 So vielen Dank. Heute sprechen wir über Windows 8 und es ist ein bisschen eine bedrohliche Zeitreise, die wir teilweise machen, weil Trusted Computing verfolgt uns eigentlich schon seit relativ langer Zeit. Was ist Trusted Computing? Da gibt es die Definition von Ron Rivas, dem R von RSA. Worum geht es? Es geht darum, dass die Industrie uns ein neues Sicherheitsmodell verkaufen will. Zu diesem Sicherheitsmodell soll eben in jedem Computer einen Setup-Box eingebaut werden, also ein System, wo ein Schlüssel dran ist, wo wir als Besitzer keine Kontrolle haben, sondern die Industrie sich um uns kümmert. Es geht sogar so weit, dass die Industrie was Netz abfragen kann, ob das System ordentlich gepatched ist und so weiter. Also Sachen, die, denke ich, die ganze Sicherheitsarchitektur und die Philosophie des persönlichen Rechners durchaus adressieren. Wie gesagt, es gab sehr viele Diskussionen da, ganz interessant ist, und das ist auch ein Teil des CCCs, am 23 C3 gab es eine ziemlich erregt geführte Diskussion über Trusted Computing in der Apple-Welt und da waren einige Sachen erfreulich, andere Sachen unerfreulich, am erfreulichsten war aber das Apple durch diesen Graval, der damals entstanden ist, bewegt wurde, dieses TPM-Tip nicht zu benutzen und 2009 es relativ heimlich still und leise verschwunden gelassen hat. Allerdings hat sich die Sache drastisch verschärft, dadurch, dass jetzt in der aktuellen Diskussion mit Windows 8 Microsoft es im Moment massiv in den Markt reinträngen will. Das sieht so aus, dass Armgeräte von Windows inzwischen ausgeliefert werden, dass es eingeschaltet wird und auch nicht mehr ohne Weiteres ausschaltbar ist. Also Microsoft versucht im Moment massiv diese Struktur in den Markt zu drängen und riskiert dann auch durchaus Diskussion mit Industrie und auch Regierungsbehörden, die teilweise sehr unterhaltsam sind. Am unterhaltsamsten war in der Tat im August, also so kurz nach den Snowden-Enthüllungen, die Diskussion über diese neue Trustinfrastruktur, weil auch wirklich normale Leute in den Verwaltungen und den Behörden sich gefragt haben, ist es eine gute Idee, die gesamte Infrastruktur unserer digitalen Wirtschaft abhängig zu machen von einem privatwirtschaftlich organisierten Unternehmen. Dass unter einer anderen Juristition ist, nämlich im amerikanischen und nach Snowden kam natürlich der dritte Punkt, die Vertrauensheiligkeit gegenüber einer amerikanischen Rechtsform oder Rechtsstaat zumindest bei sehr vielen Leuten hinterfragt wurde. Und da gab es eine Medienberichterstattung und ich zitiere jetzt relativ gerne, da aus der BSI Stellungnahme, die haben gesagt, dass also die Medien gesagt haben, dass also IT-Experten des Bundes halten Windows 8 geradezu für gefährlich. Dann haben sie irgendwie weiterhin gesagt, andere Medien haben gesagt, zuständigen Fachleute im Wirtschaftsministerium der Bundesverwaltung BSI waren unmissverständlich vor dem Einsatz von Trastic Computing der neuen Generationen in den deutschen Behörden. Jetzt war Microsoft da nur mäßig glücklich, ehrlich gesagt, über die Entwicklung und hat massiv Druck gemacht und dann passierte wieder was, was mir irgendwie so ein bisschen den alten Begriff noch einmal vor Augen führt. Das BSI ist eine Bundesbehörde, die ist unterstätig im Innenministerium. Also da irgendwas Revolutionäres oder auch nur politisch zu erwarten, ist ein bisschen viel verlangt. Andererseits sind da viele Ingenieure drin und da gibt es das alte Dilbert-Gesetz, dass Ingenieure echt Schwierigkeiten haben zu schwindeln, wenn es um technische Sachen geht. Insofern wird es relativ unterhaltsam, weil das BSI hat natürlich durch politischen Druck gesagt, wir waren natürlich nicht vor Windows 8. Also ich möchte noch mal betonen, BSI war nicht vor Windows 8. Jedoch, einige kritische Experten und Einsatzzenare Windows 8 in Kombination mit einer Hardware mit TPM sind ein bisschen problematisch. Da habe ich gesagt, okay, jetzt haben die Ingenieure doch mal ein paar Worte sagen müssen, lesen wir mal, was jetzt als nächstes kommt. Und als nächstes kamen dann insbesondere können auf einer Hardware, die mit TPM betrieben wird und Windows 8 unbeabsichtigte Fehler des Hardwares und Betriebssystem-Herstellers, aber auch des Eigentümers Fehlerzustände entstehen, wo das System dann nicht mehr bedreibbar ist. Das kann dazu führen, dass im Fehlerfall neben dem Betriebssystem auch die ganze Hardware nicht einsetzbar ist und das ist für Ingenieure immer ein nicht unbedingt befriedigender Zustand. Eine solte Situation ist also von der Ingenieure-Seite nicht akzeptabel und darüber hinaus gibt es Möglichkeiten von sabotage Dritter. Da habe ich ja gesagt, es ist schön, dass Leute selbst im politischen Bereich dann Sachen so deutlich dementieren, dass wer aufmerksam liest, irgendwie doch etwas zusammenzuckt. Mein erster Gedanke war, aber irgendwie sind sie zu feig zu sagen, dass die US-Regierung Microsoft zwingen könnte, irgendwas nicht zu buten und da sind sie jetzt zu feigel gewesen und deswegen schieben sie den unrealistischen Szenario, dass da versehentliche Fehler passieren, die dann die ganze Infrastruktur kaputt machen. Da habe ich gedacht, na ja, es ist politisch, aber nicht so realistisch. Bis vor wenigen Wochen und da musste ich leider meinen ganzen Vortrag umstellen. Das ist hart, insbesondere wenn es nur ein 37-Minuten-Vortrag ist und ich jetzt glaube ich 16 Folien eigentlich nur aus heiße Security zitiere. Warum heiße Security? Das sind nette freundliche Leute, die nicht zu Windows-Administratoren sind und die sensibler sind und nicht so zynisch über Microsoft-Fehler berichten wie ich. Also sofern habe ich gesagt, wenn wir jetzt hier kurz nach Weihnachten sind, schauen wir uns mal, was diese netten geduldigen freundlichen Leute von heiße Security da in den letzten Wochen gemacht haben. Und ich sage es mal vorne ab, es ist unterhaltsam und es geht noch weiter. Also insofern ist das hier nur ein kleiner Zwischenbericht. Es ging los, glaube ich, am November-Patch-Day am 12. Und da hieß es auf einmal auch die Windows Server-Admin, die sind kummergewöhnt, aber auch Nutzer müssen dringend Hallen handeln. Und dann war die erste Sache, wo ich dann irgendwie meinte, Mist, das muss ich wahrscheinlich doch in meinen Vortrag machen, weil es eine Lücke in der Krypto-Infrastruktur von Windows. Und naja, also das klingt zumindest mal interessant. Zwei andere Patches, da ging es nur um Serodoy Explores von Internet Explorer. Also das trifft nur Leute, die im Internet surfen. Und dann machen wir, also nicht so tragisch. Ging weiter dann jetzt Patchen, Details zur Sicherheitslücke. Und da war ich dann irgendwie weiter am Grinzen, weil diese Folie konnte ich dann auch in meinem anderen Vortrag verwenden. Offensichtlich sind elliptische Kurven so schwierig, dass man sich selbst bei der Überprüfung einer EDSS-Signatur ins Bein schießen kann. Und Microsoft hat das so mal gemacht. Und dann wurde irgendwie Heise-Security etwas unentspannend, Tür und Tor für das Einbring von Schadstoff, von Schad-Stoff, von Schadcode. Darum ist es wichtig, die Patches unbedingt einzuspielen. Wenn das nicht läuft, gefahrt, dass die gesamte Grundinfrastruktur als Waffe gegen das System und den eigenen Rechner eingesetzt werden. Da dachte ich, da muss was los, ein Update muss man jetzt, glaube ich, doch schnell machen, trifft mich zwar nicht, aber offensichtlich die paar Windows-Updates. Es ging aber dann relativ schnell weiter. Das Update wurde verteilt und dann schrieb, in ähnlicher Situation hat Microsoft das Update nie mehr verteilt. Im Moment, im August haben es nie mehr verteilt. Also irgendwie wird es jetzt komisch. Ich habe dann weitergelesen, wurde es dann natürlich noch komischer. Der nächste Pitch hat die Kryptosachen nicht so richtig repariert, aber die ganzen Server gingen dann auf einmal nicht. Und momentan wird das Update verteilt, aber in ähnlicher Situation hat Microsoft es zurückgezogen. Jetzt schon das zweite Mal zurückgezogen. Irgendwie scheinen diese Heise-Menschen irgendwas zu ahnen, weil wir werden erraten, was als nächstes kommt. Richtig. Es wird nochmal nachgebessert. Heimlichstil und leise ist ein Update außer Daraille eingespielt worden, um den Escan-Channel zu patchen. Wir empfehlen dringend, die das installiert haben, das nochmal einzuspielen. Also jetzt schon mal das zweite Mal, wenn ich richtig zähle. Und gut, in der Heine, es wird noch schöner. Abwarten. Das war jetzt November, jetzt komme ich zum Dezember. Überreichenderweise gab es dann wieder Probleme. Und dann wurde selbst Heise irgendwie etwas unentspann, weil offensichtlich haben die mit ihrem Update ihr rote Zertifikat irgendwie ... Sag mal, nicht nutzbar gemacht. Und da hatte ich irgendwie eine große Krise. Da hatte ich irgendwie so meine Kryptografen-Depression, die so etwa aussieht. Leute, wir reparieren euch alles. Also wir brauchen ein bisschen Geheimnis. Sonst kann man logischerweise sagen, wenn man kein Geheimnis hat, kann man sich nicht vom Angreifer unterscheiden. Wir brauchen Geheimnis, ganz wenige Bits. Das Einzige, was mir von euch fällt, passt auf diese Auflastung nicht runterlegen. Wenn jemand ein Hartblät-Anfrage schickt, dann fickt ihm nicht gleich den ganzen Schlüssel und so weiter, aber auch nicht. Dann habe ich gedacht, okay, andere Programme werden am Start gehindert. Hm, das klingt ja mal interessant, mal sehen, was da kommt. Und das ist, möchte ich sagen, in den, glaube ich, 13, 14 Jahren, wo ich hier vordringen mag, mein erstes Facepalm-Bild, ist auch kreativ Commons da, also insofern ein völlig legales Patch-Bild. Aber jedenfalls lange Rede kurzer Sinn, ist ein weiterer Rückzug. Und jetzt wird es richtig lustig, weil, was will man denn haben, dass es auf jeden Fall mal startet? Windows Defender ist, glaube ich, so was wie Vierenschutz. Das braucht man ja im Windows nicht mehr so wie früher, aber... Es ist lustiger, ist es Update ging nicht mehr. Die haben jetzt halt die Vikat kaputt gemacht und dann haben sie ihr Update-Mechanismus kaputt gemacht. Wir können jetzt raten, was als Nächstes kommt. Als Nächstes sind selbst diese freundlichen, heiße Mitarbeiter etwas unentspannt und haben da schöne Worte verbockt verwendet. Ich habe jetzt irgendwie aufgehören zu zählen, welche, wie viele Updates da genau gemacht worden sind. Ich glaube, wir sind jetzt so etwa bei vier. Und es geht einigermaßen lustig weiter, wenn man sich es nochmal betrachtet. Die Vigratzeinfrastruktur ist beschädigt, auch keine gute Idee. Da war ich dann wirklich entspannt, habe gesagt, egal, wie viel Folien ich dann rausschmeißen muss, das muss rein in den Vortrag. Das Update soll manuell heruntergeladen und installiert werden. Ich glaube, die Freude bei den Windows-Admin ist relativ beträchtlich, wenn wir allerdings wissen, dass in einigen Systemen, sagen wir mal so, in Automaten und so weiter, das automatische Update einigermaßen geht, aber manuelles Update extrem schwierig ist, ist es keine allzu lustige Situation, aber alles wird wieder gut oder doch noch nicht. Es scheint nämlich noch nicht am Ende zu sein. Also die Petsches, nachdem wir gesagt haben, wir haben den Update-Mechanismus kaputt gemacht, bitte installiertes manuell, ging der Update und ging dann auf einmal wieder. Interessant müsste man mal gucken, warum. Die Beschreibung der Petsches war nur auf Englisch und einige heiße Security-Leser waren dann in Panik, dass sie irgendwie einen Update in ihrem deutschen System auf einmal was Englisches kriegen, waren ein bisschen, aber die gute Nachricht, es scheint von Microsoft zu kommen, also machen wir mal gut weiter dann in dem Bereich. So und das ist, glaube ich, die letzte Folie zu dieser lustigen Sache und die ist vom 18. Dezember und die Nachricht ist, dieses Rout-Zertifgrats-Update ist immer noch nicht abgeschlossen. Also wir warten dann, glaube ich, auf den Januar-Petsch-Dark und vielleicht habe ich dann wieder ein paar Folien, falls ich irgendwie dann beim Easter-Hack oder sowas erzähle, wie dann diese Petsch-Sache weitergegangen ist, ohne jetzt also sarkastisch zu machen. Was ich jetzt überhaupt nicht vergrößert habe, war die hiemen Information, dass dann noch ein kritischer Serodee-Exploit im Internet-Explorer, was irgendwie auch seit zig Monaten raus ist, nicht gepetscht worden ist. Was ich jetzt auch weggelassen haben, ist in so Sachen wie, dass die Kerperus kaputt gemacht haben, die andere Infrastruktur, lange Rede, kurzer Sinn, würden sie solchen Leuten ihre Sicherheitsinfrastruktur an vertrauen? Ich habe, hier haben wir einen der Tappwassen, der ja gerufen hat, also vielen Dank. Dieser jugendliche Optimismus, an dem muss ich auch noch mal arbeiten. Na ja, während jetzt also diskutiert wurde, dass Deutsche Behörden nicht vor Windows 8 warnen, jedoch irgendwie noch ein paar Bedenken haben, wenn man den Rechner benutzen will, dann sollen wir sich überlegen, ob wir es einsetzen. Aber noch einmal, Esbesi hat nicht gewarnt, also da muss ich nicht echt zwar in die Breche warnen. Es gibt andere Sachen, da sind die demokratischen Entscheidungswege etwas anders organisiert. Die Volksrepublik hat einfach gesagt, Leute, ihr kommt einfach nicht mal auf unsere staatlichen Computer mit Windows 8. Und das ist, glaube ich, eine Ansage, die Microsoft nur so mäßig erfreut hat, wie man sich denken kann. Wer jetzt sagt Volksrepublik China, es sind vielleicht nicht die Leute, die man zitieren wollen, tut mal halt einen amerikanischen Multimillionär zitieren. Prost Schneier hat irgendwie gesagt, nachs Noten war das aber, wir können diesen Firmen einfach gar nicht mehr trauen. Und um jetzt mal ein bisschen Brusthaftigkeit rauszumachen, man kann von den Firmen teilweise gar nicht verlangen, dass sie sich ordentlich verhalten, wenn irgendwie halt US-Behörden mit geheimen Entscheidungen, geheimen Gerichten und geheimen Knesten vor der Tür stehen, ist es halt für einen normalen Hersteller, selbst wenn es Microsoft ist, die Frage macht es aus der nationalen Sicherheit und übrigens er redet nicht drüber. Also das ist einfach ein grundlegendes Problem und ich weiß durchaus, dass Microsoft dagegen rechtlich vorgeht. Aber im Moment da an Situationen müssen wir damit rechnen, dass wenn die US-Regierung sagt, irgendwie diese terroristische Staat, im Moment glaube ich aktuell Nordkorea, bitte sorgt dafür, dass diese Angriffsrechner in Nordkorea nicht buten. Was soll denn die armen Microsoft-Leute machen? Einen Freundschaftsreffen in einem kubanischen Lager ist eine Sache, die man nicht unbedingt von ihnen verlangen kann. Also ist es wirklich ohne zünlich zu werden, auch bei allem Verständnis für Microsoft, eine Situation, wo man sich hier in Deutschland fragen muss, wollen wir uns von diesem Environment abhängig machen. Und da kommen wir auch wieder ein anderes Zitat, das schon ein bisschen länger ist. Es geht einfach darum, wenn Microsoft diese Schlüssel kontrolliert, dann könnte es zur Marktbeherrschung führen. Die gute Nachricht oder schlechte Nachricht ist, der Marktanteil von Microsoft ist nicht mehr so beeindruckend wie vielleicht vor zehn Jahren. Dennoch, wenn man weiß, dass irgendwie unsere ganzen Linux-Rechner eigentlich nur auf umgeschmieden Windows-System laufen und man wissen, dass eigentlich für Hardware-H schneller dieses Windows 8-Logo relativ zentral ist, dann wissen wir, dass sich da durch Aussachen ändern können, die das freie Betrieb von Programmen deutlich behindern. Und wie hat das eigentlich kurz zusammengefasst? Also er möchte zwar nicht riskieren, hier ins Logan zu machen, aber er sieht die Notwendigkeit, dass die Nutzer, die Besitzer, die Schlüssel über den eigenen Computer beide hinbesitzen. Dass er irgendwie entscheiden können, was er will. Die Entscheidung kann durchaus sein, ich gehe in eine Microsoft-abgesicherte Welt. Das ist eine legitime Entscheidung, aber wenn keine Auswahl ist und wenn es zwangender ist, dann kommen natürlich da einige Probleme. Also hier als BSI, um noch mal vielleicht was Ernsthaftes zu sagen, BSI hat durchaus gesagt, dass es für einige Anwendern sicher als Gewinn dastehen könnte, für Leute, die sie nicht mehr um den Rechner kümmern sollen. Die sagen, okay, ich vertraue Microsoft, dass die das sicher machen. Nach diesen Patch-D-Folien würde ich den Leuten noch mal anraten, diese Entscheidung noch mal etwas zu überprüfen. Aber im Prinzip ist es eine freie Entscheidung. Es ist in meinen Augen auch eine Definition von Freiheit, dass die Leute sich in selbstgewählte Unfreiheit begeben können. Also insofern ist das durchaus nicht legitim. Und da kommen wir eigentlich zu dem Punkt, wo wirklich die BSI-Stellungnahme doch relativ hilfreich ist. Das ist ein berechtigtes Nutzer-Szenario. Aber es muss transparent sein, es muss Möglichkeit eine Entscheidung zutreffen. Und genau das wird jetzt halt in Windows 8, insbesondere bei einem Armsystem, ausgehebelt. Also so Sachen, dass diese freie Entscheidung, ob ich in diese Sicherheitsstruktur rein will oder nicht, wird im Nutzer abgenommen. Es gibt ein Automatisch zu aktivieren, also keine Opt-in, keine Entscheidung, dass ich hier rein will, sondern es wird vorgegeben, dass es drin ist. Die Möglichkeit, herauszugehen, opt-out, wird auch massiv behindert. Zumindest für Armsysteme ist es hinreichend schwierig. Weitere Probleme, wo ich mir auch den Mund vorsichtig rede, zeitgemäße Kryptografie. Es geht einfach nicht, dass da eine Weiterverwendung von SHA-1 möglich ist. Und da ist auch eine Sache, wo ich einfach sage, ich bin eigentlich von aus aus Mathematiker, also so Real-Welt-Evaluation über wirtschaftliche Zwänge, es sollten eigentlich andere Leute besser können. Aber machen wir uns einfach mal Szenarium, man ist ein Hersteller und sagt, wir haben hier einen Chip, der ist fertig, benutzt SHA-1. Dann sagt der kleine Kryptograf, Ermle ist unsicher. Dann sagt der Marketingchef, okay, das kostet jetzt 500.000 Euro. Das ist nochmal neu zu stemmen, mit SHA-256. Dürften wir es eigentlich weiter benutzen? Da muss der ehrliche Kryptograf sagen ja. Und dann argumentieren Sie mal in der Situation, wo er sagt, es ist standardkonform. Da ist ein beklopter Kryptograf, der sagt, wir möchten eine stärkere Hechfunktion haben, brauchen wir aber nicht um Standardkonform zu sein. Wenn irgendwie diese Möglichkeit ist, was massiv Geld spart, weiterhin zu erhalten, dann ist es nicht unrealistisch zu sagen, dass in sehr vielen Situationen dann irgendwie SHA-1 weiterleben wird. Und das ist jetzt auch nochmal vom DIN übernommen, diese Kritik geworden, im internationalen Normprozess. Und man wird abwarten müssen, ob da eine Sensibilität da ist. Weitere Fußnote ist natürlich, da wird standardmäßig 2008 für Spit-Kryptografie verwendet, was irgendwie allenfalls für mittelfristige Sicherheit zu erfahren. Weitere Problem ist der Herstellungsprozess. Wenn man dann weiß, dass dieser geheime Schlüssel in dem System nichts von einem Nutzer nicht geändert werden kann, nicht angefasst werden kann, ist natürlich diese Kenntnis dieses Schlüssel sehr mächtig. Wenn ich als Hersteller die geheimen Schlüssel aller TPMs habe, dann kann ich beliebigen Schabernack treiben. Also insofern ist es einfach die Frage, wer stellt dieses Schlüssel hin. Ein ganz praktisches Problem. In der Regel werden dieses Schlüssel von einem externen Rechner erzeugt und dann auf die Dinger übertragen. Wenn ich jetzt dazwischensitz und mir dann eine Kopieschlüsseldatei mache, dann habe ich auf einmal ein Generalschlüssel für diese gesamte Infrastruktur. Also da müssen wirklich bürokratische Kontrollen sein, dass die Leute das einigermaßen ordentlich machen. Auch noch mal realistisch, also die Hersteller von diesen Dingern sitzen teilweise in den USA oder in China. Das sind nicht so die Sachen, die ich irgendwie grundvertrauen, also ein übermäßiges Grundvertrauen entgegenschleudern würde. Also insofern muss da was gemacht werden. Es muss auch offengelegt werden und zertifiziert werden, wie mind. 8 daran geht. Und wenn das alles nicht hilft, müssen wir mal kathelrechtlich prüfen, ob dieser Ausschluss von Konkurrenz den Microsoft da gemacht irgendwie nachvollziehbar ist. Zur Erinnerung, Microsoft hat tierischen Ärger mit der EU gekriegt wegen dieser Internet-Explorer-Sache, aber ich muss ehrlich sagen, das ist nicht ansatzweise eine so tiefgreifende Entscheidung, wie die Änderung oder die Erklärung einer kompletten neuen Infrastruktur. So, Entschuldigung. Und das wir uns mal ganz klar verstehen, das ist jetzt keine theoretische Konstruktion. Hier jetzt auch nochmal den Microsoft-Kritigkeit, irgendwie wirklich nicht verdächtig und heißetiger zu zitieren. Im Juni und auch im Dezember 2013 hat Microsoft einfach ein Bootmodul anderer Hersteller, die aktiviert. Mit der Begründung, die erst gar nicht da war und die Begründung, die dann kam, nein, das ist eigentlich ein System, das wir eigentlich gar nicht benutzen. Wir wissen gar nicht, was wir da genau gemacht haben und so weiter. Sehr beruhigend. Also eine Sicherheitsinfrastruktur zieht irgendwas zurück und begründet es in keiner Weise irgendwie nachvollziehbar und je mehr sie begründen, desto weniger will man das eigentlich hören. Nochmal, wir reden von denselben Firma, die jetzt gerade bis heute irgendwie nicht dazu in der Lage ist, dieser Sicherheitsinfrastruktur für Windows 7 auf die Reihe zu kriegen. Nochmal, Windows 7 hat immer noch 56% Marktanteil. Was ich euch gezeigt habe da in dem Bereich, das ist nicht irgendeine Sache, die bei Windows XP ist, das ist irgendwann die Hauptwelt von Microsoft, die da zusammenknallt. Und wo diese lustige Sache ist, instelliert es manuell, wir können nicht mehr automatisch updaten, wir können doch noch automatisch updaten und wahrscheinlich nicht. Wenn wir das mit einem Trusted Computing-Tipp kombinieren, dann können wir dann nicht irgendwie drumherum hacken. Wenn da was kaputt ist, dann ist irgendwie durch die Nichtkenntnis des geheimen Schlüssel in dem Trusted Computing-Tipp, es ist extrem schwierig da irgendwie lustig rumzuprogrammieren. Also das ist irgendwie wirklich keine akzeptable Situation. Versuchen wir mal das, was gefordert wurde, dass eine Sicherheitsinfrastruktur, und ich muss nochmal einräumen, wünscht man sich ja als Kryptograph Hardware-Unterstützung. Man wünscht sich einen sicheren Schlüsselstore, und das sind irgendwie Sachen, die im TPM-Standard auch adressiert werden. Und die wir jetzt, wir sind Hacker, wir freuen uns nicht, dass ein TPM-Chip eingebaut ist, aber wenn es da ist, versuchen wir lustige Sachen damit zu machen. Insofern ist die Frage, was könnte man damit machen, ist ein zentraler Punkt, wir könnten natürlich unsere eigenen Schlüssel ersetzen. Das liegt mir in der Trusted-Infrastruktur von Siemens, aber vielleicht von der Trusted-Infrastruktur nehmen wir mehr Vertrauen. Und das ist unterschiedlich. Das kann durchaus das BSI sein, das kann DIN sein, das kann die NSA nicht, oder NSA sein, das kann irgendwie der russische Standardisierungsmethode, man kann es aussehen. Ein Punkt ist, dass man wirklich, wenn man eine Sicherheits-Architektur haben will, wirklich die Möglichkeit hat, die frei zu wählen. Und da ist es zentral, dass man eine Sicherheits-Architektur ersetzen muss. Wir brauchen offene Hardware. Es ist wirklich eine lustige, kryptografische Fingerübung, zu zeigen, wenn wir ein System haben, wo man nicht reingucken kann, kann man über so viele Kanäle Sachen rausschmuggeln. Ganz trivial, man hat irgendwie immer irgendwelche Zufallszahlen, da modelliert man lustig einen Kanal raus und kann dann beliebige Sachen rausschmuggeln. Also ich könnte in dem TPM-Chip einfach irgendwie sagen, okay, wenn dann bestimmtes Paket kommt, schmuggle ich in diesen Renten Nachrichten einfach die Schlüsselinformationen raus, verschlüsselt mit einem NSA-Key und kann das dann über das Ding ablaufen. Also wir brauchen wirklich offene Hardware, wir brauchen offene Software zumindest an den Schnitt stellen und wir müssten mal wieder überlegen, ob dieses TPM nicht vielleicht auch besser mit SmartCards zu ersetzen ist. Das ist auch technisch irgendwie recht einfach möglich, weil das TPM ist im Prinzip nicht viel mehr als eine verlötete SmartCards. Also insofern ist die Frage, ob wir SmartCards, wo wir wirklich, ich mag auch SmartCards, die kann man in die Hosensatzrichtung, es ist irgendwie für die Leute irgendwie nachvollziehbar, dass es irgendwie ein Schlüssel ist, es ist auch eine relativ gute Schutz im Vergleich zu anderen Sachen, insofern wirklich SmartCards nochmal rangucken. Letzter Punkt, wir brauchen einen alternativen Rechtsnamen, wir brauchen wahrscheinlich einen europäischen Rechtsnamen, wir bräuchten vielleicht eine europäische Vertrauensinfrastruktur, darum geht es einfach um die Wahl, also wem vertrauen wir und wie gesagt, in den aktuellen Entwicklungen würde ich tendenziell eher, sagen wir europäischen Behörden vertrauen als NSE oder als chinesische Behörden, die da sind. Andere Leute mögen das anders entscheiden, das ist ein Punkt der Freiheit. Was ich auch relativ wichtig ist, was ich im letzten Vortrag auch schon gesagt habe, es ist schon so, dass wir mit Kryptografie Sicherheit erreichen können, wo die Regierung im Moment schmählich scheitern. Die Regierung kann nicht dafür sorgen, dass wir nicht abgehört werden, aber wenn wir anfangen, irgendwie schon unsere Verschlüsselung, also unsere Hauptverbindungen zu verschlüsseln, das ist jetzt auch kein Hackerlürich, sondern das ist genau was im Bereich Google die seit letztem Jahr massiv passiert, können wir mit Mathematik halt rechtliche Vorgaben und auch Datenschutz erzwingen. Und im Bereich der Trassenkommunität gibt es auch was relativ Interessantes, die sogenannte Direct Anonymous Attestation. Darum geht es, dass es durchaus legitim ist, dass jemand sagt, du möchtest in meinen Netzwerk rein, mit dem höheren Vertrauen bitte, zeig mal, dass du alle Petsches, Sicherheitspetsches installiert hast. Das ist durchaus möglicherweise nicht illegitimen Einigungen. Aber es ist natürlich schön, wenn man sagt, man ist, man hat diese Eigenschaft, man hat es installiert, man muss dann nichts an Ausweis vorzeigen. Also Konstruktion, wo man Zusicherung macht, aber Identifikation verhindert, sind mathematisch möglich. Und die gute Nachricht ist, dass es dann Mathematik, wir müssen dann nur der Mathematik trauen, das ist immer noch Arbeit, aber wir müssen keiner Behörde trauen. Wir haben diese Sicherheitssanon, was auch ganz interessant ist, was sich in einem Paper mit Stefan Lux schon 2006 analysiert hat, ist ein sehr feinkranulare Sicherheitsmanagement, so dass selbst diese Requirements, dass man vielleicht sogar die Identität aufdecken möchte, ich möchte das nicht in den meisten Szenarien, aber selbst das kann man sehr gut mathematisch modellieren. Also wer da mal reinguckt, ist eine ganz interessante Sache. Leider ist irgendwie das DAA im Moment nicht mehr in so prominenter Stelle in Trastik Computing wie in den Vorentwürfen. Also da werden wir sicher nochmal Folgen kommen. Komm mal zur letzten Folie, wo ich nochmal die wirklich Grundprobleme zusammenfasse. Es ist eine zentrale Frage, wer entscheidet, was bootet. Wenn wir um einen Szenario denken, ich kann jetzt mal das erste Basswort setzen, Industrie 4.0 eingebettete Systeme, möchten wir möglicherweise Sicherheitsinfrastruktur haben, was wir nicht möchten, ist, dass es durch ein unbeabsichtigen Fehler des Betriebssystems oder des Hardwareherstellers auf einmal gar nichts mehr bootet. Und wenn man dann den Behördenvertretern einfach sagt, Entschuldigung, das ist irgendwie eine Allmacht, sondern Sie aber korrigieren Sie mich, wenn ich als Hacker sage, gib mir mal einen 2048-Bit-Unterschrift und ich leg damit eine ganze Industrie lahm. Ich revoke einfach den Bootloader für Linux mit einer Nachricht. Ich kriege irgendwie den Microsoft-Schlüssel, ich schicke ein Update drum und dann sage, sagen wir, die Unterschrift für diesen Bootloader ist zurückgezogen, das hat Microsoft mehrfach gemacht. Wenn Microsoft jetzt dieses Linux-Bootloader zurückzieht, dann bootet auf einmal keine Linux-Systeme mehr. Im Moment bootet es eben über diese Notkonstruktion mit der Signatur von Microsoft. Heute von Microsoft-Mitarbeiter informiert worden, dass das nächste Mal der Original-Schlüssel ist, der für das Unterschreiben von Microsoft verwendet wird, sondern irgendein anderer Schlüssel. Als ich dann nachfahre und wer hat den anderen Schlüssel, dann wüsste er nicht genau. Und nochmal, die Sache, wo ich gedacht habe, das BSI schiebt es vor, dass irgendjemand so doof ist, seine eigene Infrastruktur in die Luft zu jagen, das hat Microsoft in den letzten acht Wochen vorgetanzt. Manchmal habe ich einen Eindruck, dass die irgendwie ihre Sicherheitsgruppe aufgelöst haben. Oh, haben sie's? Nicht aufgelöst, unorganisiert. Aber irgendwie hatte ich in den letzten zehn Jahren wenig so viel Spaß, Sicherheitslücken von Microsoft durchzubrügeln, wie jetzt in diesem Vortrag. Also irgendwie kommen wir jetzt auch im Punkt, wo meine Schadenfreude nicht mehr so groß ist wie vor zehn Jahren. Microsoft hat da zugelandt. Jetzt oben sowas nicht als Hauptgegner mehr gesehen. Und ich muss ehrlich sagen, wenn ich die Datenschutzschweinereien von Apple ansehe, ist Microsoft wirklich ein Weißenknabe dagegen. Mit anderen Worten, es geht nicht, dass unter Umständen gar nichts mehr bootet. Das ist übrigens auch nicht im Interesse von Microsoft. Irgendwie, wenn da eine Katastrophe da ist, dann ist Microsoft, glaube ich, auch juristisch stark eingeregnet. Insofern würde ich an Microsoft doch dann wirklich appellieren, dass die Gesprächsangebote, die mehrfach in ihre Richtung gekommen sind, doch da angenommen werden. Okay, vielen Dank für eure Aufmerksamkeit.