TPM

[Ferdinand Pöll]

Hallo zusammen, 

Am Mittwoch, dem 30.06.2021 um 11:27 +0200 schrieb JokerGermany:
> Mit Windows 11 kocht das Thema gerade wieder auf, weil vermutlich viele
> Hardware für Windows unbrauchbar ist.
> In meiner Familie wären es 5 von 7 Geräten oO
> Ich habe gerade erst ein 10 Jahre altes Notebook wieder fit für
> jemanden gemacht. Gott sei Dank habe ich diejenige auf Linux
> umgestellt. Ich persönlich bin der Meinung, dass ein Dual Core mit
> Mindestens 2 Ghz auch heute noch gut als Office Gerät herhalten kann
> und sehe diese Verschwendung daher als kritisch an.

Viele Hardwarekäufe sind ja wegen der Möglichkeit für den Anwender,
kostenlos auf Windows 10 zu wechseln, zurückgehalten worden. Früher
haben sich einige, nur um das neueste Windows zu bekommen, einen neuen
PC gekauft. Jetzt fällt es eben deutlicher auf, weil man zwar selbst
upgraden kann, aber eben nur, wenn die Hardware jung genug ist.

Die Umstellung auf modernere CPUs ist übrigens gar nicht so abwegig:
Bei den fraglichen Generationen wurden Befehlssatzerweiterungen
eingeführt (insb. AVX2), die einige Aufgaben stark beschleunigen
können, sofern die Software sie nutzt. M.W. kann der Linux-Kernel und
Standard-Systemwerkzeuge der meisten Linuxdistributionen erkennen, ob
entsprechende Erweiterungen vorhanden sind, und nutzen sie in besonders
performancekritischen Bereichen. Dennoch gibt es weiteres
Optimierungspotential, das nur ausgeschöpft werden kann, wenn
sichergestellt ist, dass die fraglichen Befehle verfügbar sind. Einige
Linux-Distributionen bieten deshalb bereits verschiedene Kernels (und
auch unterschiedliche Versionen anderer kritischer Pakete) mit
verschiedenen Mindestanforderungen an die CPU an, oder diskutieren
darüber, ob sie es tun wollen. Die Grenze liegt dabei oft genau dort,
wo auch Microsoft jetzt seine Mindestvoraussetzungen legen möchte. Der
Grund, warum Microsoft hier keine zweite Variante von Windows anbietet,
ist wahrscheinlich, dass man erkannt hat, hier nicht nur Kosten sparen
zu können (ist bei der Kompilierung von Updates und beim Testen nicht
unerheblich), sondern ohne Mehraufwand auch den Hardwareherstellern ein
Geschenk machen kann. 

> Auch technisch gab es einiges an TPM zu kritisieren, wenn ich das
> richtig in Erinnerung habe.
> 
> Was haltet ihr von TPM?

TPMs sind ganz interessante Bauteile, mit denen sich viel machen lässt.
Windows setzt sie hauptsächlich für die automatische Entsperrung eines
mit BitLocker verschlüsselten Systemdatenträgers ein, da so
sichergestellt werden kann, dass das Modul den Schlüssel nur dann
freigibt, wenn das System sich vorher in einem zulässigen Zustand
befindet (also ohne Rootkit etc.). Dieser Anwendungsfall kann auch mit
der Festplattenverschlüsselung in Linux genutzt werden (LUKS),
wenngleich die Einrichtung mangels einfacher Tools, die das auf
Knopfdruck übernehmen können, etwas aufwendiger ist. 

Ein ebenfalls sehr interessanter Anwendungsfall für TPMs ist die
Erkennung bzw. Abwehr von Evil-Maid-Angriffen. Dazu gibt es aus dem
Qubes OS Umfeld ein Werkzeug, dessen Funktionsweise hier beschrieben
ist: https://blog.invisiblethings.org/2011/09/07/anti-evil-maid.html

Im Private Cloud Bereich sind TPMs auch ganz interessant, weil sich auf
deren Basis Lösungen umsetzen lassen, die dem Kunden nachweisen können,
dass der Rechenzentrumsbetreiber seine Daten in Ruhe gelassen hat. Im
Zusammenhang mit AMDs Secure Encrypted Virtualization auf EPYC-
Prozessoren wird das Thema noch eine Stufe interessanter. 

Einen kundenfreundlicher Grund, warum man TPMs für eine neue Windows-
Version voraussetzen sollte, fällt mir nicht ein. Wenn der Kunde
Festplattenverschlüsselung mit measured boot haben will, dann kann er
sich ja selbst einen Rechner mit TPM aussuchen. Mir fallen nur zwei
mögliche Beweggründe ein: 
 - Nutzung gegen den Kunden (z.B. im Zusammenhang mit Aktivierung)
 - Zwang, neue Hardware zu kaufen (was durch die CPU-Anforderungen aber
auch schon erreicht wird). 

Viele Grüße

Ferdinand