DRM volledig ondersteund in Linux

Microsoft gebruikt Trusted Computing (TC) voor zijn BitLocker-encryptie in Windows Vista en Windows 7, en ook sommige vingerafdruklezers op Dell-laptops maken gebruik van de technologie, maar tot nu toe bleven die toepassingen beperkt tot specifieke applicaties. Het is dan ook op zijn zachtst gezegd verbazend dat de eerste volledige ondersteuning op het niveau van het besturingssysteem verschijnt in een Linux-distributie. Dat het om openSUSE 11.2 van Microsofts partner Novell gaat, is dan weer niet zo verrassend.

De Trusted Computing technologie gebruikt zowel hardware als software om een veilige omgeving aan te bieden. Aan de hardwarekant is er de Trusted Platform Module (TPM), een chip die cryptografische sleutels genereert en beheert, de identiteit van een computer verifieert en (al dan niet criminele) aanpassingen aan software kan tegengaan. In de VS vereisen het leger en het Department Of Defense sinds enkele jaren dat alle laptops die ze aankopen een TPM-chip hebben. Door die hardwarekant kan een computer met TPM-chip, vanaf het moment dat de stroom wordt ingeschakeld, zichzelf verifiëren en afdwingen dat er alleen vertrouwde software op mag draaien.

Slapende chip

Heel wat computers hebben al een TPM-chip ingebouwd, maar die is dan niet geactiveerd. Zonder ondersteuning in de software doet de hardware immers niets. De Oostenrijkse technologiegroep Technikon leidt een consortium van 23 onderzoeksinstellingen en bedrijven, waaronder AMD, IBM, HP en Novell, om een open source softwarestack te ontwikkelen voor Trusted Computing omgevingen: OpenTC. Het geheel werd gesubsidieerd door de Europese Unie in het Zesde Kaderprogramma.

Het resultaat is nu te vinden in OpenSUSE 11.2. Hierdoor is OpenSUSE het eerste besturingssysteem, zelfs vóór Windows, dat volledige ondersteuning voor Trusted Computing heeft. Als onderdeel van het OpenTC-project werd immers een volledige trusted softwarestack ontwikkeld, ondersteuning in de Xen-hypervisor en beheersoftware voor Trusted Computing en de TPM-chip. Ondersteuning in de Linux-kernel voor de chip was er al langer.

Bescherming tegen virussen

Het persbericht van het OpenTC-project heeft het natuurlijk over de voordelen van trusted computing en wuift de nadelen weg. Laten we het dus eerst over die voordelen hebben. Trusted computing kan allereerst online transacties geverifieerd en veilig uitvoeren, denk bijvoorbeeld aan online banking. Een volgende mogelijkheid is het compartimenteren van privé- en werkgebruik op dezelfde computer, zodat je baas geen toegang heeft tot je vakantiefoto's en de bedrijfsinformatie op je computer op geen enkele manier toegankelijk is voor je kinderen die er games op spelen. OpenTC heeft voor beide toepassingen een proof of concept ontwikkeld.

Het compartimenteren kan ook verder uitgewerkt worden in datacentra, om sterk van elkaar gescheiden virtuele machines aan te bieden. IBM heeft dit als onderdeel van het OpenTC-project al uitgevoerd. Een nieuw project in de OpenTC-stal wil deze mogelijkheden uitbreiden naar cloud computing, waar het misschien geen overbodige luxe zou zijn. En het vervolgproject TECOM, eveneens door de EU gesubsidieerd, wil trusted computing oplossingen ontwikkelen voor smartphones.

Het OpenTC-persbericht noemt trusted computing verder essentieel in de strijd tegen crackers, virussen en spyware. Door de verankering in hardware kan het besturingssysteem immers tegengaan dat applicaties zonder toestemming worden gewijzigd. Bovendien bevat de TPM-chip een toevalsgenerator, die gebruikt kan worden voor het genereren van willekeurige bits voor het creëren van sleutels voor bijvoorbeeld RSA of AES. Fedora-ontwikkelaar Matt Domsch heeft onlangs met de Linux-ontwikkelaars van Dell samengewerkt om dit mogelijk te maken. Trusted Computing kan een besturingssysteem dus op heel wat vlakken veiliger maken.