13

AMD goes Trusted Computing: "TrustZone" ab 2014 in allen AMD-Prozessoren

Auf die Gefahren und Möglichkeiten von "Trusted Computing" hinzuweisen, war immer ein Steckenpferd dieser Webseite – und wenn, dann war hierbei immer Intel der Vorreiter und AMD kam zumeist als der "Ritter in weißer Rüstung" daher, welcher diese Vorhaben skeptisch beobachtete und nicht in jedem Fall das mitmachte, was Intel sich da alles erdachte. Nur um alle auf den aktuellen Stand zu bringen: Intel hat letztes Jahr die "Manageability Engine" vorgestellt, welche in allen Sandy-Bridge-Prozessoren (derzeit zumeist inaktiv) schlummert und damit Features wie die "Identity Protection Technology" möglich macht, mittels welcher alle Ivy-Bridge-basierten Ultrabooks ausgerüstet werden sollen. Intels "Manageability Engine" funktioniert dabei wie ein zweites, vom Rest des Systems abgeschottetes Mini-Betriebssystem, welches schwer bis unmöglich zu knacken sein soll und damit dafür prädestiniert ist, verschiedenste Sicherheitsfunktionen zur Verfügung zu stellen.

Leider denken die Hersteller bei diesem Thema immer zuerst an sicheres DRM, sicheres Einloggen auf Webseiten und ähnlich nutzvolle, wenngleich meistens nicht elementare Dienstleistungen – während staatliche Schnüffler ob der damit einhergehenden Backdoor-Funktionalität feuchte Überwachungsphantasien haben dürften. Über die für die Nutzer interessanten Features wie ein vom System unabhängiger und damit regulär unangreifbarer Virenscanner wird dagegen wenn dann nur von (Teilen) der Presse geredet, ernsthafte Anstrengungen der Hersteller liegen hierzu leider noch nicht vor. Zudem hat Intel aus den früheren Datenschutz-Desastern wie beispielsweise jenes mit der Pentium-Seriennummer gelernt und gibt zum Thema nur noch die schöngefärbten Informationen heraus, sämtliche Forderungen (von Teilen) der Presse nach weiteren Details blieben bislang ungehört.

Wenigsten aber war bislang sicher, daß AMD (noch) nicht in die gleiche Richtung geht. Bis vor kurzem jedenfalls – denn wie der (geschätzte) Planet 3DNow! schon im Juni aus einer AMD-Pressemitteilung entnehmen konnte (ging seinerzeit an uns leider vorbei, wir bitten um Entschuldigung, tragen hiermit aber pflichtschuldigst nach), hat AMD die Sicherheitserweiterung "TrustZone" von ARM übernommen und wird diese erstmals im 2013er Bobcat-Nachfolger "Kabini" und ab dem Jahr 2014 in allen AMD-Prozessoren zum Einsatz bringen. Und bei "TrustZone" handelt es sich im Kern um exakt dasselbe wie bei Intels "Manageability Engine": Ein Mini-Betriebssystem abseits des regulären Betriebssystems, welches für diverse Sicherheitsfunktionen (oder auch zur Übernahme der Kontrolle über den Rechner) eingesetzt werden kann.

AMD "TrustZone" Schema
AMD "TrustZone" Schema
AMD "TrustZone" Spezifikationen
AMD "TrustZone" Spezifikationen

Die Software-Unterschiede zu Intels Lösung dürften bei AMDs Lösung eher gering sein – allenfalls gibt es einen erheblichen Unterschied in der Hardware-Lösung: Während Intel seine "Manageability Engine" in alle Intel-Prozessoren ab Sandy Bridge direkt integriert, wird AMD den kommenden AMD-Prozessoren mit TrustZone-Erweiterung einfach einen ARM Cortex A5 Prozessor beilegen, welcher allein für die TrustZone zuständig ist. Der ARM-Prozessor soll dabei weniger als 1mm² Die-Fläche unter der 40nm-Fertigung haben, dürfte also kaum kostenrelevant werden. Sicherheitstechnisch ist dies sogar die bessere Lösung, weil es für Schadsoftware somit noch schwieriger wird, die Hardware direkt anzugreifen, wenn die Prozessoren für Normalsystem und für TrustZone regelrecht getrennt sind und sogar noch unter unterschiedlichen Architekturen (x86 und ARM) laufen.

Für die endgültige Funktionsweise macht dieser differende Hardware-Ansatz jedoch keinerlei Unterschied – in beiden Fällen handelt es sich bei Intels "Manageability Engine" und bei AMDs "TrustZone" um Mini-Betriebssysteme, mit denen potentiell dem Anwender die Kontrolle über seinen Rechner entzogen werden kann. Natürlich sind damit auch haufenweise nutzvoller Funktionen möglich – allein, die Schweigsamkeit der Hersteller zu diesem Thema als auch die bislang herausgegebenen Informationen deuten nicht zwingend in diese Richtung hin. Und so lange – speziell bei einem so heiklen Thema – nicht alle Informationen auf dem Tisch liegen, fordert die Angelegenheit ein gehöriges Maß an Mißtrauen gerade heraus. Schade ist in diesem Zusammenhang vor allem, daß der größte Teil der Presse diesbezüglich keinerlei Druck macht und wie das Kaninchen vor der Schlange wartet, vor vollendete Tatsachen gestellt zu werden (um diese Tatsachen möglicherweise dann auch noch in bester TINA-Manier hochzujazzen).