M. Hartmann,
Norbert Pohlmann (Institut für Internet-Sicherheit):,
“Ein Kryptochip allein macht noch kein Trusted Computing”,
Computer-Zeitung Nr. 38,
18. Sep. 2004 Ein Kryptochip allein macht noch kein Trusted Computing
Unternehmensweite Sicherheitskonzepte verfolgen Ziele auf unterschiedlichen Ebenen. Auf der primären Ebene ist die Verfügbarkeit der IT-Infrastruktur sicherzustellen. Auf der darüber liegenden Ebene der Applikationen sind die Authentizität, Integrität und Vertraulichkeit der Daten zu garantieren. Auf der Ebene der Geschäftsprozesse müssen die Rechteverwaltung, Revisionssicherheit, Auditierbarkeit, Datenschutz und die Trennung von Verantwortlichkeiten gewährleistet werden. Die Konzepte und Technologien des Trusted Computing können helfen, die Sicherheitsziele auf Applikations- und Prozessebene zu erreichen. Der Begriff Trusted Computing wird in der öffentlichen Diskussion fälschlicherweise oft mit der Trusted Computing Group und dem von ihr spezifizierten Trusted Platform Module (TPM) gleichgesetzt. Das TPM ist vereinfacht gesagt nichts weiter als eine SmartCard, die fest mit einem elektronischen Gerät (Desktop PC, Server, PDA, Mobiltelefon etc.) verbunden ist und physikalisch geschützt kryptographische Schlüssel speichert.
Das TPM ist wert- und nutzlos, wenn es nicht vom Betriebssystem und den Applikationen unterstützt wird. Wie jegliche Technologie sind Trusted Computing und das TPM zunächst wertfrei und können sowohl für Zwecke verwendet werden, die vielen Anwendern oder aber auch nur einigen wenigen nützen. Der Nutzen weniger einzelner auf Kosten von vielen wird berechtigterweise kritisiert und in der Öffentlichkeit bereits kontrovers diskutiert. Zur Zeit werden die erste Versionen der Trusted Computing Group Spezifikation schon als Grundlage für die millionenfache Produktion von TPM-Chips und deren Integration in Informationstechnik verwendet. In diesem Artikel werden die möglichen Vorteile der Technologie herausgestellt. Die Szenarien, die mit Trusted Computing möglich sind, reichen von erhöhtem Datenschutz bei OnlineTransaktionen über Kontrolle von informationellen Werten eines Unternehmens („Digital Rights Management“) bis zur Verhaltenskontrolle durch einen öffentlichen Diensteanbieter für staatliche Belange. Im Unternehmensumfeld besteht das berechtigte Interesse, die eigene IT-Infrastruktur zu kontrollieren, vorhandene (Security-) Policies durchzusetzen und somit einen reibungslosen Ablauf der Applikationen und Geschäftsprozesse zu ermöglichen. Das vertrauenswürdige Zusammenspiel der einzelnen Komponenten (TPM, Betriebssystem, Applikation, etc.) kann es den Verantwortlichen ermöglichen, nicht
nur auf Applikationsebene zu kontrollieren, wer die Applikationen/Ressourcen nutzt, sondern auch mit welchem Equipment. Als Stichwort sei an dieser Stelle Remote Attestation genannt. Mit diesem Mechanismus kann die Integrität, der Zustand eines Systems gegenüber einem Dritten (in diesem Fall dem Unternehmensnetzwerk) nachgewiesen werden. Dadurch kann aus Sicht des IT-Verantwortlichen garantiert werden, dass die Systeme einem aktuellen Patchlevel entsprechen, so dass nur zugelassene Applikationen in gewünschter Konfiguration betrieben werden. Damit wird verhindert, dass das Sicherheitskonzept des Unternehmens unterlaufen wird. … kostenlos downloaden | 
