Was ist TCPA?

TCPA steht für Trusted Computing Platform Alliance Die Kerngruppe der TCPA, AMD, HP, IBM, Intel und Microsoft, haben nun, wegen der zu demokratischen Struktur der TCPA (Beschlüsse benötigen eine einstimmige Abstimmung), eine neue Gruppe names TCG gegründet um den Trusted Computing Gedanken schneller in die Realität umsetzen zu können.

Kernstück von TCPA ist ein Sicherheitschip (TCPA-Chip) der drei Funktionen erfüllt:

• Public-Key-Funktionen (Zufallszahlengenerator, SHA-1 Hasherzeugung, RSA-Verschlüsselung und Schlüsselgenerierung)

• Trusted Boot-Funktionen (Prüfsummen des Systems werden gespeichert und verglichen)

• Initialisierungs- und Managementfunktionen (An- und Ausschalten etc)

siehe http://www.research.ibm.com/gsal/tcpa/why_tcpa.pdf und http://www.research.ibm.com/gsal/tcpa/tcpa_rebuttal.pdf

TCPA Treiber für Linux

TCPA-Homepage: http://www.trustedcomputing.org/home (dort gibt's auch die Spezifikationen)

EFF: Trusted Computing: Promise and Risk

Auszug aus TCG Main Specification 1.1b, Seite 133: The TPM MUST ship with no Owner installed.
Das bedeutet letztlich, dass der, der vor dem Rechner sitzt, die initiale Kontrolle hat.

"Initiale Kontrolle" könnte man auch wie eine Gummiformulierung eines Marketingstrategen oder Juristen lesen. "Initiale" also anfängliche Kontrolle das Gerät zu aktivieren, oder auch nicht. (Ohne dabei jemals ein eventuelles Rückgaberecht zugestanden zu haben.)

Zur "initialen Kontrolle" wurde urspünglich u.a. folgendes eingewendet, was von einem TCPA Befürworter mit Kommentar "die wilden spekulationen nerven langsam" gelöscht wurde: (so einfach möchte man es sich in der TCG auch gerne machen (Zumindest schon mal eine sichere Möglichkeit eröffen der die TCG auch Vertrauen kann)

• Aber nur solange er noch kein TCG Betriebsystem installiert hat (und der Stecker draußen ist). Dannach werden die Rechte sicher gegen den "Owner" gesetzt, sonst würde die TCG der eigenen Platform nicht Vertrauen können.
  

Es ist wohl richtig das erstmal alles "uninstalled" ausgeliefert wird. Will ich aber als einer der wenigen die nicht auf eine fremde Instanz vertrauen kein TPM verwenden kann ich meine Hardware wohl auch für nicht viel verwenden. (Mehrheit der Webseiten könnten dann nicht zugänglich sein, Mehrheit könnte dann meine e-mail nicht lesen, ...) Für die beworbenen TCPA Vorteile gibt es sicher bessere Alternativen, sofern durch TCPA die Vorgegebenen überhaupt erzielbar sind. Man beachte die Konsequenzen, die ein System von Elektronik, dem von Unternehmen, weil kontrollierbar, vertraut wird, für Käufer und Benutzer mit sich brächte. Die Specs sind nie endgültig. Man sollte damit aber auch nie anfangen. Der Bedarf an Sicherheit der Benutzer sollte ihm die Kontrolle geben nicht den bisherigen Herstellern teurer Unsicherheit. Benutzer sind dabei nicht nur Einzelpersonen sondern evtl. selbst große Organisationen. Nichts gegen separate optionale Signaturüberprüfungsverfahren wie per Smartcards doch Verschlüsselte Kommunikationskanäle zu Dritten? (siehe specs).

Das Problem ist, eine Trusted Hardware Platform kann zu viel mehr benutzt werden als jetzt offiziell erwähnt wird.

Alternativen? Umstieg auf freie GPL Software mit öffentlicher Suche von Sicherheitsmängeln. Verhindert zuverlässig schwarzkopieren der Software. Public-Key Verfahren und Signaturen für verteilte Source Audits und compilierte Binaries (gutes end-to-end Bsp.: http://www.gnupg.org/aegypten/index.de.html) Zu Musik und anderen Urhebungen siehe http://www.xiph.org/about.html (englisch).. Ergo: Für gute Urheber und nicht für das fast kostenlose Kopieren zahlen.

PS: Erst Vertrauen ermöglicht betrogen zu werden. Kann man einer Gruppe vertrauen die einem offensichtlich nicht vertraut da sie sich dadurch unmittelbar Kontrollmechanismen über einen bedient?

• Hast du eigentlich keinen Namen? Das TPM ist sicher nicht die perfekte Lösung (ist bei Hardware nie möglich), aber IMHO gibt es durchaus brauchbare Anwendungen. Und wenn mal jemand Fakten liefern würde, statt wilden Spekulationen könnte man auch sachlich diskutieren. Die einzigsten brauchbaren Kritiken kommen vom CCC

  • http://www.ccc.de/digital-rights/ im Abschnitt "TPM"

  • http://www.ccc.de/digital-rights/forderungen

  • http://www.heise.de/newsticker/data/jk-08.08.03-004/

  -- RonnyBuchmann 2003-08-25 09:30:09

Das TPM (Trusted Platform Module) wird möglicherweise auch für Microsofts Palladium verwendet werden, mit z.T. sehr spekulativen Konsequenzen.

Lesestoff für alle, die das mit dem Evil Empire noch für nen Witz halten:

• {de} http://moon.hipjoint.de/tcpa-palladium-faq-de.html

• {en} http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html#additions

• {de} c't 2002/22 S.204

• {de} c't 2002/24 S.186

• {en} Interview on Slashdot

Was tun contra TCPA?

Es stellt sich die Frage, ob man etwas dagegen tun muss? Man sollte sich zuerstmal die Spezifikationen anschauen.

• {de} {en} http://www.againsttcpa.com/

• {de} http://www.gegen-tcpa.de/

• {en} http://www.consumers-api.com/

• {en} http://www.petitiononline.com/capi/petition.html - hier kann man die Petition gegen TCPA unterschreiben

• /SchwarzeListe

• {de} http://www.paradome.de/ - lokales Netzwerk gegen TCPA bzw. TCG - diverse Aktionen gegen TCPA ( reale Unterschriftensammlung,... )

Nach einem Heise Online-Artikel beschäftigen sich im Bundestag Gerd Andres (<gerd.andres AT wk.bundestag.de>, SPD) und Martina Krogmann (<martina.krogmann AT bundestag.de>, CDU) mit dem Thema - vielleicht können Mails an die richtigen Adressen helfen. Aber daran denken: Politiker sind generell keine Linux-Fans, Kommentare wie "Micro$oft suxx" oder "TCPA hilft nur dem evil empire! Go GNU!" sind kontraproduktiv!

Pro TCPA?

• TCPA kann u.U. dazu benutzt werden Kopien von Software, Video- und Musik-Dateien zu kontrollieren
  • in Verbindung mit Palladium und DRM
  • Einige Beteiligte haben das mutmaßlich als Hauptinteresse.
  • Was besonders als Programmierer begrüssenswert ist, da Unternehmen nicht mehr Zeit und Geld in Kopierschutz und Doggles stecken müssen, und somit die Preise für die Software sicher auch sinken wird.
    • "sicher"? Wieso sollte ein SW-Hersteller die Preise dann senken? Welchen Grund hätte er dazu?
      • Es gibt keinen 100%ig sicherer Kopierschutz, auch nicht mit TCPA.
        • Die XBox hat bereits eine Vorstufe der TCPA, damit lernt Microsoft, was falsch laufen kann, um dann bei TCPA keine dieser Fehler zu machen.
    • mehr als ein Dongle kann das TPM in dieser Hinsicht auch nicht
• Das TPM lässt sich auch zu nützlichen Sachen verwenden - dem sicheren Aufbewahren von privaten Schlüsseln z.B..
  • was ist daran sicher, wenn man nicht die Kontrolle über alle Zugangsschlüssel hat?
  • die hat man aber siehe die specs
• Ein Virus hat überhaupt keine Chance an lebenswichtige Teile des PCs zu kommen, weil er einfach draus bleiben muss. Selbst Trojaner, die jeden Tastenanschlag mitzeichnen und an eine eMail-Adresse verschicken, sind einfach für alle mal draussen.
  • Macroviren und vielleicht auch andere werden genauso funktionieren wie seither. Das mit dem Virenschutz ist ein Argument der TCPA-Lobby, um es den Anwendern schmackhaft zu machen.