Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Windows 8 und TPM

von Georg Binder 21. August 2013 11:33

Hurray, wir haben wieder ein Thema gefunden, um vom Überwachungsstaat abzulenken! Statt sich auf die verpflichtenden Abhörschnittstellen bei europäischen Telekomunternehmen zu konzentrieren oder ob man Bekannte von Journalisten an Flughäfen festhalten darf oder den Verkauf von Patientendaten oder Vorratsdatenspeicherung, Flugdatenübermittlung, SWIFT … alles Themen, die EUROPA betreffen, was sich im Wahlkampf aber eventuell nicht so gut macht. Also,.. NSA und Microsoft. ZEIT ONLINE hat einen Artikel veröffentlicht mit dem wenig zurückhaltenden Titel: “Bundesregierung warnt vor Windows 8”. Normalerweise kommentiere ich politische Ereignisse ja eher nicht, da begebe ich wie so manch anderer in ein “Neuland”.

Summary: Offenbar geht es ähnlich wie bei UEFI/Secure Boot lediglich um die Fragestellung, ob ein TPM Chip in der Hardware deaktivierbar ist. Hat nicht einmal etwas direkt mit Windows zu tun,…

[UPDATE] Es gibt eine Stellungnahme des BSI

DISCLAIMER: Das ist mein privater Blog/Meinung, für offizielle Stellungnahmen bitte an den jeweiligen Unternehmenssprecher von Microsoft wenden, danke...

Die Zeit berichtet über Trusted Computing:

Diese Hintertür heißt Trusted Computing und könnte zur Folge haben, dass Microsoft jeden Computer aus der Ferne steuern und kontrollieren kann. Und damit auch die NSA.

Wir könnten WAS? Vor drei Wochen war es der Updatemechanismus bei SSL-Zertifikaten, nun kommt der TPM Chip dran. Und weiter geht es:

Trusted Computing ist alles andere als ein neues Phänomen. Seit rund zehn Jahren ist die Technik auf dem Markt. Vereinfacht gesagt, geht es dabei um den Versuch, den Rechner vor Manipulationen durch Dritte zu schützen, zum Beispiel vor Viren und Trojanern. Der Benutzer soll sich dabei um nichts mehr kümmern müssen. Um das zu erreichen, braucht es erstens einen speziellen Chip, der Trusted Platform Module (TPM) genannt wird, und zweitens ein darauf abgestimmtes Betriebssystem. Zusammen regeln sie unter anderem, welche Software der Nutzer auf einem Computer installieren darf und welche nicht.

Korrekt ist: es ist nicht neu. Seit vielen Jahren haben vor allem Business-Laptops einen TPM Chip eingebaut. Wir hatten diese Diskussion auch alle schon zu Vista-Zeiten und davor. Kann sich jemand an Palladium und NGSCB erinnern? Nie realisiert, aber mitunter vermischen sich die Meinungen über Palladium immer noch mit anderen Themen, wie eben TPM. Aber zurück zu aktuellerem, wo wird der TPM bei Windows 8 bzw. Windows 8.1 genutzt:

  • Virtuelle Smartcards
  • Bitlocker

Anti-Malware oder das Blockieren von Anwendungen, wie ZEIT ONLINE vermutet, gehören nicht zur direkten Nutzung des TPM in Windows. Der TPM selbst ist gegen Malware geschützt und ich kann das Zertifikat zur Authentifizierung nehmen, aber das sind beides vollkommen andere Szenarien als berichtet. Zum Blockieren von Anwendungen kann man z.B.  Applocker nutzen (Windows 7 und Windows 8 Enterprise), das hat aber weder etwas mit dem TPM noch der NSA zu tun, sondern wird über Gruppenrichtlinien vom Unternehmen selbst verwaltet. Der Satz:“Der Hersteller des Betriebssystems legt fest, welche Anwendungen auf einem Gerät installiert werden können und welche nicht” ist für Windows Vista, Windows 7, Windows 8 oder Windows 8.1 nicht zutreffend.

Die Zeit schreibt weiter, “Man müsse davon ausgehen, dass die NSA die entsprechenden Rechner problemlos kompromittieren könnte – ebenso übrigens die Chinesen, wenn die TPM-Chips in China gefertigt würden.”

Ich darf wirklich stark bezweifeln, dass die NSA Schnittstellen für die Chinesen absegnet. Hier wäre mehr Information erforderlich, ob es sich dabei um akademische, theoretische Problemstellungen handelt, die man bei einer Schlüsselverwaltung generell diskutieren könnte, oder ob es sich um Issues mit einer tatsächlichen, real existierenden Implementierung handelt.

Der Eindruck, der hier vermittelt wird, nämlich dass Remote auf Rechner durch Microsofts Hilfe zugegriffen werden kann, wurde von Microsoft schon mehrmals und eindeutig zurückgewiesen: “An dieser Stelle betonen wir nochmals, dass Microsoft keiner Regierung die Möglichkeit gibt, unsere Verschlüsselung zu brechen und Microsoft auch keiner Regierung Schlüssel zur Entschlüsselung zur Verfügung stellt.”

Ein paar Fakten

TPM mag durchaus auch zu kompromittieren sein, wie jede Sicherheitstechnologie. Bisher haben sich die Experten des BSI bezüglich TPM aber positiv geäußert, ich verweise mal auf das, was öffentlich ist: Das Bundesamt für Sicherheit in der Informationstechnik EMPFIEHLT den Einsatz eines TPM ausdrücklich. Nachzulesen im Leitfaden BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz oder auch (und hier zitiere ich sogar aus der Zeit):

Das BSI empfiehlt Behörden, Unternehmen und Privatanwendern den Einsatz dieser Technik auch, sofern sie bestimmte Voraussetzungen erfüllt. Zu diesen Voraussetzungen aber gehören die Optionen des Opt-in und des Opt-out – und die fallen künftig weg.

Mag sein, dass die Empfehlung der Microsoft Hardware Certification das Opt-In vorwegnehmen (Auslieferungszustand des PCs), aber es ist den Verantwortlichen für die nationale deutsche Sicherheit zuzutrauen, dass sie die Systeme nach ihren Vorstellungen konfigurieren (und da ist ja weit mehr notwendig!). Die IT wird auch zukünftig in der Lage sein, den TPM zu deaktivieren und dass solche Geräte (die den TPM deaktivierbar haben)  so wie jetzt, auch noch in Zukunft zu beziehen. Denn derzeit lässt sich meiner Information nach bei 100% der Geräte der TPM deaktivieren. Nachdem Hardwarehersteller wohl nicht noch weniger Devices verkaufen wollen, erschließt es sich mir nicht, aufgrund welcher realen Vorstellungen sich in naher oder ferner Zukunft eine Änderung einstellen sollte. 

Die Windows 8.1 Hardwarezertifizierung schreibt ab 2015 einen TPM 2.0 Chip verpflichtend vor – allerdings kann dieser deaktiviert werden oder sein, er muss nicht mal bei Auslieferung aktiv sein (siehe http://msdn.microsoft.com/en-us/library/windows/hardware/hh748188.aspx ), es ist lediglich die Empfehlung diesen aktiv auszuliefern. ”It is recommended the TPM state when shipped is enabled and activated“. Ich habe keinen Hinweis gefunden, dass der TPM aktiv sein MUSS.

Heißt also: sollte ich wirklich bedenken haben, im Unternehmen oder auch privat, dann werde ich diese Sicherheitsfunktion nicht nutzen. Das ist ähnlich wie die UEFI Funktion “Secure Boot”, wo Microsoft sogar verpflichtend vorschreibt, dass diese bei x86 Maschinen deaktivierbar sein muss – sonst wird das Gerät nicht zertifiziert. Ob durch Deaktivieren der Sicherheitsfunktionen die reale Sicherheit tatsächlich gesteigert wird, darf stark bezweifelt werden.

Technische Informationen zu TPM in Windows 8 und Windows Server 2012 stehen in TechNet bereit: http://technet.microsoft.com/de-de/library/jj131725.aspx

Weitere Informationen: Medienberichte über US-Sicherheitsprogramm

 

Comments (27) -

>

8/21/2013 11:53:14 AM#

..ich hab's mal an den Autor des Zeit-Artikels weitergeleitet^^

Oscar Deutschland | Reply

>
>

8/21/2013 12:07:49 PM#

Solange der Autor den Hinweis betrachtet, dass die Inhalte hier meine Privatmeinung sind, und keine offiziellen Stellungnahmen von Microsoft sind,...

Georg BinderAustria | Reply

>
>

8/21/2013 3:11:13 PM#

Also wenn ich mir diese Ausschnitte und die Definition von Autor (http://de.wikipedia.org/wiki/Autor) durchlese, erscheint mir dieser Begriff für den Ersteller des Artikels reichlich überzogen...

Andi SchabusAustria | Reply

>

8/21/2013 12:28:35 PM#

Guter "defudding" Blog Post, vielen Dank!

Da wurde offenbar ein Zeit Redakteur von einem tollwütigem Pinguin gebissen ;)

WolfgangAustralia | Reply

>

8/21/2013 12:30:28 PM#

Ich verstehe eines nicht: Microsoft baut ein Betriebssystem. Den Sourcecode von diesem Betriebssystem kennt nur Microsoft. Wenn ich schon (und ich möcht ausdrücklich drauf hinweisen dass ich das für Schwachsinn halte!) schlimme Paranoia hab, warum hab ich diese nicht schon seit Jahren. Wenns im Sourcecode drinstehen würde, hätte MS IMMER SCHON die Installation von manchen Programmen erlauben können, hätte MS IMMER SCHON Zugriff auf alle Rechner sich beschaffen können. (Ich halte das für ausgeschlossen, aber technisch wärs möglich). Wozu brauch ich bei einer Verschwörungstheorie UEFI oder ähnliches, wenn die Verschwörung wesentlich einfacher erklärbar wäre?

ThomasAustria | Reply

>
>

8/21/2013 12:34:34 PM#

Den Sourcecode von Windows kennt nicht nur Microsoft, er wird auch an Firmen und Behörden zur Prüfung weitergegeben. Das ist aber auch ein offenes Geheimnis.

HolgerDeutschland | Reply

>
>
>

8/21/2013 12:51:40 PM#

Na so geheim ist es auch wieder nicht... www.microsoft.com/en-us/sharedsource/default.aspx

Georg BinderAustria | Reply

>
>
>
>

8/21/2013 1:41:00 PM#

Ja. Ich bezweifel dass jeder Bugfix, jedes Update den Behörden und Firmen übergeben wird (oder?). Also, wenn MS was reinschmuggeln wollen würd, wäre das irgendwie möglich.

ThomasAustria | Reply

>
>
>
>
>

8/21/2013 1:42:22 PM#

Ergänzung: Für die Verschwörungstheorien wärs eigentlich sogar besser wenn jedes Bugfix den Behörden übergeben wird Smile

Thomas | Reply

>
>
>
>
>
>

8/21/2013 4:02:07 PM#

Die Behörden brauchen keinen Windows Sourcecode, sie brauchen nur Kenntnis über ausnutzbare Sicherheitslücken und ein wenig Zeit bevor diese behoben werden und da scheint Microsoft auch ein wenig Dreck am Stecken zu haben, wenn man Richard Stallman und seinen Quellen Glauben schenken mag:

www.golem.de/.../...uerst-der-nsa-1306-100091.html

wiGhs...Deutschland | Reply

>
>
>
>
>
>
>

8/21/2013 7:07:51 PM#

Ja, genau, dem Stallman kann man glauben wenn er vor Monaten gemeint hat "Wir haben gerade Beweise bekommen" und seither nix vorgelegt hat...

Thomas | Reply

>
>

8/21/2013 1:08:55 PM#

Ja, stimme Dir zu. Ich weiß nicht, der Artikel lässt für meinen Geschmack die wesentlichen Fragen aus und vermischt theoretische Befürchtungen mit ein paar Infohäppchen. Kann durchaus möglich sein - aber das wird eben nicht weiter betrachtet - dass sich die Befürchtungen in den Dokumenten, die ZEIT ONLINE vorliegen, gar nicht gegen Windows 8 als solches, sondern gegen Trusted Computing im Allgemeinen richten. In wie weit es dann allerdings eine Lösung sein soll, Windows 7 einzusetzen (das den TPM ja genauso unterstützt, und der wird ja seit Jahren verbaut) , bleibt der Artikel schuldig. Hat leider recht viel von der Vista/DRM Diskussion, wo ja auch immer wieder gewarnt wurde, dass die Bildschirme schwarz bleiben, weil ....(bla bla bla, nichts davon ist eingetreten, bei Windows 7, das alles 1:1 so hatte, war das dann kein Thema mehr).

Die Fragen, die hier nicht weiter beleuchtet werden, sind halt leider die wesentlichen:
Wodurch sollte Microsoft einen Zugriff haben? Wegen eines Zertifikatespeichers im TPM? (Ähm,...)
Wie erfolgt dieser Zugriff? Online? Physisch?
Warum brauche ich einen Hardware-Chip, wenn ich vermute, dass Backdoors eingebaut sind - momentan sind diese nur auf Businesslaptops verbaut,.. das wäre ja etwas unclever, da Terroristen im Normalfall vermutlich kein Active Directoy mit Enterprise-Versionen einsetzen...
Welche Verschlüsselung sollte da ausgehebelt werden? Bitlocker? Es kann ja wohl kaum EFS sein, da das keine Abhängigkeit zum TPM hat.
Wenn es der TPM Chip selber ist - wieso sollte dann Linux die Lösung sein? Wegen der geringeren Hardwareunterstützung?

Ich VERMUTE: die Kritik des BSI richtet sich generell gegen Trusted Computing, die Hinweise zur NSA hingegen sind eher vom Autor thematisch scheinbar passend hinzugefügt worden (letzter Absatz), aber eigentlich auf Windows 8 nicht wirklich zutreffend.

Mir fehlt eben der Hinweis: Was hat Windows 8 damit zu tun.

Georg BinderAustria | Reply

>
>
>

8/21/2013 1:14:08 PM#

Hat leider recht viel von der Vista/DRM Diskussion, wo ja auch immer wieder gewarnt wurde, dass die Bildschirme schwarz bleiben

Naja, DIESE Befürchtung war ja nicht sooo unbegründet
http://support.microsoft.com/kb/977675

Hihihihihi Wink

RetepYAustria | Reply

>
>
>
>

8/21/2013 1:22:43 PM#

Nicht jeder schwarze Bildschirm hat was mit DRM zu tun,... manchmal ist auch einfach der Monitor nicht eingeschaltet.

Georg BinderAustria | Reply

>
>
>
>
>

8/21/2013 1:28:05 PM#

... und ein schlechtes Bild hat nicht immer etwas mit dem Ausgabegerät zu tun, ... manchmal reicht es am Zuspieler die richtige Auflösung zu wählen, ansonsten zeigt auch der FullHD Beamer nur ein schlechtes Bild Wink

RetepYAustria | Reply

>
>
>

8/21/2013 3:00:52 PM#

Ich kann mich erinnern, ich glaub es war vorm Vista Relaunch war Bill Gates in Wien im Austria Center. Ich hab den Vortrag mitverfolgt, danach logischerweise auch die offene Fragerunde. Und irgendeiner aus dem Publikum hat in Bezugnahme zum damaligen großen Thema - DRM - gemeint, dass dann Open Source nicht mehr funktionieren wird, oder ähnliches. Gates hat nur geantwortet: "Modern Paranoia".

Thomas | Reply

>
>
>
>

8/21/2013 3:03:46 PM#

Naja, da haben einige (vor allem aus Microsoft-Hass) ziemlichen Wind gemacht (speziell: FSF), ... aber coole Antwort. Diese Themen poppen eben immer wieder auf, z.B. "Windows Phone sperrt OpenSource aus" (Schwachsinn...) usw...

Georg BinderAustria | Reply

>
>
>
>
>

8/21/2013 4:17:10 PM#

Es wird aber dennoch immer mehr Freiheit genommen. App sideloading ist ja beispielsweise für Normalsterbliche nicht vorgesehen. Also ist man auf Gedeih und Verderb auf die Gnaden Microsofts angewiesen.

wiGhs...Deutschland | Reply

>
>
>
>
>
>

8/21/2013 4:21:25 PM#

Was wieder nur "Modern Apps" betrifft, die Du ja ohnehin ablehnst. Mir ist keinerlei Einschränkung irgendwelcher Art bekannt, wenn man eine ganz normale .net Anwendung erstellt.

Georg BinderAustria | Reply

>
>
>
>
>
>
>

8/21/2013 4:36:55 PM#

Ja so fängt es halt an. Noch erlaubt Microsoft in seiner unendlichen Güte die Verwendung ganz normaler Software. Aber Apperitis scheint wohl hoch infektiös, maligne und aggressiv fortschreitend zu sein, so daß zu befürchten ist, daß der Patient Windows zukünftig sich irgendwann von frei installierbarer Software verabschiedet und einem den völligen Appwahn inklusive totaler Kontrolle aufnötigen will (wie es ja unter Windows Phone der Fall ist). Vorausgesetzt es gibt dann überhaupt noch Käufer, Windows 8 ist ja eher ein Flop bisher. Dein Fun Facts Link sagt bisher seinen 100 Millionen Windows 8 Lizenzen verkauft worden:

www.microsoft.com/.../index.html

Das Windows 8 initial release ist nun ein gutes Jahr her. Windows 7 hat allerdings im ersten Jahr nach dem initial release bereits 175 Millionen Lizenzen verkauft gehabt:

blogs.windows.com/.../...illion-licenses-sold.aspx

Auch wenn der "Verkaufserfolg" von Windows 8 chronisch schön geredet werden soll von MS, so sprechen die Zahlen eher für einen Flop und das ist sowohl beruhigend wie auch verständlich.

wiGhs...Deutschland | Reply

>
>
>
>
>
>
>
>

8/21/2013 4:48:08 PM#

Bei dir ist der 26.10.2012 schon ein gutes Jahr her?
Also bei mir noch nicht...

Andi SchabusAustria | Reply

>
>
>
>
>
>
>
>
>

8/21/2013 5:00:27 PM#

Ich habe Initial Release geschrieben und das war am 1. August 2012. Das ist der Stichtag von dem an Verkaufszahlen gezählt werden (die OEMs beziehen ja bereits vor der GA massenhaft Lizenzen):

http://en.wikipedia.org/wiki/Windows_8

Die 175 Millionen Windows 7 Lizenzen stammen vom 22. Juli 2010. Exakt ein Jahr nach dem Initial Release, aber nur 9 Monate nach der General Availability. Also volle Vergleichbarkeit zu Windows 8.

Keine Angst, die Zahlen sind also exakt vergleichbar. Das nächste mal bitte nicht Initial Release und General Availability durcheinander werfen Wink

wiGhs...Deutschland | Reply

>
>
>
>
>
>
>
>
>
>

8/21/2013 5:11:31 PM#

Und die 100 Millionen stammen vom 6.5.2013 - also 9 Monate nach dem 1.8.2012...
www.zdnet.com/.../

Aber ich halte deine Argumentation eh für spannend.
"die OEMs beziehen ja bereits vor der GA massenhaft Lizenzen" und daher "sprechen die Zahlen eher für einen Flop" ?!?!?

Andi SchabusAustria | Reply

>
>
>
>
>
>
>
>
>
>

8/21/2013 6:22:08 PM#

Ich find immer wieder so lustig wenn solche "Argumente" gebracht werden. Windows 7 ist einem .... nicht besonders beliebtem System nachgefolgt, Windows 8 folgt einem sehr beliebten. Na no na werden bei Windows 7 mehr Leute schneller umsteigen. Wenn man sich ansieht wie viele Leute jetzt noch XP verwenden,  könnte man schliessen dass es viele gibt die von einem System mit dem sie zufrieden sind nicht zwingend sofort auf etwas neueres, besseres umsteigen. Um daraus auf einen "Flop" zu generieren muss man wohl lange nachdenken oder ziemlich viel Phantasie haben...

Thomas | Reply

>
>
>
>
>
>
>
>

8/21/2013 6:24:00 PM#

Achja, zur "Noch erlaubt Microsoft in seiner unendlichen Güte die Verwendung ganz normaler Software" Theorie darf ich kurz nochmal Bill Gates zitieren: Modern Paranoia...

Thomas | Reply

>
>
>
>
>
>

8/21/2013 4:33:54 PM#

Naja, man ist auf Gedeih und Verderb darauf angewiesen, dass die Apps eine gewisse Qualität aufweisen und das tun, was sie vorgeben zu tun - was ich ja für nicht so schlecht halte.
Bei eigenen Apps kann ich installieren was ich will...

Andi SchabusAustria | Reply

>

8/21/2013 5:11:45 PM#

Und die 100 Millionen stammen vom 6.5.2013 - also 9 Monate nach dem 1.8.2012...
www.zdnet.com/.../

Aber ich halte deine Argumentation eh für spannend.
"die OEMs beziehen ja bereits vor der GA massenhaft Lizenzen" und daher "sprechen die Zahlen eher für einen Flop" ?!?!?

Andi Schabus | Reply

Pingbacks and trackbacks (6)+

>

8/21/2013 1:58:11 PM#

Pingback from windows-8-forum.net

Hintert�r in Windows 8

windows-8-forum.net | Reply

>

8/21/2013 4:51:51 PM#

Pingback from deskmodder.de

Bundesregierung warnt vor Windows 8 – Microsoft & NSA jetzt mittem im Wahlkampf ? – Deskmodder.de

deskmodder.de | Reply

>

8/21/2013 6:11:05 PM#

Pingback from hardwareluxx.de

Die Bundesregierung warnt vor Hintert�r in Windows 8

hardwareluxx.de | Reply

>

8/21/2013 6:20:38 PM#

Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM

Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM

WindowsBlog | Reply

>

8/21/2013 7:05:23 PM#

Pingback from stadt-bremerhaven.de

Bundesamt für Sicherheit in der Informationstechnik mit Stellungnahme zu Windows 8

stadt-bremerhaven.de | Reply

>

8/22/2013 4:07:56 AM#

Pingback from fall-in.de

Bundesregierung warnt vor Windows 8

fall-in.de | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies