Trusted Platform Module

TPM Services

Damit TPM genutzt werden kann, ist eine Softwareschicht erforderlich. Das sind die TPM Services, die bei Vista und Longhorn nun integriert sind. Sie stellen eine Schnittstelle für Entwickler und Anwendungen dar, um TPM-Funktionen nutzen zu können. Ein Ziel ist dabei auch, dass mit einem Treiber auf unterschiedliche TPM 1.2-kompatible Implementierungen zugegriffen werden kann. Die Dienste bestehen aus insgesamt vier Komponenten:

  • Der Bereich Secure Startup wird für den sicheren Start des Systems benötigt, um hier Eingriffe zu verhindern. Damit wird die Integrität der Windows-Partition sichergestellt. Eine besondere Bedeutung hat dieser Teil in Verbindung mit der BitLocker Drive Encryption.

  • Die zweite Komponente sind die TPM Administration Tools. Dabei handelt es sich um eine WMI-Schnittstelle, über die wichtige TPM-Verwaltungsaufgaben ausgeführt werden können. Ein wichtiger Aspekt ist die Aktivierung oder Deaktivierung von TPM und die Steuerung der Menge an Informationen zu digitalen Identitäten, die gegebenenfalls von TPM betroffen ist. Die Menge an personenbezogenen Daten, die von TPM verwaltet werden kann, lässt sich auch über Einstellungen in den Gruppenrichtlinien von Longhorn steuern (Bild 1).

Bild 1: Bei den Gruppenrichtlinien von Windows Vista/Longhorn finden sich auch Einstellungen für TPM.
Bild 1: Bei den Gruppenrichtlinien von Windows Vista/Longhorn finden sich auch Einstellungen für TPM.

  • Die dritte Komponente ist der Key Storage Provider. Er wird für die CNG (Crypto Next Generation) benötigt. CNG ist die nächste Version der Kryptographiedienste von Windows und wird auf Dauer die bisherige CryptoAPI ersetzen. Über diese Dienste werden die Verschlüsselungsfunktionen von TPM für die generierten Schlüssel verwendet.

  • Außerdem gibt es noch eine Schnittstelle für Anwendungen von Drittherstellern, die auf den TSS (TPM Software Stack) aufsetzt. Darüber können andere Anwendungen TPM-Funktionalität nutzen, soweit sie nicht die WMI-Schnittstelle verwenden.

Wie immer bei technischen Schnittstellen wie TPM gilt, dass man als Anwender kaum etwas davon merken wird. Auch als Administrator hat man nicht allzu viel mit TPM zu tun, wenn man von den Einstellungen in den Gruppenrichtlinien einmal absieht. Dennoch ist TPM eine der wichtigsten technischen Neuerungen bei Windows Vista und Windows Longhorn, weil es die Voraussetzung dafür schafft, neue Sicherheitskonzepte umzusetzen. So werden beispielsweise auch die Windows RMS (Rights Management Services) von TPM profitieren, weil es gerade bei diesen darum geht, auch die Anwendungen, die Berechtigungen auf digitale Informationen prüfen, zu schützen. Allerdings wird es sicherlich einige Zeit dauern, bis alle Anwendungen die Möglichkeiten, die TPM bietet – ob direkt oder auf dem Umweg über die CNG – auch nutzen.

Durch die erheblichen Vorteile, die TPM in Bezug auf die Sicherheit von Windows bringt, sollte man bei der Investition in neue Hardware hinterfragen, ob diese bereits einen TPM-Chip enthält. Denn früher oder später wird man Windows Vista oder Windows Longhorn auf neuer Hardware nutzen – und den Chip vermissen, wenn er dort noch fehlt.