In Silizium gegossenes digitales „Grundvertrauen“ Was ist Silicon Root-of Trust?

Anbieter zum Thema

Dell GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

VMware Global Inc Zweigndl. Deutschland

Intel Deutschland GmbH

Intel Corp.

Totale Sicherheit gibt es nicht. Schon gar nicht in der IT. Aber es gibt ein induktiv konstruierbares Vertrauen. Die Firmware der Server muss durch einen in Silizium eingebrannten Fingerabdruck abgesichert werden, dann sollten auch die höheren Systemebenen und die Anwendungen „safe“ sein.

Der mittlerweile in die Jahre gekommene Comic-Leser weiß es noch aus seinen Jugendtagen: Wer gigantische Barschaften auftürmt wie Onkel Dagobert, der kriegt es recht schnell mit den Jungs von der Panzerknacker AG zu tun.

In heutigen bargeldlosen Umgebungen ist das nicht anders. Alle Komponenten in Computersystemen sind - von den Anwendungen über die Virtualisierungsmechanismen (Hypervisoren) und Gerätetreiber bis in die verschiedenen „Abteilungen“ des Betriebssystemkerns - Ziele von Angriffen. Besonders perfide sind dabei Attacken auf die Firmware, also die hardwarebasierte Grundlage des Systems.

Schadsoftware, so genannte Root Kits, mit denen man Privilegien im innersten Bereich des Systems erlangt, kann alle anderen darüber liegenden Schichten infizieren. Es liegt also nahe, diese potenzielle „Wurzel alles Übels“ besonders gut zu sichern, am besten mit einem eigenen (programmierbaren) Chip, in den ein kryptografischer Algorithmus fest eingebrannt ist.

UEFI Secure Boot: Was, wenn die Signaturen gefälscht sind?

Dieser Chip ist dann so etwas wie ein in Silizium gegossenes digitales Grundvertrauen (Silicon Root-of-Trust). Mittlerweile sind verschiedene Implementierungen im Einsatz, die einen solchen Vertrauensanker technisch umsetzen, zum Beispiel mit UEFI Secure Boot.

Das ist ein fakultatives Element des Unified Extensible Firmware Interface (UEFI). Es soll sicherstellen, dass der Server nur mit Software startet, die vom Hersteller als vertrauenswürdig eingestuft wird. Beim Starten des Servers überprüft daher die Firmware die Signatur jeder einzelnen Boot-Software, einschließlich des Bootloaders und der Firmware-Treiber, die den Systemkern und die Betriebssystemtreiber steuern. Wenn die Signaturen in Ordnung sind, bootet der Server und die Firmware übergibt die Kontrolle an das Betriebssystem.

Das ist schön und gut, aber wie viel ist dieser Vertrauensanker wert, wenn die Server-Firmware längst gekapert ist und die Signaturen gefälscht sind. Dann ist das ganze schöne Absicherungsprozess „für die Katz“. Keine unmittelbare Implementierung eines Silicon-Root-of-Trust-Mechanismus stellt das Trusted Platform Module (TPM) dar, das schon vor einigen Jahrzehnten entwickelt worden ist. Es soll aber doch kurz vorgestellt werden, da es zumindest in einer Implementierung eine Rolle spielt (siehe: unten).

Intel TXT: Was, wenn der Server schon infiziert ist?

TPM lässt sich auf PC-Systemen in den BIOS-Funktionen aktivieren oder deaktivieren. Oft wird allerdings der TPM-Chip schon aktiviert an den Nutzer übergeben. Ein solcher vom Hersteller aktivierter TPM-Chip stellt zusammen mit dem UEFI-Secure Boot-Feature von Microsoft eine erhebliche Einschränkung der Verfügungsmöglichkeiten des Nutzers über das Endgerät dar. Denn ein solcherart aktiviertes TPM kann (muss aber nicht) das Laden jeglicher Software, die vom Hersteller als „unangemessen“ eingestuft wird, verhindern.

Aber das ist hier nicht der Punkt. Wichtig in unserem hier diskutierten Zusammenhang ist die Tatsache, dass der Boot-Block als Teil der Firmware, der die ersten von der CPU ausgeführten Befehle enthält, die Grundlage für das Vertrauen bilden soll. Aber wer garantiert, dass diese Komponente einen wahrheitsgemäßen Status an das TPM sendet?

Letzteres ist auch der Knackpunkt bei der „Trusted Execution Technology“ (TXT) von Intel. Intel TXT verwendet ein TPM zum Speichern von Softwaremessungen und will auf diese Weise einen vertrauenswürdigen Weg für das Laden und Ausführen von Systemsoftware zu bieten, beispielsweise für den Betriebssystemkern oder den Virtualization Machine Monitor (VMM).

Intel TXT macht aber keine Annahmen über den Zustand des Systems, bevor die Software geladen wird. Dadurch kann es passieren, dass ein Betriebssystem oder eine Virtualisierungsmaschine auf einen durch Bootsektor-Viren infizierten Server gelangen.

Intel Boot Guard: Deutliche Fortschritte in der Sicherheit

Eine recht interessante Implementierung von Silicon Root-of-Trust stellt das „Boot Guard“-Angebot von Intel dar. Die Sicherheit des verifizierten Boot-Vorgangs beruht auf einem Schlüsselpaar, das der jeweilige Server-Hersteller erzeugt.

Konkret generiert der Server-Lieferant einen 2048-Bit-Schlüssel, der nur für die Verifizierung des ersten Boot-Blocks verwendet wird und dessen privater Teil sicher aufbewahrt werden muss. Der öffentliche Teil des Schlüssels wird dann während des Herstellungsprozesses in freiprogrammierbare Schaltkreise (FPGA) quasi eingebrannt; denn programmiert werden solche Schaltkreise durch das Durchtrennen von Sicherungen (Fuses), so dass keine Änderungen vorgenommen werden können, nachdem die Schaltkreise einmal beschrieben worden sind.

Die Boot Guard-Funktionalität von Intel authentifiziert jedoch nur einen kleinen Teil des BIOS (den BIOS-Bootblock). Zwar können Implementierungen auch das gesamte BIOS authentifizieren, müssen es aber nicht. Und Boot Guard authentifiziert auch nicht die Controller-Firmware der Hauptplatine (Baseboard Management Controller.

Darüber hinaus gibt es auch bei Boot Guard das Problem, dass die verwendeten Hash-Werte und öffentlichen Schlüssel in den OEM-Fabriken installiert werden müssen. In diesem Bereich gibt es zumindest gewisse Angriffsmöglichkeiten, nicht zuletzt auf die oben erwähnte Firmware des Management-Controllers auf der Hauptplatine.

HPE Silicon Root of Trust: Die bisher beste Lösung

Das Silicon Root-of-Trust-Konstrukt von HPE setzt bei der Vertrauenswürdigkeit nun genau auf dem Baseboard Management Controller der Server auf. Die Hardware von HPE bietet Schutz, sobald der Server eingeschaltet und die „Integrated Lights-Out 5“ (iLO 5)-Firmware für HPE Gen10-Server aktiviert wird.

Beim Start wird der im Silizium abgelegte unveränderliche Fingerabdruck identifiziert, der bestätigt, dass der gesamte Firmware-Code gültig und nicht verändert worden ist. Dabei werden mehr als eine Million Zeilen Firmware-Code ausgeführt, bevor das Betriebssystem gestartet wird.

Hundertprozentige Sicherheit gibt es auch hier nicht, aber die schiere Zahl an Codezeilen und die Systemtiefe, in der hier operiert wird, ist doch eine gute Basis für das Vertrauen, dass die „Wurzel des Systems“ nicht faul ist. Das Vertrauen kann noch einmal mehr dadurch gestärkt werden, dass die Silicon Root-of-Trust-Technologie in Verbindung mit Lösungen eingesetzt wird, die weiter oben im Stack und über die Geräte hinweg Sicherheitsprüfungen vornehmen und die Prüfergebnisse zusammenführen und entsprechend bewerten.

Klar ist, dass auch ausgefeilte Silicon Root-of-Trust-Methoden wie HPE Silicon Root of Trust trotz ihrer „Silizium-Materialität“ in letzter Konsequenz nur ein gesellschaftliches Konstrukt sind, an deren letzter Stelle MENSCHEN stehen. Man darf nicht naiv sein: auch ein Zwölf-Augen-Prinzip ist nichts wert, wenn die Augen sechs verschworenen Panzerknackern gehören.

(ID:49051398)