[wos] TCG-Thesen fuer BMWA

[Florian Cramer]

Am Donnerstag, 19. Juni 2003 um 15:45:16 Uhr (+0200) schrieb Volker
Grassmuck:

> 2. „Trusted Computing" ist Orwellscher Newspeak. Es ist das in        
> Technologie gegossene Mißtrauen gegenüber den Nutzern.                

Muß es aber nicht sein. Auch Freie Software-Betriebssystemen stünde
ein "Web of Trust" bzw. Authentifizierung durch Krypto-Signaturen
z.B. in der Paketinstallation und ggfs. sogar beim Ausführen von
Binaries gut zu Gesicht, um zu verhindern, daß von Dritten manipulierter
bzw. trojanischer Code auf Rechnern eingeschleust und ausgeführt
wird. Die jetzige laisser-faire-Praxis der ungeprüften Installation
von Code aus dem Internet ist nicht länger vertretbar. Eindrücklichstes
Beispiel: Der Cracker-Einbruch auf den OpenSSH-FTP-Server im August
2002, bei dem die Originalquellen von OpenSSH Version 3.4p1 - also der
Secure Shell-Implementation, die in fast allen freien Unix-artigen
Betriebssystemen und in MacOS X eingesetzt wird - durch eine trojanische
verseuchte Version ersetzt wurden.

"Trusted Computing" könnte also schlicht heißen, daß ich mir meine
Debian-Pakete von beliebigen Quellen und sogar bedenkenlos aus
Filesharing-Netzen wie Gnutella installieren könnte; dank von den
Debian-Entwicklern signierter Pakete und einer Signaturprüfung im
Paketmanagement könnte zweifelsfrei ausgeschlossen werden, daß Dritte im
Internet die Software manipuliert haben.

Zieht man die Schraube noch weiter an, könnten bei jeder
Programmausführung Krypto-Signaturen sicherstellen, daß der Code (z.B.
von Systemprogrammen wie "cp", "cat", "ls", "ps", aber auch z.B.
eines Web-Browsers) nicht manipuliert oder durch eine rootkit-Version
ersetzt wurde. Weil man aber einen zentralen Mechanismus benötigt, der
diese Signaturen überprüft, ohne selbst manipuliert werden zu können,
implementiert man ihn am besten in Hardware, d.h. als Chip oder besser
als Smartcard.

In seinem Aufsatz "On Trusting Trust" hat Unix-Miterfinder Ken Thompson
die o.g. Probleme am hypothethischen Horror-Szenario eines trojanisch
infizierten C-Compilers durchgespielt, der alle Software, die er
kompiliert, wiederum infiziert: <http://www.acm.org/classics/sep95/>.

Abgesehen davon, daß "Trusted Computing" Nutzer in falscher Sicherheit
wiegt, weil ein fehlerhaftes und Spyware-verseuchtes Programm 
auch dann ein fehlerhaftes und Spyware-verseuchtes Programm bleibt, wenn es
kryptographisch signiert ist, scheint mir weniger das Konzept ein
Problem zu sein als vielmehr die Frage, wie man es implementiert (bzw.:
wer seine Implementation kontrolliert).

-F


-- 
http://userpage.fu-berlin.de/~cantsin/homepage/
http://www.complit.fu-berlin.de/institut/lehrpersonal/cramer.html
GnuPG/PGP public key ID 3200C7BA, finger cantsin at mail.zedat.fu-berlin.de