Trusted Computing FAQ deutsch

by Ross Anderson –  Übersetzung © Moon

1. Wofür steht TC?
2. Auf gut deutsch, was bringt TC?
3. Ich kann also keine MP3s mehr auf meinem PC hören?
4. Wie funktioniert TC?
5. Wozu kann TC noch verwendet werden?
6. OK, es gibt also Gewinner und Verlierer – Disney macht den großen Reibach und Smartcard-Anbieter gehen pleite. Aber sicherlich investieren Microsoft und Intel Hunderte von Millionen Dollar nicht aus reiner Barmherzigkeit? Wie wollen die Geld damit machen?
7. Woher kam die Idee?
8. Was hat das mit der Seriennummer des Pentium III zu tun?
9. Woher kommt die Bezeichnung »Fritz-Chip«?
10. OK, TC verhindert also, dass Jugendliche Musik abziehen und hilft Firmen, ihre Interna vertraulich zu halten. TC könnte auch der Mafia nützen, außer das FBI bekommt eine Hintertür eingebaut, wovon man ausgehen kann. Aber wer, abgesehen von Raubkopierern, Industriespionen und Aktivisten jeglicher Coleur, könnte ein Problem damit haben?
11. Wie kann TC missbraucht werden?
12. Erschreckende Aussichten. Aber kann man das nicht einfach abstellen?
13. Es geht hier also vor allem um politische und wirtschaftliche Aspekte?
14. Moment mal, billigt es das Gesetz den Leuten nicht zu, Schnittstellen für Kompatibilität durch Reverse Engineering zu erstellen?
15. Kann TC nicht geknackt werden?
16. Wie weitreichend werden die allgemeinen wirtschaftlichen Auswirkungen sein?
17. Wer wird noch verlieren?
18. Autsch. Was noch?
19. Ich kann mir gut vorstellen, dass sich mancher darüber aufregen wird.
20. Moment mal, ist TC entsprechend dem Antitrust-Gesetz nicht illegal?
21. Wann wird es losgehen?
22. Was ist »TORA BORA«?
23. Ist ein sicherer PC denn keine tolle Sache?
24. Warum spricht man dann vom »vertrauenswürdigen Computereinsatz«? Ich wüsste nicht, was daran vertrauenswürdig sein soll!
25. Ein »vertrauenswürdiger Computer« ist also einer, der meine Sicherheit untergräbt?

---

1.) Wofür steht Trusted Computing?

Die Trusted Computing Group (TCG) ist eine Allianz von Microsoft, Intel, IBM, HP und AMD, die einen Standard für »sicherere« PCs entwickeln will.

Ihre Definition von »Sicherheit« ist allerdings umstritten. Nach deren Spezifikationen gebaute Computer werden für die Software- und Inhalteanbieter vertrauenswürdiger sein, für die Anwender allerdings eher weniger. Tatsächlich wird die Einhaltung dieser Spezifikationen dafür sorgen, dass die endgültige Kontrolle über einen PC von seinem Besitzer auf denjenigen übertragen wird, dessen Software man zufällig gerade laufen hat. (Ja, dies geht sogar noch weiter als bisher).

Das TCG-Projekt läuft mittlerweile unter mehreren Namen. »Trusted Computing« (etwa: verlässlicher Computereinsatz) war der anfängliche Name. Er wird auch weiterhin von IBM verwendet, während Microsoft das Ganze als »trustworthy computing« (vertrauenswürdiger Computereinsatz) und die Free Software Foundation als »treacherous computing« (verräterischer Computereinsatz) bezeichnen. Ich werde es von nun an »TC« nennen, Sie können es halten wie Sie wollen. Weitere Namen sind TCPA (Trusted Computing Platform Alliance, der Name der TCG vor ihrem Zusammenschluss als eigenständige Firma), Palladium (Microsofts frühere Bezeichnung für die Softwareimplementation der Spezifikationen im nächsten Windows, geplant für 2004), und NGSCB (Next Generation Secure Computing Base), Microsofts neuer Name dafür. Intel nennt es seit kurzem »safer computing«. Viele Beobachter gehen davon aus, dass die Verwirrung beabsichtigt ist – die Mitglieder wollen davon ablenken, was TC wirklich bedeutet.

2.) Auf gut deutsch, was bringt TC?

TC ist eine Computerplattform, die verhindert, dass der Anwender die darauf laufenden Anwendungen manipulieren kann, die abgesichert mit dem Programmhersteller und untereinander kommunizieren können. Der originäre Anwendungszweck war das Digital Rights Management (DRM): Disney kann dann DVDs verkaufen, die sich nur auf einer Palladium-Plattform entschlüsseln – also anschauen – lassen, die aber nicht kopiert werden können. Die Musikindustrie kann dann Musikdownloads verkaufen, die nicht mit anderen getauscht werden können. Sie können dann CDs verkaufen, die man nicht mehr als drei mal abspielen kann oder nur am eigenen Geburtstag. Eine Fülle neuer Vermarktungsmöglichkeiten wird sich auftun.

TC wird es zudem viel schwieriger machen, nicht lizenzierte Software zu nutzen. In der ersten Version von TC konnten Raubkopien von außen entdeckt und gelöscht werden. Seitdem hat Microsoft hin und wieder bestritten, TC dafür einzusetzen, allerdings weigerte sich ein hoher Microsoft-Manager auf der WEIS 2003 abzustreiten, dass dies eins der Ziele war: »Anderen Leuten dabei zu helfen, Raubkopien zu verwenden, ist nun einmal nicht unser Lebensziel«, sagte er.

Die nun vorgeschlagenen Mechanismen sind allerdings etwas subtiler. TC wird die Registrierungsprozeduren der Softwareprogramme schützen, so dass nicht lizenzierte Software aus dem neuen Ökosystem ausgeschlossen wird. Zudem werden TC-Anwendungen besser mit anderen TC-Anwendungen zusammenarbeiten, so dass man weniger von den alten Nicht-TC-Anwendungen (das schließt Raubkopien ein) hat.

Weiterhin könnten einige TC-Anwendungen die Verarbeitung von Daten alter Anwendungen ablehnen, deren Seriennummern gesperrt (blacklisted) sind. Falls Microsoft Ihre Kopie von MS Office für eine Raubkopie hält, und Ihre Regierung auf TC umschwenkt, dann würden möglicherweise Ihre Dokumente unlesbar und somit kein Austausch möglich sein. TC wird es zudem erleichtern, Software zu vermieten statt sie zu verkaufen; wenn man die Miete nicht mehr zahlt, kann nicht nur die Software aufhören zu arbeiten, sondern auch alle mit ihr erstellten Dateien. Falls Sie also keine Upgrades mehr für den Media Player kaufen, könnten Sie den Zugang zu allen vorherigen Songs, die Sie damit erworben haben, verlieren.

Seit Jahren träumt Bill Gates davon, einen Weg zu finden, die Chinesen für seine Software zahlen zu lassen: TC scheint die Erfüllung seiner Gebete sein.

Es gibt vielerlei Möglichkeiten. Regierungen könnten nur solche Systeme einsetzen auf denen alle Word-Dokumente, die auf Beamten-PCs erstellt wurden als »geheim« gelten und nicht mehr digital an Journalisten weitergegeben werden könnten. Auktions-Sites könnten auf vertrauenswürdiger Proxy-Software zur Abgabe von Geboten bestehen, so dass ein taktisches Bieten über Bietagenten oder ähnliches nicht mehr möglich wäre. Die Benutzung von »Cheats« bei Computerspielen könnte erschwert werden.

Es gibt natürlich auch Nachteile. TC wird die ferngesteuerte Zensur ermöglichen. In der simpelsten Ausführung könnten Anwendungen dazu dienen, ferngesteuert raubkopierte MP3s zu löschen. Würde man z.B. geschützte Songs einer gehackten TC-Plattform als MP3s im Netz zur Verfügung stellen, dann könnte dies ein TC- kompatibler Media Player anhand eines Wasserzeichens erkennen, melden, und per Befehl von außen die MP3s (und anderes Material, das über diese Plattform lief) löschen. Bei Microsoft (und auch bei anderen Firmen) hat man sich bereits viel Gedanken über dieses »Traitor Tracing«(Verräter-Verfolgung) genannte Geschäftsmodell gemacht. Allgemein gilt, dass mit TC-kompatiblen Systemen erstellte digitale Objekte- egal auf welchen Systemen sie sich befinden – weiterhin der Kontrolle des jeweiligen Autors unterstehen und nicht dem Besitzer des Systems, so wie es momentan noch der Fall ist.

So könnte ein Gericht den Autor eines als verleumderisch eingestuften Dokumentes zur Löschung zwingen – oder den Hersteller der Textverarbeitung, falls sich der Autor weigert. Bei solchen Anwendungsmöglickeiten ist davon auszugehen, dass TC dazu eingesetzt werden wird, alles von der Pornographie bis zu kritischen Schriften über Politiker zu zensieren.

Ein Nachteil für Unternehmen ist, dass die Softwarefirmen den Wechsel auf Produkte eines Mitbewerbers erschweren könnten. Ein einfacher Ansatz wäre es zum Beispiel, wenn Word alle Dokumente so verschlüsselte, dass nur Microsoft-Produkte Zugriff darauf hätten; somit könnten diese nicht mit der Textverarbeitung eines Wettbewerbers gelesen werden. Solch offensichtliche Zwangsmaßnahmen könnten vom Kartellamt unterbunden werden, allerdings gibt es subtilere Strategien zur Kundenbindung, die sehr viel schwieriger zu regulieren sind. Ich werde weiter unten einige Beispiele anführen.

3.) Ich kann also keine MP3s mehr auf meinem PC hören?

Bereits vorhandene MP3s sollten für eine gewisse Zeit keine Probleme bereiten. Microsoft behauptet, dass TC nichts sofort am Funktionieren hindern würde. Ein vor einiger Zeit erschienenes Update zum Media Player hat allerdings eine Debatte dadurch ausgelöst, dass Anwender zur Benutzung dieser Software künftigen Anti-Raubkopiermaßnahmen seitens Microsoft zustimmen müssen; dies könnte ein Löschen raubkopierter Inhalte einschließen. Zudem ist es unwahrscheinlich, dass einige Programme, die dem Anwender erweiterte Kontrolle über seinen PC geben, wie VMware und Total Recorder, unter TC noch funktionieren werden. Man wäre also gezwungen, einen anderen Player einzusetzen – und sollte dieser dann raubkopierte MP3s abspielen, ist es unwahrscheinlich, dass er dies mit neuen, geschützten Titeln tun würde.

Die Anwendung selbst bestimmt unter Benutzung eines Onlineservers, welche Sicherheitsrichtlinien für ihre Dateien gelten. Der Media Player wird also erkennen, welche Nutzungsbedingungen an einen geschützten Titel geknüpft sind, und ich gehe davon aus, dass Microsoft eine Menge unterschiedlichster Vereinbarungen mit Inhalteanbietern treffen wird, die jegliche Art von Geschäftsmodell ausprobieren werden. Es wird wahrscheinlich CDs zu einem Drittel des herkömmlichen Preises geben, die aber nur drei mal abgespielt werden können; zahlt man die restlichen zwei Drittel, erhält man das dauerhafte Abspielrecht.

Es könnte erlaubt sein, Kopien digitaler Musik an Freunde zu verleihen, wobei aber gleichzeitig die Originale auf der eigenen Festplatte gesperrt und erst dann wieder abspielbar werden, sobald man die Kopie zurückbekommen hat. Es ist allerdings wahrscheinlicher, dass man Musik überhaupt nicht mehr wird verleihen können. Die schleichende digitale Abschottung wird das Leben auf vielerlei kleinliche Weise lästig machen. Ländercodes könnten z.B. ein Abspielen der polnischen Version verhindern, wenn der PC außerhalb Europas gekauft wurde.

Dies alles könnte bereits heute geschehen – Microsoft müsste nur einen Patch in Ihren Player einspielen. Sobald TC es aber den Anwendern erschwert, die Player- Software zu verändern, und es Microsoft und der Industrie leichter macht zu kontrollieren, welche Software überhaupt neuere Aufnahmen abspielt, wird es schwieriger sein, dem Ganzen zu entgehen. Die Kontrolle der Media-Player-Software ist so wichtig, dass die EU Wettbewerbsbehörde bereits vorschlägt, Microsoft für ihr wettbewerbsfeindliches Verhaltungen zu bestrafen, indem Auflagen zur Integration von Playern anderer Anbieter bzw. das Entbündeln des Media-Players durchgesetzt werden. TC wird eine viel stärkere Kontrolle von Medieninhalten ermöglichen.

4.) Wie funktioniert TC?

TC sorgt für den Einbau einer Überwachungs- und Meldekomponente in künftige PCs. Die bevorzugte Variante in der ersten Phase der Einführung ist ein »Fritz«-Chip – ein Smartcard-Chip oder Dongle, der aufs Motherboard gelötet wird. Die derzeitige Version besteht aus fünf Komponenten: dem Fritz-Chip, einem abgeschirmten Bereich im Speicher, einem Sicherheitskernel im Betriebssystem (von Microsoft »Nexus« genannt), einem Sicherheitskernel in jeder TC-Anwendung (»NCA«, Network Communications Adapter bei Microsoft) und einer Infrastruktur von Onlineservern, die von Hardware- und Softwareherstellern betrieben werden, um das Ganze miteinander zu verbinden.

Der erste Fritz-Chip überwachte den Bootprozess, so dass der PC in einen vorgesehenen Zustand mit bekannter Hard- und Software hochfuhr. Die aktuelle Version hat eine passive Überwachungskomponente, die den Hash-Wert der Maschine beim Hochfahren speichert. Dieser Hash-Wert wird berechnet aus einzelnen Details der Hardware (Soundkarte, Graphikkarte, etc.) und der Software (Betriebssystem, Treiber, usw.). Sobald die Maschine in den genehmigten Zustand hochgefahren ist, ermöglicht der Fritz-Chip dem Betriebssystem den Zugriff auf die kryptographischen Schlüssel, die zur Entschlüsselung TC-kompatibler Anwendungen und Daten benötigt werden. Wird kein genehmigter Status erreicht, ergibt sich ein falscher Hash-Wert, und der Fritz-Chip weigert sich, die Schlüssel freizugeben. Der Rechner kann möglicherweise weiterhin auf nicht TC-konforme Anwendungen und Daten zugreifen, auf geschütztes Material wird aber kein Zugriff möglich sein.

Der Security Kernel des Betriebssystems (der »Nexus«) überbrückt die Lücke zwischen dem Fritz-Chip und den Sicherheitskomponenten der Anwendungen (den »NCAs«). Er überprüft, ob die Hardwarekomponenten auf der TC-genehmigten Liste stehen, dass die Softwarekomponenten signiert sind, und dass keine dieser Komponenten eine erloschene Seriennummer aufweist. Sollten bedeutsame Änderungen an der PC-Konfiguration vorgenommen worden sein, muss der PC online gehen, um sich erneut zu zertifizieren; dies wird vom Betriebssystem geregelt. Das Ergebnis ist ein Rechner, der sich in einem bekannten Zustand mit einer genehmigten Kombination an Hardware und Software (deren Lizenz noch nicht abgelaufen ist) befindet. Schließlich arbeitet der Nexus mit den abgesicherten Speicherbereichen der CPU zusammen und zwar so, dass jegliche TC-Anwendungen Daten anderer TC-Anwendungen weder lesen noch verändern können. Diese neuen Eigenschaften nennt man bei Intel-CPUs »Lagrande Technology« (LT) und »TrustZone« bei ARM.

Sobald sich der Rechner in diesem Zustand befindet, mit einer TC-konformen Anwendung im Speicher, die gegenüber Einmischung anderer Software geschützt ist, kann Fritz Inhalte für Dritte zertifizieren; z.B. wird Disney per Authentifizierungsprotokoll versichert, dass der Rechner ein geeigneter Empfänger von »Schneewittchen« ist. Dies bedeutet, dass der Rechner momentan eine autorisierte Anwendung laufen hat – Media Player, Disney-Player, was auch immer – und dass dessen NCA problemlos geladen und durch abgeschirmte Speicherbereiche geschützt vor Debuggern oder anderen Programmen ist, die man dazu verwenden könnte, die Inhalte zu extrahieren.

Der Disney-Server sendet daraufhin die verschlüsselten Inhalte mit einem Schlüssel, den der Fritz-Chip zur Entschlüsselung derselben verwendet. Diesen Schlüssel stellt der Fritz-Chip nur der autorisierten Anwendung zur Verfügung und auch nur so lange, wie die Rechnerumgebung als »vertrauenswürdig« gilt. Daher müssen zuvor die Sicherheitsrichtlinien, die den Rechner als »vertrauenswürdig« definieren vom Server des Herstellers der Playersoftware heruntergeladen werden.

Das bedeutet, dass Disney seine Inhalte nur für solche Media Player freigeben kann, deren Hersteller sich zur Durchsetzung gewisser Bedingungen bereit erklärt haben. Diese könnten Einschränkungen bezgl. der verwendeten Hard- und Software als auch dem Ort, an dem Sie sich auf der Welt befinden, einschließen. Weitere Bedingungen beträfen die Zahlungsweise: Disney könnte beispielsweise darauf bestehen, dass die Anwendung bei jeder Betrachtung des Filmes einen Dollar berechnet. Die Anwendung selbst könnte sogar vermietet werden. Die Möglichkeiten scheinen lediglich durch die Vorstellungskraft der Marketingleute begrenzt zu sein.

5.) Wozu kann TC noch verwendet werden?

TC kann auch zur Durchsetzung viel stärkerer Zugangskontrollen zu vertraulichen Dokumenten verwendet werden. Man experimentiert bereits mit einer primitiven Variante, die unter der Bezeichnung »Enterprise Rights Management« von Windows Server 2003 zur Verfügung gestellt wird.

Ein Verkaufsargument ist die automatische Zerstörung von Dokumenten. Nachdem einige peinliche Enthüllungen interner Emails im Antitrust-Verfahren gegen Microsoft stattfanden, führte Microsoft eine Richtlinie ein, derzufolge interne Mails nach sechs Monaten gelöscht werden müssen. TC wird so etwas sämtlichen Unternehmen leicht machen, die Microsoft Produkte einsetzen. Man kann sich vorstellen, wie nützlich das für Arthur Andersen während des Verfahrens gegen Enron gewesen wäre. TC kann zudem dazu verwendet werden, Firmendokumente nur auf Firmen-PC lesbar zu machen, es sei denn, eine autorisierte Person gäbe sie zur weiteren Verbreitung frei.

TC kann außerdem ziemlich ausgefallene Kontrollen und Kommandos durchsetzen: würde man z.B. eine Email versenden, deren Inhalt den Chef bloßstellt, so könnte dieser eine Löschnachricht hinterherschicken, die sie bei sämtlichen Empfängern entfernt. Man kann dies auch über Domains hinweg machen: z.B. könnte eine Firma ihre rechtliche Korrespondenz nur drei handverlesenen Partnern einer beauftragten Kanzlei und deren Sekretärinnen zugänglich machen. Diese Kanzlei könnte das natürlich auch abweisen, da sämtliche Partner gemeinsam haften; es wird eine ganze Menge interessanter neuer Vereinbarungen geben, sobald die Leute beginnen, traditionelle Vertrauensbeziehungen durch programmierte Regeln zu ersetzen.

TC zielt auch auf Zahlungssysteme ab. Eine von Microsofts Visionen ist es, einen Großteil der Funktionen heutiger Bankkarten in Software abzubilden, sobald die Anwendungen einbruchssicher sind. Dies führt dazu, dass wir künftig centweise je Seite, die wir lesen, oder je Liedminute, die wir hören, zahlen müssen. Die Breitbandanbieter versuchen dies durchzudrücken. Mittlerweile bekommen ein paar vorausschauende Leute der Musikindustrie kalte Füße bei dem Gedanken, für jeden Verkauf ein paar Prozent an Microsoft abführen zu müssen.

Selbst wenn sich das Geschäftsmodell der Micropayments nicht durchsetzen sollte – und dafür gibt es einige überzeugende Argumente – wird es gewaltige Veränderungen beim Online-Payment geben, die sich auch auf den User auswirken werden. Falls es in zehn Jahren mühsam ist, mit einer Kreditkarte online zu bezahlen, es sei denn man verwendet einen TC-Rechner, werden harte Zeiten für Mac- und Gnu/Linux-Anwender anbrechen.

Regierungen spricht TC natürlich deswegen an, weil mit dem Enterprise Rights Management die erzwungene Zugangskontrolle durchgesetzt werden kann – Zugriffswünsche werden nicht mehr abhängig von den Wünschen der Anwender sondern abhängig von ihrem Status beschieden. Eine Armee könnte beispielsweise ihre Soldaten dazu veranlassen, nur Dokumente mit dem Status »vertraulich« oder höher zu erstellen, welche nur von TC-PCs, die vom eigenen Geheimdienst zertifiziert wurden, gelesen werden können. Auf diese Weise können Soldaten Dokumente nicht mehr an die Presse (oder ihre Familien) senden. Diese Restriktionen lassen sich nicht sonderlich gut in komplexen Organisationen wie Regierungen durchsetzen, da sie den Arbeitsfluss erheblich hindern; die Regierungen aber wollen sie, also müssen sie wohl auf die harte Tour lernen.

Erzwungene Zugangskontrolle lässt sich viel besser in kleinen Unternehmen mit klar definierten Aufgabenbereichen einsetzen. So könnte z.B. ein Ring von Kokainschmugglern die Excel-Tabelle mit den jüngsten Drogenlieferungen nur auf fünf bestimmten PCs lesbar machen, und dies auch nur bis zum Monatsende. Dann würden die zum Verschlüsseln verwendeten Schlüssel ungültig, und die Fritz-Chips auf diesen PCs würden die Dokumente niemandem je wieder zugänglich machen.

6.) OK, es gibt also Gewinner und Verlierer – Disney macht den großen Reibach und Smartcard-Anbieter gehen pleite. Aber sicherlich investieren Microsoft und Intel Hunderte von Millionen Dollar nicht aus reiner Barmherzigkeit? Wie wollen die damit Geld machen?

Als Intel die ganze TC-Initiative startete, agierten sie aus der Defensive. Da sie das meiste Geld durch Mikroprozessoren für PCs verdienen und damit einen Grossteil des Marktes besetzen, kann die Firma nur durch Vergrößerung des Marktes wachsen. Sie ist überzeugt, dass der PC im Zentrum des künftigen Heimnetzwerkes stehen wird. Falls Unterhaltung die Killeranwendung werden sollte und DRM die benötigte Technik zu deren Durchsetzung, dann muss der PC das DRM übernehmen oder riskieren, vom Heimanwendermarkt zu verschwinden.

Microsoft, die nun die Entwicklung von TC forciert, ist getrieben vom Verlangen, die Unterhaltung in ihr Imperium aufzunehmen. Aber sie werden auch so zu den großen Gewinnern gehören, wenn TC nur ausreichend weit verbreitet ist. Dafür gibt es zwei Gründe: der erste und nicht ganz so wichtige ist, dass TC die Zahl der Raubkopien drastisch wird senken können. »Die Chinesen zum Bezahlen für Software zu bewegen« war schon immer ein großes Ding für Bill; mit TC kann er jeden PC an eine individuell lizenzierte Kopie von Office und Windows binden und Raubkopien aus dem glänzenden neuen TC-Universum ausschließen.

Der zweite und wichtigste Gewinn liegt für Microsoft darin, dass sie die Kosten für einen Wechsel weg von ihrer Software (wie z.B. Office) zu Produkten anderer Anbieter (wie z.B. Open Office) dramatisch verteuern können. Eine Anwaltskanzlei beispielsweise muss zum Wechsel auf Open Office momentan nur die neue Software installieren, die Angestellten anlernen und die bestehenden Dokumente konvertieren. Wenn sie in fünf Jahren TC-geschützte Dokumente von vielleicht tausend ihrer Klienten bekommen haben, bräuchten sie die Erlaubnis jedes dieser Klienten (in Form eines unterschriebenen digitalen Zertifikats), um ihre Dateien auf die neue Plattform zu migrieren. Dies wird die Kanzlei natürlich nicht machen, und so ist sie noch enger an die Plattform gebunden, und Microsoft kann die Preise diktieren.

Ökonomen, die die Softwareindustrie untersuchten, kamen zu dem Schluss, dass der Wert einer Softwarefirma gleich der Summe aller Kosten ihrer Kunden für den Wechsel zum Wettbewerb ist. Beide sind gleich dem gegenwärtigen Nettowert der zukünftigen Zahlungen der Kunden an den Softwarehersteller. Dies bedeutet, dass der Platzhirsch in einem reifenden Markt, so wie Microsoft seinem Office-Produkt, nur dann schneller als der Markt wachsen kann, wenn er Wege findet, um die Kunden enger an sich zu binden. Es gibt da zwar noch ein paar Wenn-und-Aber, die diese Theorie einschränken, aber die Grundidee ist den Führungskräften der Industrie wohlvertraut. Diese Tatsache erklärt Bill Gates’ Kommentar: »Wir kamen darauf, als wir über Musik nachdachten, dann aber erkannten, dass Email und Dokumente weit interessantere Geschäftsfelder sind«.

7.) Woher kam die Idee?

Das TC-Konzept, nachdem ein Rechner in einen definierten Zustand gebootet wird, ist implizit schon in den frühesten Rechnern vorhanden, wo sich das ROM im BIOS befand, und es noch keine Festplatte gab, die ein Virus hätte befallen können. Die Idee eines sicheren Lademechnismus für moderne Rechner kam anscheinend zuerst in dem Aufsatz »A Secure and Reliable Bootstrap Architecture« von Bill Arbaugh, Dave Farber und Jonathan Smith, im Rahmen des IEEE Symposium on Security and Privacy (1997), Seiten 65-71 auf. Daraus entstand das US-Patent: »Secure and Reliable Bootstrap Architecture«, U.S. Patent No. 6,185,678, February 6th, 2001. Bill Arbaughs Gedanken entwickelte sich aus seiner Arbeit an der Code-Signierung für die NSA im Jahr 1994. Die Leute bei Microsoft haben Patentschutz für die das Betriebssystem betreffenden Aspekte beantragt. Die Patentanträge gibt es hier und hier.

Es könnte allerdings eine Menge an Prior Art geben. Markus Kuhn schrieb schon vor Jahren über einen TrustNo1 Processor (»Traue niemandem«-Prozessor), und die Grundidee, eines sicheren »Referenzmonitors«, der die Computerzugriffskontrollfunktionen überwacht, geht mindestens auf einen Aufsatz zurück, den James Anderson 1972 für die USAF verfasst hat. Seitdem ist sie Merkmal sämtlicher Überlegungen zu militärischen Sicherheitssystemen.

8.) Was hat das mit der Seriennummer des Pentium III zu tun?

Mitte der 90er startete Intel ein früheres Programm, das bis zum Jahr 2000 die Funktionalität des Fritz-Chip in den Hauptprozessor oder den Cache-Controller integrieren sollte. Die Pentium-Seriennummer war ein erster Schritt auf diesem Weg. Die ablehnenden öffentlichen Reaktionen scheinen Intel erst zum Abwarten, dann zur Bildung eines Konsortiums mit Microsoft und anderen und schließlich zu einem erneuten Anlauf mit vereinten Kräften gebracht zu haben. Dieses Konsortium, die Trusted Computer Platform Alliance (TCPA) ging dann in einer Firma auf und änderte den Namen in TCG.

9.) Woher kommt die Bezeichnung »Fritz-Chip«?

Der Name wurde zu Ehren des Senators von South Carolina, Fritz Hollings, gewählt, der unermüdlich im Kongress daran arbeitet, TC als zwingend für sämtliche Konsumelektronik vorzuschreiben. Hollings’ Gesetzesinitiative scheiterte; er verlor seinen Vorsitz des Senatsausschusses für Handel, Wissenschaft und Transport und ging 2004 in Rente. Aber das »Reich« gibt nicht auf. Microsoft beispielsweise gibt ein Vermögen in Brüssel aus, um für einen wirklich gefährlichen Direktivenentwurf zur Durchsetzung von IP-Rechten (Intellectual Property) zu werben.

10.) OK, TC verhindert also, dass Jugendliche Musik abziehen und hilft Firmen, ihre Interna vertraulich zu halten. TC könnte auch der Mafia nützen, außer das FBI bekommt eine Hintertür eingebaut, wovon man ausgehen kann. Aber wer, abgesehen von Raubkopierern, Industriespionen und Aktivisten, könnte ein Problem damit haben?

Eine Menge Firmen wie die Anbieter von Produkten für IT-Sicherheit werden unmittelbar dran glauben müssen. Als Microsoft TC noch unter dem Begriff Palladium bewarb, behauptete das Unternehmen, Palladium würde Viren, Spam und so ziemlich alles andere Schlimme aus dem Cyberspace stoppen; falls das zuträfe, würde den Herstellern von Antiviren-, Intrusion Detection- und Firewallsoftware, den Spammern und den Spamfilterentwicklern die Butter vom Brot genommen. Mittlerweile ist Microsoft da zwar ein wenig bescheidener geworden, Bill Gates gibt allerdings zu, dass Microsoft aggressiv in den Markt für Produkte der IT-Sicherheit einsteigen will: »Denn dies ist ein Wachstumsmarkt, und wir werden keine falsche Scheu zeigen, wenn es darum geht, was wir vorhaben.«

Es sieht z.B. so aus, als würde die europäische Smartcard-Industrie Schaden nehmen, da die Funktionen ihrer Produkte in die Fritz-Chips von Laptops, PDAs und Mobiltelefone der dritten Generation wandern werden. Tatsächlich wird sich ein Großteil der Informationssicherheitsindustrie Sorgen machen, wenn TC zum großflächigen Einsatz kommt. Microsoft behauptet, dass Palladium Spam, Viren und so ziemlich alles schädliche im Cyberspace stoppen wird – falls das stimmt, wird den Herstellern von Antivirensoftware, den Spammern, den Spamfilter-Herstellern, den Firewall-Firmen und den Leuten aus dem Bereich der Intrusion Detection die Butter vom Brot genommen.

In der Zwischenzeit wachsen die Befürchtungen über die Auswirkungen auf Wettbewerb und Innovation. Die Probleme, die sich für Innovationen ergeben, erläutert der renommierte Ökonom Hal Varian in einer Kolummne in der New York Times.

Aber es gibt weit schwerwiegendere Probleme. Die fundamentale Gefahr ist, dass wer auch immer die TC-Infrastruktur kontrolliert, über eine unheimliche Macht verfügt. Der Besitz dieser einzigen Kontroll- und Steuerungsschnittstelle ist ungefähr so, als brächte man alle dazu, die gleiche Bank, den gleichen Steuerberater oder den gleichen Anwalt zu haben. Es gibt viele Möglichkeiten, diese Macht zu missbrauchen.

11.) Wie kann TC missbraucht werden?

Eine Sorge gilt der Zensur. TC wurde von Anfang an so konzipiert, dass damit eine zentrale Löschung von raubkopierten Inhalten möglich ist. Raubkopien werden in der TC-Welt nicht lauffähig sein, denn TC wird den Registrierungsprozess unangreifbar machen. Aber was ist mit raubkopierter Musik und Filmen? Wie hält man jemanden davon ab, ein Musikstück – notfalls mit Hilfe eines Mikrofons, dass vor die Boxen eines TC-Rechners gehalten wird – aufzunehmen und in MP3 zu konvertieren? Die vorgeschlagene Lösung ist, dass geschützte Inhalte mit einem digitalen Wasserzeichen versehen werden, die rechtmäßige Media Player nicht abspielen werden, so lange nicht ein entsprechendes digitales Zertifikat für das Gerät dabei ist.

Aber was ist nun, wenn man den Fritz-Chip knackt und die Besitzrechte an dem Musikstück »rechtmäßig« an jemand anderen überträgt? In diesem Fall wendet man die Traitor-Tracing-Technik an, um herauszufinden, auf welchem PC die Musik gerippt wurde. Dann passieren zwei Dinge. Erstens, der Besitzer des PC wird strafrechtlich verfolgt (so zumindest die Theorie; es wird wohl nicht klappen, wenn die Raubkopierer gehackte PCs verwenden). Zweitens werden die Songs, die über diesen PC liefen auf eine Blacklist wandern, die alle TC-Player von Zeit zu Zeit per Download aktualisieren.

Blacklists sind auch abseits der raubkopierten Musik hilfreich. Man kann sie dazu nutzen, alle Dateien, die eine Anwendung öffnet, zu prüfen, entweder nach Inhalt, nach der Seriennummer der Anwendung mit der sie erstellt wurden oder nach jedem anderen Kriterium, das man ausgewählt hat. Die Idee dahinter ist nicht nur, dass wenn jeder in China die gleiche Kopie von Office laufen hat, man diese Kopie auf jedem TC-konformen Rechner deaktivieren kann; dies würde die Chinesen lediglich dazu bringen, normale statt TC-konforme PCs einzusetzen. Zusätzlich sorgt man nämlich dafür, dass weltweit jeder TC-konforme PC ein Öffnen von Dokumenten verweigert, die mit dieser raubkopierten Version erstellt wurden. Dies wird die Chinesen gewaltigem Druck aussetzen. Als Präzedenzfall sei hier erwähnt, dass viele US-Provider einfach den Datenverkehr aus China ausblendeten, nachdem die Spammer damit begonnen hatten, von chinesischen Accounts aus zu mailen, was die chinesische Regierung dazu veranlasste, gegen Spam vorzugehen.

Das Potenzial zum Missbrauch erstreckt sich weit über das Ausstechen unliebsamer Mitbewerber und ökonomische Kriegsführung, nämlich bis zur politischen Zensur. Ich erwarte, dass diese schrittweise kommen wird. Anfangs wird eine mit guten Absichten eingesetzte Abteilung der Polizei damit beauftragt, pornographische Bilder von Kindern oder Handbücher zur Sabotage von Bahntransporten zu entfernen. Alle TC-konformen PCs werden diese Dateien löschen, oder vielleicht erst nur melden. Dann wird ein Prozessanwalt im Falle einer Verleumdungs- oder Copyrightklage eine gerichtliche Verfügung gegen das auslösende Dokument durchsetzen; vielleicht werden die Scientologen versuchen, das berühmte Fishman Affidavit auf die schwarze Liste zu bekommen. Die Geheimpolizei eines Diktators könnte die Autorin eines Dissidentenflugbatts bestrafen, indem alles, was sie jemals auf ihrem Rechner erstellt hat, gelöscht wird; ihr neues Buch, ihre Steuerrückzahlung, sogar die Geburtstagskarten ihrer Kinder – wo immer die sich auch befinden. Im Westen könnte entsprechend der Gesetzgebung zu Konfiszierung von Beweismaterial der Rechner, der zur Erstellung der Kinderpornographie verwendet wurde, »ausgeblendet« werden. Sobald Anwälte, Polizisten und Richter das Potenzial erkennen, wird das Rinnsal zu einer Flut.

Nun begann das moderne Zeitalter erst damit, dass Gutenberg in Europa den Buchdruck erfand, der es ermöglichte, Information zu bewahren und zu verteilen, obwohl Fürsten und Bischöfe dies hatten unterbinden wollen. Als z.B. Wycliffe 1380 die Bibel ins Englische übersetzte, konnte seine antiklerikale Lollarden-Bewegung noch leicht unterdrückt werden; als aber Tyndale 1524 das Neue Testament übersetzte, konnte er 50.000 Kopien drucken, bevor er gefangen und auf dem Scheiterhaufen verbrannt wurde. Die alte Ordnung in Europa brach zusammen, und das moderne Zeitalter begann. Gesellschaften, die versuchten, Informationen zu kontrollieren, verloren ihre Wettbewerbsfähigkeit, und mit dem Zusammenbruch der Sowjetunion scheint der liberale, demokratische Kapitalismus als Sieger dazustehen. Aber nun bedroht TC die unbezahlbare Hinterlassenschaft Gutenbergs. Elektronische Bücher sind angreifbar, sobald sie einmal veröffentlicht wurden; die Gerichte können durchsetzen, dass sie »unveröffentlicht« werden, und die TC-Infrastruktur wird die Drecksarbeit übernehmen.

Nach dem Versuch der Sowjetunion, alle Schreibmaschinen und Faxgeräte zu registrieren und zu kontrollieren, versucht nun TC alle Computer zu kontrollieren. Das Problem dabei ist, das alles computerisiert wird. Wir haben absolut keine Vorstellung davon, wohin uns die allgegenwärtigen Kontrollmechanismen bringen werden.

12.) Erschreckende Aussichten. Aber kann man das nicht einfach abstellen?

Sicher kann man das abstellen – außer natürlich der Systemadministrator konfiguriert die Rechner so, dass TC zwangsweise läuft. Stellt man sie ab, kann man den Rechner wie zuvor nutzen, indem man unsichere Anwendungen darauf laufen lässt.

Da gibt es allerdings ein kleines Problem. Schaltet man TC ab, wird der Fritz-Chip die Schlüssel, die man zum Lesen seiner Daten oder zum Verwenden des Bankkontos braucht, nicht herausgeben. Die TC-konformen Anwendungen werden auch nicht so gut bzw. gar nicht laufen. Das wäre wie heute ein Wechsel von Windows zu Linux; man hat mehr Freiheit aber weniger Auswahl. Falls die TC-konformen Anwendungen der Masse attraktiver oder den Herstellern profitabler erscheinen, wären Sie letzten Endes dazu gezwungen, sie auch zu benutzen – genauso wie viele Leute Microsoft Word benutzen müssen, weil ihre Freunde und Kollegen ihnen Dokumente in diesem Format schicken. Im Jahr 2008 könnten ihnen die Kosten für einen Wechsel unverhältnismäßig hoch erscheinen.

Dies hat weitreichende Implikationen für die Souveränität einer Nation. Auf einem TCG-Symposium in Berlin habe ich sie so dargestellt: Im Jahr 2010 wird Präsidentin Hillary Clinton zwei rote Knöpfe auf ihrem Schreibtisch haben: einen, der die Raketen Richtung China abfeuert und einen, der sämtliche chinesischen PCs abschaltet. Und nun raten Sie mal, welchen Knopf die Chinesen am meisten fürchten? (Darauf kam ein Zwischenruf aus dem Publikum: »Was ist mit dem Knopf, der die PCs in Europa abschaltet?«). Diese Idee mag vielleicht übertrieben sein, aber das ist sie nur ein wenig. Technologische Richtlinien und Machtpolitik sind seit dem römischen Reich miteinander verwoben, und schlaue Herrscher können die Implikationen des TC nicht außer Acht lassen. Es wäre ziemlich lästig für eine Regierung, ihre Computer von Windows auf GNU/Linux umstellen zu müssen, noch dazu auf dem Höhepunkt einer internationalen Krise.

13.) Es geht hier also vor allem um politische und wirtschaftliche Aspekte?

Exakt. Die größten Profite im Bereich der IT-Produkte und Dienstleistungen gehen vornehmlich an jene Firmen, die eigene Plattformen etablieren und Kompatibilität zu diesen so kontrollieren können, dass der Markt für ergänzende Produkte auch in ihrer Hand ist. Ein sehr aktuelles Beispiel sind die Computerdrucker. Seit 1996 der Xerox N24 auf den Markt kam, bauen Hersteller Authentifizierungschips in Tintenpatronen ein, so dass die Drucker erkennen können, ob nachgefüllte Patronen oder solche von Drittherstellern verwendet werden, und dann den Druck verweigern. Der Patronenzwang führt nun zu einem Handelstreit zwischen den USA und Europa. Vor einem Gericht der USA hat Lexmark eine einstweilige Verfügung erwirkt, die es Drittherstellern verbietet, Patronen mit Chips zu vertreiben, die mit Lexmarks Druckern zusammenarbeiten.

In der Zwischenzeit hat das Europäische Parlament eine Richtlinie zur Beschränkung der Verwendung bestimmter gefährlicher Stoffe in elektrischen und elektronischen Geräten erlassen, die den Mitgliedsstaaten vorschreibt, bis Ende 2007 die Umgehung der EU-Richtlinien für das Recycling durch Firmen, die Produkte mit Chips zur Verhinderung des Recyclings versehen, zu ächten.

Dies betrifft nicht nur die Druckerindustrie. Einige Handyhersteller verwenden eingebettete Authentifizierungschips zur Überprüfung, ob der verwendete Akku ein Originalteil oder ein Klon ist. Sonys Playstation 2 nutzt ein ähnliches Authentifizierungsverfahren, um sicher zu gehen, dass Speicherkarten von Sony und nicht die eines Billiganbieters verwendet werden. Die Xbox von Microsoft macht da keinen Unterschied. Bisher mussten allerdings alle, die die Zwangsbindung von Produkten durchsetzen wollten, eigene Hardware verwenden. Dies käme die Hardwarehersteller billig, wäre den meisten Softwarefirmen aber zu teuer.

TC wird es den Herstellern von Anwendungssoftware ermöglichen, der Zwangsbindung und ähnlichen Geschäftsstrategien nach Herzenslust zu frönen. Da der Anbieter der Software die Server mit den Sicherheitsrichtlinien kontrolliert, kann er die Bedingungen diktieren, nach denen Fremdsoftware mit seiner eigenen zusammenarbeitet. In der Vergangenheit fanden Softwareinnovationen schnell und stürmisch statt, weil es Millionen PCs mit Daten in Formaten gab, die lesbar waren. Falls man sich z.B. eine coole neu Art, Adressbücher zu bearbeiten, ausdächte, könnte man ein Programm schreiben, das das halbe Dutzend Formate für PCs, PDAs und Handys verstünde, und man wäre im Geschäft, da man Millionen potenzieller Kunden hätte.

Zukünftig werden die Entwickler dieser Formate viel eher der Versuchung erliegen, sie mit TC (»für Ihre Privatsphäre«) abzuschotten und den Zugriff an Dritte zu vermieten. Das ist möglich, weil der Richtlinienserver der Anwendung beliebig festlegen kann, welche anderen Anwendungen mit den Daten des TC-konformen Programms umgehen dürfen. Dies wird Innovationen hemmen.

Eine TC-konforme Anwendung wird also der Softwarefirma, die sie kontrolliert, viel mehr Geld einbringen, da sie den Zugang zu den Schnittstellen für jeden Preis, den der Markt noch hergibt, vermieten kann. Daher werden die meisten Softwarehersteller ihre Anwendungen TC-konform programmieren; und falls Windows das erste Betriebssystem ist, das TC unterstützt, wird dies ein weiterer Wettbewerbsvorteil gegenüber der Entwicklergemeinde für GNU/Linux und MacOS sein.

14.) Moment mal, billigt es das Gesetz es den Leuten nicht zu, Schnittstellen für Kompatibilität durch Reverse Engineering zu erstellen?

Natürlich, und dies ist auch besonders wichtig für das Funktionieren des Marktes für IT-Produkte und Dienstleistungen (siehe hierzu Samuelson and Scotchmer, The Law and Economics of Reverse Engineering, Yale Law Journal, Mai 2002, Seiten 1575-1663).

Die Software-Richtlinie der EU erlaubt europäischen Firmen das Reverse Engineering mit Produkten von Wettbewerbern, um kompatible Produkte auf den Markt zur bringen und den Wettbewerb zu beleben. Das Gesetz gibt einem zwar in den meisten Fällen das Recht dazu, aber keine Möglichkeit, dies auch durchzusetzen. Zu den Zeiten als Kompatibilität noch das Herumfummeln mit Dateiformaten bedeutete, gab es regelrechte Wettbewerbe – als Word und Word Perfect um die Marktdominanz kämpften, versuchte jeder, des anderen Formate zu lesen und es möglichst schwer für ihn zu machen, die eigenen zu lesen. Wie dem auch sei, mit TC ist das Spiel vorbei; ohne Zugriff auf die Schlüssel war’s das dann.

Mitbewerber von den eigenen Anwendungsformaten auszuschließen war einer der Gründe für TC (siehe hierzu ein Posting von Lucky Green und seine Website Def Con für weitere Informationen). Es handelt sich um eine Taktik, die auch außerhalb der Computerwelt um sich greift. Der amerikanische Kongress erregt sich über Autohersteller, die proprietäre Datenformate nutzen, um ihre Kundschaft daran zu hindern, Reparaturen bei unabhängigen Werkstätten erledigen zu lassen. Und die Jungs bei Microsoft sagen, sie wollen TC überall haben, sogar in Uhren. Die globalen ökonomischen Konsequenzen werden dramatisch sein.

15.) Kann TC nicht geknackt werden?

Die anfänglichen Versionen werden für jeden angreifbar sein, der genug Werkzeuge und Geduld hat, die Hardware zu knacken (z.B., indem man den unverschlüsselten Datenverkehr auf dem Bus zwischen der CPU und dem Fritz-Chip abhört). Sobald aber der Fritz-Chip in Phase zwei in der CPU selbst verschwindet, wird es viel schwieriger. Ernsthafte Gegner mit genügend Kapital werden ihn auch dann noch knacken können. Es wird allerdings immer schwieriger und teurer werden.

Zudem wird in vielen Ländern das Knacken des Fritz-Chips illegal sein. In den USA sorgt bereits der Digital Millennium Copyright Act (DMCA) dafür, während es in der EU bereits die EU-Copyright-Richtlinie gibt und bald (falls sie durchkommt) die Verordnung zur Durchsetzung. In manchen Mitgliedsländern der EU hat die Überführung der Copyright-Richtlinie in nationales Recht bereits dafür gesorgt, dass die kryptographische Forschung streng genommen illegal ist.

Zudem wird bereits in vielen Produkten die Kompatibilitätsprüfung willkürlich mit der Copyrightprüfung und -kontrolle verbunden. So enthält der Authentifizierungschip der Sony Playstation 2 zugleich auch den Algorithmus zur Entschlüsselung (also zum Abspielen) der DVDs, so dass Leute, die Reverse Engineering betreiben, für die Umgehung eines Copyright-Mechanismus nach dem DMCA belangt werden können. Die Situation wird wahrscheinlich ziemlich heikel – und dies wird große Firmen mit entsprechend budgetierten Rechtsabteilungen begünstigen.

16.) Wie weitreichend werden die allgemeinen wirtschaftlichen Auswirkungen sein?

Die Medienindustrie wird ihren Anteil durch die Verhinderung von Raubkopien machen – rechnen Sie damit, dass Sir Mick Jagger noch ein bisschen reicher wird. Ich erwarte allerdings, dass sich die wichtigsten wirtschaftlichen Auswirkungen in einer Stärkung der Position von Informationsinhabern- und Dienstleistern auf Kosten neuer Marktteilnehmer äußern werden. Dies mag den Marktwert von Firmen wie Intel, Microsoft und IBM steigern – allerdings zu Lasten von Innovation und Wachstum.

Eric von Hippel schreibt, dass die meisten Innovationen, die das ökonomische Wachstum anregen, nicht von den Herstellern der Plattformen, auf denen sie basieren, vorhergesehen wurden; zudem verstärkt sich ein technischer Wandel im Markt der IT-Produkte und Dienstleistungen meistens gegenseitig. Es ist keine gute Idee, den Platzhirschen die Möglichkeit zu geben, andere am Entwickeln neuer Einsatzmöglichkeiten für ihre Produkte zu hindern.

Durch die Zusammenballung großer ökonomischer Macht, wird TC eher den großen als den kleinen Firmen nützen; ähnlich den Autoherstellern, die Autobesitzer dazu zwingen, Inspektionen nur bei autorisierten Werkstätten machen zu lassen, werden es TC-konforme Anwendungen den großen Firmen ermöglichen, neben den Gewinnen aus ihrem Kerngeschäft noch Einnahmen aus den nachgelagerten Märkten abzuschöpfen. Da der Großteil der Angestelltenzuwächse im mittelständischen Sektor entsteht, könnte dies Konsequenzen für die Arbeitsmärkte haben.

Zudem könnten regionale Effekte auftreten. Beispielsweise haben Subventionen die europäische Smartcard-Industrie gestärkt und dabei andere innovative Techniken in der EU an den Rand gedrängt. Ranghohe Industrielle, mit denen ich gesprochen habe, erwarten einen Einbruch der Smartcard-Verkäufe, sobald in der zweiten Phase des TC die Fritz-Funktionalität in die CPU integriert wird. Ranghohe Leute aus TC-Firmen haben mir gegenüber zugegeben, dass die Verdrängung der Smartcards vom Markt der Authentifizierungsmodelle eins ihrer Geschäftsziele ist. Viele Einsatzmöglichkeiten, die Smartcard-Hersteller für ihre Produkte vorsehen, werden stattdessen von den Fritz-Chips in Laptops, PDAs und Handys übernommen. Falls dieser Industriezweig vom TC erledigt wird, könnte Europa ein großer Nettoverlust entstehen. Andere große Bereiche der Informationssicherheitsbranche könnten als Verluste abgeschrieben werden.

17.) Wer wird noch verlieren?

In vielen Bereichen wird es zu Umwälzungen der Geschäftsprozesse kommen mit denen sich Copyright-Inhaber neue Gewinnmöglichkeiten eröffnen. Ich selbst habe z.B. kürzlich beantragt, unser brachliegendes Ackerland in einen Garten umzuwandeln; dazu mussten wir in unserer Verwaltung sechs Kopien einer Karte des Feldes im Maßstab 1:1250 vorlegen. Früher besorgte man sich für so etwas einfach eine Karte aus der öffentlichen Bücherei und kopierte sie. Nun liegen die Karten auf einem Server der Bücherei, inklusive Copyright-Schutz, und man kann maximal vier Kopien eines Dokumentes bekommen. Als Individuum kann ich so was einfach umgehen, indem ich heute vier Kopien kaufe und einen Freund morgen für die anderen beiden vorbeischicke. Aber Unternehmen, die viel mit Karten arbeiten, stehen am Ende da und müssen viel mehr Geld an die Kartenfirmen bezahlen. Das hört sich nach einem kleinen Problem an; multipliziert man das Ganze aber tausendfach, bekommt man einen Eindruck von den Auswirkungen auf die Gesamtwirtschaft. Der Nettotransfer von Einkommen und Vermögen wird wahrscheinlich erneut von kleinen zu großen und von neuen zu alten Firmen stattfinden.

Ein wohlbekannter englischer Copyright-Anwalt sagte, das Copyright würde nur deswegen toleriert, weil es nicht gegen die große Masse der unbedeutenden Copyrightverletzer durchgesetzt werde. Es wird allerdings ein paar sehr auffällige Pechvögel geben. So wie ich das sehe, werden die für später in diesem Jahr in England anstehenden Copyright-Regelungen die Blinden daran hindern, ihre Spezialsoftware nach dem Prinzip des Fair-Use zum Lesen von E-Books zu entfremden. Normalerweise wäre ein solcher bürokratischer Schwachsinn ziemlich egal, da ihn die Leute ignorieren würden, und die Polizei wäre clever genug, nicht jeden zu verfolgen. Falls aber die Copyright-Regelungen mittels Hardwareschutzmechanismen durchgesetzt werden, die nur mit großem Aufwand geknackt werden können, werden die Blinden als die großen Verlierer dastehen. Viele andere Minderheiten sind ähnlichen Bedrohungen ausgesetzt.

18.) Autsch. Was noch?

TC wird die General Public License (GPL) untergraben, unter der viel freie und offene Software vertrieben wird. Die GPL verhindert, dass private Unternehmen die Früchte gemeinsamer freiwilliger Arbeit zu Profitzwecken einsacken können. Jeder kann die unter dieser Lizenz vertriebene Software verwenden oder modifizieren, solange man bei der Verteilung dieser veränderten Versionen auch den Quellcode mitgibt, so dass andere wiederum Änderungen an diesem Code vornehmen können.

IBM und HP haben anscheinend mit der Arbeit an TC erweiterten Versionen von GNU/Linux begonnen. Dies umfasst eine Bereinigung des Codes und das Entfernen einiger Features. Zum Erhalt eines Zertifikates durch die TCG muss der Sponsor den beschnittenen Code an ein Labor zu Testzwecken übergeben, ergänzt um eine Menge Dokumentation, warum verschiedene bekannte Angriffe auf den Code nicht funktionieren würden. Die Bewertung erfolgt auf dem Evaluation Assurance Level 3 (EAL3) – teuer genug, um die Gemeinschaft freier Softwareentwickler draußen zu halten, aber noch billig genug für die meisten kommerziellen Softwarehersteller, ihren lausigen Code durchzubekommen. Obwohl diese Software hinterher von der GPL gedeckt und der Quellcode für jeden zugänglich sein wird, wird sie sich nicht in das TC-Ökosystem einfügen, bis man ein für den Fritz-Chip im eigenen Rechner gültiges, Zertifikat erworben hat. Dies wird man bezahlen müssen, wenn nicht zu Anfang dann später.

Man wird zwar noch die Möglichkeit haben, den geänderten Code selber auch noch mal zu verändern, allerdings wird man dann kein Zertifikat erhalten, das einem Zugang zur schönen neuen Welt des TC ermöglicht. Ähnliches gilt für die Linuxvariante, die Sony für die Playstation 2 anbietet; der Kopierschutzmechanismus der Konsole verhindert sowohl, dass man ein alternatives Linux laufen lässt, als auch die Nutzung einiger Hardwarefeatures. Selbst wenn ein Philanthrop ein sicheres unkommerzielles GNU/Linux-System entwickelt, wäre das keine GPL-Version eines TC-Betriebssystems, sondern lediglich ein proprietäres Betriebssystem, das er kostenfrei verteilen würde. Es würde stellte sich weiterhin die Frage, wer für die Anwenderzertifikate aufkommt.

Die Leute waren überzeugt, dass es unmöglich für ein Unternehmen sein würde, gemeinschaftlich entwickelten Code einfach zu stehlen. Das war für viele der Grund, in ihrer Freizeit freie Software zum Nutzen aller zu entwickeln. TC wird dies aber ändern. Sobald der Großteil der PCs auf dem Markt TC-konform ist, wird die GPL nicht mehr so funktionieren, wie sie gedacht war. Der Nutzen für Microsoft besteht nicht darin, dass freie Software damit unmittelbare zerstört wird. Es geht vielmehr darum, dass die Menschen erkennen werden, dass sogar Software unter der GPL zu kommerziellen Zwecken zweckentfremdet werden kann, woraufhin idealistische junge Programmierer viel weniger motiviert sind, freie Software zu schreiben.

19.) Ich kann mir gut vorstellen, dass sich mancher darüber aufregen wird.

Es gibt da noch viele andere politische Probleme – die Transparenz der Verarbeitung persönlicher Daten, die in der EU-Richtlinie zum persönlichen Datenschutz festgelegt ist; das Problem der nationalen Souveränität, ob Copyright-Regelungen von den Nationalparlamenten, wie derzeit üblich, oder von Firmen in Portland oder Redmond festgelegt werden; ob Microsoft TC zum Ausschalten des Webservers Apache benutzt; und ob die Leute sich mit dem Gedanken anfreunden können, dass ihr PC tatsächlich unter externer Kontrolle steht – Kontrolle, derer sich Gerichte oder Regierungsorgane ohne ihr Wissen bemächtigen könnten.

20.) Moment mal, ist TC entsprechend dem Antitrust-Gesetz nicht illegal?

In den USA wahrscheinlich nicht. Intel hat eine »Plattformführerschaft«-Strategie ausgefeilt, in der das Unternehmen die Anstrengungen der Industrie bündet, Techniken zu entwickeln, die den PC nützlicher machen, so wie beim PCI-Bus und beim USB. Intels Verfahrensweise beschreiben Gawer und Cusumano in ihrem Buch. Intel gründet ein Konsortium zur Verteilung der Entwicklungsarbeit an der Technik, wobei die Gründungsmitglieder einige ihrer Patente mit einbringen, veröffentlicht Standards und lizenziert diese Technik, sobald das Ganze einmal ins Rollen gekommen ist, an Lizenznehmer die ihrerseits alle kollidierenden Patente kostenlos an alle Konsorten lizenzieren müssen.

Als positiver Aspekt dieser Strategie lässt sich das Wachstum auf dem PC Markt ansehen; der Nachteil ist, dass so jeglicher Mitbewerber daran gehindert wird, eine starke Position mit jeglicher Technik zu erreichen, die Intels Dominanz über PC-Hardware bedroht hätte. Deshalb konnte Intel IBM nicht erlauben, dem Microchannel-Bus zum Durchbruch zu verhelfen; nicht nur als konkurrierender Kern der PC-Architektur sondern auch, weil IBM kein Interesse daran hatte, die Bandbreite zur Verfügung zu stellen, die ein Konkurrieren mit High-End-Systemen ermöglicht hätte. Strategisch betrachtet gleicht dieser Effekt der alten römischen Praxis, alle Hütten und Wälder im näheren Umkreis ihrer Burgen zu zerstören. Keine konkurrierende Architektur ist nahe Intels Plattform erlaubt; alles muss vereinheitlicht werden. Dies aber schön, ordentlich und wohl-reguliert: Schnittstellen sollten »offen aber nicht frei« sein.

Der Konsortium-Ansatz hat sich zu einer sehr effektiven Methode entwickelt, die Antitrust-Gesetzgebung zu umgehen. Bisher scheint sich die Obrigkeit nicht allzu viele Sorgen über solche Konsortien zu machen – so lange wie die Standards für alle Firmen offen und zugänglich sind. Sie sollte vielleicht ein bisschen cleverer werden.

In Europa beziehen sich die Gesetze ausdrücklich auch auf Konsortien, und sie werden noch verschärft. In Berlin wurde vom Wirtschaftsministerium eine Konferenz veranstaltet, bei der Sprecher der Pro- und Kontra-TC-Fraktionen ihre Standpunkte vertraten. Professor Christian Koenig hat dazu auf Deutsch eine sehr gründliche Analyse der wettbewerbspolitischen Zusammenhänge veröffentlicht. Sein Fazit: TC verletzt europäisches Wettbewerbsrecht in mehrfacher Hinsicht. Das Kartellrecht erlaubt Standardisierungsgremien nur dann, wenn sie offen, nicht zwingend, und nicht diskriminierend sind. All das ist die TCG nicht. Sie diskriminiert Nicht-Mitglieder: die hohen Mitgliedskosten sind für kleinere Unternehmen unerschwinglich. Zudem diskriminiert die kostenpflichtige- statt kostenlose Lizensierung freie Software. Zudem gibt es viele Probleme mit Marktmacht und Marktabhängigkeiten. Die EU ist dabei, Microsoft des Versuchs schuldig zu sprechen, ihr Monopol von PCs auf Server durch Verschleierung der Schnittstellen auszudehnen. Wenn Schnittstellen durch TC abgeschottet werden können, wird das Ganze noch schlimmer. TC könnte es Microsoft zudem ermöglichen, ihr Monopol bei Betriebssystemen auf Onlinemusikdienste und Handysoftware auszudehnen.

Wie auch immer, ein Gesetz zu erlassen und dessen Einhaltung durchzusetzen, sind zwei verschiedene Dinge. Ende 2003 sollte die EU Microsoft für wettbewerbswidrige Maßnahmen gegenüber Netscape und bzgl. Serverschnittstellen verurteilt haben. Dieses Urteil wird jedoch zu spät kommen, um Netscape wiederzubeleben oder den Wettbewerb im Browsermarkt herzustellen. Bis die EU Microsoft wegen TC verurteilt, wird es 2008 sein. Bis dahin könnte unsere Gesellschaft bereits süchtig nach TC geworden und jegliche politischen Maßnahmen bedeutungslos geworden sein.

21.) Wann wird es losgehen?

Es hat bereits angefangen, die Spezifikation wurde 2000 veröffentlicht. Atmel verkauft bereits einen Fritz-Chip, und man kann diesen seit Mai 2002 mit einigen Laptops der IBM-Thinkpad-Serie erwerben. Einige der bereits in Windows XP und der X-Box vorhandenen Features sind bereits TC-konform: Wenn man z.B. die Hardware-Konfiguration seines PCs wesentlich ändert, muss man seine XP-Installation wieder in Redmond aktivieren. Zudem arbeitet Microsoft bereits seit Windows 2000 daran, alle Treiber zu zertifizieren; XP beschwert sich, sobald man einen unbekannten Treiber installiert. Windows 2003 Server verfügt über Enterprise Rights Management. Zudem nimmt das Interesse der US-Regierung am technischen Standardisierungsprozess zu. TC-Entwicklerkits sollen im Oktober 2003 verfügbar sein. Der Zug ist schon in Bewegung.

22.) Was ist »TORA BORA«?

Das scheint ein interner Witz bei Microsoft zu sein, siehe hierzu die Ankündigung von Palladium. Die Idee ist, dass eine Trusted Operating Root Architecture (»vertrauenswürdige Systemarchitektur«, also Palladium) den Break Once Run Anywhere-Ansatz (»einmal geknackt überall lauffähig«) vereiteln würde; dies bedeutet, dass ein raubkopierter Inhalt nur ein einziges Mal geknackt werden muß, um danach von jedem im Netz verteilt werden zu können. Dies wird durch Traitor Tracing erreicht, der Technik zur allgegenwärtigen Zensur.

Seither scheint Microsoft aufgefallen zu sein, dass dieser Witz schlechten Geschmack beweist. Bei meinem Gespräch über Traitor Tracing mit Microsoft Research am 10. Juli 2002 lautete der geänderte Slogan BORE-Widerstand wobei BORE für Break Once Run Everywhere steht.

Übrigens bezeichnete der Sprecher das Einfügen von Wasserzeichen zu Copyrightzwecken als »Inhaltskontrolle«, ein Begriff, der bisher im Zusammenhang mit dem Schutz Jugendlicher vor Pornographie verwendet wurde: die Marketingmaschine läuft anscheinend auf vollen Touren, um neue Euphemismen auszubrüten! Er teilte uns zudem mit, dass es nur auf vertrauenswürdigen Betriebssystemen laufen würde. Als ich ihn fragte, ob dies dazu diene, Linux loszuwerden, antwortete er, die Linuxanwender müssten dazu gebracht werden, Inhaltskontrolle anzuwenden.

23.) Ist ein sicherer PC denn keine tolle Sache?

Die Frage ist: sicher für wen? Man kann es begrüßen, sich keine Sorgen wegen Viren machen zu müssen, aber TC wird das nicht regeln: Viren nutzen es aus, dass Softwareanwendungen (wie Microsoft Office und Outlook) Scripting verwenden. Man kann sich über Spam ärgern, aber der wird auch nicht aufhören. Microsoft behauptete zwar, dass man dies durch Filtern aller unsignierten Mails erreichen könne, aber man kann mit heutigen Mailclients bereits Mails von Leuten, die man nicht kennt, per Filter in einen separaten Ordner verschieben, den man täglich kurz durchsieht. Man könnte wegen seiner Privatsphäre beunruhigt sein, aber die wird TC auch nicht schützen. So ziemlich alle Verletzungen dieser resultieren aus dem Missbrauch autorisierten Zugangs, und TC wird den Anreiz für Firmen erhöhen, persönliche Daten zu sammeln und damit zu handeln.

Nur weil man plötzlich einen »sicheren« PC einsetzt, wird die Krankenversicherung jedenfalls nicht damit aufhören, die Zustimmung des Versicherungsnehmers zu verlangen, seine private Daten weiterhin dem Arbeitgeber oder jedem sonst, der dafür zu zahlen bereit ist, verkaufen zu dürfen. Im Gegenteil, sie werden sie sogar noch an viel mehr Leute verkaufen, da die Computer dann ja »vertrauenswürdig« sein werden.

Ökonomen nennen dies eine »social choice trap«. Wenn man etwas weniger gefährlicher macht oder es so erscheinen lässt, verführt dies die Menschen dazu, es häufiger oder sorgloser zu nutzen, so dass der Schaden insgesamt größer wird. Als klassisches Beispiel seien hier Volvofahrer genannt, die häufiger Unfälle verursachen.

Die bisher wohlmeinendste Sichtweise von TC legte der verstorbene Roger Needham vor, der für Microsoft die Forschung in Europa geleitet hatte: Es gibt ein paar Dinge, für die man die Anwendungsmöglichkeiten der Benutzer einschränken möchte. Man möchte beispielsweise sichergehen, dass ein Besitzer den Tachometer nicht manipulieren kann, wenn er sein Auto weiterverkaufen will. Ähnlich ist es, wenn man DRM am PC einsetzen will, man muss den Nutzer als den Feind betrachten.

Denkt man in diesen Kategorien, so bietet TC eher keine Sicherheit für den Benutzer sondern für PC-Hersteller, Softwareanbieter und die Contentindustrie. TC bietet keinen Mehrwert für den Benutzer sondern zerstört ihn. TC schränkt die Anwendungsmöglichkeiten für den PC ein und ermöglicht den Serviceanbietern so, mehr Geld von einem abzuschöpfen. Dies ist die klassische Definition eines Kartells – eine Vereinbarung der Industrie, die die Handelsbedingungen so verändert, dass die Konsumentenrente verringert wird.

24.) Warum spricht man dann vom »vertrauenswürdigen Computereinsatz«? Ich wüßte nicht, was daran vertrauenswürdig sein soll!

Das ist eigentlich ein Insiderwitz. Das US Verteidigungsministerium versteht unter einem »vertrauenswürdigen« System ein solches, das »die Sicherheitsrichtlinien durchbrechen kann«. Dies klingt erst mal widersprüchlich, aber wenn man darüber nachdenkt, wird es einem klar. Der gesicherte Mailserver oder die Firewall, die zwischen einem geheimen und einem streng geheimen System stehen, können – falls sie überwunden werden – die gesamten Sicherheitsrichtlinien untergraben, die besagen, dass die Mail immer nur vom geheimen zum streng geheimen System aber nie in die andere Richtung gehen darf. Sie werden daher als vertauenswürdig angesehen, die Richtlinie zum Informationsfluss durchzusetzen.

Oder nehmen wir ein ziviles Beispiel: Nehmen wir an, Sie vertrauen darauf, dass Ihr Arzt Ihre Krankenakte unter Verschluss hält. Dies bedeutet, dass er Zugang zu Ihren Daten hat und sie an die Presse weitergeben könnte, wenn er sorglos oder boshaft wäre. Sie vertrauen mir ihre Akten nicht an, denn ich habe sie nicht; egal ob ich Sie mag oder hasse, ich könnte nichts tun, um zu erreichen, dass Ihre Daten veröffentlicht würden. Ihr Arzt kann das aber; und die Tatsache, dass er in einer Position ist, Ihnen Schaden zuzufügen, ist genau das, was (auf Systemebene) damit gemeint ist, wenn Sie sagen, dass Sie ihm vertrauen. Sie könnten bei ihm ein gutes Gefühl haben, oder vielleicht müssten Sie ihm einfach nur deswegen vertrauen, weil er der einzige Arzt auf Ihrer Insel ist. Es ist völlig egal, die Definition von »Vertrauen« des US-Verteidigungsministeriums wischt all diese unklaren, emotionalen Aspekte, die Menschen bei diesem Begriff verwirren könnten, beiseite.

Man erinnere sich an Al Gores Vorschlag Ende der neunziger Jahre, in denen über Regierungskontrolle der Kryptographie diskutiert wurde, zur Einsetzung eines »vertrauenswürdigen Dritten« – eine Institution, die einen Zweitschlüssel sicher aufbewahren sollte, für den Fall, dass FBI oder NSA ihn brauchen würde. Die Bezeichnung wurde genauso als Marketinggag verlacht wie der Name »Demokratische Republik« für die ostdeutsche Kolonie Rußlands. Dies ist im Einklang mit der Denkweise des US-Verteidigungsministeriums. Ein vertrauenswürdiger Dritter ist jemand, der meine Sicherheitsrichtlinien umgehen kann.

25.) Ein »vertrauenswürdiger Computer« ist also einer, der meine Sicherheit untergräbt?

Das ist noch milde ausgedrückt.

Ross Anderson

Anhang

• 17.01.06 An Animated Short on Trusted Computing.
• 23.04.04 Die EFF-Analyse Promise and Risk zum Thema Trusted Computing.
• 03.08.03 »Vertrauensfragen«; Heise-Artikel mit IBMs Antworten auf die TC-Fragen des Chaos Computer Club.
• 18.05.03 »TCPA ist tot, es lebe die TCG«; Heise-Artikel, der Wahrheit und Spekulation zu TCPA und Palladium gegenüberstellt. Was davon hinterher wirklich zutrifft, werden wir wohl eher sehen, als uns lieb ist.
• 09.03.03 Die öffentlich wieder zugängliche Mitgliederliste der TCG zeigt deutlich, wen man alles boykottieren sollte.
• 29.01.03 Spiegel-Online-Artikel Wolf bleibt Wolf, der Microsofts Umbennennung von Palladium in Next-Generation Secure Computing Base (NGSCB) kommentiert; für wie blöd halten uns die Redmonder eigentlich?
• Logs des heise-Chat zum Thema TCPA und Palladium – Fluch oder Segen? vom 20.12.02. Besonders lustig, wie der M$-Mann Palladium Fähigkeiten zuschreibt, die in der offiziellen M$-FAQ zu diesem Thema schon längst als nicht realisierbar eingestanden werden, z.B. der nicht gegebene Schutz vor Viren;
  Podium und User.
• Unterhaltsame und sehr informative Sendung des Chaos Computer Club über TCPA und die Folgen in der Hörer-Talk Sendung BLUE MOON vom 27.11.02 bei Fritz, inkl. Hörerkommentaren als ogg (77 MB) bzw. mp3 (169 MB).
• Interessanter c’t-Artikel über »Urheberschutz, »Geistiges Eigentum« und die »Rechteverwerter«, der illustriert, wofür man eigentlich TCPA/Palladium eingesetzt sehen will.
• Die vernichtende Demontage der Microsoft FUD-Doktrin (Fear, Uncertainty, Doubt) durch den peruanischen Kongreßabgeordneten Dr. Edgar David Villanueva Nuñez im Zuge seines Gesetzesentwurfs für »Freie Software in der öffentlichen Verwaltung«.
• c’t 22/2002, S. 204: Digital Rights Management.