Dann hoffentlich wieder ohne TPM- Modul- Zwang?

Ich traue Microsoft nämlich nicht weit genug über den Weg, als daß ich ihnen Zugriff auf so ein mächtiges Stück Hardware geben möchte.

Und die GUI darf auch gern weniger Fallobst- mäßig aussehen, wenn ich bitten darf.
Als Kind der 90er bin ich eine durchgehende Taskleiste und kantige Fensterelemente gewohnt, und finde das sowohl praktischer als auch schöner.

Herr Unterfahren schrieb:
--------------------------------------------------------------------------------
> Ich traue Microsoft nämlich nicht weit genug über den Weg, als daß ich
> ihnen Zugriff auf so ein mächtiges Stück Hardware geben möchte.

Dann verwende kein MS-Betriebssystem, denn TPM wird nicht weggehen.

Herr Unterfahren schrieb:
--------------------------------------------------------------------------------
> Ich traue Microsoft nämlich nicht weit genug über den Weg, als daß ich
> ihnen Zugriff auf so ein mächtiges Stück Hardware geben möchte.

Achso, du verbietest es Microsoft also ganz bewusst, sicher sein zu wollen? Was ist das denn für eine kuriose Einstellung?

Entweder du nutzt es oder du nutzt es nicht.

> Und die GUI darf auch gern weniger Fallobst- mäßig aussehen, wenn ich
> bitten darf.
> Als Kind der 90er bin ich eine durchgehende Taskleiste und kantige
> Fensterelemente gewohnt, und finde das sowohl praktischer als auch schöner.

Achso, ganz vergessen dass Microsoft die Design-Trends des Systems natürlich auf "Kinder der 90er Jahre" auslegen muss. Das macht natürlich total Sinn, das sind natürlich die wichtigsten Kunden überhaupt!

Wie kommt man darauf, so einen Kommentar zu verfassen, was treibt jemanden dazu?

Muhaha schrieb:
--------------------------------------------------------------------------------
>
> Dann verwende kein MS-Betriebssystem, denn TPM wird nicht weggehen.
>
> Entweder du nutzt es oder du nutzt es nicht.
>

Besten Dank an die Presseabteilung von Microsoft.
Ich werde eure Eingaben in die Wahl meines nächsten Betriebssystems einbeziehen.


Aber hey: Wie haben es nur andere Betriebssysteme so lange geschafft, "sicher" zu bleiben, ohne TPM- Lock- In. Denkt mal drüber nach.

Herr Unterfahren schrieb:
--------------------------------------------------------------------------------

> Besten Dank an die Presseabteilung von Microsoft.
> Ich werde eure Eingaben in die Wahl meines nächsten Betriebssystems
> einbeziehen.

Dann mach das doch einfach.

> Aber hey: Wie haben es nur andere Betriebssysteme so lange geschafft,
> "sicher" zu bleiben, ohne TPM- Lock- In. Denkt mal drüber nach.

Und wieso gibt es TPM-Support auch für andere Betriebssysteme?
Denk mal drüber nach ...



1 mal bearbeitet, zuletzt am 04.07.23 11:44 durch Muhaha.

Ich denke und komme zu dem Ergebnis:

Die einzigen drei relevanten Consumer-OS sind MacOS, Linux und Windows.
MacOS hat ebenfalls eine Firmware-basierte Security (spontan fällt mir der T2 Security Chip ein) und bei Linux gehört es zum Guten Ton alles dicht zu machen, was aber in der Hand des Nutzers liegt, also nix für Amateure.

Also auch andere Systeme verwenden ähnliche Systeme zur Absicherung oder erwarten mehr Know How vom Anwender.

Naja ich finde es zumindest bei VMs oder privaten Stand-PCs eher lächerlich.
Bei Notebooks oder Firmenrechnern dagenen wieder vernünftig.

Ganz ehrlich was soll ich bei einem Gaming PC mit TPM?

Herr Unterfahren schrieb:
--------------------------------------------------------------------------------
> Ich traue Microsoft nämlich nicht weit genug über den Weg, als daß ich
> ihnen Zugriff auf so ein mächtiges Stück Hardware geben möchte.
Du hast keine Ahnung davon, was das TPM macht, oder wie es heutzutage eingesetzt wird, oder?

Es ist ein Chip auf dem Mainboard oder auf der CPU, in dem geheim zu bleibende Datensätze wie kryptographische Schlüssel gespeichert werden können, oder das Datensätze mit den in ihm gespeicherten Schlüsseln ver- oder entschlüsseln kann, und es kann Hashes berechnen. Es ist nicht der allmächtige Versklavungs-Chip, den man aus den Schlagzeilen zu Windows Vista kennt. Liest man heute die damaligen Schlagzeilen, sieht man, dass das nicht Wirklichkeit geworden ist.

Ein TPM ist passiv. Es beinhaltet keine Hardware, um Operationen auf dem Rechner zu verweigern. Es ist nur ein Prozessor für kryptographische Operationen, so wie früher der externe mathematische Co-Prozessor für Fließkomma-Arithmetik.

Ich kann auch heute noch Secure Boot wahlfrei jederzeit ein- und ausschalten.
Ich kann auch heute noch das TPM komplett resetten und alle Daten daraus entfernen.
Ich kann auch heute noch jedes Betriebssystem auf meinen gerade frisch gekauften Rechner installieren, das ich will.
Ich kann auch heute noch jeden DRM-freien Medien-Inhalt anschauen, den ich auf meinem Rechner gespeichert habe. Was DRM-verseuchte Medien angeht, da kommts halt drauf an, aber es hindert einen niemand, nur DRM-freie Medien zu verwenden.

Heutzutage dient er tatsächlich dem Benutzer. Wenn es das Betriebssystem unterstützt, sichert es über Secure Boot den Bootvorgang gegen Malware ab. Es speichert den Bitlocker-Schlüssel für Windows, so dass niemand den Festplatteninhalt entschlüsseln kann, der nur eine raw Kopie der Festplatte zieht ohne das TPM mitzuklauen. Er speichert die Hello-PIN Info (also das verwendete Windows Passwort).
Wie das mit der Unterstützung in Nicht-Windows Betriebssystemen aussieht, weiß ich nicht genau, aber wenns ein nicht-Windows Betriebssystem einfach nicht verwendet, dann mischt sich das TPM auch nicht ein. Es ist ein rein passives Bauteil.

Wenn du Microsoft nicht vertraust, dann solltest du gar kein Microsoft-Betriebssystem verwenden. Denn dann würdest du ja nicht darauf vertrauen, dass Microsoft sonst keine Backdoor eingebaut hat, die sowieso alle Sicherheitsfunktionen umgeht. Und man verwendet kein Betriebssystem, von dem man annimmt, dass es kompromittierte Sicherheitsfunktionen hat, denn das ist unsicher.

>Die einzigen drei relevanten Consumer-OS sind MacOS, Linux und Windows.

Auf dem Desktop sind eigentlich nur zwei relevant. Denn Nummer 3 bis Nummer 603 ist nichts für Consumer.

Ich finde den Zwang allerding (speziell für private PCs) eher lächerlich.
Eine Empfehlung oder auch ein Zwang der am Computertyp bzw. Edition des BS gekoppelt ist, fände ich da besser.
Auf einer ESXi free kann man zB Win11 nur mit Tricks installieren, weil die Emulation nur mit einem vSphere Center geht.

Das einig Positive an dem Zwang ist, dass ich dadurch das Update auf 11 mit meinem privaten PC verhindern konnte (Einfach im BIOS deaktiviert ^^).

ovbspawn schrieb:
--------------------------------------------------------------------------------
> Auf einer ESXi free kann man zB Win11 nur mit Tricks installieren, weil die
> Emulation nur mit einem vSphere Center geht.

Das ist tatsächlich ärgerlich. Das Problem habe ich auch auf meinem Bastel-/Labor ESXi. Bislang kann man das zwar bei der Installation mit einem geeigneten Patch umgehen, aber es fehlt dann halt ein relevanter Dienst.

Die einzigen drei relevanten Consumer-OS sind MacOS, ChromeOS und Windows.

Software TPM tut es i.d.R. auch, vermeidet aber, dass ich einwandfrei funktionierende HW entsorgen muss

Die Art wie MS mit TPM per default umgeht ist nur leider für die Tonne. Wer sich dann darauf verlässt, dass es sicher wäre, weil MS das behauptet, kann seine Daten auch ausdrucken und mit dem Flugzeug verteilen.

Richtig gute Idee, den guten Vorstoß für mehr Security von MS schlecht reden, weil man es nicht versteht…
Das ist genau so traurig, wie die Leute, die nicht verstehen, dass die einzig richtige UAC Einstellung die maximale ist und bei MS so lange gemeckert haben, bis das nicht mehr by default so ausgeliefert wurde. Ich hoffe Microsoft erzwingt nicht nur die Existenz und die Aktualität eines TPMs sondern auch weiterer Security relevanter Komponenten beim nächsten System.

ovbspawn schrieb:
--------------------------------------------------------------------------------
> Naja ich finde es zumindest bei VMs oder privaten Stand-PCs eher
> lächerlich.
> Bei Notebooks oder Firmenrechnern dagenen wieder vernünftig.
>
> Ganz ehrlich was soll ich bei einem Gaming PC mit TPM?

Sicherheit für die privaten Daten des Benutzers? Also jetzt mal echt, du bist doch IT-Profi oder nicht?

Merkst du eigentlich dass du dir widersprichst? Einerseits behauptest du TPM wäre rein passiv und im SELBEN Satz sagst du, es wäre ein Prozessor.
Dann reitest du darauf rum, dass du das alles abschalten kannst. Ja, NOCH. Genau DAS will MS aber ändern.

Ah, ChromeOS ist noch nicht auf dem Desktop angekommen. Aber sie arbeiten dran. Und das könnte echt was werden. Exciting Times :)

tertius schrieb:
--------------------------------------------------------------------------------
> Herr Unterfahren schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ich traue Microsoft nämlich nicht weit genug über den Weg, als daß ich
> > ihnen Zugriff auf so ein mächtiges Stück Hardware geben möchte.
> Du hast keine Ahnung davon, was das TPM macht, oder wie es heutzutage
> eingesetzt wird, oder?
>
> Es ist ein Chip auf dem Mainboard oder auf der CPU, in dem geheim zu
> bleibende Datensätze wie kryptographische Schlüssel gespeichert werden
> können, oder das Datensätze mit den in ihm gespeicherten Schlüsseln ver-
> oder entschlüsseln kann, und es kann Hashes berechnen. Es ist nicht der
> allmächtige Versklavungs-Chip, den man aus den Schlagzeilen zu Windows
> Vista kennt. Liest man heute die damaligen Schlagzeilen, sieht man, dass
> das nicht Wirklichkeit geworden ist.
>
> Ein TPM ist passiv. Es beinhaltet keine Hardware, um Operationen auf dem
> Rechner zu verweigern. Es ist nur ein Prozessor für kryptographische
> Operationen, so wie früher der externe mathematische Co-Prozessor für
> Fließkomma-Arithmetik.
>
> Ich kann auch heute noch Secure Boot wahlfrei jederzeit ein- und
> ausschalten.
> Ich kann auch heute noch das TPM komplett resetten und alle Daten daraus
> entfernen.
> Ich kann auch heute noch jedes Betriebssystem auf meinen gerade frisch
> gekauften Rechner installieren, das ich will.
> Ich kann auch heute noch jeden DRM-freien Medien-Inhalt anschauen, den ich
> auf meinem Rechner gespeichert habe. Was DRM-verseuchte Medien angeht, da
> kommts halt drauf an, aber es hindert einen niemand, nur DRM-freie Medien
> zu verwenden.
>
> Heutzutage dient er tatsächlich dem Benutzer. Wenn es das Betriebssystem
> unterstützt, sichert es über Secure Boot den Bootvorgang gegen Malware ab.
> Es speichert den Bitlocker-Schlüssel für Windows, so dass niemand den
> Festplatteninhalt entschlüsseln kann, der nur eine raw Kopie der Festplatte
> zieht ohne das TPM mitzuklauen. Er speichert die Hello-PIN Info (also das
> verwendete Windows Passwort).
> Wie das mit der Unterstützung in Nicht-Windows Betriebssystemen aussieht,
> weiß ich nicht genau, aber wenns ein nicht-Windows Betriebssystem einfach
> nicht verwendet, dann mischt sich das TPM auch nicht ein. Es ist ein rein
> passives Bauteil.
>
> Wenn du Microsoft nicht vertraust, dann solltest du gar kein
> Microsoft-Betriebssystem verwenden. Denn dann würdest du ja nicht darauf
> vertrauen, dass Microsoft sonst keine Backdoor eingebaut hat, die sowieso
> alle Sicherheitsfunktionen umgeht. Und man verwendet kein Betriebssystem,
> von dem man annimmt, dass es kompromittierte Sicherheitsfunktionen hat,
> denn das ist unsicher.

Du hast scheinbar selber keine Ahnung wovon du redest. TPM suggeriert sicherheit.
Allerdings ist es zimlich einfach einen TPM Chip auszulesen. (Ja man muss löten o. ä (Korrektur muss man nicht. sucht mal nach "Trusted platform module security defeated in 30 minutes, no soldering required")) Dann doch lieber Zero Trust
und die Keys bei jedem Boot manuel eingeben => Siehe Linux & BTRFS.
Wirkliche Sicherheit wirst du von Microsoft nicht bekommen. Allein schon wegen den geheimdiensten.



2 mal bearbeitet, zuletzt am 06.07.23 10:08 durch Ali_Abudabdamad.