83612

Sicherheit für Krypto-Schlüssel

16.08.2007 | 08:30 Uhr |

Außerdem kann das TPM dazu dienen, kryptografische Schlüssel sicher zu erzeugen und vor Zugriffen Dritter geschützt abzulegen. Wie Thomas Rosteck, Leiter des Segments Security bei Infineon, erklärt, bietet der Hersteller Anwendern heute bereits die Möglichkeit, etwa den Master Key für das Encrypted File System (EFS) von Windows XP sicher im TPM zu speichern.

Das soll vor Angriffen via Software schützen, aber auch vor physikalischen Attacken: Das TPM ist so konstruiert, dass Versuche, den Chip zu manipulieren oder die Daten sonstwie auszulesen, zur Zerstörung der Informationen führen. So können sie immerhin nicht in unbefugte Hände fallen.

Mit Hilfe des TPM lassen sich entweder auf Bios- oder Betriebssystem-Ebene erweiterte Sicherheitsfunktionen nutzen. Die "HP Protect Tools" etwa, die der Hersteller zusammen mit diversen Modellen seiner Business-Notebooks ausliefert, ermöglichen eine Pre-Boot-Authentifizierung: Dadurch soll verhindert werden, dass Unbefugte noch vor dem Start des Betriebssystems den Rechner manipulieren.

Außerdem kann über die Protect-Tools die Funktion "Drive-Lock" aktiviert werden: Dabei findet eine logische Verknüpfung der eingebauten Festplatte mit dem TPM und dem Notebook selbst statt, so dass ein Angreifer, der den Laptop stiehlt und das Laufwerk in einen anderen Rechner einbaut, nicht auf die darauf gespeicherten Daten zugreifen kann. Außerdem bietet HP auf Betriebssystem-Ebene TPM-gestützte Funktionen wie Datei- und E-Mail-Verschlüsselung oder Single-Sign-on an.

Microsoft hatte schon früh das Potenzial von Trusted Computing erkannt und geplant, auf Basis eines TPM umfangreiche Sicherheitsfunktionen in sein Betriebssystem zu implementieren. So gab es Überlegungen, innerhalb des Hauptspeichers von Computern eine abgeschottete Ablaufumgebung, den "Nexus", zu schaffen.

Dabei sollten eng mit dem Betriebssystem verzahnte Erweiterungen zusammen mit dem TPM dafür sorgen, dass speziell angepasste Programme auf diesen Speicherbereich zugreifen und nicht von anderen Anwendungen manipuliert werden können.

Nach heftiger Kritik an diesem Vorhaben - unter anderem wurde die Befürchtung geäußert, Microsoft könne das Verfahren missbrauchen, um nur Software mit dem Segen aus Redmond ausführen zu lassen - ließ der Hersteller diese Pläne wieder in der Schublade verschwinden.

Von dem unter dem Codenamen "Palladium" entwickelten und dann in "Next Generation Secure Computing Base" umgetauften Konzept ist nur die Verschlüsselungstechnik "Bitlocker" übrig geblieben. Diese will Microsoft als Bestandteil der Vista-Versionen "Enterprise" und "Ultimate" sowie des "Longhorn"-Servers ausliefern.

PC-WELT Marktplatz

83612