home | aktuell | archiv | newsflyer | radio | kontakt
[97][<<][>>]

Überwachen, Kontrollieren, TCPA.(1)


TCPA Anti-Bewegung, 21.6k
Modern style: Die neue "Anti"-Bewegung
Es ist mal wieder kurz vor einer Veranstaltung und wir brauchen dringend noch ein paar Flugblätter. Also Computer an und los geht’s, aber unser geliebter Pagemaker ist nicht drauf. Also CD raus, installieren und ... „Dieses Programm darf auf Ihrem Computer nicht benutzt werden!“ Wie jetzt? Hab ich doch gestern erst bei XY installiert, da ging’s noch! Panik...

Das könnte die Zukunft sein, wie sie sich die TCPA vorstellt. Doch wie funktioniert es? Alles, was man dazu benötigt, ist ein zentrales Kontrollorgan und das Wissen über die Herkunft von Daten. An der Realisierung wird z.Zt. bei den IT-Branchenriesen(2) mit Hochdruck gearbeitet. Diese besteht zum einen aus dem technischen Teil: jeder Computer muß identifizierbar sein. Das stellt technisch kein Problem dar, jeder Computer wird in absehbarer Zeit mit einem Chip („TPM“) ausgestattet sein, der ihn eineindeutig identifiziert. IBM verkauft jetzt schon Laptops mit TPM. Alle Daten, die den Rechner passieren, werden mit einem digitalem Fingerabdruck des Chips signiert. D.h. es kann immer nachvollzogen werden, woher irgendwelche Daten stammen. Als zweites braucht man ein Kontrollorgan: dabei steht fest, dass Microsoft an der Spitze stehen wird. Fraglich ist bloß noch, wer ansonsten noch wie Einfluss nehmen kann.
Wie sieht das dann in der Praxis aus?

Wenn man ein Programm auf dem Rechner istallieren will, wird (via Internet) beim Trust-Center angefragt, ob auf diesem Computer diese Software installiert werden darf. Nach irgendwelchen Kriterien, die noch nicht definiert sind, aber auf jeden Fall für den User nicht transparent sein werden, wird dort entschieden, ob die Software installiert werden darf oder nicht. Nach dem selbem Prinzip kann eine Zensur des Internets erfolgen. Es wird dann nicht nach Inhalt der Seite zensiert, sondern nach dem Rechner, an dem man sie betrachten will.
Als Nebeneffekt (dieser wird von den BefürworterInnen als Hauptargument angeführt) wird damit jegliches Kopieren von Daten (egal ob legal oder illegal) unterbunden. MP3’s kann man dann z.B. nur auf dem Computer anhören, auf dem sie erstellt wurden, da kein anderer Computer die signierten Dateien lesen kann. Ein anderer, aber scheinbar nicht so wichtiger Effekt ist, dass der Datenaustausch zwischen Computern nicht mehr funktionieren wird. Ein kleines Beispiel soll hier verdeutlichen, dass das wirklich „nicht so wichtig“ ist.
Nach Monaten der Anstrengung und Konzentration ist endlich die Diplomarbeit fertig. Also ab auf CD damit und in den Copy-Shop, drucken und binden – Fehlanzeige, der Computer im Copy-Shop wird deine Datei nicht lesen. Aber das ist ja auch „nicht so wichtig“.
Aus Sicht der Industrie ist das ein wesentlicher Fortschritt, weil damit jeglicher Einsatz von Raubkopien (Programmen und auch Musik-CD’s und DVD’s) unmöglich wird. Für die User gibt es auch einen Vorteil: Viren, Würmer, Spam und ähnliches gehören der Vergangenheit an.
Dies kann man auch mit Sicherheit oder Vertrauenswürdigkeit beschreiben und damit sind wir wieder beim Namen „Trusted Computing Platform Alliance“. Nur verstehe ich bloss nicht, warum sich dann nahezu alle Sicherheitsexperten(3) der Branche gegen diese Sicherheit aussprechen.

Zum Schluß möchte ich noch die Punkte 24 und 25 der TCPA-FAQ(4) anführen:

24. Warum spricht man dann vom „vertrauenswürdigen Computereinsatz“? Ich wüsste nicht, was daran vertrauenswürdig ist!
Das ist eigentlich ein Insiderwitz. Das US-Verteidigungsministerium versteht unter einem „vertrauenswürdigen“ System ein solches, das „die Sicherheitsrichtlinien durchbrechen kann“. Dies klingt erst mal widersprüchlich, aber wenn man darüber nachdenkt, wird es einem klar. Der gesicherte Mailserver oder die Firewall, die zwischen einem geheimen und einem streng geheimen System stehen, können – falls sie überwunden werden – die gesamten Sicherheitsrichtlinien untergraben, die besagen, dass die Mail immer nur vom geheimen zum streng geheimen System, aber nie in die andere Richtung gehen soll. Sie werden daher als vertrauenswürdig angesehen, die Richtlinie zum Informationsfluss durchzusetzen.
Oder nehmen wir ein ziviles Beispiel: nehmen wir an, sie vertrauen darauf, dass ihr Arzt ihre Krankenakte unter Verschluss hält. Dies bedeutet, dass er Zugang zu ihren Daten hat und sie an die Presse weitergeben könnte, wenn er sorglos oder boshaft wäre. Sie vertrauen mir ihre Akten nicht an, denn ich habe sie nicht; egal ob ich sie mag oder hasse, ich könnte nichts tun, um zu erreichen, dass ihre Daten veröffentlicht würden. Ihr Arzt kann das aber; und die Tatsache, dass er in einer Position ist, ihnen Schaden zuzufügen, ist genau das, was (auf Systemebene) damit gemeint ist, wenn sie sagen, dass sie ihm vertrauen. Sie könnten bei ihm ein gutes Gefühl haben, oder vielleicht müssten sie ihm einfach nur deswegen vertrauen, weil er der einzige Arzt auf ihrer Insel ist. Es ist völlig egal, die Definition von „Vertrauen“ des US Verteidigungsministeriums wischt all diese unklaren, emotionalen Aspekte, die Menschen bei diesem Begriff verwirren könnten, beiseite.
Man erinnere sich an Al Gores Vorschlag Ende der neunziger Jahre, in denen über Regierungskontrolle der Kryptographie diskutiert wurde, zur Einsetzung eines „vertrauenswürdigen Dritten“ – eine Institution, die einen Zweitschlüssel sicher aufbewahren sollte, für den Fall, dass FBI oder NSA ihn brauchen würde. Die Bezeichnung wurde genauso als Marketing-Gag verlacht wie der Name „Demokratische Republik“ für die ostdeutsche Kolonie Russlands. Dies ist im Einklang mit der Denkweise des US-Verteidigungsministeriums: Ein vertrauenswürdiger Dritter ist jemand, der meine Sicherheitsrichtlinien umgehen kann.

25. Ein „vertrauenswürdiger Computer“ ist also einer, der meine Sicherheit untergräbt?
Nun haben Sie’s kapiert!

Tschau sagt der fisch :(

Fußnoten:
(1) Trusted Computing Platform Alliance
(2) Eine Liste findet hier: http://www.notcpa.de
(3) http://www.heise.de/ct/02/26/056/default.shtml
http://www.heise.de/ct/02/26/058/default.shtml
http://www.heise.de/ct/03/02/003/default.shtml
(4) http://moon.hipjoint.de/tcpa-palladium-faq-de.html

home | aktuell | archiv | newsflyer | radio | kontakt |
[97][<<][>>][top]

last modified: 28.3.2007