Trusted Computing Platform Alliance (TCPA)
TCPA steht für Trusted Computing Platform Alliance und soll in Zukunft dafür sorgen, dass nur noch "lizenzierte, glaubwürdige" Hard- und Software in und auf den Rechnern laufen kann und "lizenzierte, glaubwürdige" Software auch nur noch auf TCPA-fähigen Rechnern. Für TCPA wird natürlich so geworben: "Vertrauen Sie endlich ihrem Computer! Besserer Schutz vor Viren! Mehr Stabilität!"
Diese Aussage ist vielleicht auch erstmal richtig, aber man könnte sie folgendermaßen umformulieren: "Sie dürfen auf ihrem Rechner diese(s) Filesharing Software / Betriebssystem / MP3 Player / selbst geschriebenes Programm / was auch immer nicht mehr laufen lassen. Sie haben dafür keine Lizenz erworben."
TCPA arbeitet nach dem "alles ist verboten, was nicht erlaubt ist"-Prinzip. Man könnte auch sagen TCPA schützt den Rechner vor dem Benutzer und nicht nur vor irgendwelchen Viren und Trojanern. Aber die Behauptung, dass es gegen SPAM helfen könnte, ist definitiv falsch!
Wenn man über TCPA redet, sollte grundsätzlich zwischen TCPA, TPM und Palladium unterschieden werden! TCPA ist ein Zusammenspiel von mehreren Teilstücken (Modulen), die sowohl in die Hard- als auch Software eingebaut werden sollen.
TPM
Eines dieser Module ist TPM (auch Fritz-Chip genannt). Dieses Modul prüft, ob auch wirklich nur "gewollte", sprich durch TCPA lizensierte Software und Hardware in und auf dem Rechner sind. Dies wird duch kryptografische Verfahren gelöst wie z.B. AES, 3DES, RSA, SHA-1 und HMAC. TPM wird aber niemals dafür sorgen, dass bestimmte Soft- oder Hardware im Rechner gesperrt wird; es protokolliert lediglich nur, dass es da irgendwo Sachen gibt, deren Prüfsumme nicht vertrauenswürdig ist. Jeder Benutzer generiert dazu einen eigenen Key, der von einer zentralen Stelle signiert wird (Public Key Verfahren) und der auch dazu führt, dass man diesen Benutzer bzw. seinen Computer eindeutig identifizieren kann wie es z.B. Intel mal mit ihrer CPUID versucht hatte...
Für sich allein ist das TPM-Modul eigentlich eine gute Idee, weil es z.B. wie sogenannte Filesystem Integrity Checker (Tripwire usw.), die untersuchen ob sich Dateien auf der Festplatte geändert haben, die sich nicht ändern sollen, überprüft, ob wirklich die Software auf dem Rechner läuft, die man auch drauf haben möchte. Die eindeutige Identifizierung ist aus datenschutztechnischer Sicht allerdings umstritten. Es soll allerdings den Schutz bieten, falls jemand ein Programm oder ein Verfahren zur Umgehung von TPM / TCPA entwickelt hat, dass dieses Verfahren dann nur auf diesem einen Computer funktioniert.
* [Externer Link]"Trusted Computing Platform Alliance: The Mother(board) of all Big Brothers"
* [Externer Link]"Der versiegelte PC"
Unangenehm kann die Sache allerdings erst so richtig werden, wenn eine Software, die man nicht kontrollieren kann (und von der man auch nicht nachvollziehen kann was sie denn macht), die Aussagen des TPM-Modules interpretiert und automatisch bestimmte Hard- und Software auf dem Computer sperrt. Denn dann verlässt TCPA den passiven Modus des Überwachens und zensiert aktiv bestimmte Inhalte und Komponenten.
Im Rahmen der CeBIT 2003 wurden vom Chaos Computer Club [Interner Link]vier Forderungen zum TPM an das TCPA-Gründungsmitglied IBM überreicht. Diese Forderungen unter dem Titel"TCPA - Whom do we have to trust today?" [Interner Link] sollen vor allem die Fragen des Schlüsselmanagements klären und zu mehr Transparenz bei der Verwendung des TPM führen.
Palladium / Next-Generation secure Computing Base for Windows
Microsoft hat natürlich auch schon die passende ergänzende Software mit dem Namen Palladium, die allerdings vor ein paar Tagen in "Next-Generation secure Computing Base for Windows" umbenannt wurde. Exakt diese Software würde also dafür sorgen, dass bestimmte Hard- oder Software nicht mehr funktioniert oder man bestimmte Inhalte (MP3s, MPEGs, andere Dateien usw.) nicht mehr abspielen bzw. nur noch mit bestimmten, lizensierten Programmen starten kann.
Interessant ist dann nur die Frage: Wer generiert und verwaltet diese Prüfsummen und Lizenzen? Eine einzelne Firma? Alle Firmen aus dem TCPA Konsortium? Was ist mit Usern, die keine Internetanbindung haben? Das bedeutet aber auch, dass ein Hardwarehersteller zusammen mit einem grossen Softwarehersteller bestimmen kann, was man auf dem eigenen PC laufen lassen darf, je nach dem, wie das Problem mit der Lizensierung gelöst wird. Im Falle von Palladium dürfte klar sein, dass die Lizenzvergabe wohl ziemlich wahrscheinlich bei Microsoft statt finden wird.
Und TCPA Lizenzen werden bestimmt auch nicht gerade günstig zu haben sein, was unter Umständen viele kleine und mittelständische Betriebe in den Ruin treiben könnte. Es gibt zwar Spekulationen darüber, dass diese Lizenzen am Anfang kostenlos sein werden, um eine höhere Marktakzeptanz von TCPA zu erreichen, aber für die Ewigkeit wird es bestimmt nicht sein!
Die Frage ob sich TCPA mit Linux und Open Source vertragen wird, lässt sich schwer beurteilen. Hier sollte lieber auf einen Artikel verwiesen werden, in dem ein HewlettPackard-Forscher für die Zusammenarbeit von TCPA und Open Source wirbt ([Externer Link]"19C3: HP-Forscher wirbt für Allianz von Open-Source-Bewegung und TCPA"). HP entwickelt übrigens auch schon eine TCPA-fähige Linux Version unter der GPL.
Eine erwähnenswerte Planung ist, dass zukünftige Medien (DVD, CDs usw.) nur noch mit TCPA-fähigen Geräten abgespielt werden können, weil die Daten auf diesen Medien verschlüsselt ausgeliefert werden. Diese aggressive Kontrollmethode bietet allerdings ebenfalls die potenzielle Gefahr für zentral gesteuerte Zensur- und Überwachungsmaßnahmen!
In den USA gibt es auch direkt schon einen Gesetzesentwurf, der dafür sorgen soll, dass in allen digitalen Geräten (Fernseher, Videorecorder, CD Player, Computer usw.) ein Kopierschutzmechanismus eingebaut werden muss. Welcher Mechanismus das sein wird, kann man sich wohl denken: TCPA + DRM. Dieses Gesetz ([Externer Link]Consumer Broadband and Digital Television Promotion Act (CBDTPA)) soll auch sicher stellen, dass Geräte ohne diese "Sicherheitsvorkehrungen" weder verkauft noch ans Internet angeschlossen werden dürfen.
