TPM-Modul auf neuen Mainboards

Servus,

ich bin dabei mir ein neues System zusammenzustellen. Einsatzzweck: Allround - hauptsächlich Office, Internet (inkl. Radio + TV), Photoshop, gelegentliche Filmbearbeitung und nur und ab und zu auch mal ein Spiel wie z.B. GTA...

In Sachen Mainboard bin ich mir zurzeit etwas unschlüssig. Im Fokus liegen die Modelle von Gigabyte aus der EP45-Reihe, im Speziellen:

EP45-DS3P bzw. EP45-UD3P

Soweit ich das überblicke ist die UD-Reihe lediglich eine Modifikation mit so genannter "Grüner Technologie" (d.h. weniger Wärme, weniger Energie, aber mehr Leistung).

Was mich allerdings beunruhigt ist der bei den neueren Boards integrierte TPM-Chip, der durchaus Vorteile, aber nichtdestotrotz eine Reihe von mehr oder weniger vagen/abstrakten Nachteilen mit sich bringt.

Es gibt im Internet eine Menge Artikel, die sehr kritisch das Thema Trusted Computing beleuchten, allerdings sind diese in der Mehrzahl schon einige Jahre alt und es wird auch oft darauf verwiesen, dass diese neue TC-Technologie bislang ein zahloser Tiger sei, d.h. noch nicht wirklich zum Einsatz komme, weil Hardwareseitig noch keine Vorabbedingungen vorliegen.

Nun, TXT, TPM und all dieses Trusted Computing-Gedöns, hat m.E. die Funktion, im Sinne der Computer- und Content-Industrie DRM- und Zertifizierungs-Hebel umzulegen, die letztlich in eine absolute Kontrolle und Bevormundung des Nutzers münden.


Kann es sein, dass ich in einer Trusted Computing-Umgebung (d.h. Mainboard mit TPA und Vista-Installation) Probleme mit Nicht-Zertifizierter Software bekommen kann? Wie sieht es mit alten MP3s und Filmen aus? Wie sieht es mit Open Source-Software aus? Kann ich nach wie vor Dateien verschicken und auf anderen Rechnern ohne meinen persönlichen TPA-Schlüssel öffnen?

Ich meine auch gelesen zu haben, dass man auf den Boards das TPA-Modul einfach deaktivieren kann. Ich brauche diese Überwachung und Bevormundung durch Kartellverbände wie diese Trusted Computing Group (TCG) nicht, ich bleibe ganz gerne selbst Herr über "meinen Rechner" und entscheide selbst, wem oder was ich vertraue. Allerdings würde schon ganz gerne die Vorteile (energiesparsam, wenig Hitzeentwicklung etc ) der neuen Mainboards nutzen.


Hat hier jemand schon schlechte Erfahrung mit TPA-Modulen gemacht?



Grüße
T.

TPM hat zu viel "verbrante Erde" hinterlassen - da will keiner mehr was dadrüber sagen - zZ. gibt es damit keine Probleme, aber was später kommt weiss keiner.

Das da keiner mehr was zu sagen will kommt mir auch so vor. Damit meine ich jetzt nicht das Forum, selbst bei C't, heise, Chip, ZDnet etc finde ich nur wenig neues zum Thema.

Die meisten Artikel stammen echt noch aus der Zeit bevor sich das Kartell faktisch von TCPA in TCG umbenannte, wenngleich es auf dem Papier ein völlig neues Konsortium sein soll.

Erst vor ewnigen Tagen bin ich wieder aufmerksam geworden, als ich im Rahmen meiner PC-Recherche auf die neueste Mainboard-Generation von Gigabyte (die mit diesem TPM-Chip von Infineon ausgestattet ist) stieß.


Bisher hieß es nämlich immer in diversen Foren und Fachartikeln, das TPM bzw. TXT (Trusted Execution Technology) noch kein Problem wäre, da die Funktionalität noch nicht hardwareseitig auf Mainboards verbaut wäre. Dies scheint sich wohl nun zu ändern und davor graut mir.

Ich finde es nämlich generell eine grauenhafte Vorstellung, wenn ich die Kontrolle über _meinen eigenen Rechner_ abgenommen bekomme. Am Beispiel Vista bekomme ich es in Ansätzen schon täglich zu spüren.

TCPA wird kommen ( ob es uns gefällt oder nicht ) und davor kann sich keiner schützen ( auf lange sicht ).

Wenn in einigen Jahren "alle" neue HW mit dem Chip haben wird es aktiviert werden - was das genau bedeutet wissen wir noch nicht.

TCPA hat auch einige Vorteile - ob sie die möglichen Nachteile überwiegen wird sich zeigen.

TCPA wird genausowenig kommen, wie die Europa-Währung EG gekommen ist. Die TCPA war, wie ihr Nakme bereits sagt, eine Allianz, keine Technologie. Die Bezeichnung, die ihr verwenden müsstet, ist einfach nur TC, also Trusted Computing, und nichts weiter. Die TC Platform Alliance wurde geschlossen, weil sie mit absoluer Gleichberechtigung aller Mitglieder incl. einem Vetorecht für jedes einzelne Mitglied (von hunderten Mitgliedern) absolut nicht arbeitsfähig war, deswegen haben wir seit ettlichen Jahren statt der TC Platform Alliance die TC Group, in welcher die Beitragshöhe darüber entscheidet, in welche von 3 Mitgliedsklassen man aufgenommen wird, wobei nur die erste Klasse (zu der ua. IBM, Sun Microsystems, AMD und Intel gehören) voll stimmgewaltig ist.

TC ist darüberhinaus keine klare Technologiedefinition, sondern nur ein Paradigma. Das ist in etwa so genau, wie das Paradigma "Law and Order" - Law and Order kann bspw. einfach nur bedeuten, dass überhaupt Polizei existiert, oder auch, dass eine Orwellsche Gesellschaft existiert und alles dazwischen und genau so kann Trusted Computing bedeuten, dass entweder einfach nur bspw. der Speicherbereich, den ein Programm benutzen darf, klar festgelegt und "eingezäunt" wird, was wir mit XD-Bit/NX-Bit schon sehr sehr lange haben, oder dass die ni4edrigste Software-Ebene (die Firmware) starke Einschränbkungen darüber enthält, was auf der Plattform laufen kann, und was nicht, wobei stark verschlüsselte Seriennummern von der nicht überschreibbaren Firmware geprüft werden - wie stark ist beim Paradigma Trusted Computing nicht definiert. Trusted Computing ist deshalb einfach nur ein Buzzword und Aktionisten, die gegen Trusted Computing sind, bewegen sich genauso auf Bildniveau, wie Softwarekonzerne, die freie Software verdammen.

Nun, was bedeutet das alles nun für das TPM-Modul auf den Gigabyte-Motherboards? Wird sich mein Rechner bei Aktivierung des Moduls möglicherweise weigern einige Programme und Dateien - welche ich persönlich alle als "trusted" einstufen würde - zu starten/auszuführen?

Würde sich ein solches Modul auch wirksam und komplett deaktivieren lassen?


Und verstehe ich das richtig, dass dieses Modul praktisch jeden auszuführenden Prozess erstmal in einer Art Online-Datenbank auf bestimmte Gegebenheiten überprüft (und dann zulässt, ablehnt, ignoriert)? Inwieweit könnte dies eine Gefährdung von sensiblen Daten darstellen? Oder ist auf diesem Weg auch eine Art Nutzerverhalten nachvollziehbar?

Grüße
T

Nein, das verstehst du falsch, denn wenn ein solches TPM jemals jeden Prozess scannen würde, wäre es eine viel zu starke Leistungsbremse - und damit würde es eigentlich auch nichts anderes machen, als jeder aktive Wächterprozess eines auf fast jedem Windows-System laufenden Antivirenprogramms (Antivir, Avast, Bitdefender, Kaspersky, Sophos usw. usf.) macht.

Ob man so ein Modul selbst aktivieren und deaktivieren kann, ist in keinem Grundprinzip festzementiert, das kann bei jedem Board anders sein. Deswegen ist ansich die Hexenjagd auf das Schlagwort TPM eigentlich unsinnig. Es gibt für PC-mainboards BIOS und EFI-Implementierungen, die ich überschreiben kann, wie ich will und es gibt ganz ohne EFI eine XBox 1 oder eine Playstation 2 auf denen es hervorragende Crackerfähigkeiten brauchte, ein alternatives OS zu starten.

Ein TPM kann dazu benutzt werden, nut bestimmte Ring0-Prozesse (OS-Starter) zu erlauben, was eben auch als Maßnahme Hypervisorviren (laufen auf einer niedrigeren Ebene als das OS und sind damit für das OS und erst recht für alle AV-Programme unsichtbar) genutzt werden kann. Sowas wäre dann ein Problem für die FLOSS-Welt, weil es schwierig werden dürfte, als kleiner Linuxdistributor einen Startschlüssen zu erwerben - ganz zu schweigen von Linux from Scratch. Für Windows-User würde sich dadurch allerdings gar nichts ändern. (abgesehen von Leuten mit gecrackten Installationen ohne Lizenz)

Ob das TPM allerdings jemals dafür benutzt wird, steht in den Sternen - und das kann von Board zu Board unterschiedlich sein. Eine Welt, in der alle Hardwarehersteller gleich und alle gegen FLOSS sind, wird es nie geben - allen Panikkampagnen zum Trotz.

Nuklearwaffen liessen sich theoretisch in entsprechender Konfiguration zur Abwehr gefährlicher Asteroiden einsetzen.
Zu behaupten, Gegner von Trusted Computing befänden sich auf "Bildniveau" ist demnach dasselbe, wie dies über Atombombengegner auszusagen.

Das Obenstehende stellt eine Veranschaulichung dar. Was dabei veranschaulicht wird, ist klar.

Der Vergleich hinkt in sofern, dass eine Atombombe immer eine extrem starke Explosion verursacht und deswegen Risiken durch deren Vorhandensein entstehen. Das Buzzword Trusted Computing definiert aber eben nicht, dass man einen mechanismus integrieren muss, der gefährlich genutzt werden kann - ein solcher Mechanismus ist nicht mit dem Wort trusted Computing befohlen und ein solcher Mechanismus ist in allen Spielekonsolen, von denen keine auf EFI setzt, vorhanden. Ein TPM ist aktuell bei MSI's UEFI-Boards ein Werkzeug für den Admin, das er, der Admin, einsetzen kann, um die Tippsen in seinem Unternehmen davon abzuhalten mehr Systemeingriffe zu machen, als sie sollen - daran ist nichts auszusetzen, denn sowas wird im Prinzip schon immer gemacht, gerade im UNIX und auch im Linux-Bereich - "root sieht alles", "ich bin root ich darf das".

Etwas ganz anderes wäre ein Boardhersteller, der vorschreibt, dass sein Board nur mit Windows oä. laufen dürfe, ich bezweifle aber stark, dass sich das ein Boardhersteller jemals trauen wird und ich bezweifle auch starkk, dass das für irgendjmanden, Microsoft eingeschlossen, wirklich vorteilhaft sein könnte - nichtmal Apple denkt an sowas.

Habe ein Asus P5Q Premium / P5Q Pro und ein Gigabyte P35-DS4 verbaut.

Alle diese Boards haben einen Steckplatz dafür (für das TPM Modul) also ist es nicht INTEGRIERT, sondern nur ein Addon. Kannst es eben einstecken oder nicht.
War bei den Boards auch nicht im Lieferumfang enthalten, ausser beim P5Q Premium. Hab es mal auf dem P5Q Pro eingesteckt und im Bios aktiviert. Zusätzlich brauch mal wohl noch einen Treiber/Programme dafür um es zu nutzen. Merke jedenfalls noch nicht einmal das es da ist.
Hab auch noch nicht zu Ende installiert. Von daher

Um mal auf die Funktion eines TPM zu kommen. In dem Chip wird ein Schlüssel hinterlegt, der vom Hersteller des Chips erstellt und mit dessen Rootschlüssel signiert wurde. Der öffentliche Teil des Rootschlüssels wird veröffentlich. Weiterhin kann der TPM-Chip Hashwerte berechnen. Diese liegen dann in Registern des Chips zum auslesen bereit. Darauf baut dann auch die Funktion der sicheren Plattform auf.

Im einfachsten Fall startet der Rechner mit eingebautem TPM und entsprechenden Betriebssystem durch den Aufbau einer Kette an Vertrauenswürdigkeit. Beim Einschalten wird dann nicht direkt das BIOS geladen, sondern ein besonders gesichertes Programm, welches einen Hashwert über das eigentliche BIOS erzeugt. Entspricht der Wert dem hinterlegen, so liegt keine Änderung oder Manipulation des BIOS-Code vor. Das BIOS übernimmt den weiteren Startvorgang. Im BIOS wird dann wieder ein Hashwert berechnet, diesmal für den Startblock. Wenn dieser wieder stimmt geht es weiter. So kann man über alle Stufen bis zum Betriebssystem und den Anwendungsprogrammen ermitteln, ob Programmdateien verändert wurden. Interessant für Fälle, wo der Rechner mit Viren, Würmern, Rootkits usw. "beglückt" wurde. Die können dann ohne weiteres festgestellt werden.

Problematisch wird die Sache, wenn man die weiteren Möglichkeiten des TPM-Chips nutzt. Man kann Hashwerte auch für die Verschlüsselung verwenden. Jede Stufe wäre dann verschlüsselt. Wenn der Schlüssel dann nicht mehr stimmt, kommt man nicht mehr an die Daten. Weiterhin kann man die Daten an eine bestimmte Hardware binden, wenn Festplatten, Mainboards, Grafikkarten, CPUs usw. eigene Schlüssel liefern würden bzw. man die Seriennummern in die Schlüsselerzeugung einfließen lässt. Geht dann die Grafikkarte in die Ewigkeit ein, kann man die Schlüssel nicht mehr wieder herstellen und alle Daten sind ebenfalls weg.

Für Anwendungs- und gerade Spieleentwickler dürfte aber eine andere Möglichkeit besonders interessant sein. Man kann mit einem TPM-fähigen Betriebssystem die eigene Software kontrollieren. Dazu legt man einen Kontext an Schlüsseln fest unter denen die eigene Software nur ausgeführt werden kann. Sind noch andere Programme geladen und aktiv, die z.B. ein Speicherabbild des RAM erzeugen können, wird die Ausführung nicht gestattet.

Es halt also seine Vorteile (gegen Viren, Würmer usw.) aber auch nicht zu unterschätzende Nachteile. Wobei im Moment eigentlich nur Intel seine Boardpartner mit dem Thema TPM am bearbeiten ist. Auf den meisten AMD Boards finden man ein TPM oder den entsprechenden Steckplatz bisher nicht.