[Discussioni] Sito su TCPA/Palladium e Sicurezza.

Alberto Cammozzo mmzz a stat.unipd.it
Ven 30 Apr 2004 10:24:51 CEST 

    la presentazione segnalata da Marco e' molto curata e dettagliata sul piano tecnico.
    Credo si debba dire che non sembra fatta dal professore sulle cui
    pagine si trova ma da una persona che a quento si puo' capire deve essere uno studente 
    del corso di sicurezza delle reti dell'anno accademico 2002/2003.

    Forse per via della data, non e' piu molto aggiornata.

    Per una presentazione ho dovuto raccogliere del materiale sulla cosa, 
    e da quello che ci capisco (e non e' facile districarsi in centinaia 
    di sigle di prodotti, progetti, consorsi eccetera che cambiano molto
    in fretta) la situazione e' questa:

1-  Palladium e TCPA sono spesso confusi ma sono due cose diverse.
    L'equivoco nasce facilmente dato che Palladium e' un progetto di MS,
    che prende anche parte al consorzio TCPA (ora TCG); Ross Anderson non fa nulla
    per chiarire il problema, e mette tutto nel minestrone dei DRM (Digital
    Rights [o Restrictions] Management) e forse non ha tutti i torti, visto
    che il problema forse sta piu' nel DRM in se' che nelle tecnologie connesse.
    Da quanto ho capito future versioni di TCPA e Palladium saranno interoperabili.
    <http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html>

    Qualcuno obietta che TCPA e DRM non hanno molto a che fare... Mah...
    <www.redbrick.dcu.ie/~gavin/tcpa/essay.pdf>

2-  Palladium e', o meglio era, un progetto software esclusivamente di MS, 
    e ora si chiama Next-Generation Secure Computing Base (NGSCB).
    Un primo pezzo e' gia' in Win Server 2003: su tratta della
    coppia Windows Rights Management Services (WRMS) piu'
    Windows Rights Management Client, gia' disponibili da un anno. 

    Osservazione personale: Microsoft potrebbe forse approfittarne per congegnare 
    NGSCB in modo da rendere incompatibili server e client che non siano MS (Samba, Apache ?).

    <http://news.com.com/2100-1012-5071342.html>
    <http://news.com.com/2100-1001-985496.html?tag=nl>
    <http://www.microsoft.com/windowsserver2003/evaluation/news/bulletins/rm.mspx>
    <http://www.microsoft.com/technet/security/news/ngscb.mspx>

3-  TCPA (Trusted Computer Platform Alliance) e' diventato Trusted Computing Group
    (Advanced Micro Devices, Hewlett-Packard, IBM, Intel and Microsoft piu' altri 10
    tra cui Nokia, Phoenix Technologies e Sony). E' fatto da una parte
    hardware (TPM) e una software/firmware (TSS), e si tratta in sostanza di un token
    a chiave pubblica affogato nella scheda madre e delle funzioni che permettono di
    gestire l'hardware, tra cui -ma non solo-  il 'trusted boot'.
    <http://news.com.com/2100-1009-996032.html>
    <www.research.ibm.com/gsal/tcpa/tcpa_rebuttal.pdf>

    La versione attuale del TCPA (versione 1.1 del TPM) non e' compatibile con la 
    NGSCB di MS, ma lo sara' la versione 1.2: "the upcoming version of the trusted 
    platform module (TPM 1.2) is expected to work as the security support component 
    in the NGSCB" (http://www.microsoft.com/technet/security/news/ngscb.mspx)

4-  IBM sostiene che Linux non avra' problemi con TCPA: David Stafford
    di IBM ha scritto parecchio in materia, per rassicurare la comunita' Linux.
    In particolare e' disponibile del codice per controllare il TPM da Linux.
    Va detto che IBM ha un interesse enorme in Linux, ed e' difficile immaginare
    che diffonda un prodotto che offra la possibilita' a MS di demolire
    Linux e far ricadere rutti quanti sotto il monopolio di Redmond.
    Seth Schoen obietta che TCPA fa quello che gli si dice di fare da fuori, 
    anche contro la volonta' del proprietario del PC.
    I piu' grossi interessi in gioco nel campo DRM sono quelli dei produttori
    di contenuti, in particolare entertainment (Hollywood, Giochi, ...): dovranno
    mettersi d'accordo.

    <http://www.research.ibm.com/gsal/tcpa/why_tcpa.pdf>
    <http://www.linuxjournal.com/article.php?sid=6633>
    <http://www.linuxjournal.com/article.php?sid=7055>

5-  TCPA deve fare qualcosa di veramente sospetto se perfino l'Unione Europea 
    e' intervenuta nel processo di definizione della versione 1.2. 
    Il documento del Trusted Computing Group dice:  

"Addressing concerns expressed by the [EU] Working Party, the TCG TPM 1.2 Specification
Direct Anonymous Attestation (DAA) as an additional method to establish online
identities. DAA enables users to create Attestation Identity Keys (AIK) without requiring
the involvement of an intermediary that TCG calls a Trusted Third Party."

    <https://www.trustedcomputinggroup.org/press/feb_6_art_29_report_QA.pdf>


    Spero di non aver fatto ancora piu' casino :-)
    ciao
            Alberto






On Wed, Apr 28, 2004 at 01:43:09AM -0700, Marco LOMBARDO wrote:
> Non so se i non iscritti possono scrivere su queste
> ml.
> Ci provo in quanto mi e' stato consigliato di
> segnalarvi questo link. 
> 
> C'e' una trattazione molto ben fatta su TCPA. 
> Non vi fate ingannare dalla chiarezza e dalla cura con
> cui e' fatta: la conclusione non e' a favore di questi
> progetti. Oppure prima di tutto leggetevi le
> conclusioni.
> 
> http://www.dia.unisa.it/professori/ads/corso-security/www/CORSO-0203/tcpa_file/frame.htm
> 
> Dalla homepage dello stesso professore si arriva anche
> ad un elenco di articoli sulla sicurezza informatica
> altrettanto interessanti.
> 
> Marco LOMBARDO

More information about the discussioni mailing list