Pålitelig databehandling - Trusted Computing

For ikke å forveksle med Trusted computing base eller Trustworthy computing .

Trusted Computing ( TC ), også ofte referert til som Confidential Computing , er en teknologi utviklet og promotert av Trusted Computing Group . Begrepet er hentet fra feltet av pålitelige systemer og har en spesialisert betydning. Kjernetanken med pålitelig databehandling er å gi maskinvareprodusenter kontroll over hva programvare gjør og ikke kjører på et system ved å nekte å kjøre usignert programvare. Med Trusted Computing vil datamaskinen konsekvent oppføre seg på forventede måter, og denne oppførselen vil bli håndhevet av maskinvare og programvare . Å håndheve denne oppførselen oppnås ved å laste maskinvaren med en unik krypteringsnøkkel som er utilgjengelig for resten av systemet og eieren.

TC er kontroversiell ettersom maskinvaren ikke bare er sikret for eieren, men også sikret mot eieren . En slik uenighet har ført motstandere av Trusted Computing, som fri programvare -aktivisten Richard Stallman , å referere til det stedet som forrædersk databehandling , selv til et punkt der noen vitenskapelige artikler har begynt å sted skremme anførselstegn rundt "Trusted Computing".

Tillitsfulle talsmenn som International Data Corporation , Enterprise Strategy Group og Endpoint Technologies Associates hevder at teknologien vil gjøre datamaskiner tryggere, mindre utsatt for virus og skadelig programvare , og dermed mer pålitelige fra et sluttbrukerperspektiv. De hevder også at Trusted Computing vil tillate datamaskiner og servere å tilby forbedret datasikkerhet i forhold til det som er tilgjengelig for øyeblikket. Motstanderne hevder ofte at denne teknologien først og fremst vil bli brukt til å håndheve retningslinjer for håndtering av digitale rettigheter (pålagt begrensninger for eieren) og ikke for å øke datasikkerheten.

Chipprodusenter Intel og AMD , maskinvareprodusenter som HP og Dell og operativsystemleverandører som Microsoft inkluderer Trusted Computing i produktene hvis de er aktivert. Den amerikanske hæren krever at hver ny PC den kjøper kommer med en Trusted Platform Module (TPM). Fra 3. juli 2007 gjør det praktisk talt hele USAs forsvarsdepartement .

Nøkkelkonsepter

Trusted Computing omfatter seks viktige teknologikonsepter, som alle er nødvendige for et fullt klarert system, det vil si et system som er i samsvar med TCG -spesifikasjonene:

  1. Godkjenningsnøkkel
  2. Sikker inngang og utgang
  3. Minnekapittel / beskyttet utførelse
  4. Forseglet oppbevaring
  5. Fjernattest
  6. Pålitelig tredjepart (TTP)

Godkjenningsnøkkel

Godkjenningsnøkkelen er et 2048-biters RSA offentlig og privat nøkkelpar som opprettes tilfeldig på brikken ved produksjonstidspunktet og ikke kan endres. Den private nøkkelen forlater aldri brikken, mens den offentlige nøkkelen brukes til attestasjon og til kryptering av sensitive data som sendes til brikken, slik det skjer under TPM_TakeOwnership -kommandoen.

Denne nøkkelen brukes til å tillate utførelse av sikre transaksjoner: hver Trusted Platform Module (TPM) kreves for å kunne signere et tilfeldig tall (for å la eieren vise at han har en ekte klarert datamaskin), ved hjelp av en bestemt protokoll opprettet av Trusted Computing Group (den direkte anonyme attestasjonsprotokollen ) for å sikre at den overholder TCG -standarden og bevise dens identitet; dette gjør det umulig for en programvare-TPM-emulator med en pålitelig godkjenningsnøkkel (for eksempel en egengenerert) å starte en sikker transaksjon med en pålitelig enhet. TPM -en skal være utformet for å gjøre utvinning av denne nøkkelen ved maskinvareanalyse vanskelig, men manipulasjonsmotstand er ikke et sterkt krav.

Minnegardin

Minnekapasitet utvider vanlige minnebeskyttelsesteknikker for å gi fullstendig isolasjon av følsomme områder i minnet - for eksempel steder som inneholder kryptografiske nøkler. Selv operativsystemet har ikke full tilgang til lagret minne. De nøyaktige implementeringsdetaljene er leverandørspesifikke.

Forseglet oppbevaring

Forseglet lagring beskytter privat informasjon ved å binde den til plattformkonfigurasjonsinformasjon, inkludert programvaren og maskinvaren som brukes. Dette betyr at dataene bare kan frigis til en bestemt kombinasjon av programvare og maskinvare. Forseglet lagring kan brukes til håndheving av DRM. For eksempel vil brukere som har en sang på datamaskinen som ikke har lisens til å bli lyttet, ikke kunne spille den. For øyeblikket kan en bruker finne sangen, lytte til den og sende den til noen andre, spille den i den valgte programvaren eller sikkerhetskopiere den (og i noen tilfeller bruke omgåelsesprogramvare for å dekryptere den). Alternativt kan brukeren bruke programvare for å endre operativsystemets DRM -rutiner for å få det til å lekke sangdataene en gang, for eksempel en midlertidig lisens. Ved å bruke forseglet lagring blir sangen sikkert kryptert ved hjelp av en nøkkel knyttet til den klarerte plattformsmodulen, slik at bare den umodifiserte og ubehandlede musikkspilleren på datamaskinen hans kan spille den. I denne DRM -arkitekturen kan dette også forhindre folk i å lytte til sangen etter å ha kjøpt en ny datamaskin, eller oppgradere deler av den nåværende, unntatt etter eksplisitt tillatelse fra leverandøren av sangen.

Fjernattest

Fjernattest gjør at endringer på brukerens datamaskin kan oppdages av autoriserte parter. For eksempel kan programvareselskaper identifisere uautoriserte endringer i programvare, inkludert brukere som tukler med programvaren for å omgå teknologiske beskyttelsestiltak. Det fungerer ved at maskinvaren genererer et sertifikat som angir hvilken programvare som kjører for øyeblikket. Datamaskinen kan deretter presentere dette sertifikatet for en ekstern part for å vise at programvare som ikke er endret kjører for øyeblikket. Det er foreslått en rekke eksterne attestasjonsordninger for forskjellige datamaskinarkitekturer, inkludert Intel, RISC-V og ARM.

Johnson, Simon, et al. "Intel® programvare vaktutvidelser: Epid -levering og attestasjonstjenester." Hvitbok 1.1-10 (2016): 119.

Fjernattest er vanligvis kombinert med offentlig nøkkelkryptering, slik at informasjonen som sendes bare kan leses av programmene som ba om attestasjonen, og ikke av en avlytter.

For å ta sangeksemplet igjen kan brukerens musikkspillerprogramvare sende sangen til andre maskiner, men bare hvis de kunne bekrefte at de kjørte en sikker kopi av musikkspilleren. Kombinert med de andre teknologiene gir dette en mer sikret bane for musikken: sikker I/O forhindrer brukeren i å ta opp den mens den overføres til lydundersystemet, minnelåsing forhindrer at den dumpes til vanlige diskfiler som den blir arbeidet med, forseglet lagring begrenser uautorisert tilgang til den når den lagres på harddisken, og ekstern attestering beskytter den mot uautorisert programvare, selv når den brukes på andre datamaskiner. For å ivareta personvernet til attesteringsresponsører har Direct Anonymous Attestation blitt foreslått som en løsning, som bruker en gruppesignaturordning for å forhindre avsløring av identiteten til individuelle signere.

Bevis på plass (PoS) har blitt foreslått brukt til å oppdage skadelig programvare ved å bestemme om L1 -hurtigbufferen til en prosessor er tom (f.eks. Har nok plass til å evaluere PoSpace -rutinen uten cachemiss) eller inneholder en rutine som motstod å bli kastet ut .

Pålitelig tredjepart

En av de viktigste hindringene som måtte overvinnes av utviklerne av TCG -teknologien, var hvordan man opprettholder anonymitet mens man fremdeles tilbyr en "klarert plattform". Hovedformålet med å skaffe "klarert modus" er at den andre parten (Bob), som en datamaskin (Alice) kan kommunisere med, kan stole på at Alice kjører maskinvare og programvare som ikke er manipulert. Dette vil forsikre Bob om at Alice ikke vil kunne bruke ondsinnet programvare for å kompromittere sensitiv informasjon på datamaskinen. Dessverre, for å gjøre dette, må Alice informere Bob om at hun bruker registrert og "trygg" programvare og maskinvare, og dermed potensielt identifisere seg selv for Bob.

Dette er kanskje ikke et problem der en ønsker å bli identifisert av den andre parten, f.eks. Under banktransaksjoner over Internett. Men i mange andre typer kommunikasjonsaktiviteter liker folk anonymiteten som datamaskinen gir. TCG erkjenner dette, og har angivelig utviklet en prosess for å oppnå slik anonymitet, men samtidig forsikre den andre parten om at han eller hun kommuniserer med et "pålitelig" parti. Dette ble gjort ved å utvikle en "pålitelig tredjepart". Denne enheten vil fungere som mellommann mellom en bruker og hans egen datamaskin og mellom en bruker og andre brukere. I dette essayet vil fokuset være på den siste prosessen, en prosess som kalles fjernattest.

Når en bruker krever en AIK (Attestation Identity Key) vil brukeren at nøkkelen skal sertifiseres av en CA (Certification Authority). Brukeren sender en legitimasjon via en TPM (Trusted Platform Module): en legitimasjon for offentlig nøkkel, en plattform og en samsvar. Dette settet med sertifikater og kryptografiske nøkler vil i korte trekk bli referert til som "EK". EK kan deles inn i to hoveddeler, den private delen "EKpr" og den offentlige delen "EKpub". EKpr forlater aldri TPM.

Avsløring av EKpub er imidlertid nødvendig (versjon 1.1). EKpub vil på en unik måte identifisere godkjenneren av plattformen, modellen, hva slags programvare som brukes på plattformen, detaljer om TPM, og at plattformen (PC) overholder TCG -spesifikasjonene. Hvis denne informasjonen formidles direkte til en annen part som en prosess for å få klarert status, ville det samtidig være umulig å skaffe en anonym identitet. Derfor blir denne informasjonen sendt til personvern sertifiseringsmyndigheten (pålitelig tredjepart). Når CA (Personvern sertifiseringsmyndighet) mottar EKpub sendt av TPM, verifiserer CA informasjonen. Hvis informasjonen kan bekreftes, vil den opprette et sertifisert sekundært nøkkelpar AIK, og denne legitimasjonen sendes tilbake til forespørselen. Dette er ment å gi brukeren anonymitet. Når brukeren har denne sertifiserte AIK, kan han eller hun bruke den til å kommunisere med andre pålitelige plattformer.

I versjon 1.2 har TCG utviklet en ny metode for å skaffe en sertifisert AIK. Denne prosessen kalles DAA Direct anonym attest . Denne metoden krever ikke at brukeren oppgir sin EKpub med TTP. Den unike nye funksjonen til DAA er at den har muligheten til å overbevise den eksterne enheten om at en bestemt TPM (klarert plattformsmodul) er en gyldig TPM uten å avsløre EKpub eller annen unik identifikator. Før TPM kan sende en sertifiseringsforespørsel for en AIK til den eksterne enheten, må TPM generere et sett med DAA -legitimasjon. Dette kan bare gjøres ved å samhandle med en utsteder. DAA-legitimasjonen opprettes ved at TPM sender en TPM-unik hemmelighet som forblir innenfor TPM. TPM -hemmeligheten er lik, men ikke analog med EK. Når TPM har fått et sett med DAA -legitimasjon, kan den sende disse til verifikatoren. Når verifikatoren mottar DAA -legitimasjonen fra TTP, vil den bekrefte dem og sende en sertifisert AIK tilbake til brukeren. Brukeren vil da kunne kommunisere med andre pålitelige parter ved hjelp av den sertifiserte AIK. Verifikatoren kan være en pålitelig tredjepart (TTP). Verifikatoren kan avgjøre om DAA -legitimasjonen er gyldig, men DAA -legitimasjonen inneholder ingen unik informasjon som avslører TPM -plattformen. Et eksempel kan være hvor en bruker ønsker klarert status og sender en forespørsel til utstederen. Utstederen kan være produsenten av brukerens plattform, f.eks. Compaq. Compaq ville sjekke om TPM den har produsert er en gyldig, og i så fall utsteder DAA -legitimasjon. I neste trinn blir DAA -legitimasjonen sendt av brukeren til verifikatoren. Som nevnt kan dette være en standard TTP, men kan også være en annen enhet. Hvis verifikatoren godtar DAA levert, vil den produsere en sertifisert AIK. Den sertifiserte AIK vil deretter bli brukt av brukeren til å kommunisere med andre pålitelige plattformer. Oppsummert introduserer den nye versjonen en egen enhet som vil bistå i den anonyme attesteringsprosessen. Ved å introdusere utstederen som leverer en DAA, vil man kunne tilstrekkelig beskytte brukerens anonymitet overfor verifikatoren/TTP. Utstederen vil vanligvis være plattformprodusenten. Uten slike legitimasjoner vil det sannsynligvis være vanskelig for en privat kunde eller liten bedrift eller organisasjon å overbevise andre om at de har en ekte pålitelig plattform.

Kjente applikasjoner

Microsoft -produktene Windows Vista , Windows 7 , Windows 8 og Windows RT bruker en Trusted Platform Module for å lette BitLocker Drive Encryption .

Mulige applikasjoner

Digital rettighetsforvaltning

Trusted Computing ville tillate selskaper å lage et digitalt rettighetsstyringssystem (DRM) som ville være svært vanskelig å omgå, men ikke umulig. Et eksempel er nedlasting av en musikkfil. Forseglet lagring kan brukes for å forhindre at brukeren åpner filen med en uautorisert spiller eller datamaskin. Fjernattest kan bare brukes til å godkjenne avspilling av musikkspillere som håndhever plateselskapets regler. Musikken vil bli spilt av minnet som er forhenget, noe som forhindrer brukeren i å ta en ubegrenset kopi av filen mens den spilles av, og sikker I/O forhindrer at det blir fanget opp det som sendes til lydsystemet. Omgåelse av et slikt system vil kreve enten manipulering av datamaskinens maskinvare, fange det analoge (og dermed degraderte) signalet ved hjelp av en opptaksenhet eller en mikrofon, eller bryte sikkerheten til systemet.

Nye forretningsmodeller for bruk av programvare (tjenester) over Internett kan bli forsterket av teknologien. Ved å styrke DRM -systemet kan man basere en forretningsmodell på å leie programmer for en bestemt tidsperiode eller "pay as you go" -modeller. For eksempel kan man laste ned en musikkfil som bare kan spilles et visst antall ganger før den blir ubrukelig, eller musikkfilen kan bare brukes innen et bestemt tidsrom.

Forebygge juks i online spill

Trusted Computing kan brukes til å bekjempe juks i online spill . Noen spillere endrer spillkopien sin for å oppnå urettferdige fordeler i spillet; ekstern attestering, sikker I/O og minnekort kan brukes til å fastslå at alle spillerne som var koblet til en server, kjørte en uendret kopi av programvaren.

Verifisering av ekstern beregning for grid computing

Trusted Computing kan brukes til å garantere at deltakere i et nettbasert datasystem returnerer resultatene av beregningene de hevder å være i stedet for å smi dem. Dette vil tillate at store simuleringer kjøres (si en klimasimulering) uten dyre redundante beregninger for å garantere at ondsinnede verter ikke undergraver resultatene for å oppnå den konklusjonen de ønsker.

Kritikk

Trusted Computing -motstandere som Electronic Frontier Foundation og Free Software Foundation hevder at tillit til de underliggende selskapene ikke er fortjent, og at teknologien legger for mye makt og kontroll i hendene på de som designer systemer og programvare. De tror også at det kan føre til at forbrukere mister anonymitet i sine online -interaksjoner, i tillegg til obligatoriske teknologier som Trusted Computing -motstandere sier er unødvendige. De foreslår Trusted Computing som en mulig aktiverer for fremtidige versjoner av obligatorisk tilgangskontroll , kopibeskyttelse og DRM.

Noen sikkerhetseksperter, som Alan Cox og Bruce Schneier , har uttalt seg mot Trusted Computing og tror det vil gi datamaskinprodusenter og programvareforfattere økt kontroll for å sette begrensninger på hva brukerne kan gjøre med datamaskinene sine. Det er bekymringer for at Trusted Computing vil ha en konkurransehemmende effekt på IT-markedet.

Det er bekymring blant kritikere om at det ikke alltid vil være mulig å undersøke maskinvarekomponentene som Trusted Computing bygger på, Trusted Platform Module , som er det ultimate maskinvaresystemet der kjernen 'rot' av tillit til plattformen må ligge. Hvis den ikke er implementert riktig, utgjør den en sikkerhetsrisiko for plattformens integritet og beskyttede data. Spesifikasjonene, som er publisert av Trusted Computing Group , er åpne og er tilgjengelige for alle å se. Imidlertid vil de siste implementeringene av kommersielle leverandører ikke nødvendigvis bli utsatt for den samme gjennomgangsprosessen. I tillegg kan kryptografiverden ofte bevege seg raskt, og at maskinvareimplementeringer av algoritmer kan skape en utilsiktet foreldelse. Å stole på nettverksdatamaskiner til kontrollmyndigheter i stedet for til enkeltpersoner kan skape digitale imprimatører .

Kryptograf Ross Anderson , University of Cambridge, har store bekymringer om at:

TC kan støtte ekstern sensur [...] Generelt forblir digitale objekter som er opprettet ved hjelp av TC -systemer under kontroll av skaperne, i stedet for under kontroll av personen som eier maskinen som de tilfeldigvis lagres på [... ] Så noen som skriver et papir som en domstol bestemmer er ærekrenkende, kan bli tvunget til å sensurere det - og programvareselskapet som skrev tekstbehandleren kan bli beordret til å slette hvis hun nekter. Gitt slike muligheter, kan vi forvente at TC skal brukes til å undertrykke alt fra pornografi til skrifter som kritiserer politiske ledere.

Han fortsetter med å si at:

[...] programvareleverandører kan gjøre det mye vanskeligere for deg å bytte til konkurrentenes produkter. På et enkelt nivå kan Word kryptere alle dokumentene dine ved hjelp av nøkler som bare Microsoft -produkter har tilgang til; dette ville bety at du bare kunne lese dem ved hjelp av Microsoft -produkter, ikke med noen konkurrerende tekstbehandler. [...]

Den [...] viktigste fordelen for Microsoft er at TC dramatisk vil øke kostnadene ved å bytte fra Microsoft -produkter (for eksempel Office) til konkurrerende produkter (for eksempel OpenOffice ). For eksempel må et advokatfirma som ønsker å bytte fra Office til OpenOffice akkurat nå bare installere programvaren, lære opp personalet og konvertere eksisterende filer. Om fem år, når de har mottatt TC-beskyttede dokumenter fra kanskje tusen forskjellige klienter, må de få tillatelse (i form av signerte digitale sertifikater) fra hver av disse klientene for å overføre filene til en ny plattform. Advokatfirmaet vil i praksis ikke gjøre dette, så de vil bli mye mer tett låst inne, noe som vil gjøre det mulig for Microsoft å øke prisene.

Anderson oppsummerer saken med å si:

Det grunnleggende problemet er at den som kontrollerer TC -infrastrukturen vil skaffe seg en enorm mengde strøm. Å ha dette eneste kontrollpunktet er som å få alle til å bruke samme bank, eller samme regnskapsfører, eller samme advokat. Det er mange måter denne makt kan misbrukes på.

Digital rettighetsforvaltning

En av de første motivasjonene bak pålitelig databehandling var et ønske fra medier og programvareselskaper om strengere DRM -teknologi for å forhindre at brukere fritt deler og bruker potensielt opphavsrettsbeskyttede eller private filer uten eksplisitt tillatelse. Et eksempel kan være nedlasting av en musikkfil fra et band: bandets plateselskap kan komme med regler for hvordan bandets musikk kan brukes. For eksempel vil de kanskje at brukeren skal spille av filen bare tre ganger om dagen uten å betale ekstra penger. De kunne også bruke ekstern attestering til bare å sende musikken sin til en musikkspiller som håndhever reglene: forseglet lagring ville forhindre brukeren i å åpne filen med en annen spiller som ikke håndhevet begrensningene. Minneskjerming forhindrer brukeren i å ta en ubegrenset kopi av filen mens den spilles av, og sikker utskrift forhindrer at det blir fanget opp det som sendes til lydsystemet.

Brukere kan ikke endre programvare

En bruker som ønsket å bytte til et konkurrerende program kan finne ut at det ville være umulig for det nye programmet å lese gamle data, da informasjonen ville bli " låst " til det gamle programmet. Det kan også gjøre det umulig for brukeren å lese eller endre dataene sine, med mindre programvaren spesifikt tillater det.

Fjernattest kan forårsake andre problemer. For øyeblikket kan nettsteder besøkes ved hjelp av en rekke nettlesere, selv om enkelte nettsteder kan være formatert slik at noen nettlesere ikke kan tyde koden. Noen nettlesere har funnet en måte å omgå dette problemet ved å etterligne andre nettlesere. Med ekstern attestering kan et nettsted sjekke nettleseren som brukes og nekte å vise det i en hvilken som helst annen nettleser enn den spesifiserte (som Internet Explorer ), så selv emulering av nettleseren ville ikke fungere.

Brukere som ikke kan utøve juridiske rettigheter

Loven i mange land tillater brukere visse rettigheter til data hvis opphavsrett de ikke eier (inkludert tekst, bilder og andre medier), ofte under overskrifter som rimelig bruk eller allmenn interesse . Avhengig av jurisdiksjon kan disse dekke spørsmål som varsling , bevisproduksjon i retten, sitater eller annen bruk i liten skala, sikkerhetskopiering av eide medier og kopiering av eid materiale for personlig bruk på andre eide enheter eller systemer. Trinnene implisitt i pålitelig databehandling har den praktiske effekten at de forhindrer brukere i å utøve disse juridiske rettighetene.

Brukere er utsatt for tilbaketrekking av tjenesten fra leverandører

En tjeneste som krever ekstern validering eller tillatelse - for eksempel en musikkfil eller spill som krever forbindelse med leverandøren for å bekrefte tillatelse til å spille eller bruke - er sårbar for at tjenesten trekkes tilbake eller ikke lenger oppdateres. Det har allerede skjedd en rekke hendelser der brukere, etter å ha kjøpt musikk eller videomedier, har funnet evnen til å se eller lytte til det plutselig stopper på grunn av leverandørpolicy eller opphør av tjenesten eller server utilgjengelighet, til tider uten kompensasjon. Alternativt i noen tilfeller nekter leverandøren å tilby tjenester i fremtiden, noe som gjør at kjøpt materiale bare kan brukes på nåværende - og stadig mer foreldet - maskinvare (så lenge det varer), men ikke på maskinvare som kan kjøpes i fremtiden.

Brukere som ikke kan overstyre

Noen motstandere av Trusted Computing fortaler "eieroverstyring": lar en eier som er bekreftet være fysisk tilstede, la datamaskinen omgå restriksjoner og bruke den sikre I/O -banen. En slik overstyring vil tillate ekstern attestering til en brukers spesifikasjon, f.eks. For å lage sertifikater som sier at Internet Explorer kjører, selv om en annen nettleser brukes. I stedet for å forhindre endring av programvare, vil ekstern attestering indikere når programvaren er endret uten eierens tillatelse.

Medlemmer av Trusted Computing Group har nektet å implementere eieroverstyring. Talsmenn for pålitelig databehandling tror at eieroverstyring beseirer tilliten til andre datamaskiner siden ekstern attestering kan forfalskes av eieren. Eieroverstyring tilbyr sikkerhets- og håndhevelsesfordelene til en maskineier, men tillater ham ikke å stole på andre datamaskiner, fordi eierne kan frafalle regler eller begrensninger på sine egne datamaskiner. Under dette scenariet, når data er sendt til andres datamaskin, enten det er en dagbok, en DRM -musikkfil eller et felles prosjekt, kontrollerer den andre personen hvilken sikkerhet datamaskinen som eventuelt vil håndheve på kopien av disse dataene. Dette har potensial til å undergrave applikasjonene til pålitelig databehandling for å håndheve DRM, kontrollere juks i online spill og bekrefte eksterne beregninger for nettbasert databehandling .

Tap av anonymitet

Fordi en pålitelig datamaskin utstyrt datamaskin er i stand til på en unik måte å vitne om sin egen identitet, vil det være mulig for leverandører og andre som har muligheten til å bruke attestasjonsfunksjonen til å nullstille identiteten til brukeren av TC-aktivert programvare med høy grad av sikkerhet.

En slik evne er betinget av den rimelige sjansen for at brukeren på et eller annet tidspunkt gir brukeridentifiserende informasjon, enten det er frivillig, indirekte eller bare ved å slutte seg til mange tilsynelatende godartede data. (f.eks. søkeposter, som vist gjennom enkel undersøkelse av lekkasjen til AOL -søkeposter). En vanlig måte at informasjon kan innhentes og kobles til er når en bruker registrerer en datamaskin like etter kjøpet. En annen vanlig måte er når en bruker gir identifiserende informasjon til nettstedet til en tilknyttet leverandør.

Selv om tilhengerne av TC påpeker at online kjøp og kredittransaksjoner potensielt kan være sikrere som følge av ekstern attesteringsevne, kan dette føre til at datamaskinbrukeren mister forventningene til anonymitet når han bruker Internett.

Kritikere påpeker at dette kan ha en avkjølende effekt på politisk ytringsfrihet, journalisters evne til å bruke anonyme kilder, varsling, politisk blogging og andre områder der publikum trenger beskyttelse mot gjengjeldelse gjennom anonymitet.

TPM -spesifikasjonen tilbyr funksjoner og foreslåtte implementeringer som er ment å imøtekomme kravet til anonymitet. Ved å bruke en tredjeparts personvernerklæring (PCA), kan informasjonen som identifiserer datamaskinen lagres av en pålitelig tredjepart. I tillegg tillater bruk av direkte anonym attest (DAA), introdusert i TPM v1.2, en klient å utføre attestering uten å avsløre personlig identifiserbar eller maskininformasjon.

Typen data som må leveres til TTP for å få den klarerte statusen er foreløpig ikke helt klar, men TCG innrømmer selv at "attestering er en viktig TPM -funksjon med betydelige personvernimplikasjoner". Det er imidlertid klart at både statisk og dynamisk informasjon om brukerdatamaskinen kan leveres (Ekpubkey) til TTP (v1.1b), det er ikke klart hvilke data som vil bli levert til "verifikatoren" under v1.2. Den statiske informasjonen vil på en unik måte identifisere plattformens godkjenning, modell, detaljer om TPM og at plattformen (PC) overholder TCG -spesifikasjonene. Den dynamiske informasjonen beskrives som programvare som kjører på datamaskinen. Hvis et program som Windows er registrert i brukerens navn, vil dette igjen identifisere brukeren på en unik måte. En annen dimensjon av brudd på personvernet kan også bli introdusert med denne nye teknologien; hvor ofte du bruker programmene dine, kan være mulig informasjon gitt til TTP. I en eksepsjonell, men praktisk situasjon, hvor en bruker kjøper en pornografisk film på Internett, må kjøperen i dag akseptere det faktum at han må oppgi kredittkortinformasjon til leverandøren, og dermed risikere å bli identifisert. Med den nye teknologien kan en kjøper også risikere at noen finner ut at han (eller hun) har sett denne pornografiske filmen 1000 ganger. Dette gir en ny dimensjon til den mulige brudd på personvernet. Omfanget av data som vil bli levert til TTP/Verifiers er foreløpig ikke akkurat kjent, bare når teknologien er implementert og brukt, vil vi kunne vurdere den eksakte arten og volumet av dataene som overføres.

Problemer med interoperabilitet i TCG -spesifikasjonen

Trusted Computing ber om at alle programvare- og maskinvareleverandører vil følge de tekniske spesifikasjonene utgitt av Trusted Computing Group for å muliggjøre interoperabilitet mellom forskjellige klarerte programvarestabler. Siden minst midten av 2006 har det imidlertid vært problemer med interoperabilitet mellom TrouSerS-programvarestakken som er klarert (utgitt som åpen kildekode-programvare av IBM ) og Hewlett-Packards stabel. Et annet problem er at de tekniske spesifikasjonene fortsatt endres, så det er uklart hvilken standardimplementering av den klarerte bunken.

Stenging av konkurrerende produkter

Folk har uttrykt bekymring for at pålitelig databehandling kan brukes til å holde eller avskrekke brukere fra å kjøre programvare opprettet av selskaper utenfor en liten bransjegruppe. Microsoft har mottatt mye dårlig press rundt sin Palladium -programvarearkitektur, og fremkalt kommentarer som "Få stykker vaporware har fremkalt et høyere nivå av frykt og usikkerhet enn Microsofts Palladium", "Palladium er et komplott for å ta over cyberspace", og "Palladium vil hindre oss i å kjøre programvare som ikke er personlig godkjent av Bill Gates". Bekymringene for pålitelig databehandling som brukes til å stenge konkurransen eksisterer innenfor et bredere rammeverk for forbrukere som er bekymret for å bruke pakking av produkter for å skjule priser på produkter og for å delta i konkurransebegrensende praksis . Trusted Computing blir sett på som skadelig eller problematisk for uavhengige og åpen kildekodeprogramvareutviklere .

Tillit

I den mye brukte krypteringen med offentlig nøkkel kan opprettelse av nøkler gjøres på den lokale datamaskinen, og skaperen har full kontroll over hvem som har tilgang til den, og følgelig sine egne sikkerhetspolicyer . I noen foreslåtte krypterings-dekrypteringsbrikker er en privat/offentlig nøkkel permanent innebygd i maskinvaren når den er produsert, og maskinvareprodusenter vil ha muligheten til å registrere nøkkelen uten å legge igjen bevis for å gjøre det. Med denne nøkkelen ville det være mulig å ha tilgang til data kryptert med den, og å autentisere som den. Det er trivielt for en produsent å gi en kopi av denne nøkkelen til regjeringen eller programvareprodusentene, ettersom plattformen må gå gjennom trinnene slik at den fungerer med godkjent programvare.

Derfor, for å stole på alt som er godkjent av eller kryptert av en TPM eller en klarert datamaskin, må en sluttbruker stole på selskapet som laget brikken, selskapet som designet brikken, selskapene som har lov til å lage programvare for brikken, og selskapenes evne og interesse til ikke å gå på kompromiss med hele prosessen. En sikkerhetsbrudd bryte den kjeden av tillit skjedde med et SIM-kort produsent Gemalto , som i 2010 ble infiltrert av amerikanske og britiske spioner, noe som resulterer i kompromittert sikkerheten til mobiltelefon samtaler.

Det er også kritisk at man kan stole på at maskinvareprodusentene og programvareutviklerne implementerer pålitelige databehandlingsstandarder på riktig måte. Feil implementering kan være skjult for brukere, og dermed kunne undergrave integriteten til hele systemet uten at brukerne er klar over feilen.

Støtte for maskinvare og programvare

  • Siden 2004 har de fleste store produsentene sendt systemer som har inkludert Trusted Platform Modules , med tilhørende BIOS -støtte. I samsvar med TCG -spesifikasjonene må brukeren aktivere Trusted Platform Module før den kan brukes.
  • Den Linux-kjernen har inkludert Trusted Computing støtte siden versjon 2.6.13, og det er flere prosjekter for å implementere Trusted Computing for Linux. I januar 2005 kunngjorde medlemmer av Gentoo Linux sin "krypto -flokk" at de hadde til hensikt å gi støtte for TC - spesielt støtte for Trusted Platform Module. Det er også en TCG-kompatibel programvarestabel for Linux ved navn TrouSerS , utgitt under en åpen kildekode-lisens.
  • En begrenset form for klarert databehandling kan implementeres på nåværende versjoner av Microsoft Windows med tredjeparts programvare.
  • Intel Classmate PC (en konkurrent til One Laptop Per Child ) inkluderer en Trusted Platform Module.
  • IBM / Lenovo ThinkPads
  • Dell OptiPlex GX620
  • PrivateCore vCage -programvare kan brukes til å attestere x86 -servere med TPM -brikker .
  • Mobilt T6 sikkert operativsystem simulerer TPM -funksjonaliteten i mobile enheter ved hjelp av ARM TrustZone -teknologien.
  • Samsung -smarttelefoner er utstyrt med Samsung Knox som er avhengig av funksjoner som Secure Boot, TIMA, MDM , TrustZone og SE Linux

Se også

Referanser

Eksterne linker