TPM 2.0 Risiko bei Windows 8

Bernhard Reiter reiter at fsfeurope.org
Mo Sep 2 12:33:31 UTC 2013 

Am Freitag, 23. August 2013 12:16:14 schrieb Michael Kesper:
> Am 2013-08-23 09:59, schrieb Bernhard Reiter:
> > Es lohnt sich die Meldung des BSIs dazu genau zu lesen,
> > da die Journalisten eine Tendenz zur Verkürzung haben:
> > 
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/Windows_TPM_Pl_21082013.html
> >
> > "Das BSI warnt weder die Öffentlichkeit, deutsche Unternehmen noch die
> > Bundesverwaltung vor einem Einsatz von Windows 8. Das BSI sieht derzeit
> > jedoch einige kritische Aspekte im Zusammenhang mit bestimmten
> > Einsatzszenarien, in denen Windows 8 in Kombination mit einer Hardware
> > betrieben wird, die über ein TPM 2.0 verfügt."
> >
> > Natürlich stellt der Hinweis auf bestimmte Risiken auch eine "Warnung"
> > dar.
>
> Die wird aber im nächsten Absatz gleich wieder ausgehebelt:
> Für bestimmte Nutzergruppen kann der Einsatz von Windows 8 in
> Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten.

Wir mögen es vielleicht nicht gern wahrhaben, aber vermutlich ist es so.
Ein Gerät unter der Prämisse zu kaufen: "Hardwarehersteller X und 
Betriebssystemsoftwarehersteller Y, denen vertraue ich jetzt mal",
scheint mir durchaus eine verständliche Strategie bestimmter Nutzergruppen zu 
sein.

> Hierzu gehören Anwender, die sich aus verschiedenen Gründen nicht um die
> Sicherheit ihrer Systeme kümmern können oder wollen, sondern dem
> Hersteller des Systems vertrauen, dass dieser eine sichere Lösung
> bereitstellt und pflegt. Dies ist ein berechtigtes Nutzungsszenario, der
> Hersteller sollte jedoch ausreichende Transparenz über die möglichen
> Einschränkungen der bereitgestellten Architektur und mögliche Folgen des
> Einsatzes schaffen.

Es fehlt die Gebrauchsanleitung, halt so was wie: "Achtung Microsoft
ist unter amerkanischer Gesetzgebung gezwungen verdeckt mit der NSA zu 
kooperieren. Damit ist anzunehmen, dass ein NSA unterschriebenes Sonderbinary 
sich als eines von Microsoft ausgeben könnte ohne dass Sie es mit 
Microsoftboardmitteln bemerken. Eine Möglichkeit ihr eigenes 
Unternehmenszertifikat als Einziges einzuspielen haben sie nicht."

> Also: Ich vertraue MS und IBM/HP/Dell/Lenovo/... und alles ist in Butter.

Wer nicht weiß, wem er sonst vertrauen sollte und wem er welches Geld geben 
muss, damit es unabhängigere Überprüfungen gibt, der fährt damit 
wahrscheinlich sogar gut. Das schöne an der BSI Meldung ist, dass sie klar 
auch zeigt, das die Bedrohungsanalysen echt sind und Sicherheit nie absolut. 
Dann können die Nutzer mit Ihrem Geld (oder Komfort) entscheiden, was sie tun 
oder lassen möchten.

Gruß,
Bernhard
-- 
FSFE -- Gründungsmitglied der Vollversammmlung    blogs.fsfe.org/bernhard
Unterstütze Freie Software:  https://www.fsfe.org/support/support.de.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20130902/bc401956/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de