TCG stelt nieuwe beveiligingsstandaard vaste opslag vast

De Trusted Computing Group heeft een eerste versie van een nieuwe standaard voor de hardwarematige beveiliging van opgeslagen gegevens gepubliceerd.

TCG-logo De TCG is een non-profit organisatie die zich bezighoudt met het ontwikkelen van standaarden voor computerbeveiliging. De organisatie telt op dit moment ongeveer 175 leden, waaronder bedrijven als HP, Microsoft, Sun, AMD en Intel. De nieuwe trusted storage-specificatie biedt mogelijkheden voor de beveiliging van gegevens op verschillende informatiedragers zoals harde schijven, flashgeheugen, tape en optische schijven. Door middel van versleuteling, public key-encryptie, digitale handtekeningen, hashfuncties en random number generation wordt de toegang tot de opgeslagen informatie beveiligd. Na het verwerken van commentaar van de leden van de TCG zal een definitieve versie van de standaard in de nabije toekomst beschikbaar zijn.

De hardware die in de toekomst aan de nieuwe specificatie voldoet moet, om zijn inhoud prijs te kunnen geven, communiceren met vertrouwde hardware in de computer. Dit kan een - eveneens door de TCG ontwikkelde - Trusted Platform Module zijn, maar ook een ander hardwareonderdeel dat als vertrouwd is aangemerkt. De beveiligingsfuncties worden gerealiseerd door een combinatie van de firmware en de hardware van de computer en het opslagmedium. Het besturingssysteem en de applicaties kunnen vervolgens via nog nader vast te stellen, beveiligde, kanalen over standaard interfaces als scsi en ata communiceren met de drives. Om de sleutels die voor de nieuwe standaard nodig zijn goed te kunnen beheren heeft de TCG een nieuwe werkgroep, de Key Management Services Subgroup, in het leven geroepen. Deze werkgroep moet specificaties voor het beheer van de sleutels gaan opstellen.

Reacties (25)

jhellingman 20 juni 2007 11:43

Om protesten te voorkomen wordt zorgvuldig vermeden te melden dat dit bedoeld is voor de locale opslag van informatie op jouw hardware waar derde partijen de controle over willen houden. Het woordje trusted in de naam betekend dat je die derde partijen blind moet vertrouwen, iets waar je natuurlijk de nodige vraagtekens bij kunt hebben. Natuurlijk heeft dit alles te maken met DRM, technieken de de toch al zeer ver in het nadeel van de consument doorgeslagen auteurswetgeving nog slechter maken, en op maatschappelijke gronden eigenlijk verboden moeten worden.

Heb je behoefte aan beveiliging, dan zijn er voldoende producten die hierin voorzien, zoals bijvoorbeeld TrueCrypt.

nero355 @jhellingman • 20 juni 2007 12:38

Wat dit nog triester maakt is dat die TCPA/TCG/Palladium groep al een paar jaar bestaat en het niet zo heel veel gescheeld heeft of we waren er al de dupe van geweest !!

De bedoeling is zelfs om in de toekomst ook op de Internet Routers TPM te plaatsen, zodat je in feite zonder TPM chip + bijbehorende licenties helemaal niks met je eigen zuur betaalde PC kan

Ik heb hier heel veel over gelezen en vind het absolut geen goede ontwikkeling.
DRM was stap 1 en wie weet wat er nog allemaal volgt en in welke volgorde/mate ...

Verwijderd @nero355 • 20 juni 2007 13:57

Dit gaat echt niet gebeuren hoor...

Je kan altijd spullen kopen waar geen TPM in zit. Bovendien zullen de fabrikanten veel kritiek krijgen en hun imago zal uiteindelijk zo negatief zijn dat mensen hun spullen niet meer kopen.

En als iemand zich totaal niet wil verdiepen in de materie en iets met TPM koopt is dat lekker zijn/haar eigen schuld. Ik kan me totaal niet druk maken over mensen die tegen dit soort problemen aanlopen en eigenlijk niet willen weten hoe het werkt.

Splorky @Verwijderd • 20 juni 2007 15:18

zelfs de linux kernel ondersteud Trusted computing.

[micro] @Splorky • 20 juni 2007 19:36

Zo lang het mogelijk is om TPM aan/uit te zetten zie ik geen probleem...

miw @jhellingman • 20 juni 2007 16:47

TrueCrypt is een mooie applicatie, maar levert geen uitwisselbaarheid op. Je moet wel TrueCrypt op elke PC installeren. Of je die PC wel toegang wilt geven tot jouw beveiligde informatie kan je dus niet bepalen. Dan heb je dus iets meer nodig en dat kan TCM wel leveren, maar TrueCrypt niet.

regmaster @miw • 21 juni 2007 09:54

Dan ken je de applicatie niet. Je hoeft niet overal Truecrypt geïnstalleerd te hebben.
Truecrypt kent, net als Cryptainer, een reizigersmode. Het is een non-installable deel van het programma dat zelfs automatisch kan opstarten.
Toegegeven, het moet door iemand met administratieve rechten worden opgestart.
Persoonlijk vind ik dit slechts een ienie mienie barriere om even een admin de exe op te starten met 'run as' (onder windows dan).

masteriiz @regmaster • 22 juni 2007 12:46

Vind ik juist een gigantische barriere; jij vergeet zeker dat tientallen miljoenen gebruikers om voor de hand liggende redenen geen admin rechten op hun computer hebben. Sterker juist die groep waarvoor beveiligd communiceren het meeste nut kan hebben hebben doorgaans geen admin rechten. Dit is immers de groep die veel verstand heeft van andere dingen (managen, financiele rapportages etc) en geen verstand van hoe computers werken. Daarom is ervoor zorggedragen dat ze hun configuratie niet kunnen slopen door ze geen admin rechten te geven.

Verwijderd 20 juni 2007 11:02

Ik vind het opvallend dat niemand aan het schreeuwen is dat dit weer een kleine stap is van fabrikanten en productenten om ons de toegang tot ons eigen systeem te ontzeggen.
Deze organisatie is het platform waar de Paladium DRM structuur ook deel van uit maakt, encryptie is leuk, maar wie beheert de sleutels?

@Kalief: zie opmerkingen hieronder, o.a. van jhellingman
Mijn hardware kan mij wel degelijk toegang tot mijn eigendommen ontzeggen, mijn DVD speler kon tot kort geleden bijvoorbeeld niet mijn uit Amerika geïmporteerde DVD afspelen...
TCPA/TCG/DRM gaat gewoon verder op dat pad.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 18:38]

Splorky @Kalief • 20 juni 2007 15:13

het komt er op meer dat een compleet Trusted Computing systeem (die komen rond 2010) je hele pc overneemt. jij mag nog alles doen, totdat één onder deel in de TC keten vind dat je dat beter maar niet mag doen. en software of muziek zonder DRM kan al als verdacht worden beschouwd en niet installeerbaar / afspeelbaar!

daar buiten krijg jij een id , windows user id samen met alle TC hardware id's maakt vast wel een erg uniek nummer. Dit nummer kan via internet worden opgevraagt, dus wat je ook doet op het internet, dat is al een punt om het uberhout niet te nemen.

bij de introductie van BR en HDDVD zat het in de planning om omgebouwde afspelers te laten blokkeren, dat werdt mogelijk gemaakt door Trusted Computing

een filmje die heel simpel uitlegt wat er bedoeld wordt met Trusted computing
wikipedia zet de pro's en con's ook op een rijtje, maar het zijn meer pro's voor voor de beheerders van Trusted Computing dan voor de gebruiker.

en ja, je heb minder kans op een virus in een TC only omgeving, want alles wat geen DRM aanboord heeft kan niet geinstalleerd worden omdat onderandere de harde schijf kan protesteren

[Reactie gewijzigd door Splorky op 23 juli 2024 18:38]

DropjesLover 20 juni 2007 10:49

en met een wachtwoord en 512 of 786 bit versleuteling bereik je het zelfde, alleen zit je dan niet vast aan bepaalde hardware, wat een probleem oplevert als bijv je (oude) pc crasht en je je usb stick niet meer vrij kan geven ofzo...

Niemand_Anders

Standaarden
Beveiliging

@DropjesLover • 20 juni 2007 11:20

Deze standaard zal waarschijnlijk verder gaan. Mogelijk koppelt deze zelfs het CPU ID (of een RAID card ID) aan de hardeschrijf. Heb je dan niet het CPU ID gewist voordat je de schrijf in een andere machine plaatst dan zijn de gegevens onleesbaar.

Wachtwoorden zijn ALTIJD zwak, hoe moeilijk je het wachtwoord zelf ook maakt. Bij USB sticks versleutel je dan de gegevens met de publieke key van de ontvanger. En alleen de ontvangen kan met zijn private de gegevens weer leesbaar maken. De private key kan ook in een certificaat worden geplaatst en dat certificaat kan dan bijvoorbeeld in een PKCS12 archive worden plaatst waarop een wachtwoord kan worden geplaatst. De meesten zullen deze archieven kennen van de export functonaliteit van windows naar een .pfx bestand.

Wij maken gebruikt 2048 bits RSA key pairs. Deze keys hebben wij opgenomen in X.509 certificaten. Minder dan dat is te gevaarlijk voor 'perminente' data. Webservers kunnen met minder af (128 of 256 bits) omdat tegen de tijd dat de gegevens heb gekraakt de sessie zelf al weer verlopen is.

Koppeling aan bijvoorbeeld hardware had erg veel problemen in het leger kunnen voorkomen (USB keys in huurauto's). Dus behalve de usb keys zul je nu dan ook de laptop of PC moeten meenemen.

Het gebruik van client certificaten voor beveiliging van data is in de wereld van messaging (bijv. FDN Netwerk en AS2) de gewoonste zaak van de wereld. Het certificaat zorgt behalve voor de beveiliging ook direct voor de authorisatie en authenticatie van de client.

Deze technieken zijn niet voor de consument bedoeld, maar voor (grote) bedrijven.
Denk bijvoorbeeld eens aan banken en verzekerings maatschappijen, die moeten namelijk de privacy van hun klanten kunnen garanderen.

hardwareaddict @Niemand_Anders • 20 juni 2007 11:33

Lijkt me goed idee dit plan te volgen. Wellicht handig tegen diefstal van je laptop, inbrekergilde kan dan geen misbruik maken van je gegevens.

Dit laatste gebeurd de laatste tijd erg vaak.

Verwijderd @hardwareaddict • 20 juni 2007 11:49

Alsof het die dieven om de gegevens gaat. 99,9% van de laptopdieven gaat het alleen om de hardware.

regmaster @Niemand_Anders • 21 juni 2007 08:41

Wachtwoorden zijn ALTIJD zwak, hoe moeilijk je het wachtwoord zelf ook maakt. Bij USB sticks versleutel je dan de gegevens met de publieke key van de ontvanger. En alleen de ontvangen kan met zijn private de gegevens weer leesbaar maken. De private key kan ook in een certificaat worden geplaatst en dat certificaat kan dan bijvoorbeeld in een PKCS12 archive worden plaatst waarop een wachtwoord kan worden geplaatst. De meesten zullen deze archieven kennen van de export functonaliteit van windows naar een .pfx bestand.

Dat ben ik niet helemaal met je eens. Een password phrase werkt al een stuk veiliger, helemaal als daarin met hoofdletters en cijfers word gewerkt. Toegegeven, het blijft symmetrisch maar op zich heeft dit wel als voordeel dat het gemakkelijker inzetbaar is al PKI (asymmetrische encryptie).
Symmetrische uitwisseling van encryptie heeft zich wel bewezen, mits een sterk password word gebruikt, als erg veilig.
PKI heeft ook zo zijn nadelen en dat zit in het beheer. Probleem met informatie beveiliging d.m.v van een PKI infrastructuur is de uitwisselbaarheid. Als er veel extern gecommuniceerd moet worden met bedrijven en instanties word het onwerkbaar. Dan zul je van iedereen waarmee je communiceert eerst de public keys moeten uitwisselen. Uiteraard zijn er oplossingen voor, maar hoe praktisch zijn deze.
Symmetrische encryptie is dan ineens een stuk gemakkelijker en net zo veilig. Denk aan programma's als Cryptainer en Truecrypt.
Overigens vraag ik me af waarom je zo'n technisch verhaal moet houden want je zegt eigenlijk helemaal niets. Staat wel interessant die termen overigens.

Overigens begint informatiebeveiliging bij de zwakste schakel en dat is de mens zelf.
Door middel van gedragsverandering maak je een hele hoop zaken al veilig. Technische zaken als PKI infrastructuren en andere vormen van encryptie of fysieke beveiligingen zijn slechts hulpmiddelen hierbij.

[Reactie gewijzigd door regmaster op 23 juli 2024 18:38]

_Thanatos_ 20 juni 2007 19:32

Hoe ging het ook al weer:

Trust is the personal believe in correctness of something.
It is the deep conviction of truth and rightness, and cannot be enforced.
If you gain someones trust, you have established an interpersonal relationship, based on communication, shared values, and experiences.
Trust always depends on mutuality.

Daarmee is TCG zoals zij het voorstellen inherent gefaald. Zij bepalen wat vertrouwenswaardig is, en wat niet. Zij bepalen dus wat wel en niet werkt. Daarmee impliceren ze dat ze jou niet vertrouwen. En als jij jou niet vertrouwen, waar zou jij hen dan wel vertrouwen?

Verwijderd @boner • 20 juni 2007 10:32

Dit gaat niet over internet. Het gaat over harde schijven, flash disk, etc etc. En ook daar is beveiliging relevant, bijvoorbeeld wanneer een computer gestolen wordt, een USB stick kwijt raakt, o.i.d.

En als je de Tweakers reviews ziet van "beveiligde" USB sticks, dan wordt het hoog tijd dat daar een betrouwbare veiligheids standaard komt.

Verwijderd @Verwijderd • 20 juni 2007 11:48

Er zijn al lang fatsoenlijke encryptieproducten voor USB sticks en harddisks. Dit wordt wel als beveiliging verkocht, maar in feite gaat het alleen over DRM: hoe bescherm ik de data van de entertainment industrie tegen kopers die het willen lezen.

Als dit in algemeen gebruik komt vind ik dat geen gode ontwikkeling.

Auteur

P_de_B @boner • 20 juni 2007 10:28

Waar lees jij iets over backups via internet? Of reageer je op het verkeerde artikel. Dit gaat over harde schijven die beveiligd zijn.

TheekAzzaBreek @boner • 20 juni 2007 10:34

Meestal gaat er ook nog een kopie offsite. Dat je gegevens nog steeds veilig zijn als daar wat mee gebeurt lijkt me wel wat waard. En een degelijke standaardmethode om ongelukken met rondzwervende USB sticks te voorkomen is natuurlijk helemaal een uitkomst.

OpenMinded 21 juni 2007 08:20

boycotten die rommel, daar gaat de controle over je eigen duur betaalde hardware.
NIET KOPEN!

ravenamp 21 juni 2007 08:46

Ik weet het niet hoor, het klinkt als een hoop rompslomp wat de hardware weer duurder gaat maken, en we weten allemaal dat data encrypten met een publieke key dweilen met de kraan open is...

Vind het ook een beetje eng, klinkt een beetje als beveiliging op DVD/CD, nouja, de andere reacties op dit bericht spreken voorzich...

[Reactie gewijzigd door ravenamp op 23 juli 2024 18:38]

totaalgeenhard 21 juni 2007 14:18

Ik vind het maar niets dat hardware bedrijven op hardware nivo beperkingen inbouwen, uiteindelijk betaald de consument voor iets waar ze niets aan heeft.

Beveiliging dien je op OS nivo te regelen, zodat je het uit kunt zetten.

Ik vraag me af hoe ze de "afpersings-mogelijkheden" van huidige generatie harddisken (die vrijwel allemaal op hardware niveau encryptie ondersteunen).

Immers er zijn vele zaken bekend dat iemand zijn harddisk versleuteld is en vervolgens afgeperst word om zodoende een sleuten te verkrijgen.

Het is een kwesie voor tijd voor dat een Nigeriaanse worm, alle harddisken in de westerse wereld probeerd te versleutelen, en aangezien er genoeg mensen zullen zijn die belangrijke data op hun computers hebben staan en daarom bereid zijn om te betalen zul je zien dat er een hele groep "digitale struik rovers" op deze chantage methodiek zullen duiken.

Encryptie op hardware niveau heeft niets te maken met veiligheid maar slechts met inperking van gebruikers mogelijkheden, immers als je PKI tussen interface en harddisk, zal het onmogelijk zijn om via DMA een CD rechtstreeks naar harddisk te rippen.

Een Sony zal gerust veel geld overhebben om harddisk fabrikanten die dit voorkomen te compenseren.

De enige wat een computer echt veiliger zou maken indien er een standaard een cardreader interface zou zijn die vanuit de OS ondersteund word.

Elke gebruiker van die machine krijgt zijn eigen smartcard, applicaties mogen alleen draaien indien ze of door fabrikant van OS gesigned zijn of indien de applicatie door user gesigned zijn en derhalve alleen kunnen werken indien die kaart in de machine zit.

Een omgekeerde Palladium dus, waarbij de controle bij de gebruiker ligt ipv op je mainboard van je pc vastgesoldeerd zit.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (25)

Sorteer op:

Weergave: