Laptop, Notebook oder Smartphone als Safe Was ist das Trusted Platform Module (TPM)?

Anbieter zum Thema

Dell GmbH

DataCore Software GmbH

Fujitsu Technology Solutions GmbH

Mit dem Trusted Platform Module (TPM) auf der Hauptplatine soll das jeweilige Endgerät sicher verriegelt werden. Der hardwarebasierte Sicherheitswall hat nicht nur Vorteile und eine Hundert-Prozent-Garantie für nachlässige Typen ist er auch nicht.

Sichere Endgeräte in Form von Desktop, Notebook, Tablet oder Smartphone sind das A und O eines sicheren Unternehmens. Unternehmensdaten und Unternehmensprozesse sind nur dann gegen Ausspähversuche und andere kriminelle Machenschaften immun, wenn der Endpoint „safe“ ist, sei es an der Fertigungsstraße, im (häuslichen) Büro oder unterwegs.

Eine Methode, den Endpoint „safe“ zu machen, besteht darin, ihn quasi als „Bank-Safe“ zu konzipieren. Der Verschlüsselungs-Chip „Trusted Platform Module“ (TPM) tut genau dieses.

Der TPM-Chip fungiert als Sicherheitsanker für alle Zertifizierungs-, Authentifizierungs- und Verschlüsselungs-Vorgänge. Der Pin zur Authentifizierung und Verschlüsselung ist an diese Hardware gebunden und nicht an den Benutzer, wie das beispielsweise bei einer Smartcard der Fall ist. Ein Cyber-Krimineller müsste also nicht nur den Pin-Code stehlen, sondern auch die dazugehörige Hardware, und er oder sie müssten überdies das biometrische Merkmal des Nutzers aushebeln, um die Hardware zu knacken.

Fest verankerte Nutzungsbedingungen

Das Trusted Platform-Module wird zumindest in Desktop- und Notebook-Profi-Produkten standardmäßig angeboten, auch bieten die wichtigen Mainboard-Hersteller eigentlich durch die Bank die Möglichkeit, den TPM-Chip zu integrieren. Der ursprüngliche TPM-Standard 1.2 wurde 2014 durch den Standard 2.0 abgelöst. Letzterer ist nicht rückwärtskompatibel.

TPM 2.0 spielt mit den Betriebssystemen „Windows “(ab Windows 8 beziehungsweise Windows Server 2008) und Linux (ab dem Linux-Kernel 4.0) zusammen. Bei Windows wird TPM unter anderem für die „BitLocker“-Laufwerksverschüsselung genutzt. Apple verbaute den TPM-Chip nur einige Jahre (2006 ff.), als die „MacBooks“ auf Intel-Architekturen beruhten.

Wenn die System-Software (das Betriebssystem beziehungsweise ein entsprechender Software-Stack) den TPM-Chip unterstützt, entsteht eine Trusted Computing-Plattform als sicherer Daten- und Rechner-Safe. Hersteller können mit einer solchen Plattform verhindern, dass die in diesem Safe, sprich im TPM-Chip, festgelegten Nutzungseinschränkungen umgangen werden. Der Anwender hat den Vorteil, dass sein System vor Manipulationen durch Software und Unbefugte geschützt ist. Durch so genannte Datenversiegelung (Data Sealing) können über den TPM-Chip sogar bestimmte Daten ausschließlich dem Rechner zugeordnet werden, auf dem dieser TPM-Chip sitzt.

Die Schlüsselhierarchie von TPM ist in dem Artikel „Was ist ein TPM?“ unseres Schwester-Portals Security-Insider dargestellt. Wir konzentrieren uns im Folgenden auf etwaige Problempunkte und eventuelle Schwachstellen von TPM, die in den letzten Jahren entdeckt wurden.

Schutzengel oder Gefängniswärter

Um das TPM zu nutzen, muss das Auslesen der auf dem Chip abgelegten Informationen zugelassen sein. Auf PC-Systemen lässt sich das Trusted Platform Module in den BIOS-Funktionen aktivieren oder deaktivieren. Wenn allerdings der TPM-Chip schon aktiviert an den Nutzer übergeben wird, ist es eine Frage der Perspektive, ob man den Chip als Schutzengel des Nutzers oder– um es mal sehr böse zu formulieren – als eine Art Gefängniswärter wahrnimmt.

Tatsächlich stellt ein vom Hersteller aktivierter TPM-Chip zusammen mit dem UEFI-Secure Boot-Feature von Microsoft eine erhebliche Einschränkung der Verfügungsmöglichkeiten des Nutzers über das Endgerät dar. Secure Boot soll bekanntlich Schadsoftware daran hindern, den Boot-Vorgang des Rechners zu manipulieren und so etwaige Sicherheitsmechanismen des Betriebssystems zu umgehen.

Umgesetzt wird dies durch einen digitalen Schlüssel. Software, die nicht über einen solchen Schlüssel verfügt, wird am Laden gehindert. Im Endeffekt heißt das, dass nicht nur Schadsoftware unterbunden wird, sondern dass auch „ganz nebenbei“ (?) Software-Konkurrenten von Microsoft und den großen Linux-Distributionen ausgeschaltet werden (können).

Im Prinzip wirft der TPM-Chip viele grundsätzliche Fragen auf, die einerseits kartellrechtlicher Natur als auch – wenn man so will - weltpolitischer Natur sind. Schließlich findet der Herstellungsprozess nicht unter UN-Kontrolle statt, sondern ist privatwirtschaftlich organisiert. Hintertüren verschiedener (staatlicher) Player können nicht ausgeschlossen werden, sollen aber durch dieses Caveat auch nicht insinuiert werden.

Der TPM-Fail von 2019

Verlassen wir dieses eher heikle Gelände, weil harte Fakten fehlen. Durchaus harte Fakten gibt es aber bezüglich technischer Sicherheitslücken beim TPM.

So wurde 2017 durch ein tschechisches Forscherteam eine Schwachstelle in TPM-Chips von Infineon entdeckt, über die mit einigem Aufwand aus dem öffentlichen Schlüssel der streng geheime private Schlüssel errechnet werden kann. Potenziell lassen sich dadurch Anmeldeinformationen stehlen, sensible Daten entschlüsseln oder auch Schadcode in digital siginierte Software einschleusen.

Hohe Wellen in der Fachpresse schlug auch der so genannte TPM-Fail von 2019, die bestimmte TPM-2.0-Chips der Firmen Intel und STMicroelectronícs sowie die weit verbreitete Firmware-TPM-Implementierung (fTPM) von Intel betraf. Bei dieser TPM-Lücke stand der private Schlüssel bei der ECDSA-Verschlüsselung „im Feuer“.

Die „gutartigen Hacker“ von Universitäten in Deutschland und den Vereinigten Staaten bauten ihren Angriff auf der Tatsache auf, dass sich OpenSSL für VPN-Verbindungen so konfigurieren lässt, dass es ECDSA-Signaturen des TPM verwendet. Dabei messen die Angreifer die Zeit aus, die das TPM für die Verarbeitung gezielter Signaturanfragen benötigt. Über eine schnelle Netzwerkverbindung führten die Angreifer mehrere Stunden so viele Zugriffe durch, dass sie aus den winzigsten Zeitunterschieden bei der ECDSA-Verarbeitung Rückschlüsse auf den geheimen Schlüssel ziehen konnten.

Die TPM-Lücke (die mittlerweile geschlossen ist) betraf zwar einerseits nur ECDSA-Signaturen (die zum Beispiel Bitlocker nicht nutzt), andererseits war das eigentlich Delikate der Lücke aber, dass beide affizierte Chips eine Common Criteria EAL4+-Zertifizierung hatten, ebenso die (militärische) amerikanische Zertifizierung FIPS-140-2. Alles ist eben zu knacken, der Angriff führte nach den damaligen Aussagen der White-Hat-Hacker in einigen Stunden zum Erfolg.

Physischer Angriff mit einem FPGA-Board

War beim TPM-Fail von 2019 Microsoft Bitlocker außen vor, nahm sich ein neuseeländischer White-Hat-Hacker im selben Jahr eben genau diese Festplattenverschlüsslung von Microsoft vor. Dem Sicherheitsspezialisten Denis Andzakovic gelang es, den Bitlocker-Schlüssel aus einem TPM-Modul auszulesen.

Der Angriff erfolgte allerdings notwendigerweise hautnah. Andzakovic dockte eine handelsübliche FPGA-Platine direkt an den PC mit dem TPM-Chip an. Konkret stellte der Sicherheitsspezialist die Verbindung zum TPM-Chip auf der Hauptplatine des PC über den Low Pin Count-Bus her. Benutzt hat der Cyber-Eindringling einen HP-Laptop mit TPM 1.2-Chip und einen Surface 3 Pro-Rechner mit TPM-2.0-Modul.

Durch die physische Attacke entstehen allerdings Spuren, aber das dürften Cyber-Kriminelle vermutlich in Kauf nehmen, wenn sie zum Beispiel an einen Bitcoin-Schlüssel gelangen wollen. Die gute Nachricht: Der beschriebene Angriff funktioniert nur bei Bitlocker-Standardeinstellungen, eine Pre-Boot-Authentifizierung lässt ihn ins Leere laufen. Insofern gilt auch hier die IT-Weisheit, dass die Weiterverwendung von Werkseinstellungen und ähnlichen Standard-Formaten in der IT immer ein Spiel mit dem Feuer ist.

(ID:47161708)