Cryptography Reference
In-Depth Information
Schlüssel an das TPM weiter und erhält den Schlüssel im Klartext zurück.
Anschließend kann sie die Mail selbst entschlüsseln. Auf ähnliche Weise kann
Alice auch beliebige Daten mit einem privaten RSA-Schlüssel auf dem TPM sig-
nieren. Falls das TPM außer RSA noch andere asymmetrische Verfahren unter-
stützt, kann sie auch diese nutzen. Beachten Sie, dass Alice für solche Signier- und
Entschlüsselungsaktivitäten keinen der drei genannten Schlüsseltypen verwendet.
Eine weitere Funktion, die das TPM bietet, ist ein Hardwarezufallsgenerator.
Da der Speicherplatz auf dem TPM begrenzt ist, kann Alice nicht beliebig
viele Schlüssel darauf speichern. Das TPM unterstützt jedoch das sichere Ausla-
gern von Schlüsseln und anderen TPM-Inhalten. Dazu wird der bereits erwähnte
Storage Root Key verwendet. Wenn es eine Bit-Folge auszulagern gilt, dann gene-
riert das TPM zunächst einen symmetrischen Schlüssel und verwendet diesen, um
die Bit-Folge zu verschlüsseln. Anschließend wird der symmetrische Schlüssel mit
dem Storage Root Key verschlüsselt (es handelt sich also um ein Hybridverfah-
ren). Die verschlüsselte Bit-Folge sowie der verschlüsselte Schlüssel werden
außerhalb des TPM im ungeschützten Speicher des Computers abgelegt.
Das TPM und das Sicherheitsproblem
Eine Standardanwendung des TPM ist der Virenschutz durch sicheres Hochfah-
ren eines Computersystems. Hierbei generiert der nach dem Starten ausgeführte
Bootcode mithilfe des TPM einen Hashwert der wichtigsten Computergrund-
einstellungen und speichert diesen in einem PCR. Anschließend startet der
Betriebssystemlader und generiert einen Hashwert der für ihn wichtigen Daten
und speichert ihn in einem weiteren PCR. Ähnlich verfahren anschließend das
Betriebssystem selbst und die verschiedenen Betriebssystemkomponenten. Wenn
das Betriebssystem schließlich läuft, ist eine Reihe von Hashwerten in den PCRs
gespeichert, die sich nicht mehr ändern lassen - auch nicht von einem Virus.
Mithilfe dieser Hashwerte lässt sich jederzeit feststellen, ob sich an den Wer-
ten, die als Urbild in die Hashfunktion eingegangen sind, etwas geändert hat. Ist
dies der Fall, dann bedeutet dies, dass ein Hacker, ein Virus oder auch ein Defekt
Konfigurationseinstellungen oder ausführbaren Code verändert hat. Diese verän-
derte Stelle kann man anschließend isolieren oder mithilfe archivierter Daten in
den ursprünglichen Zustand ersetzen.
Damit eine sichere Überprüfung der PCR-Inhalte möglich ist, kann das TPM
diese mithilfe eines Attestation Identity Key signieren. Dies ist technisch gesehen
kein größeres Problem. Schon eher problematisch ist dagegen die Frage, woher
der Empfänger den öffentlichen Schlüssel kennt und weiß, dass es tatsächlich der-
jenige ist, der zum TPM gehört. Dieses Problem kann beispielsweise mithilfe
einer Public-Key-Infrastruktur gelöst werden (siehe Teil 4 dieses Buchs), indem
eine CA ein digitales Zertifikat für einen Attestation Identity Key ausstellt.
