Trusted Computing (eBook)

Prof. Dr. Norbert Pohlmann ist geschäftsführender Direktor des Instituts für Internet-Sicherheit an der Fachhochschule Gelsenkirchen. Prof. Dr. Helmut Reimer ist Geschäftsführer des TeleTrusT Deutschland e.V., Erfurt.

Vorwort 6
Inhaltsverzeichnis 8
Einleitung 10
Trusted Computing eine Einführung 12
1 Grundsätzliches zu IT-Sicherheitslösungen 12
2 Die Alternative zu heutigen Sicherheitslösungen 14
2.1 Das Trusted Computing Konzept 14
2.2 TPM Verbreitung 15
3 Neue Vertrauensmodelle etablieren 17
3.1 IT-Sicherheit und deren Bedeutung 17
3.2 Was ist und wie entsteht Vertrauen? 17
4 Neue IT-Konzepte werden wirksam 18
5 Vision 19
6 Zu den Beiträgen in diesem Buch 20
Literatur 21
Grundlagen 22
Die Trusted Computing Group 24
1 Trusted Computing 24
1.1 Was ist Trusted Computing? 24
1.2 Der Anfang" Trusted Computing Platform Alliance 25
1.3 Die Trusted Computing Group 25
1.4 Organisation 25
2 Das Ziel" Hardware-basierte Sicherheit 26
3 Das Spektrum der TCG 26
3.1 Die Computerwelt 27
3.2 Mobiltelefone 28
3.3 Speichermedien 28
4 Fazit" Zukunft des Trusted Computing 29
Literatur 29
Trusted Computing Grundlagen 30
1 Einleitung 30
2 Trusted Computing Systeme" Hardware und Software müssen zusammenwirken 32
2.1 Trusted Plattform (definiert durch die TCG) 32
2.2 Sichere Prozessorarchitektur (definiert durch die Prozessorhersteller) 32
2.3 Sichere und vertrauensw0rdige Betriebssysteme 33
3 Grundlegende Sicherheitsfunktionen im TCG Standard 33
3.1 Das Trusted Platform Modul (TPM) 34
3.2 Grundlegende Funktionen des TPM f~ir Trusted Computing 36
3.2.1 Core Root of Trust 36
3.2.2 Zertifikats-Verwaltung und sicherer Datenspeicher 37
3.2.3 Externe Zertifikats-Integrit~its- und Identit~itskette 39
3.2.4 SchlLisselverwaltung, SchlLisseltransport 40
3.3 Conformance, Compliance" Sicherheitszertifizierung des TPM und von SW-Implementierungen 41
4.3.1 Microkernel 42
4.3.2 Virtualisierung, Hypervisor 42
4 Trusted Software Komponenten und Betriebssysteme 42
4.1 Trusted Plattformen und konventionelle Betriebssysteme 43
4.1.1 Software-/Hardware-Sch nittstellen 44
5 Verwaltungsfunktionen 46
5.1 Aktivieren des TPM, ,,Take Ownership" 46
5.2 Backup und Recovery von TPM-Schlüsseln 47
5.3 Schlüissel Migration 47
5.4 TPM-Management Server 48
6 Anwendungen auf der Basis yon Trust und Sicherheit 48
6.1 TC-Anwendungsklassen Kir Nicht-PC Plattformen 49
7 Fazit 50
Literatur 51
TPM Virtualization: Building a General Framework 52
1 Virtualization and Trusted Computing" Background 52
2 Trusted Computing Group and TPM 53
2.1 Trusted Computing Group (TCG) 53
2.2 TPM Components 53
2.3 TPM Functions 54
3 Intel | Trusted Execution Technology (TXT) 55
4 TPM Virtualization 57
5 Generalized Virtual TPM Framework 57
5.1 Generalized Virtual TPMs (VTPMs) 58
5.2 VTPM Manager 59
5.3 VTPM Credentials 59
5.3.1 CA Generated Credentials 59
5.3.2 Locally Generated Credentials 60
5.4 Establishing Trust in a VTPM 60
5.4.1 Hardware Root of Trust 60
5.4.2 Underlying Software Trust 61
5.5 Virtual TPM (VTPM) Designs 62
5.5.1 Software-based VTPM 62
5.5.2 Hardware-based VTPM 62
5.5.3 Enforcing Virtual PCRs on TPM Keys 63
5.5.4 Other VTPM Resources 64
6 Conclusions 64
References 64
Trusted Computing und die Umsetzung in heutigen Betriebssystemen 66
1 Grundlagen und Uberblick 66
1.1 Trustworthy Computing- die Anfänge 67
1.2 Trusted und Trustworthy Computing - der Zusammenhang 67
2 Maßnahmen zum Schutz der Sicherheitsziele mittels TC 68
2.1 Direkte Interaktion yon Vista mit dem TPM 68
2.1.1 Bitlocker und Secure Startup 69
2.1.2 Secure Startup ohne TPM 69
2.1.3 Verschl~isselte Token 70
2.2 Management der Schlüssel in Unternehmen 70
2.3 Indirekte Interaktion mit dem TPM 0ber TBS und TSS 70
2.3.1 Admin Tools und Key Storage Provider 71
2.3.2 NX Funktionen - Data Execution Protection (DEP) 72
2.3.3 Adress-Verschleierung - ASLR 72
2.4 Der Secure Kernel und das Trusted Computing 72
2.4.1 Uberprivilegierte Prozesse 72
2.4.2 Der,,least privilege mode" 73
2.4.3 Kapselung von Prozessen / Prozess-Hardening 73
2.4.4 Kapselung von Prozessen / Firewalling 73
2.4.5 Virtualisierung von Systemkomponenten 74
2.5 User Account Control (UAC) 74
2.5.1 Least Privilege auch für Administratoren 74
2.5.2 Integrität for Prozesse - UlPI 75
2.5.3 Erhöhte Integrity Level für administrative Tasks 76
2.5.4 Eigene Maßnahmen - Nutzersegregation 76
2.5.5 Management von Identitäten 77
2.5.6 Föderation im privaten Umfeld- CardSpace 77
2.5.7 Föderation im betrieblichen Umfeld- ADFS 78
3 Ausblick auf künftige Entwicklungen 78
4 Fazit 79
Literatur 79
Sicherheitsbausteine Anwendungen 80
Mehr Vertrauenswürdigkeit für Anwendungen durch eine Sicherheitsplattform 82
1 Einleitung 82
2 Einsatzfelder für Sicherheitsplattformen 83
2.1 Einsatzszenarien 83
2.2 Definierte Branchen und Zielgruppen 85
3 Perspektiven der Turaya Pilotanwendungen 86
4 Das Anwendungsbeispiel Online-Banking 91
5 Notwendige Infrastrukturen zum Einsatz einer Sicherheitsplattform 93
6 Fazit 93
Literatur 94
Die Sicherheitsplattform Turaya 95
1 Einführung 95
2 Hintergrund und Probleme heutiger IT-Systeme 96
3 Die Turaya-Architektur 98
3.1 Hardware-Ebene 99
3.2 Hypervisor-Ebene (Ressource Management Layer) 99
3.3 Vertrauenswüirdige Sicherheitsdienste (Trusted Software Layer) 100
3.4 Anwendungen 101
4 Eigenschaften 101
4.1 Mehrseitige Sicherheit 101
4.2 Offene Systemarchitektur 101
4.3 Vertrauenswüirdiger Einsatz der TCG-Technologie 102
4.4 Plattformunabhängigkeit und Interoperabilität 102
5 Einsatzfelder für Turaya 102
5.1 Distributed Policy Enforcement 102
5.2 Multi-Level Security (MLS) und Enterprise Rights Management (ERM) 103
5.3 Sichere Endbenutzer Systeme 104
5.4 Embedded Security 104
6 Fazit 104
Literatur 104
Trusted Network Connect- Vertrauensw0rdige Netzwerkverbindungen 106
1 Einleitung 106
1.1 Problemstellung 107
1.2 Anforderungen an heutige Rechnernetze 108
2 Vertrauenswürdige Netzwerkverbindungen 108
3 Trusted Network Connect 109
3.1 Phasen 110
3.2 Struktur 110
3.3 Beispielkonfiguration anhand von WLAN 112
3.4 Anwendungsfelder 113
3.4.1 Schutz des Firmennetzes 113
3.4.2 Direkter Schutz des Intranets 113
3.4.3 Weitere Einsatzfelder 114
4 Alternative Ansätze 114
4.1 Microsoft NAP 114
4.2 Cisco NAC 114
4.3 Weitere Lösungen 114
5 Kritische Betrachtung 115
5.1 Vertrauenswürdigkeit der Messwerte 115
5.2 Administration 115
5.3 Sicherheit 116
5.4 Interoperabilität und Standardisierung 116
6 Fazit 117
Literatur 118
Interaktionen TPM und Smart Card 119
1 Trusted Computing heute 119
2 Gesamtlösungen 120
2.1 Gesamtlösungen aus Sicht des TPMs 121
2.1.1 Passwörter 121
2.1.2 Bootprozess 122
2.1.3 Authentizitätsprfüngen 123
2.1.4 Schlüsselspeicherung und Kontrolle 124
2.2 Gesamtlösungen aus Sicht der Smart Card 125
3 Die Zukunft von Token und TPMs 126
3.1 Fest integrierter Sicherheitschip 126
3.2 Variabler Sicherheitschip 127
3.3 Lösungen mit variablen und fest integrierten Sicherheitschips 127
3.4 Hardwaresicherheit in eingebetteten Systemen 127
4 Fazit 129
Literatur 130
Anwendungsszenarien 132
Enterprise Security- Informationsschutz im Unternehmen 134
1 Enterprise Security 134
2 Policy Enforcement mittels Trusted Computing 135
3 Enterprise Rights Management 136
3.1 Status aktueller ERM Implementierungen 137
3.2 ERM und TC 138
3.3 Angriffsvektoren 139
3.4 TC-Gegenmaßnahmen 141
4 Operations 142
4.1 Integrationsmöglichkeiten einer ERM Implementierung 142
4.1.1 Identity & Access Management Systeme
4.1.2 Automatisierte Dokumentenklassifikation 144
4.1.3 Integration mit Content-Management Systemen 145
4.2 Interoperabilität mehrerer ERM Lösungen 146
5 Fazit 147
Literatur 148
Unternehmensweites TPM Key Management 149
1 Einsatz von TPM in Unternehmen 149
2 IT Management im Unternehmen 150
2.1 IT Security Policy 151
2.2 Unternehmensweites TPM Key Management heute 152
2.3 Anforderungen an ein unternehmensweites TPM Key Managment 157
3 Lösungsskizze eines unternehmensweiten TPM Key Managments 159
3.1 Hardware-Sicherheitsmodul (HSM) 159
3.2 Zentrale Generierung der TPM Keys 161
4 Aktuelle Entwicklungen 163
5 Fazit 163
Literatur 164
Trusted Computing im Hochsicherheitsbereich 165
1 Vertrauenswürdigkeit 165
2 Sicherheitsanforderungen 166
3 Trusted Computing im Entwicklungsprozess 166
4 Trusted Platform Module im Betrieb 167
4.1 Entferntes Attestieren nach TCG 167
4.2 Migration, Sealing und Binding 168
4.3 Ausdrucksschwaches Ladeprotokoll 169
4.4 Statische Vermessung 169
4.5 Fremde Software 169
4.6 Benötigte Ressourcen 170
4.7 Suspend to disk/ram 170
4.8 Manipulationen an Hardware 171
4.9 TPM als Quelle des Vertrauens 171
5 Hochsichere Datenverarbeitung und Kommunikation 171
5.1 Anforderungen im Hochsicherheitsbereich 172
5.2 Sicherheitsphilosophie 172
5.3 Bausteine 173
5.4 SINA Linux 173
5.5 SINA-Session-Typen 174
5.5.1 Virtual-Machine-Session 174
5.5.2 Das Virtual Machine Prinzip 175
5.5.3 Transfer-Session 176
5.5.4 Quarantäne-Session 176
5.6 Zusammenspiel der Sessions 176
6 Fazit 177
Literatur 178
Trusted Computing automobile IT-Systeme 179
1 Einführung 179
2 Anwendungen für Trusted Computing im Automobilbereich 181
2.1 Komponentenschutz 181
2.2 Manipulationsschutz 181
2.3 Zugangsschutz 182
2.4 Sichere Softwareaktualisierung 182
2.5 Digitale Rechteverwaltung 182
2.6 Sichere Fahrzeugkommunikation 183
3 Angreifer im Automobilbereich 183
3.1 Angriffsmöglichkeiten 183
3.2 Angreiferprofile 184
3.3 Angriffsszenarien 185
4 Sicherheitsanforderungen im Automobilbereich 185
4.1 Sicherheitsziele 185
4.2 Technische Randbedingungen 185
4.3 Organisatorische und rechtliche Randbedingungen 186
5 Hardwaresicherheitsmodul 186
5.1 Sicherheitsplattformen 187
5.2 TPM als Sicherheitsmodul 188
5.3 Sicherheitsarchitekturen 189
6 Beispielimplementierung 192
7 Fazit 194
Danksagungen 194
Literatur 194
Trusted Computing in mobiler Anwendung: Von Zugangskontrolle zu Identitäten 196
1 Einleitung 196
2 TC Brevier 198
2.1 Privatsphäre, Identität, Pseudonymität 201
3 Mobile Anwendungen 202
3.1 Funktionale Restriktion 203
3.1.1 Vorabbezahltes mobiles Telefon 204
3.2 Maschine-zu-Maschine Kommunikation 205
3.2.1 Physische Zugangskontrolle und Gebäudemanagement 206
4 Schritte hin zu TC-basierten Identitäten 206
4.1 Ein TC-basiertes Ticket-System 206
4.2 Preisfestsetzung in Reputationssystemen 209
4.3 Schutz von Inhalten in Push-Diensten 210
5 Fazit und Ausblick 213
Literatur 214
Datenschutz- und rechtliche Aspekte 217
Auswirkungen von Trusted Computing auf die Privatsphäre 218
1 Einführung 218
2 Hintergrund und technische Grundlagen 218
3 TCG und Privacy 219
4 Schutz vor Malware in einer vernetzten Welt. 220
5 Digital Rights Management (DRM) 221
5.1 DRM für Mediendaten 221
5.2 DRM für Software-Produkte 222
5.3 DRM für persönliche Daten 223
5.4 DRM in Unternehmen und Verwaltung 223
6 Identitätsmanagement 224
6.1 Nutzerkontrolliertes Identitätsmanagement 224
6.2 Gegenmaßnahme zu Identitätsdiebstahl 225
7 Handlungsempfehlungen for ein datenschutzkonformes Trusted Computing 226
8 Fazit 227
Literatur 228
Rechtliche Chancen und Risiken des ,,Trusted Computing" 230
1 Einleitung 230
2 Rechtliche Chancen des ,,Trusted Computing" 231
2.1 Schutz von Systemen 231
2.2 Authentifizierung elektronischer Transaktionen 234
3 Rechtliche Risiken des ,,Trusted Computing" 237
3.1 Datenschutzrecht 237
3.2 Wettbewerbsrecht 237
3.3 Urheberrecht 238
4 Möglichkeiten und Grenzen einer rechtlichen Technikgestaltung 239
4.1 Mechanismen der rechtlichen Technikgestaltung 239
4.2 Erfahrungen im Fall der vertrauenswürdigen Systemumgebungen 241
5 Fazit 243
Literatur 244
Biographien der Autoren 246
Glossar 252
Stichwortverzeichnis 258

Trusted Network Connect- Vertrauenswürdige Netzwerkverbindungen (S. 97-98)

Marian Jungbauer * Norbert Pohlmann
Institut für Intemet Sicherheit, FH Gelsenkirchen

Zusammenfassung

Die durch die Globalisierung entstandene wirtschaftliche Abhängigkeit von schnellem und kostengünstigem Informationsaustausch fahrt zu einer immer stärkeren Vernetzung. Das Internet stellt eine weltweit verfügbare Kommunikations-Infrastruktur bereit. Es bietet aber keine Möglichkeiten einer vertrauenswürdigen Kommunikation, da die im Netz befindlichen Rechnersysteme nicht auf deren Systemintegrität und Vertrauenswürdigkeit geprüft werden können. Gleiches gilt far Intranets. Besucher und Außendienstmitarbeiter, die ihre Rechnersysteme, zum Beispiel Notebooks, sowohl aul3erhalb als auch innerhalb des Firmennetzes einsetzen, stellen mit diesen Rechnersystemen eine Bedrohung far das Unternehmen dar.

Durch die Benutzung der Rechnersysteme außerhalb des Firmennetzes arbeiten diese auch außerhalb der Schutzmaßnahmen und des Kontrollbereichs der Untemehmens-IT. Lösungs-Ansätze wie zum Beispiel Trusted Network Connect (TNC), stellen Methoden zur Feststellung der Integrität von Endpunkten bereit, die als Basis far vertrauenswürdige Kommunikation dienen. Die Konfigurationen der Endpunkte lassen sich sowohl auf Software- als auch auf Hardwareebene messen, über den Abgleich von definierten Sicherheitsregeln kann eine Policygesteuerte Zugriffssteuerung realisiert werden.

1 Einleitung

Noch vor wenigen Jahrzehnten wurden Daten und Dokumente sowohl innerhalb als auch zwischen Firmen pers6nlich oder per (Haus-)Post ausgetauscht. Ffir den Transport sensibler Daten mussten ver- trauenswürdige Kommunikationswege wie etwa eigene, kostenintensive Postdienste genutzt werden. Später boten erste Formen der elektronischen Datenübertragung, wie beispielsweise die Obertragung per Fax, die Möglichkeit, Dokumente schnell von A nach B zu übertragen.

Die vertrauliche Übermittlung sensibler Daten konnte aber nicht gewährleistet werden. Die zunehmende Verbreitung von Computerarbeitsplänen und die immer weiter fortschreitende elektronische Datenhaltung führten zur Bildung von Rechnernetzwerken innerhalb und zwischen Firmen. Für den vertraulichen Austausch von Informationen wurden hingegen weiterhin die bestehenden Kommunikationswege genutzt. Heute, in Zeiten der Globalisierung, vergrößern sich sowohl die Distanzen, die Menge, als auch die Wichtigkeit der auszutauschenden Informationen zwischen Firmen oder ihren Niederlassungen.

Zusätzlich wirkt auf alle betrieblichen Prozesse ein erhöhter Kosten- und Zeitdruck. Klassische, 6rtlich begrenzte Netzwerke (Intranets) auf der ganzen Welt werden daher immer intensiver in grol3e, 6rtlich unbegrenzte Firmennetze integriert. Heim- und Augendienstmitarbeiter benötigen einen schnellen, sicheren wie es auch von SmartCards geboten wird. Darüber hinaus eröffnet das Konzept zahlreiche weitere Ansätze far innovative Lösungen, mit denen die Vertrauenswürdigkeit und die Sicherheit von IT-Systemen erhöht werden können. Die Darstellung dieser Möglichkeiten ist ein Grundanliegen dieser Publikation.

Da die IT-Systeme tendenziell komplexer und heterogener werden, entscheidet die Bewertbarkeit des Sicherheitszustandes von Systemkomponenten (PCs, aber auch andere computergestützte Geräte im Netz wie Mobiltelefone, Speichergeräte, Drucker usw.) zunehmend über die Vertrauenswürdigkeit von Anwendungen. Diese Anforderung stand bei der Formulierung des Trusted Computing Konzeptes Pate. Das Trusted Platform Module (TPM) kann mittels kryptographischer Verfahren die Integrität der Soft- und Hardware-Konfiguration eines Gerätes messen und deren Hashwerte (Prafwerte) sicher im TPM speichern.