Trusted Computer Platform Alliance – hyvästit yleiskäyttöiselle PC:lle?

(IPRinfo 4/2002)

Lupaus “luotettavasta tietokoneesta” kuulostaa varmasti erittäin houkuttelevalta tietokonevirusten ja roskapostin kanssa kamppaileville käyttäjille.

Intelin perustaman, nykyisellään yli 170 yritystä sisältävän Trusted Computer Platform Alliancen (TCPA) todelliset tavoitteet ovat kuitenkin vielä paljon kunnianhimoisempia kuin mainittujen harmien eliminointi. Jos TCPA toteutuu suunnitellussa laajuudessaan, jatkossa tietokoneisiin voidaan luottaa huolimatta niiden käyttäjistä.

Luotettava tietojenkäsittely (trusted computing) on ollut kuuma tutkimusalue tietojenkäsittelytieteessä jo pitempään. Sen perusideana on lyhyesti, että tietokoneessa ei pysty käyttämään ohjelmia tai dokumentteja, joita ei ole varmennettu “luotettavan tahon” toimesta.

Varmentamiseen käytetään kryptografiaa, jota tukemassa on laitteistotasolla suojattu tila salausavaimille (TCPA:ssa alkuvaiheessa ns. Fritz-piiri, ja myöhemmin ominaisuudet integroidaan osaksi prosessoreiden toiminnallisuutta). TCPA:n tavoitteena on muuttaa nämä tieteelliset tulokset reaalimaailman tuotteiksi.

Miten luotettava tietokone sitten toimisi käytännössä? Ensinnäkin kaikkien tietokoneesta löytyvien komponenttien (prosessori, BIOS, näytönohjain, äänikortti, tallennusmediat) täytyy tukea järjestelmää. Osien luetettavuus tarkistetaan aina koneen käynnistysvaiheessa. Tästä seuraa suoraan, että kaikkien tietokoneen keskeisten komponenttien valmistajien täytyy tukea hanketta. TCPA:ssa tähän on päästy varsin hyvin, kuten oheisesta taulukosta voidaan havaita.

Luotettavan aineiston päälle luotettavat ohjelmistot

Luotettavan laitteiston päälle tarvitaan vielä luotettavat ohjelmistot. TCPA:n spesifikaation mukaan koneessa voidaan käyttää lähtökohtaisesti vain ohjelmistoja, jotka ovat luotettavan tahon varmentamia.

Tällainen varmennus olisi lisäksi tarvittaessa kumottavissa, koska järjestelmä tarkistaa määritelmän mukaan aina ohjelmia ajettaessa ns. mustan listan, johon kerätään epäluotettavaksi osoittautuneet ohjelmat. Ohjelmien ajamiselle voidaan asettaa myös muita ehtoja, kuten esimerkiksi, että tietyt ohjelmien käyttöä seuraavat järjestelmätason ohjelmat ovat käynnissä ennen ohjelman lataamista. Mikäli käyttäjä haluaa ajaa ei-luotettuja ohjelmia, se voi olla mahdollista, mutta tällöin kaikki luotettavat ohjelmat ajetaan ensin alas ja kaikki luotettu informaatio poistetaan järjestelmästä.

Tiedostojen käytön kontrollointi

Lueteltujen ominaisuuksien perimmäisenä tarkoituksena on luoda järjestelmä, jossa käyttäjän mahdollisuuksia käyttää tiedostoja kyetään kontrolloimaan aukottomasti. TCPA:ssa tiedostot ovat lähtökohtaisesti järjestelmän sisällä kryptografisesti allekirjoitettuja ja mahdollisesti myös salattuja (informaatio kulkee salattuna aina siihen pisteeseen asti, missä se muutetaan analogiseen muotoon (äänikortti, näyttö).

Järjestelmä tarkistaa joka kerran tiedostoja avattaessa, onko käyttäjällä oikeus toimenpiteeseen. Tämän lisäksi myös tiedostojen kohdalla on käytössä vastaava musta lista, johon luvattomat tai vaaralliset tiedostot kerätään. Tiedostoihin voidaan järjestelmässä myös liittää helposti erilaisia oikeuksia, esimerkiksi tekstin kopioiminen voidaan estää tekstinkäsittelyohjelman ulkopuolelle tai elokuvan katsominen voidaan rajoittaa tietylle ajanjaksolle.

Kuten edellä olevasta voidaan päätellä, TCPA edellyttää tietokoneen olemista kiinni Internetissä. Tosin järjestelmä joustaa jonkin verran: käyttäjälle ongelmia alkaa tulla vasta siinä vaiheessa, kun verkkoyhteys on ollut poissa käytöstä pitemmän aikaa. Siitä, mitä tämä tarkoittaa käytännössä, ei ole vielä saatavilla täsmällistä informaatiota.

TCPA:n mukana tulee myös muita rajoituksia. Esimerkiksi tietokoneen sisäisen kellon kääntäminen taaksepäin on tehty mahdottomaksi, koska muuten olisi mahdollista kiertää ohjelmiin tai tiedostojen käytölle asetetut aikarajoitukset.

Kysymys juuriavaimesta

Kysymys juuriavaimesta (root key) on jätetty määritelmässä avoimeksi. Olisi kuitenkin vaikea uskoa, että näin keskeisen kontrollivälineen annettaisiin päätyä USA:n ulkopuolelle. Laitteistovalmistajat ja sisällöntuottajat saavat omat juuriavaimella varmennetut avaimensa, joita sitten käytetään edelleen tuotteiden varmentamiseen. Jokaisen tietokoneen mukana tulee myös yksi avain, jota käytetään käyttäjien identifioimiseen. Tosin käyttäjillä on tämän lisäksi mahdollisuus hankkia “kolmatta luotettavaa tahoa” hyväksikäyttäen (periaatteessa) anonyymejä identiteettejä.

Luetun perusteella ei lienekään suuri yllätys, että TCPA:n taustalla on viime kädessä halu päästä eroon yleiskäyttöisestä PC:stä (“general purpose PC”). TCPA:n määritelmät täyttävässä maailmassa sisällöntuottajat voisivat luottaa siihen, etteivät kuluttajat kykenisi käyttämään heidän tuotteitaan kuin ennalta sallittujen rajojen puitteissa ja näin tekijänoikeuden rajoituksista päästäisiin eroon. Mustien listojen avulla voitaisiin lisäksi estää laittomaan levitykseen päätyneiden teosten (sisältäen tietokoneohjelmat) käyttö.

TCPA:n keskeisin ominaisuus onkin monen mielestä digitaalisen oikeudenhallinnan (DRM) “lopullinen ratkaisu”, varsinkin, jos sen tueksi saataisiin vielä DRM:n käyttöön velvoittavaa lainsäädäntöä (vrt. “Holling’s Bill” Yhdysvalloissa).

Terävää kritiikkiä

TCPA:n suunnitelmia ei ole kuitenkaan nielty purematta maailmalla. Hanketta pidetään cyber-rights -aktivistien parissa lähinnä täydellisen “Isoveli-järjestelmän” rakentamisena – eikä täysin perusteettomasti.

TCPA:n määritelmän mukainen luotettava tietokone mahdollistaisi esimerkiksi Kiinan kaltaisissa totalitäärisissä valtioissa ennennäkemättömän kansalaisten valvonnan. Mustien listojen avulla esimerkiksi hallinnolle kiusalliset dokumentit saataisiin hyvin nopeasti pois kierrosta – mikäli nyt dokumentteja ylipäätänsä pääsisi vuotamaan, koska järjestelmä tarjoaa erittäin tehokkaat keinot vuotojen estämiseksi ja vuotajien jäljittämiseksi.

Tosin kokonaan toinen asia on, että Kiina ei ole välttämättä kovinkaan innokas ottamaan järjestelmää käyttöön, koska sen juuriavain on mitä todennäköisemmin jonkun USA:ssa olevan yhteisön hallussa ja näin kriisitilanteessa maa ei voisi luottaa IT-infrastruktuurinsa toimintaan.

Vallankäyttö akilleen kantapäänä

TCPA:n mahdollistama vallankäyttö onkin ehkä yksi järjestelmän vakavimmista akilleen kantapäistä. Esimerkiksi mahdollisuus dokumenttien globaaliin tuhoamiseen tarjoaa tuomioistuimille välineen, jota ihan varmasti vaaditaan käytettäväksi.

Lapsipornon kaltaisten universaalisti kiellettyjen materiaalien kohdalla tilanne on vielä yksinkertainen, mutta mitä tapahtuukaan, jos esimerkiksi puolalainen tuomioistuin alkaa edellyttää aborttineuvoja sisältävien dokumenttien poistamista koneista tai jos saksalainen tuomioistuin vaatii kaikkien elektronisten Main Kampf-kirjojen tuhoamista?

TCPA:ta vihataan avoimesti myös Open Source / Free Software-piireissä. Kuvaavasti esimerkiksi Richard Stallman käyttää järjestelmästä puhuessaan aina termiä “treacherous computing”. TCPA ei sinänsä tee avoimen lähdekoodin käyttämistä mahdottomaksi, ja esimerkiksi HP ja IBM kehittävätkin tällä hetkellä järjestelmän kanssa yhteensopivaa Linux-versiota.
Ongelmana on kuitenkin, että TCPA:n edellyttämä ohjelmien luotettavuuden toteaminen on kallis ja hankala prosessi, mikä tarkoittaa, että käytännössä vain yrityksillä on mahdollisuus kehittää ohjelmistoja kyseisessä ympäristössä. Näin avoimet lisenssit muuttuisivat vähitellen hyödyttömiksi, koska muutettuja ohjelmia ei pystyisi enää ajamaan tietokoneessa.

Microsoft Palladium ja TCPA

Vastoin melko yleistä käsitystä Microsoftin Palladium ei ole tällä hetkellä sama asia kuin TCPA. Palladium on järjestelmänä joustavampi kuin TCPA, sillä siinä tietokoneen sisälle “rakennetaan” suojattu tila sitä haluaville ohjelmille. Suojatussa tilassa toimivat ohjelmat ovat näkymättömiä muulle järjestelmälle, mikä tarkoittaa, että koneessa voidaan käyttää samaan aikaan luotettuja ja normaaleja ohjelmia.

Microsoft on kuitenkin yksi TCPA:n perustajajäsenistä ja yritys on julkisesti ilmaissut halunsa pyrkiä järjestelmien yhdenmukaistamiseen, joten on todennäköistä, että erot tulevat jatkossa vähenemään.

Toimiala

Yritykset

Prosessorit

Intel, Advanced Micro Devices (AMD), Motorola,nVidia

BIOS

Phoenix/Award, American Megatrends (AMI), National Semiconductor

Ohjelmistot

Microsoft, Novell, Adobe

Laitteistot

HP, IBM, Dell, Gateway, Fujitsu-Siemens, Samsung, Toshiba

Tietoturva

SSH,VeriSign, Wave Systems, RSA Security, Check Point, Certicom, Trend Micro, Symantec, Tripwire, Crypto AG

Taulukko TCPA:n jäseniä toimialoittain

Ville Oksanen
Researcher (LL.M)
Helsinki Institute for Information Technology (HIIT)

Lisätietoa:

Ross Anderson: TCPA / Palladium Frequently Asked Questions (monella kielellä, myös suomeksi):
http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html

William A. Arbaugh (Dept of Computer Science and UMIACS, University of Maryland, USA): The TCPA; What’s wrong; What’s right and what to do about.(The article is an overview of a larger article with a different title in the Information Security column of IEEE Computer in August 2002)
http://www.cs.umd.edu/~waa/TCPA/TCPA-goodnbad.html