On Mon, Aug 18, 2003 at 01:53:49PM +0200, Andreas Jellinghaus wrote: > Dongles für Software stufe ich als form des Rechte Management, > und aufgrund der Funktionsweise auch als DRM ein.
ACK. Genau so war's gemeint. > TCPA liefert in Verbindung mit einer online Registrierung > und TAN den perfekten Dongle, auf allen Rechnern vorinstalliert. Ich kann diese "Perfektion" nicht erkennen. > > Ich lese allerhand über TCPA, incl. der Specs, aber was ich nicht > > lese, ist die Garantie, dass niemand eine Möglichkeit finden _kann_, > > das Zeug genauso zu verarschen, wie es mit den gängigen Dongles > > passiert. > Garantie? Rüdiger Weis kann sich ja nicht entscheiden ob er > TCPA als sicher und böse oder unsicher und lächerlich einstuft, > zumindest konnte ich derelei nicht aus seinem Vortrag auf dem > letzten Congress entnehmen. Aber lange listen von potentiellen > Sicherheitslücken hat er sehr wohl vorgebracht. Hups? Du anscheinend auch nicht. > Das Design sieht aber gut aus, diverse Experten haben sich > nachweislich damit beschäftigt und bisher nichts veröffentlicht. > Sowas ist für Sicherheit ein guter Indikator. Jein. > Den Schluss, eine gute Anwendung für TCPA könne es aber > gar nicht geben halte ich für eine Vogel Strauss aktivität. > Ich habe eigene Ideen geposted und auf fremde verwiesen, > ernsthafte Diskussion gab es dazu nicht. Ich kann nichts ausser DRM erkennen, kannst Du mal ein Beispiel nennen, das ohne TCPA nicht mindestens genausogut implementier- bar ist? Falls Du eins nennst, und ich das nachvollziehen kann, korrigiere ich meine Einschätzung. > > Wie lange wird es eigentlich dauern, bis jemand die Hardware- > > Schlüssel re-engineered hat? Und wie soll jemals verhindert werden > > _können_, dass jemand mit einer virtuellen Maschine solche Hardware > > emuliert? > Nein, jeder ausgelesene hardware schlüssel muss auf die CRL, > und diese muss bei jeder remote TCPA verbindung geprüft werden. > Ja, wenn das auslesen der hardware schlüssel routine wird, > dann klappt das ganze system in sich zusammen. Zumindest falls > nicht die gesamte potentiell verwundbare Hardware über Listing > auf der CRL nutzlos wird. > Einen interessanten Angriffspunkt gibt es damit allemal. Auch dieses, ja. Nur meinte ich das gar nicht - ich dachte eher daran, die Software komplett zu manipulieren. Mit denselben Verfahren, die die Dongle-Knacker heute verwenden. > > Vor Sicherheitskonzepten aus dem Hause Microsoft > Zeige mir wo Microsoft *konzeptionelle* Fehler macht. Zeig mir mal, wo sie keine machen. > Ein paar kenne ich, aber im wesentlichen machen Sie > fehler in der Implementierung, also nichts was sich > nicht mit der Zeit beheben lässt. Und der Kontostand > von MS zeigt an, das sie viel Zeit zur Verfügung haben. Von Kontostand auf Sicherheit zu schliessen, ist ein Trugschluss - egal, wieviel Zeit sie haben. Das meinte ich mit meinem Hinweiss auf das User-Centric-Design. VB. -- Volker Birk, Postfach 1540, 88334 Bad Waldsee, Germany Phone +49 (7524) 912142, Fax +49 (7524) 996807, [EMAIL PROTECTED] http://fdik.org, Deutsches IRCNet [EMAIL PROTECTED] PGP-Key: http://www.x-pie.de/vb.asc