So, vielen... is Mikrofon da? Ja. So, vielen Dank Heute sprechen wir über Windows 8 und es ist eine etwas bedrohliche Zeitreise, die wir machen denn trusted computing verfolgt uns schon seit relativ langer Zeit Was ist trusted Computing? Da gibt's die Definition von Ron Rivest, dem R von RSA Worum geht's? Es geht drum, dass die Industrie uns ein neueres Sicherheitsmodell verkaufen will zu diesem Sicherheitsmodell soll in jeden Computer eine set-top box eingebaut werden also ein System, wo ein Schlüssel dran ist, wo wir als Besitzer keine Kontrolle haben sondern die Industrie sich um uns kümmert es geht sogar so weit, dass die industrie übers Netz abfragen kann, ob das System ordentlich gepatcht ist und so weiter also Sachen, die die Sicherheitsarchitektur und die Philosophie des persönlichen Rechners durchaus adressieren Wie gesagt, es gab sehr viele Diskussionen ganz interessant ist, und das ist auch ein Teil des CCC am 23C3 gab's ne ziemlich erregt geführte Diskussion über trusted computing in der Apple-Welt und da waren einige Sachen erfreulich, andere unerfreulich am erfreulichsten war aber, dass Apple durch diesen Krawall, der damals entstanden ist bewegt wurde, dieses TPM Chip nicht zu benutzen und 2009 relativ heimlich, still und leise verschwinden zu lassen Allerdings hat sich die Sache drastisch verschärft, dadurch dass jetzt in der aktuellen Disussion mit Windows 8 Microsoft es im Moment massiv in den Markt reindrängen will. Das sieht so aus, dass ARM... ARM- Geräte von Windows inzwischen ausgeliefert werden, dass das eingeschaltet wird und auch nicht mehr ohne weiteres ausschaltbar ist also Microsoft versucht im Moment massiv, diese Struktur in den Markt zu drängen und riskiert dann auch Diskussionen mit Industrie und Regierungsbehörden, die teilweise sehr unterhaltsam sind und am unterhaltsamsten war im August, also kurz nach den Snowden- Enthüllungen die Diskussion über diese neue Trust- Infrastruktur, weil "normale" Leute in den Behörden sich gefragt haben "Ist es eine gute Idee, die gesamte Infrastruktur unserer digitalen Wirtschaft abhängig zu machen von einem privatwirtschaftlich organisierten Unternehmen, das unter einer anderen Juristition ist, nämlich einer amerikanischen..." und nach Snowden kam halt der dritte Punkt: Die Vertrauensseligkeit gegenüber einer amerikanischen Rechtsform oder Rechtsstaat das wurde mindestens bei sehr vielen Leuten hinterfragt und da gab es eine Medienberichterstattung und ich zitiere sehr gerne aus der BSI- Stellungnahme: Die haben gesagt, dass die Medien gesagt haben, dass It- Experten des Bundes... halten Windows 8 geradezu für gefährlich. Dann haben sie weiterhin gesagt andere Medien haben gesagt, die zuständigen Fachleute im BSI warnen unmissverständlich vor dem Einsatz von Trusted Computing der neuen Generation in deutschen Behörden Jetzt war Microsoft da nur mäßig glücklich über die Entwicklung und hat massiv Druck gemacht und dann passierte wieder was, was mir den alten Begriff nochmal vor Augen führt Das BSI ist eine Bundesbehörde, die untersteht dem Innenministerium also da etwas revolutionäres oder auch nur politisches zu erwarten ist ein bisschen viel verlangt andererseits sind da viele Ingenieure drin und da gibt's das alte Dilbert- Gesetz Dass Ingenieure echt Schwierigkeiten haben, zu schwindeln, wenns um technische Sachen geht insofern wird's relativ unterhaltsam, denn das BSI hat natürlich durch politischen Druck gesagt "wir warnten natürlich nicht vor Windows 8" Also ich möchte nochmal betonen: BSI warnt nicht vor Windows 8 jedoch Gelächter einige kritische Experten unter Einsatz von Windows 8 einer Hardware mit TBM sind ein bisschen problematisch Okay, jetzt haben die Ingenieure da ein paar kritische Worte sagen müssen, lesen wir mal, was jetzt als nächstes kommt und als nächstes kam dann: "Inbesondere können auf einer Hardware, die mit TPM betrieben wird und Windows 8, unbeabsichtigt Fehler des Hardware- und Betriebssystemhersteller, aber auch des Eigentümers Fehlerzustände entstehen wo das System dann nicht mehr betreibbar ist" "Das kann dazu führen, dass im Fehlerfall neben dem Betriebssystem auch die ganze Hardware nicht einsetzbar ist" und das ist für Ingenieure immer ein nicht unbedingt befriedigender Zustand Eine solche Situation ist also für eine Ingenieursseite nicht akzeptabel und darüber hinaus gibt es Möglichkeiten vom Sabotage dritter das ist schön, dass selbst Leute im politischen Bereich Sachen so deutlich dementieren, dass wer aufmerksam liest doch etwas zusammenzuckt Mein erster Gedanke war aber "Irgendwie sind sie zu feige, zu sagen, dass die US- Regierung Microsoft zwingen könnte, irgendetwas nicht zu booten Da sind sie jetzt zu feige gewesen und deswegen schieben sie jetzt das unrealistische Szenario, dass da für sie irgendwelche Fehler passieren, die dann die ganze Infrastruktur kaputt machen." Also hab ich gedacht: naja, ist politisch, aber nicht besonders realistisch bis vor wenigen Wochen, und dann musste ich leider meinen ganzen Vortrag umstellen Gelächter Das ist hart, insbesondere wenn es nur ein 30- Minuten- Vortrag ist und ich jetzt 16 Folien nur aus Heise Security zitiere Warum Heise Security? Das sind nette, freundliche Leute, die nett zu Windows- Administratoren sind und die sensibler sind und nicht so zynisch gegenüber Microsoft- Fehlerberichten wie ich also insofern habe ich gesagt, wenn wir jetzt hier so kurz nach Weihnachten sind schaeun wir uns mal an, was diese netten, geduldigen freundlichen Leute von Heise Security da in den letzten Wochen gemacht haben und ich sag's mal vorneweg: es ist unterhaltsam und es geht noch weiter insofern ist das hier nur ein kleiner Zwischenbericht Es ging los glaub ich am November Patch Day, am 12. und da hieß es auf einmal, auch die Windows- Sever- Admins, die sind ja Kummer gewöhnt, aber auch Nutzer müssen dringend handeln Und dann war die erste Sache, wo ich meinte "Mist, das muss ich wahrscheinlich doch in meinen Vortrag machen" Weil es ist ne Lücke in der Crypto- Infrastruktur von Windows und das klingt zumindest mal interessant... "zwei andere Patches- " da ging es nur um zero-day-exploits von Internet Explorer also das trifft nur Leute, die im Internet surfen und dann überwachen wir Gelächter ... also net so tragisch ging dann weiter, patchen, Details zur Sicherheitslücke und so und da war ich dann weiter am Grinsen weil diese Folie konnte ich dann auch in meinem anderen Vortrag verwenden Offensichtlich sind elliptische Kurven so schwierig, dass man sich selbst bei der Überprüfung einer ECDSA- Signatur ins Bein schießen kann und Microsoft hat das mal gemacht und dann wurde irgendwie Heise Security etwas unentspannt Tür und Tor für das Eindringen von Schadcode waren offen "Darum ist es wichtig die Patches unbedingt einzuspielen, wer das nicht.. läuft Gefahr, dass die gesamte Grund- Infrastuktur als Waffe gegen das System und den eigenen Rechner eingesetzt werden" Da dachte ich, muss was los sein, Updates glaub ich doch schnell machen, trifft mich zwar net aber offensichtlich die paar Windows- Updates es ging aber doch relativ schnell weiter: Das Update wurde verteilt und in ähnlicher Situation hat Microsoft das Update nicht mehr verteilt Moment, im August haben sie es nicht mehr verteilt? Also irgendiwe wird's jetzt komisch, ich hab dann weitergelesen, es wurde noch komischer der nächste Patch hat die Crypto- Sachen nicht so richtig repariert aber die ganzen Java gingen dann auf einmal net und momentan wird das Update verteilt, aber in ähnlicher Situation hat Microsoft es zurückgezogen Jetzt haben sie es das zweite Mal zurückgezogen, irgendwie scheinen die Heise- Menschen irgendwas zu ahnen wir werden erraten, was als nächstes kommt: richtig: es wird nochmal nachgebessert Heimlich, still und leise ist ein Update außer der Reihe eingespielt worden um den SChannel zu patchen "Wir empfehlen denen, die das installiert haben, das nochmal einzuspielen" also das ist schon das zweite Mal, wenn ich richtig zähle und es geht noch schöner Gelächter Abwarten... das war der November, wir kommen jetzt zum Dezember Überraschenderweise gab's da wieder Probleme und dann wurde selbst Heise etwas unentspannt denn mit ihrem Update haben sie irgendwie ihr Root-Zertifikat nicht mehr nutzbar gemacht und da hatte ich irgendwie ne große Krise, da hatte ich so meine Kryptografendepression, die so etwa aussieht Leute, wir reparieren euch alles, also wir brauchen ein bisschen Geheimnis sonst kann man sagen, wenn man kein Geheimnis hat, kann man sich nicht vom Angreifer entfernen, wir brauchen als Geheimnis ganz wenige Bits. Das einzige, was wir von euch verlangen: Passt auf diese auf, lasst die net runterlegen, wenn jemand ne Heartbleed- Anfrage schickt, schickt ihm nicht gleich den ganzen Schlüssel, und so weiter... aber: auch net. Dann habe ich gedacht okay, andere Programme werden am Start gehindert, das klingt interessant, mal sehen, was da kommt und das ist in den 13/14 Jahren, wo ich hier Vorträge mache mein erstes Facepalm- Bild GelächterApplaus ist auch Creative Commons, also ein völlig legales Bild. Aber jedenfalls, lange Rede kurzer Sinn: Es ist ein weiterer Rückzug und jetzt wird's richtig lustig, weil was will man denn haben, dass es auf jeden Fall mal startet? Windows defender ist glaube ich sowas wie Virenschutz, das braucht man ja nicht mehr so wie früher im Windows das Lustige ist, das Update ging nicht mehr Gelächter Die haben ihr Zertifikat kaputtgemacht und dann haben sie ihren Updatemechanismus kaputtgemacht Wir können jetzt raten, was als nächstes kommt: als nächstes sind selbst diese freundlichen Heise- Mitarbeiter etwas unentspannt und haben das schöne Wort 'verbockt' verwendet Ich habe jetzt aufgehört, zu zählen, wie viele Updates jetzt genau gemacht wurden, ich denke wir sind jetzt so etwa bei vier und es geht einigermaßen lustig weiter wenn man es nochmal betrachtet. Zertifikats- Infrastruktur ist beschädigt auch keine gute Idee... Da war ich dann wirklich entspannt und sagte "egal wie viele Folien ich dann rausschmeißen muss, das muss rein in den Vortrag, das Update soll manuell heruntergeladen und installiert werden Ich glaube, die Freude bei den Windows- Admins ist relativ beträchtlich wenn wir allerdings wissen, dass in einigen Systemen, also Automaten und so wo das automatische Update einigermaßen geht, aber ein manuelles Update schwierig wird dann ist das keine allzu lustige Situation aber alles wird wieder gut oder doch noch nicht... es scheint nämlich noch nicht am Ende zu sein Die Patches, nachdem sie gesagt haben, wir haben den Updatemechanismus kaputt gemacht, bitte installiert das manuell gingen dann die Updates auf einmal wieder interessant, müsste man mal gucken, warum die Beschreibung der Patches war nur auf Englisch und einige Heise Security Leser waren dann in Panik, dass sie durch ein Update in ihrem deutschen System auf einmal was englisches kriegen, aber die gute Nachricht: Es scheint von Microsoft zu kommen Gelächter Machen wir dann mal gut weiter in dem Bereich Das ist glaube ich die letzte Folie zu dieser lustigen Sache die ist vom 18. Dezember und die Nachricht ist dieses Root- Zertifikats- Update ist immer noch nicht abgeschlossen also wir warten dann glaube ich auf den Januar- Patch und da hole ich mir vielleicht ein paar Folien dazu, die ich beim Easterhegg oder sowas erzähle, wie dann diese Patch-Sache weiter gegangen ist, ohne es jetzt allzu sarkastisch zu machen, was ich jetzt überhaupt nicht vergrößert hab war die Information, dass da noch ein kritischer Zero- Day- Exploit im Internet Explorer, was irgendwie auch seit vielen Monaten raus ist, nicht gepatcht wurde. Was ich jetzt auch weggelassen habe sind so Sachen, wie dass das Capparus kaputt gemacht haben die andere Infrastruktur Langer Rede kurzer Sinn: Würden Sie solchen Leuten ihre Sicherheitsinfrastruktur anvertrauen? Hier haben wir einen der Tapfersten, der "Ja" gerufen hat, also... Vielen Dank, dieser jugendliche Optimismus, an dem muss ich auch nochmal arbeiten Applaus naja, während jetzt also dikutiert wurde, dass deutsche Behörden nicht vor Windows 8 warnen jedoch noch ein paar Bedenken haben wenn man den Rechner benutzen will, dann soll man sich überlegen, ob sie's einsetzen aber nochmal: das BSI hat nicht gewarnt es gibt andere Sachen, da sind die demokratischen Entscheidungswege etwas anders organisiert die Volksrepublik hat einfach gesagt Leute, ihr kommt einfach nicht mehr auf unsere staatlichen Computer mit Windows 8 und das ist glaube ich ne Ansage, die Microsoft nur so mäßig erfreut hat... wie man sich denken kann wer jetzt sagt, die VR China sind vielleicht nicht die Leute, die man zitieren will tun wir halt nen amerikanischen Multimillionär zitieren Bruce Schneier hat nach Snowden gesagt "Wir können diesen Firmen einfach gar nicht mehr trauen" und um jetzt mal ein bisschen Boshaftigkeit rauszumachen man kann von den Firmen teilweise gar nicht verlangen, dass sie sich ordentlich verhalten wenn US- Behörden mit Geheimentscheidungen, Geheimgerichten und Geheimknästen vor der Tür stehen ist es halt für einen normalen Hersteller, selbst Microsoft, die Frage macht das auf der Nationalen Sicherheit und übrigens ihr redet net drüber Also das ist einfach ein grundlegendes Problem ich weiß durchaus, dass Microsoft dagegen rechtlich vorgeht aber im Moment müssen wir damit rechnen, dass wenn die US- Regierung sagt "Dieser Terroristische Staat..." (sie meinen glaube ich aktuell Nordkorea) "Bitte sorgt dafür, dass diese Angriffsrechner in Nordkorea nicht booten" Was sollen denn die armen Microsoft- Leute machen? ein Freundschaftstreffen in einem kubanischen Lager? is ne Sache, die man nicht unbedingt von ihnen verlangen kann also isses wirklich, ohne jetzt zynisch zu werden auch bei allem Verständnis für Microsoft ne Situation, wo man sich hier in Deutschland fragen muss wollen wir uns von diesem Environment abhängig machen? und da kommen wir auf ein anderes Zitat, das schon ein bisschen länger her ist es geht einfach darum, wenn Microsoft diese Schlüssel kontrolliert, dann könnte es zur Marktbeherrschung führen die gute Nachricht oder schlechte Nachricht ist, der Marktanteil von Microsoft ist nicht mehr so beeindruckend wie vielleicht vor 10 Jahren Dennoch, wenn man weiß, dass unsere ganzen Linux- Systeme nur auf umgeschliedeten Windowssystemen laufen und wir wissen, dass für Hardwarehersteller dieses Windows 8 Logo relativ zentral ist dann wissen wir, dass sich da Sachen ändern können, die den freien Betrieb von Programmen deutlich behindern und der Whitfield Diffie hat das eigentlich kurz zusammengefasst also er möchte hier nicht versuchen einen Slogan zu machen aber er sieht die Notwendigkeit, dass die Nutzer, die Besitzer die Schlüssel für den eigenen Computer weiterhin besitzen, dass sie entscheiden können, was sie wollen die Entscheidung kann durchaus sein "Ich geh in eine Microsoft- abgesicherte Welt" das ist ne legitime Entscheidung aber wenn keine Auswahl sondern Zwang da ist, dann kommen da natürlich einige Probleme also hier das BSI, um nochmal was ernsthaftes zu sagen das BSI hat gesagt, dass es für einige Anwender einen Sicherheitsgewinn darstellen kann, für Leute, die sich nicht um den Rechner kümmern sollen und die sagen okay, ich vertraue Microsoft, dass die das sicher machen nach diesen Patchday- Folien würde ich den Leuten nochmal anraten, diese Entscheidung zu überprüfen, aber im Prinzip ist es eine freie Entscheidung, es ist in meinen Augen auch eine Definition von Freiheit, dass die Leute sich in selbstgewählte Unfreiheit begeben können also insofern ist das durchaus... Applaus ... legitim und da kommen wir zu dem Punkt wo die BSI- Stellungnahme wirklich hilfreich ist in der kurzen Sache, es ist ein berechtigtes Nutzerszenario aber es muss transparent sein, es muss Möglichkeiten geben, Entscheidungen zu treffen und genau das wird jetzt bei Windows 8 insbesondere bei einem ARM- System ausgehebelt also so Sachen wie die freie Entscheidung, ob ich in diese Sicherheitsstruktur reinwill oder nicht wird dem Nutzer abgenommen, es gibt ein automatisches Aktivieren also kein opt-in, also keine Entscheidung, dass ich hier rein will sondern es wird vorgegeben, dass es drin ist die Möglichkeit da rauszugehen, das opt-out wird auch massiv behindert zumindest für ARM-Systeme ist es hinreichend schwierig weitere Probleme, wo ich mir auch den Mund fusselig rede ist zeitgemäße Kryptographie es geht einfach nicht, dass da eine Weiterverwendung von Char-1 möglich ist und das ist eine Sache, wo ich sage ich bin von Haus aus Mathematiker also so realwelt- Evaluationen über wirtschaftliche Zwänge sollten eigentlich andere Leute besser können, aber stellen wir uns einen Hersteller vor, der sagt "Wir haben hier einen Chip, der ist fertig, benutzt Char-1" Dann sagt der kleine Chryptograph "Ja, aber das ist unsicher" Dann sagt der Marketingchef okay, das kostet jetzt 500 000 Euro, das nochmal neu zu stempeln mit Char-256 dürften wir es eigentlich weiter benutzen? Dann muss der ehrliche Kryptograph sagen "Ja" und dann argumentieren Sie mal in ner Situation wo er sagt, das ist Standardkonform da ist ein bekloppter Kryptograph, der sagt, wir möchten ne stärkere Hashfunktion haben brauchen wir aber nicht, um standardkonform zu sein wenn diese Möglichkeit besteht, was, was massiv Geld spart sie weiterhin zu erhalten, dann ist es nicht unrealistisch zu sagen, dass in sehr vielen Situationen dann Char-1 weiterleben wird und diese Kritik ist auch von der DIN übernommen worden im internationalen Normprozess und man wird abwarten müssen, ob da eine Sensibilität da ist weitere Fußnote ist natürlich da wird standardmäßig 2048-Bit-Kryptographie verwendet was allenfalls für mittelfristige Sicherheitsverfahren ist ein weiteres Problem ist der Herstellungsprozess wenn man weiß, dass der Geheime Schlüssel, der in dem System ist vom Nutzer nicht geändert werden kann, nicht angefasst werden kann ist natürlich die Kenntnis dieses Schlüssels sehr mächtig wenn ich als Hersteller die geheimen Schlüssel aller TPMs hab dann kann ich beliebigen Schabernack treiben also insofern ist die Frage: wer stellt diese Schlüssel hin ein ganz praktisches Problem in der Regel werden diese Schlüssel von einem externen Rechner erzeugt und dann auf die Dinger übertragen wenn ich jetzt dazwischen sitze und mir ne Kopie "Schlüsseldatei" mache, dann... ... hab ich auf einmal einen Generalschlüssel für diese gesamte Infrastruktur also da müssen wirklich bürokratische Kontrollen sein, dass die Leute das einigermaßen ordentlich machen auch nochmal realistisch, also die Hersteller von solchen Dingern sitzen teilweise in den USA oder in China das sind nicht so die Sachen, denen ich ein übermäßiges Grundvertrauen entgegenschleudern würde Also insofern muss da was gemacht werden Es muss auch offen gelegt und zertifiziert werden, wie Windows 8 da rangeht und wenn das alles nicht hilft, müssen wir halt mal kartellrechtlich prüfen Ob dieser Ausschluss von Konkurrenz, den Microsoft macht irgendwie nachvollziehbar ist zur Erinnerung: Microsoft hat tierischen Ärger mit der EU gekriegt wegen dieser Internet Explorer- Sache Aber ich muss ehrlich sagen, das ist nicht ansatzweise eine so tiefgreifende Entscheidung wie die Änderung oder die Etablierung einer kompletten, neuen Infrastruktur Und dass wir uns ganz klar verstehen: Das ist keine theoretische Konstruktion Um hier jetzt nochmal den wirklich nicht Microsoft-kritischen Heise Ticker zu zitieren im Juni und auch im Dezember 2013 hat Microsoft einfach ein Bootmodul anderer Hersteller deaktiviert eine Begründung war erst gar nicht da, dann kam "Das ist ein System, das wir gar nicht benutzen, also wir wissen nicht, was wir da genau gemacht haben" also sehr beruhigend... eine Sicherheitsinfrastruktur zieht irgendetwas zurück und begründet das in keiner Weise nachvollziehbar und je mehr sie es begründen, desto weniger will man es eigentlich hören Nochmal, wir reden von derselben Firma, die bis heute nicht in der Lage ist die Sicherheits-Infrastruktur für Windows 7 auf die Reihe zu kriegen nochmal: Windows 7 hat immer noch 76% Marktanteil Was ich euch in dem Bereich gezeigt habe, ist keine Sache, die bei Windows XP ist, das ist im Moment die Hauptwelt von Microsoft, die da zusammen knallt und wo diese lustige Sache ist "installiert's manuell, wir können nicht mehr automatisch updaten" "nee halt, wir können doch noch automatisch updaten" wenn wir das mit dem trusted-computing-Chip kombinieren dann können wir da nicht drum rum hacken wenn da was kaputt ist, dann ist es durch die Unkenntnis des geheimen Schlüssels extrem schwierig in dem Chip rumzuprogrammieren also das ist wirklich keine akzeptable Situation Versuchen wir nochmal das, was gefordert wurde, das ist eine Sicherheitsinfrastruktur und ich muss nochmal einräumen: Im Prinzip wünscht man sich als Kryptograf Hardwareunterstützung man wünscht sich einen sicheren Schlüssel- Store und das sind die Sachen, die im TPM-Standard auch adressiert werden und die wir jetzt - wir sind Hacker - wir freuen uns nicht, dass ein TBM-Chip eingebaut ist aber wenn es da ist, versuchen wir, lustige Sachen damit zu machen insofern ist die Frage: "Was könnte man damit machen" ein zentraler Punkt: wir könnten natürlich unsere eigenen Schlüssel ersetzen dann sind wir nicht mehr in der trusted Infrastruktur von Siemens aber vielleicht in einer trusted Infrastruktur, der wir mehr vertrauen das ist unterschiedlich. Das kann durchaus das BSI sein das kann DIN sein, das kann die NSA nicht oder NSA sein das kann die russische Standardisierungsmethode sein... Wenn wir eine Sicherheitsarchitektur haben will wirklich die Möglichkeit haben, die frei zu wählen und da ist es zentral, dass man die TPM- Schlüssel ersetzen kann Wir brauchen offene Hardware es ist wirklich eine lustige kryptografische Fingerübung zu zeigen: wenn wir ein System haben, wo man nicht reingucken kann kann man über so viele Kanäle Sachen rausschmuggeln ganz trivial: man hat irgendwelche Zufallszahlen da modelliert man einen lustigen Kanal raus und kann dann beliebige Sachen rausschmuggeln Also ich kann einem TPM Chip einfach sagen wenn da ein bestimmtes Paket kommt, dann schmuggel ich in diesen Random Nachrichten einfach die Schlüsselinformation raus Also wir brauchen wirklich offene Hardware wir brauchen offene Software zumindest an den Schnittstellen und wir müssten mal überlegen, ob dieses TPM nicht besser mit Smart Cards zu ersetzen ist das ist auch technisch recht einfach möglich weil das TBM ist im Prinzip nicht viel mehr als ne verlötete Smart Card Also ist die Frage, ob man nicht Smart Cards nimmt, die man in die Hosentasche schieben kann Das ist irgendwie nachvollziehbar Es ist auch ein relativ guter Schutz im Vergleich zu anderen Sachen insofern Smart Cards wirklich nochmal angucken Letzter Punkt: wir brauchen einen alternativen Rechtsrahmen, wir brauchen wahrscheinlich einen europäischen Rechtsrahmen, wir bräuchten vielleicht eine europäische Vertrauens- Infrastruktur darum geht es einfach um die Wahl also wem vertrauen wir und wie gesagt in den aktuellen Entwicklungen würde ich tendenziell eher europäischen Behörden vertrauen als der NSA oder chinesischen Behörden andere Leute mögen das anders entscheiden, das ist ein Punkt der Freiheit was hier auch relativ wichtig ist was ich im letzten Vortrag auch schon gesagt habe es ist schon so, dass wir mit Kryptografie Sicherheit erreichen können wo die Regierung im Moment schmächlich scheitert Die Regierung kann nicht dafür sorgen, dass wir nicht abgehört werden, aber wenn wir anfangen, unsere Hauptverbindungen zu verschlüsseln Das ist jetzt auch keine Hackerlyrik sondern das, was im Bereich Google seit letztem Jahr passiert können wir mit Mathematik halt rechtliche Vorgaben und auch Datenschutz erzwingen. Und im Bereich trusted Computing gibt's auch was relativ interessant ist die sogenannte Direct anonymous adressation darum geht's, dass es durchaus legitim ist, dass jemand sagt: "Du möchtest in mein Netzwerk rein mit höherem Vertrauen, bitte zeig mal, dass du alle Sicherheitspatches installiert hast" Das ist nicht illegitim Aber es ist natürlich schön, wenn man sagt, man hat das installiert und muss da nicht seinen Ausweis vorzeigen Also Konstruktion, wo man Zusicherungen macht aber Identifikation verhindert sind mathematisch möglich. Wir müssen dann nur der Mathematik trauen Das ist immer noch Arbeit, aber wir müssen keiner Behörde trauen wir können sagen: "Wir haben diese Sicherheitssachen" und was auch ganz interessant ist, was ich in einem Paper mit Stefan Lucks 2006 schon analysiert hab Ist ein sehr feingranulares Sicherheitsmanagement so dass selbst diese Requirements- dass man vielleicht sogar die Identität aufdecken möchte ich möcht das nicht in den meisten Szenarien aber selbst das kann man sehr gut mathematisch modellieren Also wer da mal reinguckt, das ist ne ganz interessante Sache Leider ist das DAA im trusted Computing nicht mehr in so prominenter Stelle wie in den Vorentwürfen Kommen wir zur letzten Folie, wo ich die Grundprobleme zusammenfasse Es ist eine zentrale Frage, wer entscheidet, was bootet wenn wir mal an ein Szenario denken... ich kann jetzt mal das erste Buzzword setzen: Industrie 4.0, eingebettete Systeme ...möchten wir möglicherweise Sicherheitsinfrastruktur haben was wir nicht möchten, ist dass durch einen unbeabsichtigten Fehler des Betriebssystems oder des Hardwareherstellers auf einmal gar nichts mehr bootet und wenn man dann den Behördenvertretern einfach sagt Entschuldigung, das ist irgendwie ne Allmachtsphantasie aber korrigieren Sie mich, wenn ich jetzt als Hacker sag geben Sie mir mal eine 2048 Bit Unterschrift und ich lege damit eine ganze Industrie lahm Ich revoke einfach den Scrim- Bootloader von Linux mit einer Nachricht Ich krieg irgendwie den Microsoft- Schlüssel, ich schick ein Update rum und dann sagen wir, die Unterschrift für diesen Bootloader ist zurückgezogen, das hat Microsoft mehrfach gemacht Wenn Microsoft jetzt diesen Linux- Bootloader zurückzieht dann booten auf einmal keine Linuxsysteme mehr Im Moment bootet es eben über diese Notkonstruktion mit der Signatur von Microsoft Ich bin heute von Microsoft- Mitarbeitern informiert worden dass es das nächste Mal nicht der Originalschlüssel ist der für das Unterschreiben von Microsoft verwendet wird, sondern irgendein anderer Schlüssel Als ich dann nachfragte "Und wer hat den anderen Schlüssel?" -ja, wüsste er nicht genau ApplausGelächter und nochmal: die Sache, wo ich gedacht hab, das BSI schiebt das vor das jemand so doof ist, seine eigene Infrastruktur in die Luft zu jagen das hat Microsoft in den letzten acht Wochen vorgetanzt Manchmal habe ich den Eindruck, dass die ihre Sicherheitsgruppe aufgelöst haben - Oh, haben sie? hm... Naee... nicht aufgelöst: umorganisiert. Aber irgendwie... ... hatte ich in den letzten 10 Jahren weniger Spaß, mich durch die Sicherheitslücken von Microsoft durchzuprügeln wie jetzt in diesem Vortrag also irgendwie kommt man jetzt auch an einen Punkt, wo meine Schadenfreude nicht mehr so groß ist, wie vor zehn Jahren Microsoft hat da zugelangt, Microsoft hat jetzt oben sowas nicht mehr als Hauptgegner gesehen und ich muss ehrlich sagen: Wenn ich die Datenschutzschweinereien von Apple ansehe ist Microsoft wirklich ein Waisenknabe dagegen. Applaus Mit anderen Worten: Es geht nicht, dass unter Umständen gar nichts mehr bootet Das ist übrigens auch nicht im Interesse von Mirosoft wenn da ne Katastrophe da ist, dann ist Microsoft denke ich auch juristisch und geschäftlich stark eingeschränkt also würde ich an Microsoft apellieren, dass die Gesprächsangebote die mehrfach in diese Richtung gekommen sind auch angenommen werden Okay, vielen Dank für eure Aufmerksamkeit! subtitles created by c3subtitles.de Join, and help us!