So, vielen... is Mikrofon da? Ja.
So, vielen Dank
Heute sprechen wir über Windows 8
und es ist eine etwas bedrohliche
Zeitreise, die wir machen
denn trusted computing verfolgt
uns schon seit relativ langer Zeit
Was ist trusted Computing?
Da gibt's die Definition von Ron Rivest, dem R von RSA
Worum geht's? Es geht drum,
dass die Industrie uns ein neueres
Sicherheitsmodell verkaufen will
zu diesem Sicherheitsmodell soll in jeden
Computer eine set-top box eingebaut werden
also ein System, wo ein Schlüssel dran ist,
wo wir als Besitzer keine Kontrolle haben
sondern die Industrie sich um uns kümmert
es geht sogar so weit, dass die industrie
übers Netz abfragen kann,
ob das System ordentlich gepatcht ist und so weiter
also Sachen, die die Sicherheitsarchitektur
und die Philosophie des persönlichen Rechners durchaus adressieren
Wie gesagt, es gab sehr viele Diskussionen
ganz interessant ist, und das ist auch ein Teil des CCC
am 23C3 gab's ne ziemlich erregt geführte Diskussion
über trusted computing in der Apple-Welt
und da waren einige Sachen
erfreulich, andere unerfreulich
am erfreulichsten war aber,
dass Apple durch diesen Krawall,
der damals entstanden ist
bewegt wurde, dieses TPM Chip
nicht zu benutzen und 2009 relativ heimlich,
still und leise verschwinden zu lassen
Allerdings hat sich die Sache drastisch
verschärft, dadurch dass jetzt
in der aktuellen Disussion mit Windows 8
Microsoft es im Moment massiv
in den Markt reindrängen will.
Das sieht so aus, dass ARM...
ARM- Geräte von Windows inzwischen
ausgeliefert werden, dass das eingeschaltet wird
und auch nicht mehr ohne weiteres ausschaltbar ist
also Microsoft versucht im Moment massiv,
diese Struktur in den Markt zu drängen
und riskiert dann auch Diskussionen
mit Industrie und Regierungsbehörden,
die teilweise sehr unterhaltsam sind
und am unterhaltsamsten war im August,
also kurz nach den Snowden- Enthüllungen
die Diskussion über diese neue Trust- Infrastruktur,
weil "normale" Leute in den
Behörden sich gefragt haben
"Ist es eine gute Idee, die gesamte Infrastruktur
unserer digitalen Wirtschaft abhängig zu machen
von einem privatwirtschaftlich
organisierten Unternehmen,
das unter einer anderen Juristition ist,
nämlich einer amerikanischen..."
und nach Snowden kam halt der dritte Punkt:
Die Vertrauensseligkeit gegenüber einer
amerikanischen Rechtsform oder Rechtsstaat
das wurde mindestens bei sehr vielen Leuten hinterfragt
und da gab es eine Medienberichterstattung
und ich zitiere sehr gerne aus der BSI- Stellungnahme:
Die haben gesagt, dass die Medien gesagt
haben, dass It- Experten des Bundes...
halten Windows 8 geradezu für gefährlich.
Dann haben sie weiterhin gesagt
andere Medien haben gesagt, die
zuständigen Fachleute im BSI warnen
unmissverständlich vor dem Einsatz
von Trusted Computing
der neuen Generation in deutschen Behörden
Jetzt war Microsoft da nur mäßig
glücklich über die Entwicklung
und hat massiv Druck gemacht
und dann passierte wieder was,
was mir den alten Begriff nochmal vor Augen führt
Das BSI ist eine Bundesbehörde,
die untersteht dem Innenministerium
also da etwas revolutionäres oder
auch nur politisches zu erwarten
ist ein bisschen viel verlangt
andererseits sind da viele Ingenieure drin
und da gibt's das alte Dilbert- Gesetz
Dass Ingenieure echt Schwierigkeiten haben, zu schwindeln, wenns um technische Sachen geht
insofern wird's relativ unterhaltsam,
denn das BSI hat natürlich
durch politischen Druck gesagt
"wir warnten natürlich nicht vor Windows 8"
Also ich möchte nochmal betonen:
BSI warnt nicht vor Windows 8
jedoch Gelächter einige kritische Experten
unter Einsatz von Windows 8 einer Hardware
mit TBM sind ein bisschen problematisch
Okay, jetzt haben die Ingenieure da
ein paar kritische Worte sagen müssen,
lesen wir mal, was jetzt als nächstes kommt
und als nächstes kam dann:
"Inbesondere können auf einer Hardware,
die mit TPM betrieben wird und Windows 8,
unbeabsichtigt Fehler des Hardware-
und Betriebssystemhersteller,
aber auch des Eigentümers Fehlerzustände entstehen
wo das System dann nicht mehr betreibbar ist"
"Das kann dazu führen, dass im Fehlerfall
neben dem Betriebssystem
auch die ganze Hardware nicht einsetzbar ist"
und das ist für Ingenieure immer ein
nicht unbedingt befriedigender Zustand
Eine solche Situation ist also für
eine Ingenieursseite nicht akzeptabel
und darüber hinaus gibt es
Möglichkeiten vom Sabotage dritter
das ist schön, dass selbst Leute im politischen
Bereich Sachen so deutlich dementieren,
dass wer aufmerksam liest doch etwas zusammenzuckt
Mein erster Gedanke war aber
"Irgendwie sind sie zu feige, zu sagen,
dass die US- Regierung Microsoft zwingen
könnte, irgendetwas nicht zu booten
Da sind sie jetzt zu feige gewesen
und deswegen schieben sie jetzt
das unrealistische Szenario,
dass da für sie
irgendwelche Fehler passieren, die
dann die ganze Infrastruktur kaputt machen."
Also hab ich gedacht: naja, ist politisch,
aber nicht besonders realistisch
bis vor wenigen Wochen, und dann musste
ich leider meinen ganzen Vortrag umstellen
Gelächter
Das ist hart, insbesondere wenn es nur
ein 30- Minuten- Vortrag ist
und ich jetzt 16 Folien nur aus Heise Security zitiere
Warum Heise Security?
Das sind nette, freundliche Leute,
die nett zu Windows- Administratoren sind
und die sensibler sind und nicht so zynisch
gegenüber Microsoft- Fehlerberichten wie ich
also insofern habe ich gesagt, wenn wir jetzt
hier so kurz nach Weihnachten sind
schaeun wir uns mal an, was diese netten,
geduldigen freundlichen Leute von Heise Security
da in den letzten Wochen gemacht haben
und ich sag's mal vorneweg: es ist
unterhaltsam und es geht noch weiter
insofern ist das hier nur ein kleiner Zwischenbericht
Es ging los glaub ich am November Patch Day, am 12.
und da hieß es auf einmal, auch die Windows-
Sever- Admins, die sind ja Kummer gewöhnt,
aber auch Nutzer müssen dringend handeln
Und dann war die erste Sache, wo ich meinte
"Mist, das muss ich wahrscheinlich
doch in meinen Vortrag machen"
Weil es ist ne Lücke in der Crypto-
Infrastruktur von Windows
und das klingt zumindest mal interessant...
"zwei andere Patches- " da ging es nur um
zero-day-exploits von Internet Explorer
also das trifft nur Leute, die im Internet surfen
und dann überwachen wir Gelächter
... also net so tragisch
ging dann weiter, patchen, Details
zur Sicherheitslücke und so
und da war ich dann weiter am Grinsen
weil diese Folie konnte ich dann auch
in meinem anderen Vortrag verwenden
Offensichtlich sind elliptische Kurven so schwierig,
dass man sich selbst bei der Überprüfung
einer ECDSA- Signatur ins Bein schießen kann
und Microsoft hat das mal gemacht
und dann wurde irgendwie Heise
Security etwas unentspannt
Tür und Tor für das Eindringen
von Schadcode waren offen
"Darum ist es wichtig die Patches
unbedingt einzuspielen, wer das nicht..
läuft Gefahr, dass die gesamte Grund-
Infrastuktur als Waffe gegen das System
und den eigenen Rechner eingesetzt werden"
Da dachte ich, muss was los sein, Updates
glaub ich doch schnell machen,
trifft mich zwar net
aber offensichtlich die paar Windows- Updates
es ging aber doch relativ schnell
weiter: Das Update wurde verteilt
und in ähnlicher Situation hat Microsoft
das Update nicht mehr verteilt
Moment, im August haben sie es nicht mehr verteilt?
Also irgendiwe wird's jetzt komisch,
ich hab dann weitergelesen,
es wurde noch komischer
der nächste Patch hat die Crypto-
Sachen nicht so richtig repariert
aber die ganzen Java gingen dann auf einmal net
und momentan wird das Update verteilt,
aber in ähnlicher Situation hat
Microsoft es zurückgezogen
Jetzt haben sie es das zweite Mal zurückgezogen,
irgendwie scheinen die Heise-
Menschen irgendwas zu ahnen
wir werden erraten, was als nächstes kommt:
richtig: es wird nochmal nachgebessert
Heimlich, still und leise ist ein
Update außer der Reihe eingespielt worden
um den SChannel zu patchen
"Wir empfehlen denen, die das
installiert haben, das nochmal einzuspielen"
also das ist schon das zweite Mal, wenn ich richtig zähle
und es geht noch schöner Gelächter
Abwarten... das war der November, wir kommen jetzt zum Dezember
Überraschenderweise gab's da wieder Probleme
und dann wurde selbst Heise etwas unentspannt
denn mit ihrem Update haben sie irgendwie ihr
Root-Zertifikat nicht mehr nutzbar gemacht
und da hatte ich irgendwie ne große Krise,
da hatte ich so meine Kryptografendepression,
die so etwa aussieht
Leute, wir reparieren euch alles, also
wir brauchen ein bisschen Geheimnis
sonst kann man sagen, wenn man kein Geheimnis hat,
kann man sich nicht vom Angreifer entfernen,
wir brauchen als Geheimnis ganz wenige Bits.
Das einzige, was wir von euch verlangen:
Passt auf diese auf, lasst die net runterlegen,
wenn jemand ne Heartbleed- Anfrage schickt,
schickt ihm nicht gleich den ganzen Schlüssel,
und so weiter... aber: auch net.
Dann habe ich gedacht okay,
andere Programme werden am Start gehindert,
das klingt interessant, mal
sehen, was da kommt
und das ist in den 13/14 Jahren, wo ich hier
Vorträge mache mein erstes Facepalm- Bild
GelächterApplaus
ist auch Creative Commons,
also ein völlig legales Bild.
Aber jedenfalls, lange Rede kurzer Sinn:
Es ist ein weiterer Rückzug
und jetzt wird's richtig lustig,
weil was will man denn haben,
dass es auf jeden Fall mal startet?
Windows defender ist glaube
ich sowas wie Virenschutz,
das braucht man ja nicht mehr
so wie früher im Windows
das Lustige ist, das Update ging nicht mehr
Gelächter
Die haben ihr Zertifikat kaputtgemacht
und dann haben sie ihren
Updatemechanismus kaputtgemacht
Wir können jetzt raten,
was als nächstes kommt:
als nächstes sind selbst diese freundlichen
Heise- Mitarbeiter etwas unentspannt
und haben das schöne Wort
'verbockt' verwendet
Ich habe jetzt aufgehört, zu zählen,
wie viele Updates jetzt
genau gemacht wurden,
ich denke wir sind jetzt so etwa bei vier
und es geht einigermaßen lustig weiter
wenn man es nochmal betrachtet.
Zertifikats- Infrastruktur ist beschädigt
auch keine gute Idee...
Da war ich dann wirklich
entspannt und sagte
"egal wie viele Folien ich dann
rausschmeißen muss, das muss rein
in den Vortrag, das Update soll manuell
heruntergeladen und installiert werden
Ich glaube, die Freude bei den Windows-
Admins ist relativ beträchtlich
wenn wir allerdings wissen, dass in
einigen Systemen, also Automaten und so
wo das automatische Update einigermaßen geht, aber ein manuelles Update schwierig wird
dann ist das keine allzu lustige Situation
aber alles wird wieder gut
oder doch noch nicht... es scheint
nämlich noch nicht am Ende zu sein
Die Patches, nachdem sie gesagt haben,
wir haben den Updatemechanismus
kaputt gemacht, bitte installiert das manuell
gingen dann die Updates auf einmal wieder
interessant, müsste man mal gucken, warum
die Beschreibung der Patches
war nur auf Englisch
und einige Heise Security Leser
waren dann in Panik,
dass sie durch ein Update in ihrem
deutschen System auf einmal was
englisches kriegen, aber die gute Nachricht:
Es scheint von Microsoft zu kommen
Gelächter
Machen wir dann mal gut
weiter in dem Bereich
Das ist glaube ich die letzte Folie
zu dieser lustigen Sache
die ist vom 18. Dezember
und die Nachricht ist
dieses Root- Zertifikats- Update
ist immer noch nicht abgeschlossen
also wir warten dann glaube ich
auf den Januar- Patch
und da hole ich mir vielleicht ein paar
Folien dazu, die ich beim Easterhegg
oder sowas erzähle, wie dann diese
Patch-Sache weiter gegangen ist, ohne
es jetzt allzu sarkastisch zu machen, was
ich jetzt überhaupt nicht vergrößert hab
war die Information, dass da noch ein
kritischer Zero- Day- Exploit im
Internet Explorer, was irgendwie auch seit vielen Monaten raus ist, nicht gepatcht wurde.
Was ich jetzt auch weggelassen habe
sind so Sachen, wie dass das Capparus
kaputt gemacht haben
die andere Infrastruktur
Langer Rede kurzer Sinn:
Würden Sie solchen Leuten ihre
Sicherheitsinfrastruktur anvertrauen?
Hier haben wir einen der Tapfersten,
der "Ja" gerufen hat, also...
Vielen Dank, dieser jugendliche Optimismus, an dem muss ich auch nochmal arbeiten
Applaus
naja, während jetzt also dikutiert wurde,
dass deutsche Behörden nicht vor Windows 8 warnen
jedoch noch ein paar Bedenken haben
wenn man den Rechner benutzen will, dann soll
man sich überlegen, ob sie's einsetzen
aber nochmal: das BSI hat nicht gewarnt
es gibt andere Sachen, da sind
die demokratischen Entscheidungswege
etwas anders organisiert
die Volksrepublik hat einfach gesagt Leute,
ihr kommt einfach nicht mehr auf unsere
staatlichen Computer mit Windows 8
und das ist glaube ich ne Ansage, die
Microsoft nur so mäßig erfreut hat...
wie man sich denken kann
wer jetzt sagt, die VR China sind vielleicht
nicht die Leute, die man zitieren will
tun wir halt nen amerikanischen Multimillionär zitieren
Bruce Schneier hat nach Snowden gesagt
"Wir können diesen Firmen
einfach gar nicht mehr trauen"
und um jetzt mal ein bisschen
Boshaftigkeit rauszumachen
man kann von den Firmen teilweise gar nicht verlangen,
dass sie sich ordentlich verhalten
wenn US- Behörden mit Geheimentscheidungen, Geheimgerichten und Geheimknästen
vor der Tür stehen ist es halt für einen
normalen Hersteller, selbst Microsoft, die Frage
macht das auf der Nationalen Sicherheit
und übrigens ihr redet net drüber
Also das ist einfach ein grundlegendes Problem
ich weiß durchaus, dass Microsoft
dagegen rechtlich vorgeht
aber im Moment müssen wir damit rechnen,
dass wenn die US- Regierung sagt
"Dieser Terroristische Staat..." (sie meinen glaube ich aktuell Nordkorea)
"Bitte sorgt dafür, dass diese Angriffsrechner
in Nordkorea nicht booten"
Was sollen denn die armen Microsoft- Leute machen?
ein Freundschaftstreffen in einem kubanischen Lager?
is ne Sache, die man nicht unbedingt
von ihnen verlangen kann
also isses wirklich, ohne jetzt zynisch zu werden
auch bei allem Verständnis für Microsoft
ne Situation, wo man sich hier
in Deutschland fragen muss
wollen wir uns von diesem
Environment abhängig machen?
und da kommen wir auf ein anderes
Zitat, das schon ein bisschen länger her ist
es geht einfach darum, wenn
Microsoft diese Schlüssel kontrolliert,
dann könnte es zur Marktbeherrschung führen
die gute Nachricht oder schlechte Nachricht
ist, der Marktanteil von Microsoft
ist nicht mehr so beeindruckend
wie vielleicht vor 10 Jahren
Dennoch, wenn man weiß,
dass unsere ganzen Linux- Systeme nur auf umgeschliedeten Windowssystemen laufen
und wir wissen, dass für Hardwarehersteller dieses Windows 8 Logo relativ zentral ist
dann wissen wir, dass sich da Sachen ändern können,
die den freien Betrieb von Programmen
deutlich behindern
und der Whitfield Diffie hat das eigentlich kurz zusammengefasst
also er möchte hier nicht versuchen
einen Slogan zu machen
aber er sieht die Notwendigkeit,
dass die Nutzer, die Besitzer
die Schlüssel für den eigenen
Computer weiterhin besitzen,
dass sie entscheiden können, was sie wollen
die Entscheidung kann durchaus sein
"Ich geh in eine Microsoft- abgesicherte Welt"
das ist ne legitime Entscheidung
aber wenn keine Auswahl sondern Zwang da ist, dann
kommen da natürlich einige Probleme
also hier das BSI, um nochmal
was ernsthaftes zu sagen
das BSI hat gesagt,
dass es für einige Anwender einen
Sicherheitsgewinn darstellen kann,
für Leute, die sich nicht um
den Rechner kümmern sollen
und die sagen okay, ich vertraue Microsoft,
dass die das sicher machen
nach diesen Patchday- Folien würde ich
den Leuten nochmal anraten,
diese Entscheidung zu überprüfen,
aber im Prinzip ist es eine freie Entscheidung,
es ist in meinen Augen auch eine Definition von Freiheit,
dass die Leute sich in selbstgewählte
Unfreiheit begeben können
also insofern ist das durchaus...
Applaus
... legitim und da kommen wir zu dem Punkt
wo die BSI- Stellungnahme wirklich hilfreich ist
in der kurzen Sache, es ist
ein berechtigtes Nutzerszenario
aber es muss transparent sein,
es muss Möglichkeiten geben,
Entscheidungen zu treffen
und genau das wird jetzt bei Windows 8
insbesondere bei einem ARM- System ausgehebelt
also so Sachen wie die freie Entscheidung,
ob ich in diese Sicherheitsstruktur reinwill oder nicht
wird dem Nutzer abgenommen, es
gibt ein automatisches Aktivieren
also kein opt-in, also keine Entscheidung,
dass ich hier rein will
sondern es wird vorgegeben, dass es drin ist
die Möglichkeit da rauszugehen, das opt-out
wird auch massiv behindert
zumindest für ARM-Systeme
ist es hinreichend schwierig
weitere Probleme, wo ich mir
auch den Mund fusselig rede
ist zeitgemäße Kryptographie
es geht einfach nicht,
dass da eine Weiterverwendung
von Char-1 möglich ist
und das ist eine Sache, wo ich sage
ich bin von Haus aus Mathematiker
also so realwelt- Evaluationen
über wirtschaftliche Zwänge
sollten eigentlich andere Leute besser können,
aber stellen wir uns einen Hersteller vor, der sagt
"Wir haben hier einen Chip, der
ist fertig, benutzt Char-1"
Dann sagt der kleine Chryptograph
"Ja, aber das ist unsicher"
Dann sagt der Marketingchef okay,
das kostet jetzt 500 000 Euro,
das nochmal neu zu stempeln mit Char-256
dürften wir es eigentlich weiter benutzen?
Dann muss der ehrliche Kryptograph sagen "Ja"
und dann argumentieren Sie mal in ner Situation
wo er sagt, das ist Standardkonform
da ist ein bekloppter Kryptograph, der sagt,
wir möchten ne stärkere Hashfunktion haben
brauchen wir aber nicht, um standardkonform zu sein
wenn diese Möglichkeit besteht,
was, was massiv Geld spart
sie weiterhin zu erhalten,
dann ist es nicht unrealistisch zu sagen,
dass in sehr vielen Situationen
dann Char-1 weiterleben wird
und diese Kritik ist auch von
der DIN übernommen worden
im internationalen Normprozess
und man wird abwarten müssen,
ob da eine Sensibilität da ist
weitere Fußnote ist natürlich
da wird standardmäßig
2048-Bit-Kryptographie verwendet
was allenfalls für mittelfristige Sicherheitsverfahren ist
ein weiteres Problem ist der Herstellungsprozess
wenn man weiß, dass der Geheime
Schlüssel, der in dem System ist
vom Nutzer nicht geändert werden kann,
nicht angefasst werden kann
ist natürlich die Kenntnis
dieses Schlüssels sehr mächtig
wenn ich als Hersteller die
geheimen Schlüssel aller TPMs hab
dann kann ich beliebigen
Schabernack treiben
also insofern ist die Frage:
wer stellt diese Schlüssel hin
ein ganz praktisches Problem
in der Regel werden diese Schlüssel
von einem externen Rechner erzeugt
und dann auf die Dinger übertragen
wenn ich jetzt dazwischen sitze
und mir ne Kopie "Schlüsseldatei" mache, dann...
... hab ich auf einmal einen Generalschlüssel
für diese gesamte Infrastruktur
also da müssen wirklich bürokratische Kontrollen sein,
dass die Leute das einigermaßen ordentlich machen
auch nochmal realistisch,
also die Hersteller von solchen Dingern
sitzen teilweise in den USA
oder in China
das sind nicht so die Sachen, denen
ich ein übermäßiges Grundvertrauen
entgegenschleudern würde
Also insofern muss da was gemacht werden
Es muss auch offen gelegt und zertifiziert werden,
wie Windows 8 da rangeht
und wenn das alles nicht hilft, müssen wir halt mal kartellrechtlich prüfen
Ob dieser Ausschluss von Konkurrenz,
den Microsoft macht
irgendwie nachvollziehbar ist
zur Erinnerung: Microsoft hat
tierischen Ärger mit der EU gekriegt
wegen dieser Internet Explorer- Sache
Aber ich muss ehrlich sagen,
das ist nicht ansatzweise
eine so tiefgreifende Entscheidung
wie die Änderung oder die Etablierung
einer kompletten, neuen Infrastruktur
Und dass wir uns ganz klar verstehen:
Das ist keine theoretische Konstruktion
Um hier jetzt nochmal den wirklich nicht
Microsoft-kritischen Heise Ticker zu zitieren
im Juni und auch im Dezember 2013
hat Microsoft einfach
ein Bootmodul anderer Hersteller deaktiviert
eine Begründung war erst gar nicht da, dann kam
"Das ist ein System, das wir gar nicht benutzen,
also wir wissen nicht, was wir da genau gemacht haben"
also sehr beruhigend...
eine Sicherheitsinfrastruktur zieht irgendetwas zurück
und begründet das in keiner Weise nachvollziehbar
und je mehr sie es begründen, desto
weniger will man es eigentlich hören
Nochmal, wir reden von derselben Firma,
die bis heute nicht in der Lage ist
die Sicherheits-Infrastruktur für Windows 7
auf die Reihe zu kriegen
nochmal: Windows 7 hat immer noch 76% Marktanteil
Was ich euch in dem Bereich gezeigt
habe, ist keine Sache, die bei Windows XP ist,
das ist im Moment die Hauptwelt von
Microsoft, die da zusammen knallt
und wo diese lustige Sache ist
"installiert's manuell, wir können
nicht mehr automatisch updaten"
"nee halt, wir können doch
noch automatisch updaten"
wenn wir das mit dem
trusted-computing-Chip kombinieren
dann können wir da nicht drum rum hacken
wenn da was kaputt ist, dann ist es durch
die Unkenntnis des geheimen Schlüssels
extrem schwierig in dem Chip rumzuprogrammieren
also das ist wirklich keine akzeptable Situation
Versuchen wir nochmal das, was gefordert wurde,
das ist eine Sicherheitsinfrastruktur
und ich muss nochmal einräumen:
Im Prinzip wünscht man sich als Kryptograf Hardwareunterstützung
man wünscht sich einen sicheren Schlüssel- Store
und das sind die Sachen, die im
TPM-Standard auch adressiert werden
und die wir jetzt - wir sind Hacker -
wir freuen uns nicht, dass
ein TBM-Chip eingebaut ist
aber wenn es da ist, versuchen wir,
lustige Sachen damit zu machen
insofern ist die Frage:
"Was könnte man damit machen"
ein zentraler Punkt: wir könnten
natürlich unsere eigenen Schlüssel ersetzen
dann sind wir nicht mehr in der
trusted Infrastruktur von Siemens
aber vielleicht in einer trusted
Infrastruktur, der wir mehr vertrauen
das ist unterschiedlich. Das kann durchaus das BSI sein
das kann DIN sein, das kann
die NSA nicht oder NSA sein
das kann die russische
Standardisierungsmethode sein...
Wenn wir eine Sicherheitsarchitektur haben will
wirklich die Möglichkeit haben, die frei zu wählen
und da ist es zentral, dass man die
TPM- Schlüssel ersetzen kann
Wir brauchen offene Hardware
es ist wirklich eine lustige
kryptografische Fingerübung
zu zeigen: wenn wir ein System haben,
wo man nicht reingucken kann
kann man über so viele Kanäle Sachen rausschmuggeln
ganz trivial: man hat irgendwelche Zufallszahlen
da modelliert man einen lustigen Kanal raus
und kann dann beliebige Sachen rausschmuggeln
Also ich kann einem TPM Chip einfach sagen
wenn da ein bestimmtes Paket kommt,
dann schmuggel ich in diesen Random Nachrichten
einfach die Schlüsselinformation raus
Also wir brauchen wirklich offene Hardware
wir brauchen offene Software
zumindest an den Schnittstellen
und wir müssten mal überlegen,
ob dieses TPM nicht besser
mit Smart Cards zu ersetzen ist
das ist auch technisch recht einfach möglich
weil das TBM ist im Prinzip nicht viel
mehr als ne verlötete Smart Card
Also ist die Frage, ob man
nicht Smart Cards nimmt,
die man in die Hosentasche schieben kann
Das ist irgendwie nachvollziehbar
Es ist auch ein relativ guter Schutz
im Vergleich zu anderen Sachen
insofern Smart Cards wirklich nochmal angucken
Letzter Punkt: wir brauchen einen
alternativen Rechtsrahmen,
wir brauchen wahrscheinlich einen
europäischen Rechtsrahmen,
wir bräuchten vielleicht eine
europäische Vertrauens- Infrastruktur
darum geht es einfach um die Wahl
also wem vertrauen wir und wie gesagt
in den aktuellen Entwicklungen
würde ich tendenziell eher
europäischen Behörden vertrauen
als der NSA oder chinesischen Behörden
andere Leute mögen das anders entscheiden,
das ist ein Punkt der Freiheit
was hier auch relativ wichtig ist
was ich im letzten Vortrag auch schon gesagt habe
es ist schon so, dass wir mit Kryptografie
Sicherheit erreichen können
wo die Regierung im Moment schmächlich scheitert
Die Regierung kann nicht dafür sorgen,
dass wir nicht abgehört werden,
aber wenn wir anfangen, unsere
Hauptverbindungen zu verschlüsseln
Das ist jetzt auch keine Hackerlyrik sondern das,
was im Bereich Google seit letztem Jahr passiert
können wir mit Mathematik halt rechtliche
Vorgaben und auch Datenschutz erzwingen.
Und im Bereich trusted Computing
gibt's auch was relativ interessant ist
die sogenannte Direct anonymous adressation
darum geht's, dass es durchaus
legitim ist, dass jemand sagt:
"Du möchtest in mein Netzwerk rein
mit höherem Vertrauen, bitte zeig mal,
dass du alle Sicherheitspatches installiert hast"
Das ist nicht illegitim
Aber es ist natürlich schön, wenn man sagt,
man hat das installiert und muss
da nicht seinen Ausweis vorzeigen
Also Konstruktion, wo man Zusicherungen
macht aber Identifikation verhindert
sind mathematisch möglich. Wir
müssen dann nur der Mathematik trauen
Das ist immer noch Arbeit, aber
wir müssen keiner Behörde trauen
wir können sagen: "Wir
haben diese Sicherheitssachen"
und was auch ganz interessant ist,
was ich in einem Paper mit Stefan
Lucks 2006 schon analysiert hab
Ist ein sehr feingranulares Sicherheitsmanagement
so dass selbst diese Requirements-
dass man vielleicht sogar
die Identität aufdecken möchte
ich möcht das nicht in den meisten Szenarien
aber selbst das kann man sehr
gut mathematisch modellieren
Also wer da mal reinguckt,
das ist ne ganz interessante Sache
Leider ist das DAA im trusted
Computing nicht mehr in so prominenter Stelle
wie in den Vorentwürfen
Kommen wir zur letzten Folie,
wo ich die Grundprobleme zusammenfasse
Es ist eine zentrale Frage, wer
entscheidet, was bootet
wenn wir mal an ein Szenario denken...
ich kann jetzt mal das erste Buzzword
setzen: Industrie 4.0, eingebettete Systeme
...möchten wir möglicherweise
Sicherheitsinfrastruktur haben
was wir nicht möchten, ist dass durch
einen unbeabsichtigten Fehler des Betriebssystems
oder des Hardwareherstellers auf
einmal gar nichts mehr bootet
und wenn man dann den Behördenvertretern
einfach sagt Entschuldigung,
das ist irgendwie ne Allmachtsphantasie
aber korrigieren Sie mich,
wenn ich jetzt als Hacker sag
geben Sie mir mal eine 2048 Bit Unterschrift
und ich lege damit eine ganze Industrie lahm
Ich revoke einfach den Scrim- Bootloader
von Linux mit einer Nachricht
Ich krieg irgendwie den Microsoft- Schlüssel,
ich schick ein Update rum
und dann sagen wir, die Unterschrift
für diesen Bootloader ist zurückgezogen,
das hat Microsoft mehrfach gemacht
Wenn Microsoft jetzt diesen Linux-
Bootloader zurückzieht
dann booten auf einmal keine Linuxsysteme mehr
Im Moment bootet es eben über diese
Notkonstruktion mit der Signatur von Microsoft
Ich bin heute von Microsoft-
Mitarbeitern informiert worden
dass es das nächste Mal nicht
der Originalschlüssel ist
der für das Unterschreiben von
Microsoft verwendet wird,
sondern irgendein anderer Schlüssel
Als ich dann nachfragte "Und wer
hat den anderen Schlüssel?"
-ja, wüsste er nicht genau
ApplausGelächter
und nochmal: die Sache, wo ich gedacht
hab, das BSI schiebt das vor
das jemand so doof ist, seine eigene
Infrastruktur in die Luft zu jagen
das hat Microsoft in den letzten
acht Wochen vorgetanzt
Manchmal habe ich den Eindruck,
dass die ihre Sicherheitsgruppe aufgelöst haben
- Oh, haben sie?
hm...
Naee... nicht aufgelöst: umorganisiert. Aber irgendwie...
... hatte ich in den letzten 10 Jahren weniger Spaß,
mich durch die Sicherheitslücken
von Microsoft durchzuprügeln
wie jetzt in diesem Vortrag
also irgendwie kommt man jetzt auch
an einen Punkt, wo meine Schadenfreude
nicht mehr so groß ist, wie vor zehn Jahren
Microsoft hat da zugelangt,
Microsoft hat jetzt oben sowas nicht
mehr als Hauptgegner gesehen
und ich muss ehrlich sagen:
Wenn ich die Datenschutzschweinereien
von Apple ansehe
ist Microsoft wirklich ein Waisenknabe dagegen.
Applaus
Mit anderen Worten: Es geht nicht,
dass unter Umständen gar nichts mehr bootet
Das ist übrigens auch nicht im Interesse von Mirosoft
wenn da ne Katastrophe da ist,
dann ist Microsoft denke ich
auch juristisch und geschäftlich stark eingeschränkt
also würde ich an Microsoft
apellieren, dass die Gesprächsangebote
die mehrfach in diese Richtung
gekommen sind auch angenommen werden
Okay, vielen Dank für eure Aufmerksamkeit!
subtitles created by c3subtitles.de
Join, and help us!