Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software c't 3003: Wie vernagelt ist Windows 11? | Kritik an TPM, DRM & Co

Was macht TPM 2.0 eigentlich konkret in Windows 11? Außerdem: Was das Ganze mit DRM zu tun hat und warum das so viele kritisieren.
Windows 11 ist veröffentlicht – und es wird viel kontrovers darüber diskutiert. Neben seltsamer Prozessor-Kompatibilität steht besonders TPM 2.0 im Fokus der Kritik. Warum das so ist, klärt c't 3003.


Transkript des Videos:

In diesem Video erkläre ich, wofür man eigentlich dieses TPM 2.0 in Windows konkret braucht und warum es so kritisiert wird. Und vor allem: Was passiert eigentlich, wenn ich es ausschalte? Was sagt Microsoft dazu? Ich versuche, das alles so leicht verständlich wie möglich hinzubekommen.

Liebe Hackerinnen, liebe Internetsurfer, herzlich willkommen bei c’t 3003.

Wir haben jetzt schon einige Videos zu Windows 11 gemacht, ich hoffe, ihr seid noch nicht genervt davon – aber so ein großes Windows-Update kommt ja schließlich auch nur alle paar Jahre; außerdem ist Windows auf 80 Prozent aller Rechner in Deutschland installiert; es sollte also Interesse bestehen. Ihr hattet allerdings bei unseren Videos kritisiert, dass wir zu zahm mit Microsoft umgehen und die Hardware-Anforderungen nicht stärker kritisieren.
Das Ding ist: Wir sind durchaus kritisch gegenüber Microsoft, aber vielleicht sollte man das Ganze auch etwas differenziert betrachten. Und das versuche ich jetzt mal.

Zuerst mal die Fakten: Windows 11 erfordert (zumindest theoretisch) ein sogenanntes Trusted Platform Module nach der Spezifikation TPM 2.0. Das ist ein zusätzlicher Sicherheits-Controller unabhängig vom restlichen System, also unabhängig von Hauptprozessor, RAM und Massenspeicher – obwohl er auch im Prozessor gleich eingebaut sein kann. Das TPM 2.0 kann Daten sicher und geschützt vor Malware abspeichern und einige kryptografische Operationen durchführen.

Ok, nochmal einfacher gesagt: Mit TPM 2.0 kann man Dinge abspeichern, auf die das restliche System keinen Zugriff hat – also Schadsoftware da nichts rummanipulieren kann.
Wichtig dabei: TPM 2.0 arbeitet komplett passiv, macht also von sich aus erstmal nix. Es kann den Bootvorgang und auch das Starten von Programmen nicht aktiv beeinflussen. In Zusammenarbeit mit der Secure-Boot-Funktion des BIOS – die auch für Windows 11 erforderlich ist – kann es allerdings verhindern, dass der Rechner bootet, wenn das BIOS von einer Malware manipuliert worden ist. Außerdem kann man mit dem Sicherheitschip die Bitlocker-Verschlüsselung von Windows sicherer machen und an die Hardware koppeln: Baut man die Festplatte aus, kommt man nicht mehr an die Daten. Beides ist definitiv sinnvoll. Übrigens: Geht das Mainboard kaputt, kann man die Verschlüsselung mit einem Wiederherstellungs-Schlüssel entschlüsseln.

Außerdem nutzt die Anmeldemethode Windows Hello [Lionel-Richie-Clip] auf Wunsch TPM. Auf Wunsch ist das Stichwort: Sowohl Bitlocker als auch Windows Hello [Lionel-Richie-Clip] funktionieren nämlich auch ohne TPM. Allerdings ist beides dann halt leichter angreifbar.

Es gibt bislang so gut wie keine frei verfügbare Software, die zwingend TPM voraussetzt; zu den wenigen gehört das Multiplayer-Spiel Valorant mit seinem Anti-Cheat-Tool Vanguard – seit Anfang Oktober 2021 startet Valorant nur mit aktiviertem TPM 2.0 und Secure Boot. Sonst gibt es noch Unternehmenssoftware, die TPM zwingend voraussetzt; aber das ist auch schon seit Langem so.
Ansonsten tut TPM in Windows 11 laut unserem Kenntnisstand zurzeit gar nix. Ich habe sicherheitshalber nochmal bei Microsoft gefragt, was es ganz konkret für Auswirkungen hat, wenn man als Privatmensch Windows ohne TPM verwendet. Daraufhin hieß es "Microsoft kommentiert das nicht" – und obendrein bekamen wir einen Link zu einem Microsoft-Support-Artikel, in dem erklärt wird, wie man Windows 11 ohne TPM installiert. Und auch wenn man natürlich betont, dass es zu Kompatibilitätsproblemen kommen kann und man ohne TPM nicht zwingend alle Updates bekommt, gibt Microsoft also selbst Tipps, wie man den TPM-Zwang ausschaltet.

Fakt ist: Zurzeit ist es nicht so, dass irgendwas ohne TPM nicht funktioniert. Dafür hat man mit TPM einige ganz konkrete Vorteile.

Denn: Physisch vom Rest des Rechners abgekoppelte Sicherheitschips wie TPM können den Betrieb eines Systems sehr viel sicherer machen. So haben zum Beispiel Android- und Apple-iOS-Smartphones solche Chips, um zum Beispiel kontaktlose Zahlungen abzusichern. Rein in Software umgesetzt wären Zahlungsanwendungen wie Apple und Google Pay vermutlich längst geknackt beziehungsweise würden gar nicht für Zahlungen in Geschäften zertifiziert. Bei MacBooks und iMacs gibt es auch so einen Sicherheitschip, da heißt der T2. Chromebooks von Google haben einen Sicherheitschip namens Titan C. Anders ausgedrückt: Alle anderen Mobil- oder Desktop-Betriebssysteme außer Windows (und Linux) nutzen seit langem Sicherheitschips – die sich dort nicht mal deaktivieren lassen. Ach so, und unter Linux gibt es übrigens auch immer mehr Software, die man mit dem TPM-Modul sicherer machen kann.
Ansonsten tut TPM in Windows 11 laut unserem Kenntnisstand zurzeit gar nix. Ich habe sicherheitshalber nochmal bei Microsoft gefragt, was es ganz konkret für Auswirkungen hat, wenn man als Privatmensch Windows ohne TPM verwendet. Daraufhin hieß es "Microsoft kommentiert das nicht" – und obendrein bekamen wir einen Link zu einem Microsoft-Support-Artikel, in dem erklärt wird, wie man Windows 11 ohne TPM installiert. Und auch wenn man natürlich betont, dass es zu Kompatibilitätsproblemen kommen kann und man ohne TPM nicht zwingend alle Updates bekommt, gibt Microsoft also selbst Tipps, wie man den TPM-Zwang ausschaltet.

Man kann seine Spiele zum Beispiel bei GOG kaufen, die machen grundsätzlich kein DRM.

Und wenn man Microsoft, Google oder Apple generell nicht vertraut, nutzt man einfach ein Open-Source-Betriebsystem wie Linux – da kann man sich im Zweifel den Sourcecode angucken und weiß genau, dass da keine Regierungs-Hintertür drin ist. Darum geht es letztendlich: Um Vertrauen. Und zumindest ich muss sagen, dass ich einem Windows-Betriebssystem ohne zusätzliche Sicherheitsmaßnahmen wie TPM, Secure Boot und Virtualization Based Security nicht mehr wirklich vertraue – dafür gab es in letzter Zeit zu viele Malware-Angriffe und Zero-Day-Exploits. Ein fester, manipulationssicherer Vertrauensanker ist heutzutage einfach wichtig.

Also: Wenn die Sicherheitsmaßnahmen mich davor schützen, überwiegen für mich die Vorteile. Falls die Sicherheitsmaßnahmen allerdings anfangen, gegen mich zu arbeiten – also mich mit DRM-Schrott nerven, dann werde ich auf ein DRM-freieres Betriebssystem wie Linux umsteigen. Und mach dann darüber ein Video – das könnte ich sowieso mal machen. Tschüß!
Quelle: c‘t

Edit by u : Doppelung entfernt
 
Zuletzt bearbeitet:
Oh hier wurde aber schlecht kopiert denn Teile des Textes sind absolut identisch :D

Ansonsten scheint das nur Werbung für den Chip zu sein ...
Microsoft hat nix zu verschenken und wenn die etwas "kostenlos" anbieten dann hat das auch einen guten Grund.
Diese Firma programmiert ja auch andere Sachen ... Spiele , Office etc. und das wird dann ebenfalls den Chip voraussetzen.

Ein Vertrauensanker ?
Wenn ich mich frei dafür entscheiden darf dann entsteht Vertrauen aber niemals durch zwang denn das schafft Angst ...
Eine Backdoor muss man ja nicht zwingend selbst als solche erkennen ...

Wie ich es anstellen würde:

Eine voll funktionsfähige Verschlüsselung ohne Hintertür - aber ich würde zum Bsp. den Zahlenraum für die Schlüssel begrenzen
so das ich max. 10.000.000 verschiedene Schlüssel verwende und da ich ja den Key im Chip integriere weis nur ich und mein Auftraggeber das es hier nur sehr wenige Schlüssel gibt die ich auch noch alle kenne und in einer Passwortliste habe.

Komme ich nun also an eine solche HDD ran kann ich diese dennoch teuer entschlüsseln :D
 
Nicht ein Privatanwender braucht diese angeblichen Sicherheitsfunktionen. Wer die Gefahren kennt, der sorgt selber für die Sicherheit. Wer sowieso keine Ahnung hat, der wird früher oder später immer auf den Mund fallen.

Onlinezwang und die Zwangsverknüpfung mit einem Microsofkonto sind ein absolutes NoGo. In wenigen Jahren oder schon eher wird man sehen, was man wirklich damit bezwecken wollte.


Gruß
 
Zurück
Oben