[Zdrei]

Ich gehe davon aus, daß Winfuture diesen Artikel voraussichtlich selbst nicht veröffentlichen wird.
Darum hier mal der Link zum Artikel einer objektiveren IT-Seite.

Edit: Spät, aber Winfuture hat das Thema auf seiner Internetseite zur "Diskusion" gestellt und somit veröffentlicht.

Aus aktuellem Anlaß: Stellungnahme BSI

Es gild jedoch zu beachten das das BWMi Medien gegenüber konstatiert: "Die zuständigen Fachleute im Bundeswirtschaftsministerium, in der Bundesverwaltung und beim BSI warnen denn auch unmissverständlich vor dem Einsatz von Trusted Computing der neuen Generation in deutschen Behörden."

Dieser Beitrag wurde von Zdrei bearbeitet: 21. August 2013 - 20:21

[DK2000]

Das ist so gesehen nichts Neues. Jedenfalls für mich nicht.

Hatte ja damals, vor langer Zeit zu diesem Thema in Verbindung mit Windows Vista geäußert. Damals hat das aber die breite Masse nicht so wirklich interessiert, weil so ein Szenario unvorstellbar war.

Aber ja, diese Kontrollmechanismen sind seit Vista implementiert und wurden jetzt bis Windows 8 nur weiter entwickelt und laufen relativ gelockert. Bleibt erst einmal nur abzuwarten, in wie weit Microsoft das ganze in Zukunft dann auch wirklich aktiviert und restriktiv nutzt und in wie weit man diesen TPM Kram deaktivieren kann.

Erste Schritte wurden ja schon mit der Einführung von UEFI 2.3.1 und dem Secure Boot getan. Solange Secure Boot aktiviert ist, lässt sich nur Windows 8 installieren und nutzen bzw. jedes andere System, welches entsprechend von Microsoft signiert wurde. Solange Secure Boot noch deaktivierbar ist, kann man damit gerade noch so leben. Aber wenn Microsoft irgendwann einmal es den OEMs verbietet, diese Option zum Deaktivieren einzubauen, dann wird es schwierig, auf so einem Rechner etwas anderes als Windows zu verwenden.

[RalphS]

Ich hatte mir diese Geschichte damals auch schon angeschaut, und bin mehr oder weniger zu dem Ergebnis gekommen (gewesen): Man kann nicht alles haben.

Auf der einen Seite erfordert echte Sicherheit eine eindeutige Identifizierbarkeit. Solange das nicht gegeben ist, kann jeder einen anderen impersonifizieren - also seine Identität stehlen.

Und auf der anderen Seite erfordert echte Sicherheit, daß man möglichst in der breiten Masse untergeht, wo alle dieselben Identitätsmerkmale haben und man nicht anhand einer bestimmten Eigenschaft herausgepickt werden kann.



Was soll's denn nun sein? Beides geht nicht, und beide Optionen haben die jeweils andere als Gegenargument.


Was, wie ich finde, im Kontext Trusted Platform Computing immer wieder untergeht: So ein TPM-Modul ist gesockelt. Man kann es herausnehmen. Das ist auch mehr oder weniger zwingend notwendig, denn wäre es das nicht und zB das Mainboard geht kaputt, wären sofort sämtliche via TPM gesicherten Daten unwiederbringlich verloren.

Und der angenehme Nebeneffekt: wenn man das Modul herausnimmt und a) nicht wieder einbaut oder b) woanders reinsteckt, dann ist (von der Identität her) das neue Mainboard gleich dem alten... oder, faktisch, nicht mehr vorhanden.


Man muß sich immer ein wenig hereinlesen. Insbesondere, wenn es um solche Themen geht, und wenn man von - ich muß es mal so sagen - ahnungslosen Politikern mit eigener Agenda während des Wahlkampfs "gewarnt" wird, dann sollte das ein Grund sein, ERST RECHT nachzuforschen, was genau die wollen.


Seriös, vielleicht. Aber der verlinkte Artikel ist ebenso reißerisch wie mehr oder weniger alle anderen, die ich zum Thema lesen durfte.

[DK2000]

Zitat (RalphS: 21. August 2013 - 05:21)

So ein TPM-Modul ist gesockelt. Man kann es herausnehmen. Das ist auch mehr oder weniger zwingend notwendig, denn wäre es das nicht und zB das Mainboard geht kaputt, wären sofort sämtliche via TPM gesicherten Daten unwiederbringlich verloren.

Gesockelt ist er nur auf den Plattformen, wo er nachrüstbar ist. Auf den meisten Boards von tragbaren Geräten ist der Chip fest verlötet, ebenso wie auf einigen Intel Boards für Desktop PCs. Der Sockel ist nur eine Option, die jederzeit wegfallen kann, da es dafür keinen zwingenden Grund gibt.

Außerdem lässt sich so ein Chip nicht übertragen, wenn er einmal auf der Plattform initialisiert wurde. Dank UEFI lässt sich hier eine noch einfachere eindeutige Bindung zwischen TPM und Plattform erzeugen, welche im Nachhinein nicht mehr aufgelöst werden kann. Wird der Chip entfernt, startet das UEFI nicht mehr und der Chip lässt sich auch nicht auf einem anderen Board neu initialisieren oder verwenden. Das ist ein einmaliger Prozess, der die Eindeutigkeit der Plattform sicherstellt. Wenn der Chip übertragbar wäre, dann wäre diese Eindeutigkeit nicht mehr gegeben und das ganze System wäre witzlos.

Die Verbindung TPM 2.x und UEFI ist da eine sehr gefährliche Sache, da sich damit eine sehr geschlossene Plattform bauen lässt. Was ein Anwender hier dann noch mit seinem Rechner machen kann und nicht, kann er nicht mehr selber bestimmen. Er kann nur noch das machen, wofür er die Erlaubnis vom Plattform bzw. Betriebsystemhersteller bekommt. Alles andere geht dann nicht mehr. Die Möglichkeiten der Kontrolle sind hier grenzenlos und das auch, ohne das ein Betriebssystem installiert wurde.

Ich hatte damals schon meine Gründe, warum ich im Smaltalk so beiläufig erwähnt habe, dass mir UEFI 2.3.1 unsympathisch wurde.

[Sturmovik]

Zitat (Zdrei: 21. August 2013 - 02:40)

Ich gehe davon aus, daß Winfuture diesen Artikel voraussichtlich selbst nicht veröffentlichen wird.
Darum hier mal der Link zum Artikel einer objektiveren IT-Seite.

Golem und objektiv? dass ich nicht lache, die werden genauso von ihren Werbepartnern beeinflusst wie jedes andere große Portal.

Deine Überschrift ist eine interessante Interpretation des Artikels. Nirgendwo steht da drin, das MS für die NSA arbeitet. Dass Sicherheitslücken unteranderem der NSA mitgeteilt werden ist ein alter Hut und lässt sich auch begründen:
Die NSA sit wie hierzulande das BSI dafür zuständig, dass die IT der Regierung nicht angreifbar ist. Dass der Geheimdienst die gemeldeten Lücken auch anderweitig nutzt, steht auf einem anderen Blatt bzw ist Spekulatius.

In dem Artikel geht es nicht darum, dass ein Rechner mittels TPM ferngesteuert werden kann, was auch so ohne weiteres nicht möglich ist, sondern um die Verdongelung der Hardware mit Software eines bestimmten ungeliebten Herstellers.

Sollte es soweit sein, dass durch Secureboot&TPM nur noch "MSA"-Software installiert werden darf, werden Jailbraiks nicht weit sein. Alleine scon die Linux-Community wird ein verstärktes Interesse daran haben, dass ihre Software nicht behindert wird.

[nobody is perfect]

Heute Abend mal direkt Windows 8 löschen

[DON666]

Zitat (nobody is perfect: 21. August 2013 - 08:07)

Heute Abend mal direkt Windows 8 löschen

Ja, werde ich auch jetzt sofort tun. Wenn schon einer, der hier in seinen Beiträgen grundsätzlich gegen WP/W8 Stellung bezieht, so was in der Richtung hier verlinkt, dann werde ich natürlich prompt Folge leisten!

Dieser Beitrag wurde von DON666 bearbeitet: 21. August 2013 - 08:56

[Bullayer]

Zitat (nobody is perfect: 21. August 2013 - 08:07)

Heute Abend mal direkt Windows 8 löschen

Das wird sicher nicht nur ein Win 8-Problem sein, dass gibts sicher schon seit einigen Versionen.

[DON666]

Zitat (Bullayer: 21. August 2013 - 09:01)

Das wird sicher nicht nur ein Win 8-Problem sein, dass gibts sicher schon seit einigen Versionen.

Wie manche in den Kommentaren im verlinkten Golem-Artikel schon erwähnten, sollten die dann auch ganz schnell der Murksel und ihren Schergen ihr Apple-Spielzeug wegnehmen, mit dem die immer im Bundestag rumkaspern. Aber DAS ist ja garantiert was gaaaaanz anderes, schließlich ist Microsoft das einzige US-Unternehmen, das zu gewisser Kooperation gesetzlich verpflichtet ist...

Dieser Beitrag wurde von DON666 bearbeitet: 21. August 2013 - 09:19

[Sturmovik]

Spannend, wie das jetzt wieder alles mit der NSA-Spionage in Verbindung gebracht wird

Dabei sind doch TPM, UEFI und das darauf aufbauende Secureboot ein Symptom von Ballmers Weltherrschaftsphantasien

Der NSA-Terror, der in den letzten Wochen immer öffentlicher & offensichtlicher wird, steht auf einem ganz anderen Blatt der vorläufigen Geschichtsschreibung.

[Urne]

Eine News? warum ist die nicht im News Unterforum gepostet worden? ~schieb~

[Yournightmare]

Jetzt mal langsam für Dummies wie mich.

Also, ich bastel mir einen Rechner zurecht, der mein Eigentum ist und über
den ich ergo selbst bestimmen möchte.
Was dann fehlt, ist das Betriebssystem und dafür erwerbe ich eine Lizenz.
In meinem Fall Windows 7, aber lassen wir die Version mal außen vor.
Jetzt passiert also unter gewissen Voraussetzungen, dass ich die Kontrolle
über meinen Rechner verliere wenn das BS installiert ist?
Was ist das denn für ein Bullshit, sowas geht ja mal gar nicht.
Ich lese ferner etwas über Einschränkungen wenn es darum geht weitere
Software, bzw. BS meiner Wahl zu installieren.
Irgendwie ist mir das sehr suspekt und falls es denn so ist, dann sollte da
aber dringend etwas gegen unternommen werden.

[Sturmovik]

Ok, also langsam, für den Mops:
Primäres Ärgernis ist Secureboot. Wenn das aktiviert ist, lässt es nur Software zu, die von MS signiert, also zugelassen ist. Schöne Sache, um (unsignierte) Rootkits und ähnlichen Mist zu verhindern. Und bisher lässt Ms ja sogar Linuxe signieren, also was Softwarefreiheit angeht kein Problem, erstrecht, solange das sogar abschaltbar ist.

Problematisch wird es vor allem dann, wenn der BNDNSAFSB oder eine beliebige andere Terrororganisation signierte Schädlinge einschleust, die von Secureboot durchgelassen werden.

Das kann dann bis zur Fernsteuerung deines PCs führen.

[Yournightmare]

Zitat (Sturmovik: 21. August 2013 - 10:45)

Ok, also langsam, für den Mops:

Danke, nun ist der Mops etwas erleuchtet
Securedingens habe ich nicht... und 8 kommt mir sowieso nicht unter, also
scheinen da einige Kriterien unter den Tisch zu fallen, oder?
NSA und Konsorten hatte ich nicht auf dem Zettel, denn die sind vermutlich
sowieso nicht unter Kontrolle zu halten.

[DK2000]

Zitat (Yournightmare: 21. August 2013 - 10:35)

Jetzt passiert also unter gewissen Voraussetzungen, dass ich die Kontrolle
über meinen Rechner verliere wenn das BS installiert ist?

Nein, schon davor. TC muss bereits im UEFI greifen.

Zitat (Yournightmare: 21. August 2013 - 10:35)

Was ist das denn für ein Bullshit, sowas geht ja mal gar nicht.

Sehe ich auch so.

Aber wie gesagt, momentan steht nur fest, dass ab Januar 2015 jeder Windows 8.1 zertifizierte Rechner einen TPM 2.0 Chip besitzen muss. Was Microsoft da letztendlich alles mit vor hat, ist momentan schwer einzuschätzen. Das geht aus den Richtlinien nicht wirklich hervor.

In der Richtline geht aber auch hervor, das Secure Boot weiterhin lokal deaktivierbar sein muss (für Windows 8.1 x86, x64). Für den Server 2012 R2 muss auch eine Möglichkeit existieren, Secure Boot über das Netzwerk zu de-/aktivieren, unabhängig ob ein Betriebssystem installiert ist oder nicht. Für den Server existieren da auch noch weitere Implementationen für die Betriebssystem unabhängige Fernwartung. Bei den Clients ist eine derartige Fernwartung bis lang nicht vorgesehen.

Für Windows RT darf Secure Boot nicht deaktivierbar sein.

Dieser Beitrag wurde von DK2000 bearbeitet: 21. August 2013 - 11:00