: Über die mindestens zwei Dutzend Einzelkomponenten eines PCs, in die sich praktisch nützliche Hintertüren einbauen lassen, hatte der Anwender noch nie irgendeine Kontrolle.
Auch Unternehmen und Behörden stoßen dabei an wirtschaftliche Grenzen. Im Zweifel ist die Hardware eben als unsicher zu behandeln, that's it.

Eine simple Hardware-Hintertür ohne diesen gefährlich-unverstandenen TPM-Chip: http://spritesmods.com/?art=hddhack
Bitte warten ..
Mitglied: Frank
21.08.2013, aktualisiert um 21:23 Uhr
Hi,

vielen Dank für den Link der BSI Stellungnahme. Ich habe die Info oben aktualisiert.

Hier meine persönliche Zusammenfassung der Stellungnahme:

Durch die Kombination von Windows 8 und einem TPM kann man die Kontrolle über das verwendete Betriebssystem verlieren. Es können durch Umstände Fehlerzustände entstehen, die einen weiteren Zugriff oder Betrieb des Systems verhindern.

Richtig, verliert man bei einem verschlüsselten System das Passwort (der Fehlerzustand), ist das System bei TPM Version 2 Geschichte (kein Zugriff mehr auf das System). Ein Nachteil? Das muss jeder für sich selbst beantworten.

@Lochkartenstanzer

Wenn MS sagt, daß Windows-Logo gibt es nur, wenn es nach aktivieren hinterher nicht mehr abschaltbar ist, wird es kein Hersteller wagen, das anders zu machen.

Ok, das könnte natürlich so kommen, aber ist das wirklich ein Nachteil? Bisher habe ich aber nichts von Microsoft zu diesem Thema gehört oder gelesen.

Bei Apple Geräten ist das TPM immer aktiviert und es hat keinen erkennbaren Einfluss auf die Benutzung des Systems. Bei MacOS kann ich trotzdem jederzeit die Verschlüsselung ein- oder ausschalten. Die Tatsache, das das TPM aktiviert ist, heißt ja noch lange nicht, das es auch genutzt werden muss. Das der Hersteller des Betriebssystems dieses nun kontrollieren will (wie in den vielen Berichten in der Presse erwähnt), wird in der Stellungnahme vom BSI nicht erwähnt. Es wird lediglich von "Fehlern des Betriebssystemherstellers" berichtet.

Aus meiner Sicht hat die permanente Aktivierung des TPM-Chips eher Vorteile, da es der "normale" User wahrscheinlich sonst gar nicht aktivieren würden.

Gruß
Frank
Bitte warten ..
Mitglied: JoeDoe80
22.08.2013 um 09:42 Uhr
Moin....

hab dazu mal ne Frage. Besteht denn die Möglichkeit bei einer Erstinstallation von Windows 8 die Nutzung des TPM Chips auszuschalten? Oder geht das auch nicht?
Ich denke da an Kunden die jetzt fragen ob sie Windows 7oder Windows 8 nehmen sollen nachdem dir Regierung (was sie ja nicht hat) eine Warnung ausgesprochen hat.

Grüße
Bitte warten ..
Mitglied: Lochkartenstanzer
22.08.2013 um 10:51 Uhr
Zitat von Frank:
Aus meiner Sicht hat die permanente Aktivierung des TPM-Chips eher Vorteile, da es der "normale" User wahrscheinlich
sonst gar nicht aktivieren würden.


Ich finde den TPM-chip ja nicht schlecht. An der Uni vor 25 Jahre haben wir schon Konzepte entwickelt, die darauf hinausliefen, daß sowas praktisch in das System gehört, war aber mit den damaligen Mitteln nciht so einfach zu bewerkstelligen.

Die Problematic ist eher, daß dieser TPM der Kontrolle des Benutzers entzogen wird/werden kann, d.h. MS kontrolliert, was auf der Kiste läuft und nicht der Admin.

Ich finde es als Admin ja nicht schlecht, daß ich einen "sicheren" Speicher für Schlüssel und Zertifikate habe. aber der muß unter meienr Kontrolle bleiben udn nicht von MS-Gnaden mir Zugriff drauf gewährt werden. (Warum muß ich von MS-Signiter bootloader verwenden, wenn ich linxu auf Secureboot mit Linux machen will. es würde reichen, wenn ich die Möglichkeit hätte, selbst den Schlüssel zu hinterlegen zu können.

wie gesagt, nicht der TPM-Chip ist das problem, sondern der Zugriff drauf.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
22.08.2013 um 14:42 Uhr
Laut heise wird die Warnugn vor windows 8 wieder dementiert:

http://www.heise.de/security/meldung/BSI-Trotz-kritischer-Aspekte-keine ...

lks
Bitte warten ..
Mitglied: SarekHL
27.08.2013, aktualisiert um 09:31 Uhr
Zitat von Frank:
Diese Funktionen können beispielsweise den Zielen des Lizenzschutzes und/oder denen des Datenschutzes dienen.

Zusätzlich zu den Anmerkungen vom Lochkartenstanzer, daß der Admin Herr auf seinem System zu sein hat und nicht der Softwarehersteller, wäre für mich die Frage, ob Microsoft und/oder andere Softwarehersteller TPM verwenden, um auf diesem Wege ihre OEM-Lizenzen auf technischem Wege an Hardware zu binden, um damit die einschlägigen Gerichtsurteile zu umgehen, nach denen OEM-Software in der EU frei verkauft und auch weiterverkauft werden darf.
Bitte warten ..
Mitglied: Frank
27.08.2013 um 17:52 Uhr
Hi @Lochkartenstanzer,

Die Problematic ist eher, daß dieser TPM der Kontrolle des Benutzers entzogen wird/werden kann, d.h. MS kontrolliert, was auf der Kiste läuft und nicht der Admin.

Das ist aber kein Microsoft Problem, sondern ein Konzeptproblem. Jeder Betriebssystemhersteller kann das System kontrollieren, wenn er Zugriff auf den eingebauten Verschlüsselungschip bekommt. Gewährt man den Zugriff aber nicht, kann das System von jeweiligen OS nicht genutzt werden. Henne - Ei Problem.

Alternativ must du halt ein System benutzen, dass nicht von einem Hersteller kontrolliert wird. Aber selbst bei den Linux Systemen "könnten" die Support-Firmen wie RedHat, Ubuntu oder sogar freie Organisationen wie z.B. Debian, rein theoretisch, den TPM-Chip kontrollieren.

Will man eine grundlegende Verschlüsselung, sehe ich da auch keine andere Lösung.

Was mich hier etwas verwundert, ist aber die Tatsache, dass sich hier alle so auf Microsoft einschießen und die bereits bestehenden TPM-Lösungen (z.B. in allen Apple Produkten, allen Smartphones, allen Tabletts, etc.) einfach ignorieren. Diese Tatsache wird nicht/kaum hinterfragt. Bei diesen Geräten scheint die Nutzung des TPM und das Vertrauen in den jeweiligen Hersteller anscheinend völlig in Ordnung zu sein.

Gruß
Frank
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
DSL, VDSL
Eine woche Magenta L (Update 2. Woche) (55)

Erfahrungsbericht von Lochkartenstanzer zum Thema DSL, VDSL ...

Verschlüsselung & Zertifikate
gelöst Bitlocker mit nur TPM sicher? (7)

Frage von Icybaby zum Thema Verschlüsselung & Zertifikate ...

Microsoft
Neue Sicherheitslücke in Windows - patch erst in einer Woche (1)

Link von keine-ahnung zum Thema Microsoft ...

Microsoft
Microsoft warnt vor Oktober-Update (1)

Link von runasservice zum Thema Microsoft ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...