Next-Generation Secure Computing Base

Die Next-Generation Secure Computing Base (NGSCB), ehemals bekannt als Palladium, ist eine Software-Sicherheits-Framework von Microsoft, das im Juni 2002 ins Leben gerufen wurde.^[1] Es handelt sich um eine Implementierung der kontroversen Trusted-Computing-Technologie. Bereits Anfang des Jahres 2005 gab es Spekulationen darüber, dass die Weiterentwicklung eingestellt wurde, da ein für Ende 2004 angekündigtes Update nicht mehr veröffentlicht wurde.^[2] Dies wurde auch von Mario Juarez, dem damaligen Produkt Manager der „Microsoft Security and Technology Business Unit“, in einem Newsticker verlautbart.^[3]

Hintergrund

Die Idee dahinter war es die Software durch Software zu schützen. Vorausgegangen war 1999 die Gründung der Trusted Computing Platform Alliance (TCPA), ein Konsortium der Technologieunternehmen Compaq, Hewlett-Packard, IBM und Microsoft. Dieses sollte Spezifikationen für eine vertrauenswürdige Computerplattform entwickeln, die sich insbesondere mit der Codevalidierung und -verschlüsselung befassten. Um die neuen Funktionen zu gewährleisten wurde eine neue Hardwarekomponente benötigt, das sogenannte Trusted Platform Module (auch als Secure Crypto-Processor,^[4] bezeichnet). Viele dieser Funktionen wurden später von Microsoft als Grundlage für die neue NGSCB-Architektur verwendet. Microsoft meldete bis 1999 eine Reihe von Patenten an, die sich auf diese Elemente beziehen. Die Trusted Computing Platform Alliance wurde 2003 von der Trusted Computing Group abgelöst.^[5]

Im Januar 2003 war der Name Palladium auf Grund zahlreicher Kritik aus der IT-Fachwelt in der Öffentlichkeit bereits so sehr getrübt englisch tarnished, dass sich Microsoft für eine weniger einprägsame Bezeichnung mit geringerem Schlagwortpotential entschied. Zudem hatten sich andere Unternehmen bereits die Namensrechte gesichert.^[6] Das Electronic Privacy Information Center (EPIC) warnte schon früh vor möglichen Risiken, wie der gezielten Auswertung des Benutzerverhaltens anhand von eingebauten englisch unique machine identifiers ‚eindeutige Maschinenkennungen‘.^[1]

Prinzipielle Grundidee

Das Konzept der NGSCB, das erstmals in Windows Vista eingesetzt werden sollte, ergibt sich durch einen Kompromiss, den Microsoft eingegangen ist: Zum einen soll Windows ein möglichst sicheres Betriebssystem werden, zum anderen soll „alte“ Software weiterhin lauffähig bleiben. Die Lösung bildet der Nexus, ein zweiter Kernel, der zum bisherigen Kernel „hinzugeladen“ wird. Auch ein Entladen des Nexus im laufenden Betrieb ist vorgesehen. Nach dem Laden des Nexus gibt es laut Microsoft zwei Einschränkungen: Computerprogramme dürfen nicht mehr beliebig auf den kompletten Arbeitsspeicher zugreifen und die CPU nicht mehr in den Real Mode versetzen. Geworben wurde mit folgenden Features:

“Employing a unique hardware and software architecture, NGSCB will create a protected computing environment inside of a Windows PC—a "virtual vault" that will sit side by side with the regular Windows environment to enable new kinds of security and privacy protections for computers.”

„Mit einer einzigartigen Hardware- und Softwarearchitektur erstellt NGSCB eine geschützte Computerumgebung in einem Windows-PC – einen ‚virtuellen Tresor‘, der neben der regulären Windows-Umgebung steht, um neue Arten von Sicherheits- und Datenschutzmaßnahmen für Computer zu ermöglichen.“

Die besonderen Vorteile sollten darin liegen, dass …

• … kritische Daten der Kontrolle des Benutzers unterliegen
• … Programme und Computer sich gegenseitig prüfen können, bevor sie Kommunikation und Transaktionen durchführen
• … Wichtige Informationen gespeichert werden können, sodass nur das Programm, das sie erstellt hat, darauf zugreifen kann, um sie vor Verlust durch Diebstahl oder Viren zu schützen
• … Persönliche Informationen so verteilt werden können, dass sie nur durch die vom Benutzer autorisierten Entitäten verwendet werden können
• … Daten mit einem sicheren Pfad von der Tastatur über den Computer zum Bildschirm geschützt werden können, um zu verhindern, dass sie heimlich abgefangen oder ausspioniert werden

Die sei ein Beitrag zu Systemintegrität, Informationssicherheit und Wahrung der Privatsphäre.^[7]

Es wurden jedoch nur wenige Komponenten realisiert, beispielsweise das Paket zur „Secure-Boot-Funktion“.^[8][9]

Die Elements des Palladiumsystems

Das System …

• … gibt vor, Viren zu stoppen, indem es die Ausführung von Schadprogrammen verhindert
• … speichert persönliche Daten in einem verschlüsselten Ordner
• … ist hardwareabhängig und vergibt entweder eine digitale Signatur oder eine Trackingnummer
• … filtert Spam aus
• … verfügt über einen Agenten (englisch My Man) zum Austausch persönlicher Informationen
• … beinhaltet Technologien zum Digital Rights Management für Mediendateien (Musik, Dokumente, E-Mail)
• … gibt vor, Daten innerhalb des Computers über verschlüsselte Pfade zu übertragen

Die Mitarbeiter des Electronic Privacy Information Centers stellten das System an sich in Frage, da viele der angeblichen Sicherheitsmaßnahmen auch durch unabhängige Produkte von Drittanbietern erreichtwerden könnten, die keine Identifizierung ermöglichten und keine Authentifizierung erforderten. Allein durch den Verzicht der Verwendung der Outlook-E-Mail-Software von Microsoft, die in einigen Fällen automatisch Anhänge ausführe, könne die Ausführung von Schadcode und die Verbreitung von Viren verhindert werden. Zudem wären geeignete Produkte auf den Markt, die persönliche Informationen auf verschlüsselten Partitionen der Festplatte des Benutzers speichern könnten. Auch für die Unterdrückung von Spam gäbe es Tools, die Whitelists, Blacklists und Filterung unterstützten.^[1]

Aufteilung von Windows

 

Diagramm zur Aufteilung

Im Januar 2004 sind laut Microsoft einige wichtige Design-Entscheidungen in der NGSCB-Entwicklung noch nicht gefallen; die sind folgenden Ausführungen beziehen sich auf den damaligen Zustand.

In den vorhandenen Dokumenten unterscheidet Microsoft grundsätzlich zwischen der unsicheren Seite mit dem „normalen“ Windows (LeftHandSide) und der sicheren Seite des Nexus (RightHandSide).

Der Nexus verwaltet auf der gesicherten rechten Seite sichere Anwendungen (Agents) und TSPs (Trusted Service Provider), die ein (sicheres) Pendant zu den Diensten unter Windows darstellen. Dienste und Anwendungen laufen zwar in sicheren Speicherbereichen ab, bei beiden handelt es sich aber dennoch um „ganz gewöhnliche“ Software. Der Nexus sieht sie einfach als sicher an und geht davon aus, dass alles andere (also auf der LeftHandSide) unsicher ist. Wie dafür gesorgt wird, dass diese „sicheren“ Programme auch sicher sind, ist bis jetzt noch unklar. Denkbar wäre ein Zertifizierungsmodell, bei der sichere Anwendungen auf ihre Legitimität geprüft würden.

Daten von dieser unsicheren linken Seite gelangen über einen speziellen Treiber auf dieser LeftHandSide, dem Nexus-Manager, auf die RightHandSide. Der Nexus prüft die Daten dann im NAL (Nexus Abstraction Layer), dem Gegenstück zum HAL (Hardware Abstraction Layer). Weichen die Daten von den Erwartungen ab, werden sie bereits hier verworfen. Außerdem muss der Nexus sich selbst und die gesamte RightHandSide vor direkten Speicherzugriffen (z. B. über Busmaster-fähige Geräte) schützen.

Nötige Hardware

Der Preis für die Abwärtskompatibilität: NGSCB benötigt eine sichere Hardwareumgebung. Eingabegeräte (momentan ist nur USB vorgesehen), Grafikkarte, Chipsatz, CPU und ein so genanntes Trusted Platform Module müssen „sicher“ sein. Das heißt, dass sie sich am Rechner authentisieren müssen. Das können vorhandene Geräte nicht leisten, deswegen wird bereits neue Hardware mit entsprechenden neuen Treibern entwickelt, die die geforderte Sicherheit garantieren.

Kritik

Stecken in der Hardware eines durch das Trusted Platform Module ausgestatteten PC ungesicherte Komponenten, so verweigern die nicht durch Nexus zertifizierten Anwendungen möglicherweise die Arbeit. Auf diese Weise könnten PC-Benutzer quasi gezwungen sein, bestimmte Komponenten einzusetzen, damit gewünschte Programme starten oder auch um überhaupt an Informationen auf ihrem eigenen System zu gelangen, was zu einseitigen Herstellerabhängigkeiten (vendor lock-in) führt.

Kritiker bemängeln, dass NGSCB nicht für grundsätzlich sicherere Programme („sicher“ im Sinne von Informationssicherheit) und geschützte Daten, sondern zur sicheren Implementierung von kontroversen Systemen zur Digitalen Rechteverwaltung (DRM) entwickelt wurde.^[10] Obwohl laut Microsoft dies nicht die Hauptmotivation für die Entwicklung der Technologie ist,^[11] so wird diese Eigenschaft in den Patentanmeldungen stark herausgestellt.^[12]

Literatur

• Paul England, Butler Lampson, John Manferdelli, Marcus Peinado, Bryan Willman: A Trusted Open Platform – Microsoft’s next-generation secure computing base extends personal computers to offer mechanisms that let high-assurance software protect itself. In: Computer. Band 36, Nr. 7, IEEE Computer Society, 2003, ISSN 0018-9162, S. 55 (englisch).
• Christian Koenig, Andreas Neumann: Anforderungen des EG-Wettbewerbsrechts an vertrauenswürdige Systemumgebungen TCPA, TGG, Palladium und NGSCB. In: Multimedia und Recht. Band 6, Nr. 11, S. 695–700.
• Thomas C. Greene: Palladium. In: Computer security for the home and small office. Apress, Berkeley, CA 2004, ISBN 1-59059-316-2, S. 271 ff. (Textarchiv – Internet Archive).
• Thomas Obert: Schwerpunkt – Trusted Computing News – Next Generation Secure Computing Base. In: Datenschutz und Datensicherheit. Band 29, Nr. 9, Friedrich Vieweg & Sohn, Braunschweig / Wiesbaden 2005, ISSN 0724-4371, S. 521.
• Zhe Wang, Yinchuan Wang, Kai Luo: Trusted computing technology analyzing in NGSCB. In: 2011 International Conference on Electronic and Mechanical Engineering and Information Technology. Band 6, 2011, doi:10.1109/EMEIT.2011.6023732, ISBN 978-1-61284-088-8, S. 3048–3053 (englisch).

Patente

• Patent US6330670: Digital Rights Management Operating System. Angemeldet am 8. Januar 1999, veröffentlicht am 11. Dezember 2001.‌
• Patent US6327652B1: Loading and identifying a digital rights management operating system. Angemeldet am 8. Januar 1999, veröffentlicht am 4. Dezember 2001.‌

Weblinks

• At WinHEC, Microsoft Discusses Details of Next-Generation Secure Computing Base. 7. Mai 2003 microsoft.com (englisch)
• Was steckt hinter TCPA und Palladium? c’t Magazin – Heise

Einzelnachweise

1. Electronic Privacy Information Center: Microsoft Palladium: Next Generation Secure Computing Base epic.org (englisch).
2. Ist Microsofts NGSCB tot? In: IT Magazine. (itmagazine.ch).
3. Michael Plura: Microsoft mottet NGSCB ein. Überraschend kündigt Microsoft an, Longhorn ohne NGSCB weiterzuentwickeln. teltarif.de.
4. Trusted Platform Module (Windows 10) – Microsoft 365 Security. 9. November 2018 docs.microsoft.com (englisch).
5. Next-Generation Secure Computing Base betaarchive.com.
6. Korrosion auf Microsofts Palladium. heise online.
7. Microsoft Next-Generation Secure Computing Base (Memento vom 18. Juni 2003 im Internet Archive) (englisch).
8. Ina Fried, Joachim Kaufmann: Longhorn: Microsoft streicht weite Teile von NGSCB. 25. April 2005, zdnet.de.
9. Microsoft dünnt Sicherheit für Longhorn aus. silicon.de, 27. April 2005, abgerufen am 4. September 2020. 
10. Lars Sielen: Auf leisen Sohlen vom Betriebs- zum DRM-System. Telepolis.
11. Q&A: Microsoft Seeks Industry-Wide Collaboration for “Palladium” Initiative (Memento vom 28. Oktober 2005 im Internet Archive) – (englisch).
12. Patent US6330670: Digital Rights Management Operating System. Angemeldet am 8. Januar 1999.‌