Trusted Computing FAQ 1.

1 - deutsch
(TC/TCG/TCPA/Palladium/NGSCB/LaGrande)

Ross Anderson
© & Übersetzung: Moon - letztes Update: 17.01.2006

Aktuelle Version immer auf http://moon.hipjoint.de/tcpa-palladium-faq-de.html.

1.) Wofür steht Trusted Computing?

Die Trusted Computing Group (TCG) ist eine Allianz von Microsoft, Intel, IBM, HP
und AMD, die einen Standard für »sicherere« PCs entwickeln will. Ihre Definition
von »Sicherheit« ist allerdings umstritten. Nach deren Spezifikationen gebaute
Computer werden für die Software- und Inhalteanbieter vertrauenswürdiger sein,
für die Anwender allerdings eher weniger. Tatsächlich wird die Einhaltung dieser
Spezifikationen dafür sorgen, dass die endgültige Kontrolle über einen PC von
seinem Besitzer auf denjenigen übertragen wird, dessen Software man zufällig
gerade laufen hat. (Ja, dies geht sogar noch weiter als bisher).

Das TCG-Projekt läuft mittlerweile unter mehreren Namen. »Trusted Computing«

(etwa: verlässlicher Computereinsatz) war der anfängliche Name. Er wird auch
weiterhin von IBM verwendet, während Microsoft das Ganze als »trustworthy
computing« (vertrauenswürdiger Computereinsatz) und die Free Software Foundation
als »treacherous computing« (verräterischer Computereinsatz) bezeichnen. Ich
werde es von nun an »TC« nennen, Sie können es halten wie Sie wollen. Weitere
Namen sind TCPA (Trusted Computing Platform Alliance, der Name der TCG vor ihrem
Zusammenschluss als eigenständige Firma), Palladium (Microsofts frühere
Bezeichnung für die Softwareimplementation der Spezifikationen im nächsten
Windows, geplant für 2004), und NGSCB (Next Generation Secure Computing Base),
Microsofts neuer Name dafür. Intel nennt es seit kurzem »safer computing«. Viele
Beobachter gehen davon aus, dass die Verwirrung beabsichtigt ist – die
Mitglieder wollen davon ablenken, was TC wirklich bedeutet.

2.) Auf gut deutsch, was bringt TC?

TC ist eine Computerplattform, die verhindert, dass der Anwender die darauf
laufenden Anwendungen manipulieren kann, die abgesichert mit dem
Programmhersteller und untereinander kommunizieren können. Der originäre
Anwendungszweck war das Digital Rights Management (DRM): Disney kann dann DVDs
verkaufen, die sich nur auf einer Palladium-Plattform entschlüsseln - also
anschauen - lassen, die aber nicht kopiert werden können. Die Musikindustrie
kann dann Musikdownloads verkaufen, die nicht mit anderen getauscht werden
können. Sie können dann CDs verkaufen, die man nicht mehr als drei mal abspielen
kann oder nur am eigenen Geburtstag. Eine Fülle neuer Vermarktungsmöglichkeiten
wird sich auftun.

TC wird es zudem viel schwieriger machen, nicht lizenzierte Software zu nutzen.

In der ersten Version von TC konnten Raubkopien von außen entdeckt und gelöscht
werden. Seitdem hat Microsoft hin und wieder bestritten, TC dafür einzusetzen,
allerdings weigerte sich ein hoher Microsoft-Manager auf der WEIS 2003
abzustreiten, dass dies eins der Ziele war: »Anderen Leuten dabei zu helfen,
Raubkopien zu verwenden, ist nun einmal nicht unser Lebensziel«, sagte er.

Die nun vorgeschlagenen Mechanismen sind allerdings etwas subtiler. TC wird die
Registrierungsprozeduren der Softwareprogramme schützen, so dass nicht
lizenzierte Software aus dem neuen Ökosystem ausgeschlossen wird. Zudem werden
TC-Anwendungen besser mit anderen TC-Anwendungen zusammenarbeiten, so dass man
weniger von den alten Nicht-TC-Anwendungen (das schließt Raubkopien ein) hat.
Weiterhin könnten einige TC-Anwendungen die Verarbeitung von Daten alter
Anwendungen ablehnen, deren Seriennummern gesperrt (blacklisted) sind. Falls
Microsoft Ihre Kopie von MS Office für eine Raubkopie hält, und Ihre Regierung
auf TC umschwenkt, dann würden möglicherweise Ihre Dokumente unlesbar und somit
kein Austausch möglich sein. TC wird es zudem erleichtern, Software zu vermieten
statt sie zu verkaufen; wenn man die Miete nicht mehr zahlt, kann nicht nur die
Software aufhören zu arbeiten, sondern auch alle mit ihr erstellten Dateien.
Falls Sie also keine Upgrades mehr für den Media Player kaufen, könnten Sie den
Zugang zu allen vorherigen Songs, die Sie damit erworben haben, verlieren.

Seit Jahren träumt Bill Gates davon, einen Weg zu finden, die Chinesen für seine
Software zahlen zu lassen: TC scheint die Erfüllung seiner Gebete sein.

Es gibt vielerlei Möglichkeiten. Regierungen könnten nur solche Systeme

einsetzen auf denen alle Word-Dokumente, die auf Beamten-PCs erstellt wurden als
»geheim« gelten und nicht mehr digital an Journalisten weitergegeben werden
könnten. Auktions-Sites könnten auf vertrauenswürdiger Proxy-Software zur Abgabe
von Geboten bestehen, so dass ein taktisches Bieten über Bietagenten oder
ähnliches nicht mehr möglich wäre. Die Benutzung von »Cheats« bei
Computerspielen könnte erschwert werden.

Es gibt natürlich auch Nachteile. TC wird die ferngesteuerte Zensur ermöglichen.

In der simpelsten Ausführung könnten Anwendungen dazu dienen, ferngesteuert
raubkopierte MP3s zu löschen. Würde man z.B. geschützte Songs einer gehackten
TC-Plattform als MP3s im Netz zur Verfügung stellen, dann könnte dies ein TC-
kompatibler Media Player anhand eines Wasserzeichens erkennen, melden, und per
Befehl von außen die MP3s (und anderes Material, das über diese Plattform lief)
löschen. Bei Microsoft (und auch bei anderen Firmen) hat man sich bereits viel
Gedanken über dieses »Traitor Tracing«(Verräter-Verfolgung) genannte
Geschäftsmodell gemacht. Allgemein gilt, dass mit TC-kompatiblen Systemen
erstellte digitale Objekte- egal auf welchen Systemen sie sich befinden -
weiterhin der Kontrolle des jeweiligen Autors unterstehen und nicht dem Besitzer
des Systems, so wie es momentan noch der Fall ist.

So könnte ein Gericht den Autor eines als verleumderisch eingestuften Dokumentes
zur Löschung zwingen - oder den Hersteller der Textverarbeitung, falls sich der
Autor weigert. Bei solchen Anwendungsmöglickeiten ist davon auszugehen, dass TC
dazu eingesetzt werden wird, alles von der Pornographie bis zu kritischen
Schriften über Politiker zu zensieren.

Ein Nachteil für Unternehmen ist, dass die Softwarefirmen den Wechsel auf
Produkte eines Mitbewerbers erschweren könnten. Ein einfacher Ansatz wäre es zum
Beispiel, wenn Word alle Dokumente so verschlüsselte, dass nur Microsoft-
Produkte Zugriff darauf hätten; somit könnten diese nicht mit der
Textverarbeitung eines Wettbewerbers gelesen werden. Solch offensichtliche
Zwangsmaßnahmen könnten vom Kartellamt unterbunden werden, allerdings gibt es
subtilere Strategien zur Kundenbindung, die sehr viel schwieriger zu regulieren
sind. Ich werde weiter unten einige Beispiele anführen.

3.) Ich kann also keine MP3s mehr auf meinem PC hören?

Bereits vorhandene MP3s sollten für eine gewisse Zeit keine Probleme bereiten.
Microsoft behauptet, dass TC nichts sofort am Funktionieren hindern würde. Ein
vor einiger Zeit erschienenes Update zum Media Player hat allerdings eine
Debatte dadurch ausgelöst, dass Anwender zur Benutzung dieser Software künftigen
Anti-Raubkopiermaßnahmen seitens Microsoft zustimmen müssen; dies könnte ein
Löschen raubkopierter Inhalte einschließen. Zudem ist es unwahrscheinlich, dass
einige Programme, die dem Anwender erweiterte Kontrolle über seinen PC geben,
wie VMware und Total Recorder, unter TC noch funktionieren werden. Man wäre also
gezwungen, einen anderen Player einzusetzen - und sollte dieser dann
raubkopierte MP3s abspielen, ist es unwahrscheinlich, dass er dies mit neuen,
geschützten Titeln tun würde.

Die Anwendung selbst bestimmt unter Benutzung eines Onlineservers, welche

Sicherheitsrichtlinien für ihre Dateien gelten. Der Media Player wird also
erkennen, welche Nutzungsbedingungen an einen geschützten Titel geknüpft sind,
und ich gehe davon aus, dass Microsoft eine Menge unterschiedlichster
Vereinbarungen mit Inhalteanbietern treffen wird, die jegliche Art von
Geschäftsmodell ausprobieren werden. Es wird wahrscheinlich CDs zu einem Drittel
des herkömmlichen Preises geben, die aber nur drei mal abgespielt werden können;
zahlt man die restlichen zwei Drittel, erhält man das dauerhafte Abspielrecht.

Es könnte erlaubt sein, Kopien digitaler Musik an Freunde zu verleihen, wobei

aber gleichzeitig die Originale auf der eigenen Festplatte gesperrt und erst
dann wieder abspielbar werden, sobald man die Kopie zurückbekommen hat. Es ist
allerdings wahrscheinlicher, dass man Musik überhaupt nicht mehr wird verleihen
können. Die schleichende digitale Abschottung wird das Leben auf vielerlei
kleinliche Weise lästig machen. Ländercodes könnten z.B. ein Abspielen der
polnischen Version verhindern, wenn der PC außerhalb Europas gekauft wurde.

Dies alles könnte bereits heute geschehen - Microsoft müsste nur einen Patch in
Ihren Player einspielen. Sobald TC es aber den Anwendern erschwert, die Player-
Software zu verändern, und es Microsoft und der Industrie leichter macht zu
kontrollieren, welche Software überhaupt neuere Aufnahmen abspielt, wird es
schwieriger sein, dem Ganzen zu entgehen. Die Kontrolle der Media-Player-
Software ist so wichtig, dass die EU Wettbewerbsbehörde bereits vorschlägt,
Microsoft für ihr wettbewerbsfeindliches Verhaltungen zu bestrafen, indem
Auflagen zur Integration von Playern anderer Anbieter bzw. das Entbündeln des
Media-Players durchgesetzt werden. TC wird eine viel stärkere Kontrolle von
Medieninhalten ermöglichen.

4.) Wie funktioniert TC?

TC sorgt für den Einbau einer Überwachungs- und Meldekomponente in künftige PCs.
Die bevorzugte Variante in der ersten Phase der Einführung ist ein »Fritz«-Chip
- ein Smartcard-Chip oder Dongle, der aufs Motherboard gelötet wird. Die
derzeitige Version besteht aus fünf Komponenten: dem Fritz-Chip, einem
abgeschirmten Bereich im Speicher, einem Sicherheitskernel im Betriebssystem
(von Microsoft »Nexus« genannt), einem Sicherheitskernel in jeder TC-Anwendung
(»NCA«, Network Communications Adapter bei Microsoft) und einer Infrastruktur
von Onlineservern, die von Hardware- und Softwareherstellern betrieben werden,
um das Ganze miteinander zu verbinden.

Der erste Fritz-Chip überwachte den Bootprozess, so dass der PC in einen

vorgesehenen Zustand mit bekannter Hard- und Software hochfuhr. Die aktuelle
Version hat eine passive Überwachungskomponente, die den Hash-Wert der Maschine
beim Hochfahren speichert. Dieser Hash-Wert wird berechnet aus einzelnen Details
der Hardware (Soundkarte, Graphikkarte, etc.) und der Software (Betriebssystem,
Treiber, usw.). Sobald die Maschine in den genehmigten Zustand hochgefahren ist,
ermöglicht der Fritz-Chip dem Betriebssystem den Zugriff auf die
kryptographischen Schlüssel, die zur Entschlüsselung TC-kompatibler Anwendungen
und Daten benötigt werden. Wird kein genehmigter Status erreicht, ergibt sich
ein falscher Hash-Wert, und der Fritz-Chip weigert sich, die Schlüssel
freizugeben. Der Rechner kann möglicherweise weiterhin auf nicht TC-konforme
Anwendungen und Daten zugreifen, auf geschütztes Material wird aber kein Zugriff
möglich sein.

Der Security Kernel des Betriebssystems (der »Nexus«) überbrückt die Lücke
zwischen dem Fritz-Chip und den Sicherheitskomponenten der Anwendungen (den
»NCAs«). Er überprüft, ob die Hardwarekomponenten auf der TC-genehmigten Liste
stehen, dass die Softwarekomponenten signiert sind, und dass keine dieser
Komponenten eine erloschene Seriennummer aufweist. Sollten bedeutsame Änderungen
an der PC-Konfiguration vorgenommen worden sein, muss der PC online gehen, um
sich erneut zu zertifizieren; dies wird vom Betriebssystem geregelt. Das
Ergebnis ist ein Rechner, der sich in einem bekannten Zustand mit einer
genehmigten Kombination an Hardware und Software (deren Lizenz noch nicht
abgelaufen ist) befindet. Schließlich arbeitet der Nexus mit den abgesicherten
Speicherbereichen der CPU zusammen und zwar so, dass jegliche TC-Anwendungen
Daten anderer TC-Anwendungen weder lesen noch verändern können. Diese neuen
Eigenschaften nennt man bei Intel-CPUs »Lagrande Technology« (LT) und
»TrustZone« bei ARM.

Sobald sich der Rechner in diesem Zustand befindet, mit einer TC-konformen
Anwendung im Speicher, die gegenüber Einmischung anderer Software geschützt ist,
kann Fritz Inhalte für Dritte zertifizieren; z.B. wird Disney per
Authentifizierungsprotokoll versichert, dass der Rechner ein geeigneter
Empfänger von »Schneewittchen« ist. Dies bedeutet, dass der Rechner momentan
eine autorisierte Anwendung laufen hat - Media Player, Disney-Player, was auch
immer - und dass dessen NCA problemlos geladen und durch abgeschirmte
Speicherbereiche geschützt vor Debuggern oder anderen Programmen ist, die man
dazu verwenden könnte, die Inhalte zu extrahieren.

Der Disney-Server sendet daraufhin die verschlüsselten Inhalte mit einem

Schlüssel, den der Fritz-Chip zur Entschlüsselung derselben verwendet. Diesen
Schlüssel stellt der Fritz-Chip nur der autorisierten Anwendung zur Verfügung
und auch nur so lange, wie die Rechnerumgebung als »vertrauenswürdig« gilt.
Daher müssen zuvor die Sicherheitsrichtlinien, die den Rechner als
»vertrauenswürdig« definieren vom Server des Herstellers der Playersoftware
heruntergeladen werden.

Das bedeutet, dass Disney seine Inhalte nur für solche Media Player freigeben
kann, deren Hersteller sich zur Durchsetzung gewisser Bedingungen bereit erklärt
haben. Diese könnten Einschränkungen bezgl. der verwendeten Hard- und Software
als auch dem Ort, an dem Sie sich auf der Welt befinden, einschließen. Weitere
Bedingungen beträfen die Zahlungsweise: Disney könnte beispielsweise darauf
bestehen, dass die Anwendung bei jeder Betrachtung des Filmes einen Dollar
berechnet. Die Anwendung selbst könnte sogar vermietet werden. Die Möglichkeiten
scheinen lediglich durch die Vorstellungskraft der Marketingleute begrenzt zu
sein.

5.) Wozu kann TC noch verwendet werden?

TC kann auch zur Durchsetzung viel stärkerer Zugangskontrollen zu vertraulichen

Dokumenten verwendet werden. Man experimentiert bereits mit einer primitiven
Variante, die unter der Bezeichnung »Enterprise Rights Management« von Windows
Server 2003 zur Verfügung gestellt wird.

Ein Verkaufsargument ist die automatische Zerstörung von Dokumenten. Nachdem

einige peinliche Enthüllungen interner Emails im Antitrust-Verfahren gegen
Microsoft stattfanden, führte Microsoft eine Richtlinie ein, derzufolge interne
Mails nach sechs Monaten gelöscht werden müssen. TC wird so etwas sämtlichen
Unternehmen leicht machen, die Microsoft Produkte einsetzen. Man kann sich
vorstellen, wie nützlich das für Arthur Andersen während des Verfahrens gegen
Enron gewesen wäre. TC kann zudem dazu verwendet werden, Firmendokumente nur auf
Firmen-PC lesbar zu machen, es sei denn, eine autorisierte Person gäbe sie zur
weiteren Verbreitung frei.

TC kann außerdem ziemlich ausgefallene Kontrollen und Kommandos durchsetzen:

würde man z.B. eine Email versenden, deren Inhalt den Chef bloßstellen, so
könnte dieser eine Löschnachricht hinterherschicken, die sie bei sämtlichen
Empfängern entfernt. Man kann dies auch über Domains hinweg machen: z.B. könnte
eine Firma ihre rechtliche Korrespondenz nur drei handverlesenen Partnern einer
beauftragten Kanzlei und deren Sekretärinnen zugänglich machen. Diese Kanzlei
könnte das natürlich auch abweisen, da sämtliche Partner gemeinsam haften; es
wird eine ganze Menge interessanter neuer Vereinbarungen geben, sobald die Leute
beginnen, traditionelle Vertrauensbeziehungen durch programmierte Regeln zu
ersetzen.

TC zielt auch auf Zahlungssysteme ab. Eine von Microsofts Visionen ist es, einen
Großteil der Funktionen heutiger Bankkarten in Software abzubilden, sobald die
Anwendungen einbruchssicher sind. Dies führt dazu, dass wir künftig centweise je
Seite, die wir lesen, oder je Liedminute, die wir hören, zahlen müssen. Die
Breitbandanbieter versuchen dies durchzudrücken. Mittlerweile bekommen ein paar
vorausschauende Leute der Musikindustrie kalte Füße bei dem Gedanken, für jeden
Verkauf ein paar Prozent an Microsoft abführen zu müssen.

Selbst wenn sich das Geschäftsmodell der Micropayments nicht durchsetzen sollte
- und dafür gibt es einige überzeugende Argumente - wird es gewaltige
Veränderungen beim Online-Payment geben, die sich auch auf den User auswirken
werden. Falls es in zehn Jahren mühsam ist, mit einer Kreditkarte online zu
bezahlen, es sei denn man verwendet einen TC-Rechner, werden harte Zeiten für
Mac- und Gnu/Linux-Anwender anbrechen.

Regierungen spricht TC natürlich deswegen an, weil mit dem Enterprise Rights
Management die erzwungene Zugangskontrolle durchgesetzt werden kann -
Zugriffswünsche werden nicht mehr abhängig von den Wünschen der Anwender sondern
abhängig von ihrem Status beschieden. Eine Armee könnte beispielsweise ihre
Soldaten dazu veranlassen, nur Dokumente mit dem Status »vertraulich« oder höher
zu erstellen, welche nur von TC-PCs, die vom eigenen Geheimdienst zertifiziert
wurden, gelesen werden können. Auf diese Weise können Soldaten Dokumente nicht
mehr an die Presse (oder ihre Familien) senden. Diese Restriktionen lassen sich
nicht sonderlich gut in komplexen Organisationen wie Regierungen durchsetzen, da
sie den Arbeitsfluss erheblich hindern; die Regierungen aber wollen sie, also
müssen sie wohl auf die harte Tour lernen.

Erzwungene Zugangskontrolle lässt sich viel besser in kleinen Unternehmen mit

klar definierten Aufgabenbereichen einsetzen. So könnte z.B. ein Ring von
Kokainschmugglern die Excel-Tabelle mit den jüngsten Drogenlieferungen nur auf
fünf bestimmten PCs lesbar machen, und dies auch nur bis zum Monatsende. Dann
würden die zum Verschlüsseln verwendeten Schlüssel ungültig, und die Fritz-Chips
auf diesen PCs würden die Dokumente niemandem je wieder zugänglich machen.

6.) OK, es gibt also Gewinner und Verlierer

Disney macht den großen Reibach und Smartcard-Anbieter gehen pleite. Aber
sicherlich investieren Microsoft und Intel Hunderte von Millionen Dollar nicht
aus reiner Barmherzigkeit? Wie wollen die damit Geld machen? Als Intel die ganze
TC-Initiative startete, agierten sie aus der Defensive. Da sie das meiste Geld
durch Mikroprozessoren für PCs verdienen und damit einen Grossteil des Marktes
besetzen, kann die Firma nur durch Vergrößerung des Marktes wachsen. Sie ist
überzeugt, dass der PC im Zentrum des künftigen Heimnetzwerkes stehen wird.
Falls Unterhaltung die Killeranwendung werden sollte und DRM die benötigte
Technik zu deren Durchsetzung, dann muss der PC das DRM übernehmen oder
riskieren, vom Heimanwendermarkt zu verschwinden.

Microsoft, die nun die Entwicklung von TC forciert, ist getrieben vom Verlangen,
die Unterhaltung in ihr Imperium aufzunehmen. Aber sie werden auch so zu den
großen Gewinnern gehören, wenn TC nur ausreichend weit verbreitet ist. Dafür
gibt es zwei Gründe: der erste und nicht ganz so wichtige ist, dass TC die Zahl
der Raubkopien drastisch wird senken können. »Die Chinesen zum Bezahlen für
Software zu bewegen« war schon immer ein großes Ding für Bill; mit TC kann er
jeden PC an eine individuell lizenzierte Kopie von Office und Windows binden und
Raubkopien aus dem glänzenden neuen TC-Universum ausschließen.

Der zweite und wichtigste Gewinn liegt für Microsoft darin, dass sie die Kosten
für einen Wechsel weg von ihrer Software (wie z.B. Office) zu Produkten anderer
Anbieter (wie z.B. Open Office) dramatisch verteuern können. Eine Anwaltskanzlei
beispielsweise muss zum Wechsel auf Open Office momentan nur die neue Software
installieren, die Angestellten anlernen und die bestehenden Dokumente
konvertieren. Wenn sie in fünf Jahren TC-geschützte Dokumente von vielleicht
tausend ihrer Klienten bekommen haben, bräuchten sie die Erlaubnis jedes dieser
Klienten (in Form eines unterschriebenen digitalen Zertifikats), um ihre Dateien
auf die neue Plattform zu migrieren. Dies wird die Kanzlei natürlich nicht
machen, und so ist sie noch enger an die Plattform gebunden, und Microsoft kann
die Preise diktieren.

Ökonomen, die die Softwareindustrie untersuchten, kamen zu dem Schluss, dass der
Wert einer Softwarefirma gleich der Summe aller Kosten ihrer Kunden für den
Wechsel zum Wettbewerb ist. Beide sind gleich dem gegenwärtigen Nettowert der
zukünftigen Zahlungen der Kunden an den Softwarehersteller. Dies bedeutet, dass
der Platzhirsch in einem reifenden Markt, so wie Microsoft seinem Office-
Produkt, nur dann schneller als der Markt wachsen kann, wenn er Wege findet, um
die Kunden enger an sich zu binden. Es gibt da zwar noch ein paar Wenn-und-Aber,
die diese Theorie einschränken, aber die Grundidee ist den Führungskräften der
Industrie wohlvertraut. Diese Tatsache erklärt Bill Gates' Kommentar: »Wir kamen
darauf, als wir über Musik nachdachten, dann aber erkannten, dass Email und
Dokumente weit interessantere Geschäftsfelder sind«.

7.) Woher kam die Idee?

Das TC-Konzept, nachdem ein Rechner in einen definierten Zustand gebootet wird,
ist implizit schon in den frühesten Rechnern vorhanden, wo sich das ROM im BIOS
befand, und es noch keine Festplatte gab, die ein Virus hätte befallen können.
Die Idee eines sicheren Lademechnismus für moderne Rechner kam anscheinend
zuerst in dem Aufsatz »A Secure and Reliable Bootstrap Architecture« von Bill
Arbaugh, Dave Farber und Jonathan Smith, im Rahmen des IEEE Symposium on
Security and Privacy (1997), Seiten 65-71 auf. Daraus entstand das US-Patent:
»Secure and Reliable Bootstrap Architecture«, U.S. Patent No. 6,185,678,
February 6th, 2001. Bill Arbaughs Gedanken entwickelte sich aus seiner Arbeit an
der Code-Signierung für die NSA im Jahr 1994. Die Leute bei Microsoft haben
Patentschutz für die das Betriebssystem betreffenden Aspekte beantragt. Die
Patentanträge gibt es hier und hier.

Es könnte allerdings eine Menge an Prior Art geben. Markus Kuhn schrieb schon
vor Jahren über einen TrustNo1 Processor (»Traue niemandem«-Prozessor), und die
Grundidee, eines sicheren »Referenzmonitors«, der die
Computerzugriffskontrollfunktionen überwacht, geht mindestens auf einen Aufsatz
zurück, den James Anderson 1972 für die USAF verfasst hat. Seitdem ist sie
Merkmal sämtlicher Überlegungen zu militärischen Sicherheitssystemen.

8.) Was hat das mit der Seriennummer des Pentium III zu tun?

Mitte der 90er startete Intel ein früheres Programm, das bis zum Jahr 2000 die
Funktionalität des Fritz-Chip in den Hauptprozessor oder den Cache-Controller
integrieren sollte. Die Pentium-Seriennummer war ein erster Schritt auf diesem
Weg. Die ablehnenden öffentlichen Reaktionen scheinen Intel erst zum Abwarten,
dann zur Bildung eines Konsortiums mit Microsoft und anderen und schließlich zu
einem erneuten Anlauf mit vereinten Kräften gebracht zu haben. Dieses
Konsortium, die Trusted Computer Platform Alliance (TCPA) ging dann in einer
Firma auf und änderte den Namen in TCG.

9.) Woher kommt die Bezeichnung »Fritz-Chip«?

Der Name wurde zu Ehren des Senators von South Carolina, Fritz Hollings,
gewählt, der unermüdlich im Kongress daran arbeitet, TC als zwingend für
sämtliche Konsumelektronik vorzuschreiben. Hollings' Gesetzesinitiative
scheiterte; er verlor seinen Vorsitz des Senatsausschusses für Handel,
Wissenschaft und Transport und geht 2004 in Rente. Aber das »Reich« gibt nicht
auf. Microsoft beispielsweise gibt ein Vermögen in Brüssel aus, um für einen
wirklich gefährlichen Direktivenentwurf zur Durchsetzung von IP-Rechten
(Intellectual Property) zu werben.

10.) Wer, abgesehen von Raubkopierern, Industriespionen und Aktivisten, könnte

ein Problem mit TC haben?

OK, TC verhindert also, dass Jugendliche Musik abziehen und hilft Firmen, ihre
Interna vertraulich zu halten. TC könnte auch der Mafia nützen, außer das FBI
bekommt eine Hintertür eingebaut, wovon man ausgehen kann. Aber wer, abgesehen
von Raubkopierern, Industriespionen und Aktivisten, könnte ein Problem damit
haben?
Eine Menge Firmen wie die Anbieter von Produkten für IT-Sicherheit werden
unmittelbar dran glauben müssen. Als Microsoft TC noch unter dem Begriff
Palladium bewarb, behauptete das Unternehmen, Palladium würde Viren, Spam und so
ziemlich alles andere Schlimme aus dem Cyberspace stoppen; falls das zuträfe,
würde den Herstellern von Antiviren-, Intrusion Detection- und Firewallsoftware,
den Spammern und den Spamfilterentwicklern die Butter vom Brot genommen.
Mittlerweile ist Microsoft da zwar ein wenig bescheidener geworden, Bill Gates
gibt allerdings zu, dass Microsoft aggressiv in den Markt für Produkte der IT-
Sicherheit einsteigen will: »Denn dies ist ein Wachstumsmarkt, und wir werden
keine falsche Scheu zeigen, wenn es darum geht, was wir vorhaben.«

Es sieht z.B. so aus, als würde die europäische Smartcard-Industrie Schaden

nehmen, da die Funktionen ihrer Produkte in die Fritz-Chips von Laptops, PDAs
und Mobiltelefone der dritten Generation wandern werden. Tatsächlich wird sich
ein Großteil der Informationssicherheitsindustrie Sorgen machen, wenn TC zum
großflächigen Einsatz kommt. Microsoft behauptet, dass Palladium Spam, Viren und
so ziemlich alles schädliche im Cyberspace stoppen wird - falls das stimmt, wird
den Herstellern von Antivirensoftware, den Spammern, den Spamfilter-Herstellern,
den Firewall-Firmen und den Leuten aus dem Bereich der Intrusion Detection die
Butter vom Brot genommen.

In der Zwischenzeit wachsen die Befürchtungen über die Auswirkungen auf

Wettbewerb und Innovation. Die Probleme, die sich für Innovationen ergeben,
erläutert der renommierte Ökonom Hal Varian in einer Kolummne in der New York
Times.

Aber es gibt weit schwerwiegendere Probleme. Die fundamentale Gefahr ist, dass
wer auch immer die TC-Infrastruktur kontrolliert, über eine unheimliche Macht
verfügt. Der Besitz dieser einzigen Kontroll- und Steuerungsschnittstelle ist
ungefähr so, als brächte man alle dazu, die gleiche Bank, den gleichen
Steuerberater oder den gleichen Anwalt zu haben. Es gibt viele Möglichkeiten,
diese Macht zu missbrauchen.

11.) Wie kann TC missbraucht werden?

Eine Sorge gilt der Zensur. TC wurde von Anfang an so konzipiert, dass damit
eine zentrale Löschung von raubkopierten Inhalten möglich ist. Raubkopien werden
in der TC-Welt nicht lauffähig sein, denn TC wird den Registrierungsprozess
unangreifbar machen. Aber was ist mit raubkopierter Musik und Filmen? Wie hält
man jemanden davon ab, ein Musikstück - notfalls mit Hilfe eines Mikrofons, dass
vor die Boxen eines TC-Rechners gehalten wird - aufzunehmen und in MP3 zu
konvertieren? Die vorgeschlagene Lösung ist, dass geschützte Inhalte mit einem
digitalen Wasserzeichen versehen werden, die rechtmäßige Media Player nicht
abspielen werden, so lange nicht ein entsprechendes digitales Zertifikat für das
Gerät dabei ist.

Aber was ist nun, wenn man den Fritz-Chip knackt und die Besitzrechte an dem
Musikstück »rechtmäßig« an jemand anderen überträgt? In diesem Fall wendet man
die Traitor-Tracing-Technik an, um herauszufinden, auf welchem PC die Musik
gerippt wurde. Dann passieren zwei Dinge. Erstens, der Besitzer des PC wird
strafrechtlich verfolgt (so zumindest die Theorie; es wird wohl nicht klappen,
wenn die Raubkopierer gehackte PCs verwenden). Zweitens werden die Songs, die
über diesen PC liefen auf eine Blacklist wandern, die alle TC-Player von Zeit zu
Zeit per Download aktualisieren.

Blacklists sind auch abseits der raubkopierten Musik hilfreich. Man kann sie
dazu nutzen, alle Dateien, die eine Anwendung öffnet, zu prüfen, entweder nach
Inhalt, nach der Seriennummer der Anwendung mit der sie erstellt wurden oder
nach jedem anderen Kriterium, das man ausgewählt hat. Die Idee dahinter ist
nicht nur, dass wenn jeder in China die gleiche Kopie von Office laufen hat, man
diese Kopie auf jedem TC-konformen Rechner deaktivieren kann; dies würde die
Chinesen lediglich dazu bringen, normale statt TC-konforme PCs einzusetzen.
Zusätzlich sorgt man nämlich dafür, dass weltweit jeder TC-konforme PC ein
Öffnen von Dokumenten verweigert, die mit dieser raubkopierten Version erstellt
wurden. Dies wird die Chinesen gewaltigem Druck aussetzen. Als Präzedenzfall sei
hier erwähnt, dass viele US-Provider einfach den Datenverkehr aus China
ausblendeten, nachdem die Spammer damit begonnen hatten, von chinesischen
Accounts aus zu mailen, was die chinesische Regierung dazu veranlasste, gegen
Spam vorzugehen.

Das Potenzial zum Missbrauch erstreckt sich weit über das Ausstechen unliebsamer
Mitbewerber und ökonomische Kriegsführung, nämlich bis zur politischen Zensur.
Ich erwarte, dass diese schrittweise kommen wird. Anfangs wird eine mit guten
Absichten eingesetzte Abteilung der Polizei damit beauftragt, pornographische
Bilder von Kindern oder Handbücher zur Sabotage von Bahntransporten zu
entfernen. Alle TC-konformen PCs werden diese Dateien löschen, oder vielleicht
erst nur melden. Dann wird ein Prozessanwalt im Falle einer Verleumdungs- oder
Copyrightklage eine gerichtliche Verfügung gegen das auslösende Dokument
durchsetzen; vielleicht werden die Scientologen versuchen, das berühmte Fishman
Affidavit auf die schwarze Liste zu bekommen. Die Geheimpolizei eines Diktators
könnte die Autorin eines Dissidentenflugbatts bestrafen, indem alles, was sie
jemals auf ihrem Rechner erstellt hat, gelöscht wird; ihr neues Buch, ihre
Steuerrückzahlung, sogar die Geburtstagskarten ihrer Kinder - wo immer die sich
auch befinden. Im Westen könnte entsprechend der Gesetzgebung zu Konfiszierung
von Beweismaterial der Rechner, der zur Erstellung der Kinderpornographie
verwendet wurde, »ausgeblendet« werden. Sobald Anwälte, Polizisten und Richter
das Potenzial erkennen, wird das Rinnsal zu einer Flut.

Nun begann das moderne Zeitalter erst damit, dass Gutenberg in Europa den
Buchdruck erfand, der es ermöglichte, Information zu bewahren und zu verteilen,
obwohl Fürsten und Bischöfe dies hatten unterbinden wollen. Als z.B. Wycliffe
1380 die Bibel ins Englische übersetzte, konnte seine antiklerikale Lollarden-
Bewegung noch leicht unterdrückt werden; als aber Tyndale 1524 das Neue
Testament übersetzte, konnte er 50.000 Kopien drucken, bevor er gefangen und auf
dem Scheiterhaufen verbrannt wurde. Die alte Ordnung in Europa brach zusammen,
und das moderne Zeitalter begann. Gesellschaften, die versuchten, Informationen
zu kontrollieren, verloren ihre Wettbewerbsfähigkeit, und mit dem Zusammenbruch
der Sowjetunion scheint der liberale, demokratische Kapitalismus als Sieger
dazustehen. Aber nun bedroht TC die unbezahlbare Hinterlassenschaft Gutenbergs.
Elektronische Bücher sind angreifbar, sobald sie einmal veröffentlicht wurden;
die Gerichte können durchsetzen, dass sie »unveröffentlicht« werden, und die TC-
Infrastruktur wird die Drecksarbeit übernehmen.

Nach dem Versuch der Sowjetunion, alle Schreibmaschinen und Faxgeräte zu

registrieren und zu kontrollieren, versucht nun TC alle Computer zu
kontrollieren. Das Problem dabei ist, das alles computerisiert wird. Wir haben
absolut keine Vorstellung davon, wohin uns die allgegenwärtigen
Kontrollmechanismen bringen werden.

12.) Erschreckende Aussichten. Aber kann man das nicht einfach abstellen?

Sicher kann man das abstellen - außer natürlich der Systemadministrator

konfiguriert die Rechner so, dass TC zwangsweise läuft. Stellt man sie ab, kann
man den Rechner wie zuvor nutzen, indem man unsichere Anwendungen darauf laufen
lässt.

Da gibt es allerdings ein kleines Problem. Schaltet man TC ab, wird der Fritz-
Chip die Schlüssel, die man zum Lesen seiner Daten oder zum Verwenden des
Bankkontos braucht, nicht herausgeben. Die TC-konformen Anwendungen werden auch
nicht so gut bzw. gar nicht laufen. Das wäre wie heute ein Wechsel von Windows
zu Linux; man hat mehr Freiheit aber weniger Auswahl. Falls die TC-konformen
Anwendungen der Masse attraktiver oder den Herstellern profitabler erscheinen,
wären Sie letzten Endes dazu gezwungen, sie auch zu benutzen - genauso wie viele
Leute Microsoft Word benutzen müssen, weil ihre Freunde und Kollegen ihnen
Dokumente in diesem Format schicken. Im Jahr 2008 könnten ihnen die Kosten für
einen Wechsel unverhältnismäßig hoch erscheinen.

Dies hat weitreichende Implikationen für die Souveränität einer Nation. Auf
einem TCG-Symposium in Berlin habe ich sie so dargestellt: Im Jahr 2010 wird
Präsidentin Hillary Clinton zwei rote Knöpfe auf ihrem Schreibtisch haben:
einen, der die Raketen Richtung China abfeuert und einen, der sämtliche
chinesischen PCs abschaltet. Und nun raten Sie mal, welchen Knopf die Chinesen
am meisten fürchten? (Darauf kam ein Zwischenruf aus dem Publikum: »Was ist mit
dem Knopf, der die PCs in Europa abschaltet?«). Diese Idee mag vielleicht
übertrieben sein, aber das ist sie nur ein wenig. Technologische Richtlinien und
Machtpolitik sind seit dem römischen Reich miteinander verwoben, und schlaue
Herrscher können die Implikationen des TC nicht außer Acht lassen. Es wäre
ziemlich lästig für eine Regierung, ihre Computer von Windows auf GNU/Linux
umstellen zu müssen, noch dazu auf dem Höhepunkt einer internationalen Krise.

13.) Es geht hier also vor allem um politische und wirtschaftliche Aspekte?

Exakt. Die größten Profite im Bereich der IT-Produkte und Dienstleistungen gehen
vornehmlich an jene Firmen, die eigene Plattformen etablieren und Kompatibilität
zu diesen so kontrollieren können, dass der Markt für ergänzende Produkte auch
in ihrer Hand ist. Ein sehr aktuelles Beispiel sind die Computerdrucker. Seit
1996 der Xerox N24 auf den Markt kam, bauen Hersteller Authentifizierungschips
in Tintenpatronen ein, so dass die Drucker erkennen können, ob nachgefüllte
Patronen oder solche von Drittherstellern verwendet werden, und dann den Druck
verweigern. Der Patronenzwang führt nun zu einem Handelstreit zwischen den USA
und Europa. Vor einem Gericht der USA hat Lexmark eine einstweilige Verfügung
erwirkt, die es Drittherstellern verbietet, Patronen mit Chips zu vertreiben,
die mit Lexmarks Druckern zusammenarbeiten. In der Zwischenzeit hat das
Europäische Parlament eine Richtlinie zur Beschränkung der Verwendung bestimmter
gefährlicher Stoffe in elektrischen und elektronischen Geräten erlassen, die den
Mitgliedsstaaten vorschreibt, bis Ende 2007 die Umgehung der EU-Richtlinien für
das Recycling durch Firmen, die Produkte mit Chips zur Verhinderung des
Recyclings versehen, zu ächten.

Dies betrifft nicht nur die Druckerindustrie. Einige Handyhersteller verwenden

eingebettete Authentifizierungschips zur Überprüfung, ob der verwendete Akku ein
Originalteil oder ein Klon ist. Sonys Playstation 2 nutzt ein ähnliches
Authentifizierungsverfahren, um sicher zu gehen, dass Speicherkarten von Sony
und nicht die eines Billiganbieters verwendet werden. Die Xbox von Microsoft
macht da keinen Unterschied. Bisher mussten allerdings alle, die die
Zwangsbindung von Produkten durchsetzen wollten, eigene Hardware verwenden. Dies
käme die Hardwarehersteller billig, wäre den meisten Softwarefirmen aber zu
teuer.

TC wird es den Herstellern von Anwendungssoftware ermöglichen, der Zwangsbindung

und ähnlichen Geschäftsstrategien nach Herzenslust zu frönen. Da der Anbieter
der Software die Server mit den Sicherheitsrichtlinien kontrolliert, kann er die
Bedingungen diktieren, nach denen Fremdsoftware mit seiner eigenen
zusammenarbeitet. In der Vergangenheit fanden Softwareinnovationen schnell und
stürmisch statt, weil es Millionen PCs mit Daten in Formaten gab, die lesbar
waren. Falls man sich z.B. eine coole neu Art, Adressbücher zu bearbeiten,
ausdächte, könnte man ein Programm schreiben, das das halbe Dutzend Formate für
PCs, PDAs und Handys verstünde, und man wäre im Geschäft, da man Millionen
potenzieller Kunden hätte.

Zukünftig werden die Entwickler dieser Formate viel eher der Versuchung
erliegen, sie mit TC (»für Ihre Privatsphäre«) abzuschotten und den Zugriff an
Dritte zu vermieten. Das ist möglich, weil der Richtlinienserver der Anwendung
beliebig festlegen kann, welche anderen Anwendungen mit den Daten des TC-
konformen Programms umgehen dürfen. Dies wird Innovationen hemmen.

Eine TC-konforme Anwendung wird also der Softwarefirma, die sie kontrolliert,
viel mehr Geld einbringen, da sie den Zugang zu den Schnittstellen für jeden
Preis, den der Markt noch hergibt, vermieten kann. Daher werden die meisten
Softwarehersteller ihre Anwendungen TC-konform programmieren; und falls Windows
das erste Betriebssystem ist, das TC unterstützt, wird dies ein weiterer
Wettbewerbsvorteil gegenüber der Entwicklergemeinde für GNU/Linux und MacOS
sein.

14.) Moment mal, billigt es das Gesetz es den Leuten nicht zu, Schnittstellen
für Kompatibilität durch Reverse Engineering zu erstellen?

Natürlich, und dies ist auch besonders wichtig für das Funktionieren des Marktes
für IT-Produkte und Dienstleistungen (siehe hierzu Samuelson and Scotchmer, The
Law and Economics of Reverse Engineering, Yale Law Journal, Mai 2002, Seiten
1575-1663). Die Software-Richtlinie der EU erlaubt europäischen Firmen das
Reverse Engineering mit Produkten von Wettbewerbern, um kompatible Produkte auf
den Markt zur bringen und den Wettbewerb zu beleben. Das Gesetz gibt einem zwar
in den meisten Fällen das Recht dazu, aber keine Möglichkeit, dies auch
durchzusetzen. Zu den Zeiten als Kompatibilität noch das Herumfummeln mit
Dateiformaten bedeutete, gab es regelrechte Wettbewerbe - als Word und Word
Perfect um die Marktdominanz kämpften, versuchte jeder, des anderen Formate zu
lesen und es möglichst schwer für ihn zu machen, die eigenen zu lesen. Wie dem
auch sei, mit TC ist das Spiel vorbei; ohne Zugriff auf die Schlüssel war's das
dann.

Mitbewerber von den eigenen Anwendungsformaten auszuschließen war einer der

Gründe für TC (siehe hierzu ein Posting von Lucky Green und seine Website Def
Con für weitere Informationen). Es handelt sich um eine Taktik, die auch
außerhalb der Computerwelt um sich greift. Der amerikanische Kongress erregt
sich über Autohersteller, die proprietäre Datenformate nutzen, um ihre
Kundschaft daran zu hindern, Reparaturen bei unabhängigen Werkstätten erledigen
zu lassen. Und die Jungs bei Microsoft sagen, sie wollen TC überall haben, sogar
in Uhren. Die globalen ökonomischen Konsequenzen werden dramatisch sein.

15.) Kann TC nicht geknackt werden?

Die anfänglichen Versionen werden für jeden angreifbar sein, der genug Werkzeuge
und Geduld hat, die Hardware zu knacken (z.B., indem man den unverschlüsselten
Datenverkehr auf dem Bus zwischen der CPU und dem Fritz-Chip abhört). Sobald
aber der Fritz-Chip in Phase zwei in der CPU selbst verschwindet, wird es viel
schwieriger. Ernsthafte Gegner mit genügend Kapital werden ihn auch dann noch
knacken können. Es wird allerdings immer schwieriger und teurer werden.

Zudem wird in vielen Ländern das Knacken des Fritz-Chips illegal sein. In den
USA sorgt bereits der Digital Millennium Copyright Act (DMCA) dafür, während es
in der EU bereits die EU-Copyright-Richtlinie gibt und bald (falls sie
durchkommt) die Verordnung zur Durchsetzung. In manchen Mitgliedsländern der EU
hat die Überführung der Copyright-Richtlinie in nationales Recht bereits dafür
gesorgt, dass die kryptographische Forschung streng genommen illegal ist.

Zudem wird bereits in vielen Produkten die Kompatibilitätsprüfung willkürlich

mit der Copyrightprüfung und -kontrolle verbunden. So enthält der
Authentifizierungschip der Sony Playstation 2 zugleich auch den Algorithmus zur
Entschlüsselung (also zum Abspielen) der DVDs, so dass Leute, die Reverse
Engineering betreiben, für die Umgehung eines Copyright-Mechanismus nach dem
DMCA belangt werden können. Die Situation wird wahrscheinlich ziemlich heikel -
und dies wird große Firmen mit entsprechend budgetierten Rechtsabteilungen
begünstigen.

16.) Wie weitreichend werden die allgemeinen wirtschaftlichen Auswirkungen sein?

Die Medienindustrie wird ihren Anteil durch die Verhinderung von Raubkopien
machen - rechnen Sie damit, dass Sir Mick Jagger noch ein bisschen reicher wird.
Ich erwarte allerdings, dass sich die wichtigsten wirtschaftlichen Auswirkungen
in einer Stärkung der Position von Informationsinhabern- und Dienstleistern auf
Kosten neuer Marktteilnehmer äußern werden. Dies mag den Marktwert von Firmen
wie Intel, Microsoft und IBM steigern - allerdings zu Lasten von Innovation und
Wachstum.

Eric von Hippel schreibt, dass die meisten Innovationen, die das ökonomische
Wachstum anregen, nicht von den Herstellern der Plattformen, auf denen sie
basieren, vorhergesehen wurden; zudem verstärkt sich ein technischer Wandel im
Markt der IT-Produkte und Dienstleistungen meistens gegenseitig. Es ist keine
gute Idee, den Platzhirschen die Möglichkeit zu geben, andere am Entwickeln
neuer Einsatzmöglichkeiten für ihre Produkte zu hindern.

Durch die Zusammenballung großer ökonomischer Macht, wird TC eher den großen als
den kleinen Firmen nützen; ähnlich den Autoherstellern, die Autobesitzer dazu
zwingen, Inspektionen nur bei autorisierten Werkstätten machen zu lassen, werden
es TC-konforme Anwendungen den großen Firmen ermöglichen, neben den Gewinnen aus
ihrem Kerngeschäft noch Einnahmen aus den nachgelagerten Märkten abzuschöpfen.
Da der Großteil der Angestelltenzuwächse im mittelständischen Sektor entsteht,
könnte dies Konsequenzen für die Arbeitsmärkte haben.

Zudem könnten regionale Effekte auftreten. Beispielsweise haben Subventionen die

europäische Smartcard-Industrie gestärkt und dabei andere innovative Techniken
in der EU an den Rand gedrängt. Ranghohe Industrielle, mit denen ich gesprochen
habe, erwarten einen Einbruch der Smartcard-Verkäufe, sobald in der zweiten
Phase des TC die Fritz-Funktionalität in die CPU integriert wird. Ranghohe Leute
aus TC-Firmen haben mir gegenüber zugegeben, dass die Verdrängung der Smartcards
vom Markt der Authentifizierungsmodelle eins ihrer Geschäftsziele ist. Viele
Einsatzmöglichkeiten, die Smartcard-Hersteller für ihre Produkte vorsehen,
werden stattdessen von den Fritz-Chips in Laptops, PDAs und Handys übernommen.
Falls dieser Industriezweig vom TC erledigt wird, könnte Europa ein großer
Nettoverlust entstehen. Andere große Bereiche der Informationssicherheitsbranche
könnten als Verluste abgeschrieben werden.

17.) Wer wird noch verlieren?

In vielen Bereichen wird es zu Umwälzungen der Geschäftsprozesse kommen mit

denen sich Copyright-Inhaber neue Gewinnmöglichkeiten eröffnen. Ich selbst habe
z.B. kürzlich beantragt, unser brachliegendes Ackerland in einen Garten
umzuwandeln; dazu mussten wir in unserer Verwaltung sechs Kopien einer Karte des
Feldes im Maßstab 1:1250 vorlegen. Früher besorgte man sich für so etwas einfach
eine Karte aus der öffentlichen Bücherei und kopierte sie. Nun liegen die Karten
auf einem Server der Bücherei, inklusive Copyright-Schutz, und man kann maximal
vier Kopien eines Dokumentes bekommen. Als Individuum kann ich so was einfach
umgehen, indem ich heute vier Kopien kaufe und einen Freund morgen für die
anderen beiden vorbeischicke. Aber Unternehmen, die viel mit Karten arbeiten,
stehen am Ende da und müssen viel mehr Geld an die Kartenfirmen bezahlen. Das
hört sich nach einem kleinen Problem an; multipliziert man das Ganze aber
tausendfach, bekommt man einen Eindruck von den Auswirkungen auf die
Gesamtwirtschaft. Der Nettotransfer von Einkommen und Vermögen wird
wahrscheinlich erneut von kleinen zu großen und von neuen zu alten Firmen
stattfinden.

Ein wohlbekannter englischer Copyright-Anwalt sagte, das Copyright würde nur

deswegen toleriert, weil es nicht gegen die große Masse der unbedeutenden
Copyrightverletzer durchgesetzt werde. Es wird allerdings ein paar sehr
auffällige Pechvögel geben. So wie ich das sehe, werden die für später in diesem
Jahr in England anstehenden Copyright-Regelungen die Blinden daran hindern, ihre
Spezialsoftware nach dem Prinzip des Fair-Use zum Lesen von E-Books zu
entfremden. Normalerweise wäre ein solcher bürokratischer Schwachsinn ziemlich
egal, da ihn die Leute ignorieren würden, und die Polizei wäre clever genug,
nicht jeden zu verfolgen. Falls aber die Copyright-Regelungen mittels
Hardwareschutzmechanismen durchgesetzt werden, die nur mit großem Aufwand
geknackt werden können, werden die Blinden als die großen Verlierer dastehen.
Viele andere Minderheiten sind ähnlichen Bedrohungen ausgesetzt.

18.) Autsch. Was noch?

TC wird die General Public License (GPL) untergraben, unter der viel freie und
offene Software vertrieben wird. Die GPL verhindert, dass private Unternehmen
die Früchte gemeinsamer freiwilliger Arbeit zu Profitzwecken einsacken können.
Jeder kann die unter dieser Lizenz vertriebene Software verwenden oder
modifizieren, solange man bei der Verteilung dieser veränderten Versionen auch
den Quellcode mitgibt, so dass andere wiederum Änderungen an diesem Code
vornehmen können.

IBM und HP haben anscheinend mit der Arbeit an TC erweiterten Versionen von
GNU/Linux begonnen. Dies umfasst eine Bereinigung des Codes und das Entfernen
einiger Features. Zum Erhalt eines Zertifikates durch die TCG muss der Sponsor
den beschnittenen Code an ein Labor zu Testzwecken übergeben, ergänzt um eine
Menge Dokumentation, warum verschiedene bekannte Angriffe auf den Code nicht
funktionieren würden. Die Bewertung erfolgt auf dem Evaluation Assurance Level 3
(EAL3) - teuer genug, um die Gemeinschaft freier Softwareentwickler draußen zu
halten, aber noch billig genug für die meisten kommerziellen Softwarehersteller,
ihren lausigen Code durchzubekommen. Obwohl diese Software hinterher von der GPL
gedeckt und der Quellcode für jeden zugänglich sein wird, wird sie sich nicht in
das TC-Ökosystem einfügen, bis man ein für den Fritz-Chip im eigenen Rechner
gültiges, Zertifikat erworben hat. Dies wird man bezahlen müssen, wenn nicht zu
Anfang dann später.

Man wird zwar noch die Möglichkeit haben, den geänderten Code selber auch noch
mal zu verändern, allerdings wird man dann kein Zertifikat erhalten, das einem
Zugang zur schönen neuen Welt des TC ermöglicht. Ähnliches gilt für die
Linuxvariante, die Sony für die Playstation 2 anbietet; der
Kopierschutzmechanismus der Konsole verhindert sowohl, dass man ein alternatives
Linux laufen lässt, als auch die Nutzung einiger Hardwarefeatures. Selbst wenn
ein Philanthrop ein sicheres unkommerzielles GNU/Linux-System entwickelt, wäre
das keine GPL-Version eines TC-Betriebssystems, sondern lediglich ein
proprietäres Betriebssystem, das er kostenfrei verteilen würde. Es würde stellte
sich weiterhin die Frage, wer für die Anwenderzertifikate aufkommt.

Die Leute waren überzeugt, dass es unmöglich für ein Unternehmen sein würde,
gemeinschaftlich entwickelten Code einfach zu stehlen. Das war für viele der
Grund, in ihrer Freizeit freie Software zum Nutzen aller zu entwickeln. TC wird
dies aber ändern. Sobald der Großteil der PCs auf dem Markt TC-konform ist, wird
die GPL nicht mehr so funktionieren, wie sie gedacht war. Der Nutzen für
Microsoft besteht nicht darin, dass freie Software damit unmittelbare zerstört
wird. Es geht vielmehr darum, dass die Menschen erkennen werden, dass sogar
Software unter der GPL zu kommerziellen Zwecken zweckentfremdet werden kann,
woraufhin idealistische junge Programmierer viel weniger motiviert sind, freie
Software zu schreiben.

19.) Ich kann mir gut vorstellen, dass sich mancher darüber aufregen wird.

Es gibt da noch viele andere politische Probleme - die Transparenz der

Verarbeitung persönlicher Daten, die in der EU-Richtlinie zum persönlichen
Datenschutz festgelegt ist; das Problem der nationalen Souveränität, ob
Copyright-Regelungen von den Nationalparlamenten, wie derzeit üblich, oder von
Firmen in Portland oder Redmond festgelegt werden; ob Microsoft TC zum
Ausschalten des Webservers Apache benutzt; und ob die Leute sich mit dem
Gedanken anfreunden können, dass ihr PC tatsächlich unter externer Kontrolle
steht - Kontrolle, derer sich Gerichte oder Regierungsorgane ohne ihr Wissen
bemächtigen könnten.

20.) Moment mal, ist TC entsprechend dem Antitrust-Gesetz nicht illegal?

In den USA wahrscheinlich nicht. Intel hat eine

»Plattformführerschaft«-Strategie ausgefeilt, in der das Unternehmen die
Anstrengungen der Industrie bündet, Techniken zu entwickeln, die den PC
nützlicher machen, so wie beim PCI-Bus und beim USB. Intels Verfahrensweise
beschreiben Gawer und Cusumano in ihrem Buch. Intel gründet ein Konsortium zur
Verteilung der Entwicklungsarbeit an der Technik, wobei die Gründungsmitglieder
einige ihrer Patente mit einbringen, veröffentlicht Standards und lizenziert
diese Technik, sobald das Ganze einmal ins Rollen gekommen ist, an Lizenznehmer
die ihrerseits alle kollidierenden Patente kostenlos an alle Konsorten
lizenzieren müssen.

Als positiver Aspekt dieser Strategie lässt sich das Wachstum auf dem PC Markt
ansehen; der Nachteil ist, dass so jeglicher Mitbewerber daran gehindert wird,
eine starke Position mit jeglicher Technik zu erreichen, die Intels Dominanz
über PC-Hardware bedroht hätte. Deshalb konnte Intel IBM nicht erlauben, dem
Microchannel-Bus zum Durchbruch zu verhelfen; nicht nur als konkurrierender Kern
der PC-Architektur sondern auch, weil IBM kein Interesse daran hatte, die
Bandbreite zur Verfügung zu stellen, die ein Konkurrieren mit High-End-Systemen
ermöglicht hätte. Strategisch betrachtet gleicht dieser Effekt der alten
römischen Praxis, alle Hütten und Wälder im näheren Umkreis ihrer Burgen zu
zerstören. Keine konkurrierende Architektur ist nahe Intels Plattform erlaubt;
alles muss vereinheitlicht werden. Dies aber schön, ordentlich und wohl-
reguliert: Schnittstellen sollten »offen aber nicht frei« sein.

Der Konsortium-Ansatz hat sich zu einer sehr effektiven Methode entwickelt, die
Antitrust-Gesetzgebung zu umgehen. Bisher scheint sich die Obrigkeit nicht allzu
viele Sorgen über solche Konsortien zu machen - so lange wie die Standards für
alle Firmen offen und zugänglich sind. Sie sollte vielleicht ein bisschen
cleverer werden.

In Europa beziehen sich die Gesetze ausdrücklich auch auf Konsortien, und sie
werden noch verschärft. In Berlin wurde vom Wirtschaftsministerium eine
Konferenz veranstaltet, bei der Sprecher der Pro- und Kontra-TC-Fraktionen ihre
Standpunkte vertraten. Professor Christian Koenig hat dazu auf Deutsch eine sehr
gründliche Analyse der wettbewerbspolitischen Zusammenhänge veröffentlicht. Sein
Fazit: TC verletzt europäisches Wettbewerbsrecht in mehrfacher Hinsicht. Das
Kartellrecht erlaubt Standardisierungsgremien nur dann, wenn sie offen, nicht
zwingend, und nicht diskriminierend sind. All das ist die TCG nicht. Sie
diskriminiert Nicht-Mitglieder: die hohen Mitgliedskosten sind für kleinere
Unternehmen unerschwinglich. Zudem diskriminiert die kostenpflichtige- statt
kostenlose Lizensierung freie Software. Zudem gibt es viele Probleme mit
Marktmacht und Marktabhängigkeiten. Die EU ist dabei, Microsoft des Versuchs
schuldig zu sprechen, ihr Monopol von PCs auf Server durch Verschleierung der
Schnittstellen auszudehnen. Wenn Schnittstellen durch TC abgeschottet werden
können, wird das Ganze noch schlimmer. TC könnte es Microsoft zudem ermöglichen,
ihr Monopol bei Betriebssystemen auf Onlinemusikdienste und Handysoftware
auszudehnen.

Wie auch immer, ein Gesetz zu erlassen und dessen Einhaltung durchzusetzen, sind
zwei verschiedene Dinge. Ende 2003 sollte die EU Microsoft für
wettbewerbswidrige Maßnahmen gegenüber Netscape und bzgl. Serverschnittstellen
verurteilt haben. Dieses Urteil wird jedoch zu spät kommen, um Netscape
wiederzubeleben oder den Wettbewerb im Browsermarkt herzustellen. Bis die EU
Microsoft wegen TC verurteilt, wird es 2008 sein. Bis dahin könnte unsere
Gesellschaft bereits süchtig nach TC geworden und jegliche politischen Maßnahmen
bedeutungslos geworden sein.

21.) Wann wird es losgehen?

Es hat bereits angefangen, die Spezifikation wurde 2000 veröffentlicht. Atmel

verkauft bereits einen Fritz-Chip, und man kann diesen seit Mai 2002 mit einigen
Laptops der IBM-Thinkpad-Serie erwerben. Einige der bereits in Windows XP und
der X-Box vorhandenen Features sind bereits TC-konform: Wenn man z.B. die
Hardware-Konfiguration seines PCs wesentlich ändert, muss man seine XP-
Installation wieder in Redmond aktivieren. Zudem arbeitet Microsoft bereits seit
Windows 2000 daran, alle Treiber zu zertifizieren; XP beschwert sich, sobald man
einen unbekannten Treiber installiert. Windows 2003 Server verfügt über
Enterprise Rights Management. Zudem nimmt das Interesse der US-Regierung am
technischen Standardisierungsprozess zu. TC-Entwicklerkits sollen im Oktober
2003 verfügbar sein. Der Zug ist schon in Bewegung.
22.) Was ist »TORA BORA«?

Das scheint ein interner Witz bei Microsoft zu sein, siehe hierzu die
Ankündigung von Palladium. Die Idee ist, dass eine Trusted Operating Root
Architecture (»vertrauenswürdige Systemarchitektur«, also Palladium) den Break
Once Run Anywhere-Ansatz (»einmal geknackt überall lauffähig«) vereiteln würde;
dies bedeutet, dass ein raubkopierter Inhalt nur ein einziges Mal geknackt
werden muß, um danach von jedem im Netz verteilt werden zu können. Dies wird
durch Traitor Tracing erreicht, der Technik zur allgegenwärtigen Zensur.

Seither scheint Microsoft aufgefallen zu sein, dass dieser Witz schlechten

Geschmack beweist. Bei meinem Gespräch über Traitor Tracing mit Microsoft
Research am 10. Juli 2002 lautete der geänderte Slogan BORE-Widerstand wobei
BORE für Break Once Run Everywhere steht.

Übrigens bezeichnete der Sprecher das Einfügen von Wasserzeichen zu

Copyrightzwecken als »Inhaltskontrolle«, ein Begriff, der bisher im Zusammenhang
mit dem Schutz Jugendlicher vor Pornographie verwendet wurde: die
Marketingmaschine läuft anscheinend auf vollen Touren, um neue Euphemismen
auszubrüten! Er teilte uns zudem mit, dass es nur auf vertrauenswürdigen
Betriebssystemen laufen würde. Als ich ihn fragte, ob dies dazu diene, Linux
loszuwerden, antwortete er, die Linuxanwender müssten dazu gebracht werden,
Inhaltskontrolle anzuwenden.

23.) Ist ein sicherer PC denn keine tolle Sache?

Die Frage ist: sicher für wen? Man kann es begrüßen, sich keine Sorgen wegen
Viren machen zu müssen, aber TC wird das nicht regeln: Viren nutzen es aus, dass
Softwareanwendungen (wie Microsoft Office und Outlook) Scripting verwenden. Man
kann sich über Spam ärgern, aber der wird auch nicht aufhören. Microsoft
behauptete zwar, dass man dies durch Filtern aller unsignierten Mails erreichen
könne, aber man kann mit heutigen Mailclients bereits Mails von Leuten, die man
nicht kennt, per Filter in einen separaten Ordner verschieben, den man täglich
kurz durchsieht. Man könnte wegen seiner Privatsphäre beunruhigt sein, aber die
wird TC auch nicht schützen. So ziemlich alle Verletzungen dieser resultieren
aus dem Missbrauch autorisierten Zugangs, und TC wird den Anreiz für Firmen
erhöhen, persönliche Daten zu sammeln und damit zu handeln.

Nur weil man plötzlich einen »sicheren« PC einsetzt, wird die

Krankenversicherung jedenfalls nicht damit aufhören, die Zustimmung des
Versicherungsnehmers zu verlangen, seine private Daten weiterhin dem Arbeitgeber
oder jedem sonst, der dafür zu zahlen bereit ist, verkaufen zu dürfen. Im
Gegenteil, sie werden sie sogar noch an viel mehr Leute verkaufen, da die
Computer dann ja »vertrauenswürdig« sein werden.

Ökonomen nennen dies eine »social choice trap«. Wenn man etwas weniger
gefährlicher macht oder es so erscheinen lässt, verführt dies die Menschen dazu,
es häufiger oder sorgloser zu nutzen, so dass der Schaden insgesamt größer wird.
Als klassisches Beispiel seien hier Volvofahrer genannt, die häufiger Unfälle
verursachen.

Die bisher wohlmeinendste Sichtweise von TC legte der verstorbene Roger Needham
vor, der für Microsoft die Forschung in Europa geleitet hatte: Es gibt ein paar
Dinge, für die man die Anwendungsmöglichkeiten der Benutzer einschränken möchte.
Man möchte beispielsweise sichergehen, dass ein Besitzer den Tachometer nicht
manipulieren kann, wenn er sein Auto weiterverkaufen will. Ähnlich ist es, wenn
man DRM am PC einsetzen will, man muss den Nutzer als den Feind betrachten.

Denkt man in diesen Kategorien, so bietet TC eher keine Sicherheit für den
Benutzer sondern für PC-Hersteller, Softwareanbieter und die Contentindustrie.
TC bietet keinen Mehrwert für den Benutzer sondern zerstört ihn. TC schränkt die
Anwendungsmöglichkeiten für den PC ein und ermöglicht den Serviceanbietern so,
mehr Geld von einem abzuschöpfen. Dies ist die klassische Definition eines
Kartells - eine Vereinbarung der Industrie, die die Handelsbedingungen so
verändert, dass die Konsumentenrente verringert wird.

24.) Warum spricht man dann vom »vertrauenswürdigen Computereinsatz«? Ich wüßte
nicht, was daran vertrauenswürdig sein soll!

Das ist eigentlich ein Insiderwitz. Das US Verteidigungsministerium versteht

unter einem »vertrauenswürdigen« System ein solches, das »die
Sicherheitsrichtlinien durchbrechen kann«. Dies klingt erst mal widersprüchlich,
aber wenn man darüber nachdenkt, wird es einem klar. Der gesicherte Mailserver
oder die Firewall, die zwischen einem geheimen und einem streng geheimen System
stehen, können - falls sie überwunden werden - die gesamten
Sicherheitsrichtlinien untergraben, die besagen, dass die Mail immer nur vom
geheimen zum streng geheimen System aber nie in die andere Richtung gehen darf.
Sie werden daher als vertauenswürdig angesehen, die Richtlinie zum
Informationsfluss durchzusetzen.

Oder nehmen wir ein ziviles Beispiel: Nehmen wir an, Sie vertrauen darauf, dass
Ihr Arzt Ihre Krankenakte unter Verschluss hält. Dies bedeutet, dass er Zugang
zu Ihren Daten hat und sie an die Presse weitergeben könnte, wenn er sorglos
oder boshaft wäre. Sie vertrauen mir ihre Akten nicht an, denn ich habe sie
nicht; egal ob ich Sie mag oder hasse, ich könnte nichts tun, um zu erreichen,
dass Ihre Daten veröffentlicht würden. Ihr Arzt kann das aber; und die Tatsache,
dass er in einer Position ist, Ihnen Schaden zuzufügen, ist genau das, was (auf
Systemebene) damit gemeint ist, wenn Sie sagen, dass Sie ihm vertrauen. Sie
könnten bei ihm ein gutes Gefühl haben, oder vielleicht müssten Sie ihm einfach
nur deswegen vertrauen, weil er der einzige Arzt auf Ihrer Insel ist. Es ist
völlig egal, die Definition von »Vertrauen« des US-Verteidigungsministeriums
wischt all diese unklaren, emotionalen Aspekte, die Menschen bei diesem Begriff
verwirren könnten, beiseite.

Man erinnere sich an Al Gores Vorschlag Ende der neunziger Jahre, in denen über
Regierungskontrolle der Kryptographie diskutiert wurde, zur Einsetzung eines
»vertrauenswürdigen Dritten« - eine Institution, die einen Zweitschlüssel sicher
aufbewahren sollte, für den Fall, dass FBI oder NSA ihn brauchen würde. Die
Bezeichnung wurde genauso als Marketinggag verlacht wie der Name »Demokratische
Republik« für die ostdeutsche Kolonie Rußlands. Dies ist im Einklang mit der
Denkweise des US-Verteidigungsministeriums. Ein vertrauenswürdiger Dritter ist
jemand, der meine Sicherheitsrichtlinien umgehen kann.

25.) Ein »vertrauenswürdiger Computer« ist also einer, der meine Sicherheit
untergräbt?

Das ist noch milde ausgedrückt.

Ross Anderson