Im Ernst? "TPMs werden eher selten für kritische Applikationen genutzt"

Der Autor meint im Artikel " Trotz ihrer Verbreitung werden die Chips eher selten für kritische Applikationen genutzt,...".

Keine Ahnung was hiermit genau gemeint ist, aber im Enterprisebereich ist Bitlocker über einen TPM nicht gerade selten anzutreffen. Natürlich kann man sich darüber streiten, ob der Schutz von Firmengeheimnissen eine kritische Applikation ist...

So ist es, eine Bitlockerverschlüsselung mit einem TPM Chip ist auch bei größeren Firmen häufig im Einsatz. Dazu zählen auch mobile Geräte von Banken.

Es hätte besser heißen sollen "sollten nicht für kritische Applikationen genutzt werden". Denn irgend ein Hardwarechip von einem Hersteller aus der USA, wo man weiß, dass Unternehmen per geheimen Gerichten (NSL) dazu verdonnert werden Hintertüren einzubauen und Daten weiterzugeben und deren Geheimdienste mehrfach durch Wirtschaftsspionage aufgefallen sind ... nicht gerade etwas, das man in kritischer Infrastruktur einsetzen sollte. Für Bitlocker gilt ja das Gleiche.

Ich möchte ja jetzt niemandem auf die Füße treten, aber so ein Laptop ist eine Menge, jedoch kein kritisches System. Gerade Banken und Co arbeiten in zentralen Server-Strukturen und da liegt letztlich nichts auf dem Laptop. Diesen zu kompromittieren bringt also nur sehr wenig.

Das Ganze gedacht für einen Gateway-Server bringt ganz andere Szenarien und Gefahren... das sind kritische System und genau dort werden TPMs nicht genutzt.

Welche Version der TPM Chips betrifft das denn?

Meiner Information her betrifft das nur ältere Version. Ab einer bestimmten Version des Chips sollte dieser "sicher" sein.

Laut theregister#.#co#.#uk#/#2019#/#11#/#12#/#don (doppelkreuze entfernen) betrifft es nur die neueste Version (2.0) und dort nur die Algorithmen für Elliptic Curve Crypto. Die 1.2 hat je keine Ellipsencrypto.

Ob andere Algorithmen betroffen sind wurde wohl nicht getestet, was nicht heißt, dass sie sicher sind.



1 mal bearbeitet, zuletzt am 13.11.19 15:24 durch wurstdings.

wurstdings schrieb:
--------------------------------------------------------------------------------
> Es hätte besser heißen sollen "sollten nicht für kritische Applikationen
> genutzt werden". Denn irgend ein Hardwarechip von einem Hersteller aus der
> USA, wo man weiß, dass Unternehmen per geheimen Gerichten (NSL) dazu
> verdonnert werden Hintertüren einzubauen und Daten weiterzugeben und deren
> Geheimdienste mehrfach durch Wirtschaftsspionage aufgefallen sind ... nicht
> gerade etwas, das man in kritischer Infrastruktur einsetzen sollte. Für
> Bitlocker gilt ja das Gleiche.

TPMs gibt es auch von Infineon und als "Hersteller aus der USA" würde oich sie jetzt nicht bezeichnen.

Dass Bitlocker von Microsoft und damit "amerikanisch" ist lässt sich jedoch schwer bestreiten. Allerdings sind Hintertüren in Software nicht so einfach zu verstecken.

wurstdings schrieb:
--------------------------------------------------------------------------------
> Laut theregister#.#co#.#uk#/#2019#/#11#/#12#/#don (doppelkreuze entfernen)
> betrifft es nur die neueste Version (2.0) und dort nur die Algorithmen für
> Elliptic Curve Crypto. Die 1.2 hat je keine Ellipsencrypto.

Dann würde die Aussage im Artikel schon mehr sinn machen. Wäre mal interessant, ob die neue Windows-Verschlüsselung (neben Bitlocker gibt es jetzt noch eine zweite genannt "Geräteverschlüsselung" die sogar unter bestimmten Bedingungen sogar offiziell auf Win10 Home funktioniert) betroffen ist. Diese benötigt nämlich explizit ein TPM 2.0.

Siehe docs.microsoft.com/de-de/windows/security/information-protection/tpm/tpm-recommendations#tpm-20-kompatibilität-für-windows10

Wenn man Bitlocker einsetzt, setzt man sowieso auf Microsoft (USA) Produkte, da ist es beim TPM dann auch egal. Und ich vermute mal, die meißten Enterprise Kunden setzen Bitlocker als Diebstahlschutz ein und nicht gegen Industriespionage eines anderen Staates. Dagegen kann man eh relativ wenig ausrichten, wenn sie deine Daten wirklich wollen^^

Das sehen aber viele große Firmen anders. Sowohl Bitlocker als auch andere Mechanismen, welche auf TPM setzen werden dort als kritisch angesehen bzw. sind Teil der Compliance die manche Bereiche erfüllen müssen (Banken, Behörden usw.)

Zudem darf man nicht vergessen TPM Chip wird auch für Credential Guard genutz. Zudem kann und wird es bei Servern eingesetzt. Auch Microsoft setzt es in Azure ein.

Folgende Szenarien fallen mir auf Anhieb ein:
- Credential Guard
- Bitlocker
- Windows Hello/Windows Hello for Business
- Virtualisierung (Hyper-V)
und das ist bei Weitem nicht alles.

GProfi schrieb:
> TPMs gibt es auch von Infineon und als "Hersteller aus der USA" würde oich
> sie jetzt nicht bezeichnen.
Naja in den meisten Fällen läuft Windows im Bussinesbereich auf Intel-Chips und deren Implementation des TPM ist ja betroffen.