Teachers Paradise School Supplies Teacher Resources Free Encyclopedia
Teachers Paradise FREE Teaching Resources
Home Arts Crafts Audio Visual Equipment Office Supplies Teacher Resources
Hauptseite | See live article

TPM

Das Trusted Platform Module (TPM), auch Fritz-Chip genannt, ist ein Chip, der als Teil der TCG-Spezifikation (vorher TCPA) Computer sicherer machen soll. Er entspricht einer fest eingebauten Smartcard mit dem wichtigen Unterschied, dass er nicht an einen konkreten Benutzer sondern an ein System gebunden ist. Neben der Verwendung in PCs soll er in PDAs, Mobiltelefone und Unterhaltungselektronik integriert werden.

Der Chip ist passiv und kann den Bootvorgang nicht beeinflussen, aber die Systemkomponenten überprüfen und Manipulationen erkennen. Er enthält eine eindeutige Kennung und dient damit zur Identifizierung und Authentifizierung des Rechners. Im TPM werden Passwörter und Schlüssel abgespeichert und er dient zur Ver- und Entschlüsselung.

Es ist möglich dass zum Ausführen von bestimmten Anwendungen ein aktiviertes TPM vorausgesetzt wird.

Die Schlüssel

Endorsement Key Pair(EK)

Der EK ist genau einem TPM eindeutig zugeordnet. Die Schlüsselllänge ist auf 2048Bit und der Algorithmus auf das RSA-Verfahren festgelegt. Zum einen aus Sicherheits- zum anderen aus Datenschutzgründen dürfen weder der private noch der öffentliche Teil das TPM verlassen – auch ein Backup des EK ist somit ausgeschlossen. Die Erzeugung dieses Keys kann hingegen extern erfolgen. Erlaubt ist inzwischen die Löschung und Neu-Erzeugung des Schlüssels.

Attestation Identity Keys(AIK)

Da der EK das TPM nie verlässt, werden auf ihm basierende Attestation Identiy Keys(AIK) eingesetzt um die eigentlichen Funktionalitäten nach außen sicherzustellen. Die Erzeugung der AIKs wird vom Benutzer angestoßen, ihre Anzahl ist theoretisch unbegrenzt. Die Schlüssellänge ist hier ebenfalls auf 2048 Bit unter Verwendungs des RSA-Verfahrens festgesetzt. Die AIKS sind migrierbar.

Storage Root Key (SRK)

Ebenfalls migierbar ist der Storage Root Key (SRK). Er dient allein dem Zweck weitere benutzte Schlüssel (z.B. private Schlüssel zur email-Kommunikation eines Benutzers) zu verschlüsseln, somit stellt er den Vater all dieser Schlüssel dar.

Leistungen des TPM

Sealing (Versiegelung)

Durch Bilden eines Hash-Wertes aus der System-Konfiguration(Hard- und Software) können Daten an ein einziges TPM gebunden werden. Hierbei werden die Daten mit diesem Hash-Wert verschlüsselt. Eine Entschlüsselung gelingt nur, wenn der gleiche Hash-Wert wieder ermittelt wird (was nur auf dem gleichen System gelingen kann). Bei Defekt des TPM muss nach Aussagen von Intel die Anwendung, die Sealing-Funktionen nutzt, dafür sorgen dass die Daten nicht verloren sind.

Schutz kryptographischer Schlüssel

Schlüssel werden innerhalb des TPMs erzeugt, benutzt und sicher abgelegt. Sie müssen dieses also nie verlassen. Dadurch sind sie vor Software-Angriffen geschützt. Vor Hardware-Angriffen besteht ebenfalls ein relativ hoher Schutz (Sicherheit ist mit SmartCards vergleichbar).

Attestation(Beglaubigung)

Trusted Party: Der Nutzer muss seine erzeugten AIKs von einer Trusted Third Party (TP) signieren lassen. Dazu muss er die bei der Erzeugung des TPM erstellten Zertifikate (EK Credential, TCPA Conformity Certificate, Platform Credential) ebenfalls an die TP schicken. Einem Diensteanbieter gegenüber kann er sich nun attestieren. Aus dieser Attestierung erkennt der Anbieter zum einen, ob auf dem Nutzersystem „vertrauenswürdige“ Komponenten (Hard- und Software) im Einsatz sind. Zum anderen ist die Attestierung mit einem AIK signiert. Damit kann der Diensteanbieter bei der TP überprüfen, ob der Gegenüber ein TCG-konformes System hat (oder auch z.B. ob er gestohlene Schlüssel einsetzt). Dieses Verfahren hat den Nachteil, dass es aufgrund der nötigen TP recht kostenintensiv und arbeitsaufwendig ist, zumal der Benutzer jeden seiner AIKS signieren lassen muss.

Direct Dynamic Attestation(DDA): Bei diesem erst mit der TCG-Spezifikation 1.2 eingeführten Verfahren, das auf Intels „Direct Proof“ aufbaut, lässt sich durch ein komplexes mathematisches Verfahren die TP „einsparen“. Ein Intel-Mitarbeiter verglich das Prinzip mit der „Lösung“ eines Rubik-Würfels: Er geht davon aus dass man einem Betrachter zunächst den ungeordneten und später den geordneten Würfel zeigt. So kann man einem Dritten jederzeit klarmachen den Lösungsweg zu kennen, ohne diesen Weg erläutern zu müssen. Durch diese Vereinfachung wurde ein gewichtiger Kritikpunkt am Attestation-Verfahren beseitigt, nämlich die aufwendige und kostspielige Attestation via Trusted Third Party.

Sicherer Zufallsgenerator

Die TCG-Spezifikation garantiert einen sicheren Zufallsgenerator auf dem TPM. Damit wird ein allgemeines Problem der Informatik bei der Gewinnung von Zufallswerten per Software angegangen. Die beschrittenen Wege wie Bewertung zufälliger Systemzustände oder der Auswertung von Benutzerverhalten sind problematisch. Allerdings hat auch die TCG keinen „Wunder-Algorithmus“ vorzuweisen, trotzdem garantiert sie das Problem in Hardware angemessen zu lösen.

Verbreitung

Das TPM wird bereits heute (Januar 2004) von IBM in den Notebooks der Thinkpad-Reihe verbaut. Im Handel sind erste Mainboards mit TPMs verfügbar. Einige Grundfunktionen können bereits unter Windows und Linux genutzt werden.

Verwandte Themen


Pay for Educational Supplies & Teaching Supplies with Visa, Master Card, American Express, Discover or Paypal.
TeachersParadise.com HOME | Safe Shopping Guarantee | Help Desk
All trademarks & brands are the property of their respective owners.
Legal Notice 2000-2008 TeachersParadise.com, Inc. All Rights Reserved