G 2.204 TPM-Nutzung

Das Trusted Platform Module (TPM) ist ein Hardware-Chip, der ein IT-System um grundlegende Sicherheitsfunktionen erweitert:

Das TPM ist dabei nicht an einen Benutzer gebunden, sondern an eine Hardware-Instanz, die vom Hersteller überprüft und mit den initialen Schlüsseln, den sogenannten Endorsement-Keys, versehen wird. Diese bilden die Basis für die Erstellung weiterer Schlüssel und verlassen niemals das TPM. Auch der Besitzer eines IT-Systems kann diese Schlüssel nicht einsehen oder ändern.

In Clients ab Windows Vista oder Servern ab Windows Server 2008 wird das TPM des Computers beispielsweise für die Festplattenverschlüsselung mit Bitlocker genutzt. In Clients ab Windows 8 ist das TPM des Computers im Auslieferungszustand aktiviert.

Mit aktiviertem TPM übernimmt das Betriebssystem auf Basis des eingebauten Chips während der Initialisierung die Oberhoheit über alle Sicherheitsfunktionen des IT-Systems. Durch die Einbindung eines Hardware-Chips besteht dabei die grundsätzliche Gefahr, dass Schwachstellen im Betriebssystem auch Auswirkungen auf Funktionen des TPM oder darin gespeicherte Daten haben können. In einem solchen Fall könnte das IT-System dauerhaft unbenutzbar werden. Durch die unzureichende Verfügungsgewalt des Eigentümers beziehungsweise der Institution über eigene Schlüssel kann der Zugriff auf mit diesem System geschützte Daten in einem solchen Fall permanent verhindert werden.

In vielen Konfigurationen kann das Betriebssystem ein zuvor ausgeschaltetes TPM selbst wieder einschalten. Dies kann auch erfolgen, ohne dass der Eigentümer oder Administrator dies bemerkt.

Das TPM kann auch von Herstellern genutzt werden, um Kopierschutzmechanismen zu realisieren. So können darüber die Hersteller von Betriebssystemen und Anwendungssoftware die Identität eines Endgerätes verifizieren und die Lauffähigkeit von Software, aber auch die Lesbarkeit kryptographisch gesicherter Daten, von Schlüsseln im TPM abhängig machen.

Es besteht hierbei für die Benutzer die Gefahr, dass Software durch den Hersteller nachträglich unbrauchbar gemacht wird, oder eine eingesetzte Software auf einem PC mit aktiviertem TPM ab einem bestimmten Zeitpunkt nicht mehr nutzbar ist. Durch eine von der anwendenden Institutionen nicht kontrollierbare Verschlüsselung von Daten kann erreicht werden, dass eine Rückgewinnung der Daten ohne Mitwirkung des Software-Herstellers, z. B. mit Methoden des Reverse Engineering, nicht mehr möglich ist. Auf diese Art kann z. B. eine Insolvenz des Softwareherstellers zu Datenverlusten bei allen Stellen führen, die die entsprechende Software einsetzen. Die Migration zu alternativen Softwareprodukten wird in solchen Szenarien ebenfalls erschwert ("Lock-In-Effekt").

Beispiele: