www.redtenbacher.de > Sicherheit > Windows-Produktaktivierung

Ist die Windows-Produktaktivierung vertrauenswürdig?

(von Wolfgang Redtenbacher, <wolfgang@redtenbacher.de>)

Analyse der Aussagekraft einer Studie der TÜViT GmbH, Essen:

• Einleitung
• Die Informationsquellen
• Die Prüffragen der Studie
• Das Prüfvorgehen der TÜViT GmbH
• Das Audit in Redmond
• Die Schwachstellen der TÜViT-Prüfung
• Welches Prüfvorgehen hätte wirklich Sicherheit geboten?
• Zusammenfassung

Einleitung

Mit der Freigabe von MS-Office XP und Windows XP führte Microsoft eine neue Form des "Kopierschutzes" ein: die Produktaktivierung. Nach der Installation läuft das System nur für 30 Tage, wenn der Benutzer nicht die "Installations-ID" seines Systems per Telefon oder Internet an Microsoft übermittelt und von dort einen Freischaltcode erhält.

Da bei der Produktaktivierung über das Internet die Datenübertragung verschlüsselt erfolgt, waren Datenschützer und Konsumenten besorgt, ob Microsoft im Rahmen dieser Aktion neben der "Installations-ID" ggf. auch andere Informationen von den PCs der Anwender übermittelt bekommt. Immerhin hatte das ZDF-Magazin WISO am 30.07.2001 bei einer durchgeführten Produktaktivierung ein Volumen des Datenverkehrs von 72 KB (= ca. 18 DIN-A4-Seiten) gemessen und fand, daß dieses Volumen für die Übertragung einer 50stelligen Zahl (der "Installations-ID") doch wohl etwas groß geraten sei.

Um die Befürchtungen potentieller Kunden zu zerstreuen, beauftragte Microsoft die TÜViT GmbH, Essen, mit einer Studie zur Vertrauenswürdigkeit der Produktaktivierung. Diese privatwirtschaftlich tätige Prüfstelle hatte schon ein Jahr zuvor eine für Microsoft erfolgreiche Studie erstellt, in der 2 Psychologen im Rahmen einer "Vergleichenden Prüfung von MS-Windows 2000 und Linux als Netzwerkbetriebssysteme" dem Auftraggeber bestätigt hatten, daß das MS-Produkt dem Konkurrenzbetriebssystem in technischer und ergonomischer Hinsicht überlegen und insgesamt sogar kostengünstiger sei.

Auch die zweite TÜViT-Studie war für Microsoft erfolgreich, und der Auftraggeber warb anschließend mit folgendem "Prüfergebnis", das im Dezember 2001 in vielen Zeitschriften und im Internet publiziert wurde:

TÜV-Prüfung: Keine Spionage bei XP-Aktivierung

Die Produktaktivierung von Windows XP und Office XP läuft anonym ab, es werden keine Daten über die installierte Software und nur sehr wenige über die Hardware-Ausstattung des Rechners übertragen - egal, ob sie per Telefon oder übers Internet stattfindet. Zu diesem Ergebnis kommt eine Untersuchung der TÜV Informationstechnik GmbH (www.tuvit.de), die Microsoft in Auftrag gegeben hat. Die Prüfstelle erhielt Einblick in die Quelltexte.

Doch hatte die TÜViT-Untersuchung wirklich bewiesen, was die Presse-Information von Microsoft behauptete? Einige sicherheitsbewußte Unternehmen wollten es genau wissen und beauftragten den Verfasser, der u. a. für die Deutsche Akkreditierungsstelle Technik (DATech) die Fachkompetenz von Prüfstellen in den Bereichen Softwareergonomie und EDV-Sicherheit begutachtet, mit einer Analyse der Aussagekraft der TÜViT-Studie.

Die Informationsquellen

Der vollständige Prüfbericht der TÜViT-Untersuchung wird von TÜViT und Microsoft als vertraulich eingestuft und ist nicht öffentlich zugänglich. Erhältlich ist jedoch eine 16-seitige Kurzfassung im Acrobat-5-Format mit dem Titel "Summary der technischen Prüfung der Microsoft Produktaktivierung für Windows XP, Office XP und Visio 2002", die unter der Adresse "http://www.tuvit.de/index.asp?content=000203" abgerufen werden kann.

Zu vier für das Prüfergebnis bedeutsamen Aspekten, über die der "Summary"-Bericht keine eindeutige Aussage macht, richtete der Verfasser ergänzende Fragen per E-Mail an den Projektleiter der Studie, Herrn Dipl.-Phys. Hans Günter Siebert. Herr Siebert antwortete zu den meisten Punkten zwar nur sehr vage und ausweichend, jedoch konnten die noch offenen Fragen schließlich mit Hilfe des verantwortlichen Geschäftsführers der TÜViT GmbH, Herrn Dipl.-Ing. Antonius Sommer, geklärt werden.

Die Prüffragen der Studie

Der Auftrag an die TÜViT GmbH bezog sich nicht, wie die Presseinformation von Microsoft suggeriert, auf einen Nachweis, daß Microsoft keine Datenspionage betreiben würde. Die exakten zu prüfenden Aussagen von Microsoft sind im "Summary"-Bericht in Abschnitt 1.1 (Ziel der Untersuchung) aufgeführt. Zur umstrittenen Produktaktivierung über das Internet steht dort lediglich, daß außer der Installations-ID, sonstigen "Informationen zur Internet-Aktivierung", Informationen zum Land und den technischen Protokollerfordernissen zur Herstellung einer Internet-Verbindung "keine weiteren Angaben an Microsoft erforderlich" seien (vgl. die Microsoft-Aussagen 3a, 3b und 3c im "Summary"-Bericht).

Die Aussagen lassen jedoch zwei Punkte offen:

1. der Begriff "Informationen zur Internet-Aktivierung" ist nicht näher spezifiziert und kann daher von Microsoft mit beliebigem Inhalt gefüllt werden, und
2. der Umstand, daß zur Aktivierung "keine weiteren Angaben ... erforderlich" seien, besagt noch lange nicht, daß bei der Aktivierung auch keine weiteren Informationen an Microsoft übertragen werden.

Die Übertragung von weiteren Informationen, die auf der Festplatte des Anwenders gespeichert sind, mag zwar nicht erforderlich sein, ist jedoch durch die Microsoft-Aussagen nicht ausgeschlossen.

Daß sich die Rechtsanwälte von Microsoft dieser feinen, aber wichtigen Unterscheidung durchaus bewußt sind, legt der Vergleich des deutschen Prüfauftrags an die TÜViT GmbH mit einem ähnlichen früheren Prüfauftrag von Microsoft an die Unternehmensberatung Deloitte & Touche in Seattle nahe. Im dortigen Auftrag, der allerdings nur zu einer juristisch unverbindlichen Meinungsäußerung ("opinion report)" geführt hatte, lautete die entsprechende Formulierung noch "ist erforderlich oder wird an Microsoft übertragen" ("is required by or transmitted to Microsoft"). In den MS-Aussagen, die der TÜViT-Prüfung zugrunde gelegt wurden, fehlt hingegen der zu überprüfende Zusatz "oder wird an Microsoft übertragen".

Das Prüfvorgehen der TÜViT GmbH

Die Mehrzahl der von Microsoft vorgegebenen Aussagen, die die TÜViT GmbH prüfen sollte, befassen sich entweder mit Offensichtlichkeiten ("Wenn der Benutzer das Produkt über Telefon aktiviert, werden ... keine Informationen über das Internet ... übertragen") oder mit Details der Produktaktivierung per Telefon.

Sicherheitskritisch ist jedoch lediglich die Produktaktivierung über das Internet. Denn bei einem Telefongespräch mit dem Microsoft Activation Center in Münster kann naturgemäß keine Datenspionage erfolgen, die dem Benutzer verborgen bleiben würde. (Die "Installations-ID" selbst hätte wohl kaum die Bedenken der Datenschützer und Konsumenten geweckt, denn in einer 50-stelligen Zahl läßt sich nicht all zu viel Information übertragen.)

Verglichen damit geht es bei der Produktaktivierung über das Internet um ein erheblich höheres Datenvolumen (ca. 18 DIN-A4-Seiten, s. o.), von dem Microsoft nur etwa 3,5 KB (d. h. weniger als 5 %) offengelegt hat. Aus diesem Grund beschränken sich die nachfolgenden Ausführungen auf die Produktaktivierung per Internet, die nach einem Bericht des Heise-Verlags von rund 70 % der Benutzer gewählt wird.

Der erste Absatz von Abschnitt 2.1 (Vorgehensweise) des "Summary"-Berichts suggeriert, daß die TÜViT-Prüfer nach nationalen oder internationalen Normen vorgegangen wären. ("Die Prüfungen fanden auf Basis der für solche Prüfungen anzuwendenden Vorgaben gemäß dem Stand der Technik statt, wie er vor allem in Normen, Regeln und Richtlinien festgeschrieben ist.") Beim Nachfragen des Verfassers nach diesen "Normen und Regelwerken" mußte die TÜViT GmbH jedoch - nach anfänglicher Weigerung, die Prüfgrundlagen transparent zu machen - letztlich eingestehen, daß es sich in Wirklichkeit um TÜViT-interne Regelwerke gehandelt hatte, die sich lediglich nach der subjektiven Einschätzung der TÜViT-Prüfer an anerkannten Normen "orientiert" hätten.

Daher ist es wichtig, genauer nachzuvollziehen, was gemäß den TÜViT-internen Regelwerken wirklich geprüft wurde.

Das Audit in Redmond

Wie in den Abschnitten 2.1 und 2.2 des "Summary"-Berichts näher ausgeführt, haben die TÜViT-Prüfer ein 5-tägiges "Audit" (22.-26.10.2001) bei Microsoft in Redmond durchgeführt.

Hier wurden den Prüfern vertrauliche Spezifikationen zur Produktaktivierung vorgelegt, und sie durften Interviews mit MS-Entwicklern führen. Sie erhielten Einblick in die Konfigurationskontrollsysteme von Microsoft, konnten anhand eines von Microsoft aufgebauten Testsystems eine Produktaktivierung mehrfach "durchführen" und erhielten Einblick in die erzeugten Datenbankeinträge des Testsystems. Es erfolgte jedoch nur eine Inspektion derjenigen Datenbanktabellen des Testsystems, die in den MS-Unterlagen als relevant spezifiert waren.

Die bei der Produktaktivierung tatsächlich über das Internet übertragenen Daten wurden mitprotokolliert, und es wurde festgestellt, daß die verschlüsselt übertragene Datenmenge "wesentlich größer" als die gemäß den zur Verfügung gestellten Unterlagen zu erwartenden "Nutzdaten" war. Auf eine Entschlüsselung des Übertragungsprotokolls wurde jedoch verzichtet. Statt dessen wurde mit Hilfe eines von Microsoft zur Verfügung gestellten Programms der Inhalt der vorbereiteten Registrierungsangaben inspiziert und die gegenüber dieser Inspektion festgestellte "wesentlich größere" Datenmenge der Übertragung ohne weitere Prüfung als "Erfordernisse der Internetprotokolle" erklärt (vgl. die letzten beiden Absätze von Abschnitt 2.2.3 des "Summary"-Berichts).

Theoretisch war den Prüfern auch eine unbeschränkte Einsichtnahme in den Quellcode von Windows XP und MS-Office XP zugestanden worden. In der Praxis beschränkte sich der Blick in den Quellcode jedoch auf diejenigen Teile, die von Microsoft vorher als für die Produktaktivierung relevant ausgewählt worden waren (vgl. erster Absatz von Abschnitt 2.2.4 des "Summary"-Berichts).

Die Schwachstellen der TÜViT-Prüfung

Was hatte die TÜViT-Prüfung somit gezeigt?

Sie hatte bewiesen, daß ein einzelner Mitarbeiter von Microsoft nicht in der Lage ist, Datenspionage zu betreiben, ohne daß dies von anderen Mitarbeitern bemerkt werden würde. Außerdem hatte sie belegt, daß mit an Sicherheit grenzender Wahrscheinlichkeit auch keine versehentliche Übertragung von persönlichen Daten durch eventuelle Programmierfehler bei der Produktaktivierung stattfindet.

Wer daher der Firma Microsoft grundsätzlich Vertrauen schenkt und nur Befürchtungen hinsichtlich einzelner "schwarzer Schafe" unter den Programmierern in Redmond gehegt hat, wird mit der TÜViT-Prüfung zufriedengestellt sein.

Doch waren das tatsächlich die Befürchtungen der Datenschützer und Konsumenten gewesen, die Microsoft mit der TÜViT-Studie ausräumen wollte?

Ein Blick in die Leserbriefe (oder Internet-Foren) von Computerzeitschriften zeigt ein ganz anderes Bild: Die Skepsis des überwiegenden Teils derjenigen, die durch die MS-Produktaktivierung beunruhigt waren, richtete sich gegen die Firma Microsoft selbst (d. h. gegen die Firmenleitung) und nicht gegen einzelne Programmierer oder gar gegen einzelne Mitarbeiter in den Microsoft Activation Centers.

Diese skeptischen PC-Nutzer (und wohl auch die meisten Redakteure von Computerzeitschriften) nahmen an, daß durch die TÜViT-Prüfung die Ehrlichkeit und Vertrauenswürdigkeit von Microsoft bei der Produktaktivierung nachgewiesen worden wäre. Dies war jedoch keineswegs der Fall: Vielmehr hatte das Prüfvorgehen der TÜViT GmbH die zu untersuchende und im Rahmen der Prüfung zu bestätigende Vertrauenswürdigkeit vorausgesetzt!

Somit weist die TÜViT-Prüfung zumindest 4 fachliche Mängel auf, von denen jeder einzelne die Prüfaussage völlig zunichte machen kann:

1. Es erfolgte keine Prüfung, ob die inspizierten Code-Teile auch wirklich mit den ausgeführten Code-Teilen übereinstimmten.
   (Eine Prüfmöglichkeit dafür wäre - abgesehen von einer wohl unrealistischen vollständigen Quellcode-Analyse - gewesen, den Algorithmus der Aktivierung anhand der MS-Spezifikationen eigenständig zu implementieren und dann experimentell zu überprüfen, ob eine im normalen Handel erworbene Endbenutzer-Version von Windows XP die gleichen verschlüsselten Registrierungs-/Aktivierungsdaten erzeugt wie die unabhängige Implementierung.)
2. Es erfolgte keine unabhängige Prüfung der vorbereiteten Registrierungs-/Aktivierungsdaten.
   (Eine Inspektion der verschlüsselten Daten durch ein von Microsoft zur Verfügung gestelltes Programm hat diesbezüglich keine Aussagekraft, da nicht durch eine Prüfung ausgeschlossen worden war, daß dieses Programm möglicherweise nur die offiziellen Registrierungs-/Aktivierungsdaten für TÜViT anzeigt und die anderen Informationen stillschweigend überspringt.)
3. Es erfolgte keine Prüfung, ob die bei der Registrierung bzw. Aktivierung übertragenen Daten wirklich nur aus der vorbereiteten Registrierungsdatei und den Internet-Protokollbefehlen bestanden.
   (Zwar hatten die TÜViT-Prüfer durchaus bemerkt, daß die übertragene Datenmenge "wesentlich größer" als die angeblichen Nutzdaten war. Es wurde jedoch nicht geprüft, ob dieses "wesentlich größer" [gemäß dem ZDF-Magazin WISO immerhin die zwanzigfache Datenmenge an Protokolldaten gegenüber den offiziellen Nutzdaten] durch eine uneffiziente Protokollnutzung oder etwa durch "zusätzliche Nutzdaten" entstand.)
4. Es erfolgten keine Maßnahmen zur Sicherstellung der zeitlichen Stabilität des Prüfergebnisses.
   (Eine Aussage wie "Die Produktaktivierung ist vertrauenswürdig" [im letzten Absatz des "Summary"-Berichts] ohne präzise Beschränkung auf "Die Produktaktivierung der Version X, Build Y, ist vertrauenswürdig" erfordert gemäß dem für Prüfstellen verbindlichen internationalen Standard ISO 12119, "Quality requirements and testing", Abschnitt 3.1.2, daß Maßnahmen ergriffen werden, die sicherstellen, daß die allgemeine Aussage, die die Basis eines öffentlichen Vertrauens bildet, nicht bereits beim nächsten Service-Pack oder "Sicherheitsupdate" hinfällig werden kann. Die TÜViT GmbH teilte dem Verfasser zu diesem Punkt jedoch mit: "Eine kontinuierliche weitere Überwachung der Produkte wurde nicht beauftragt. Ob dies eine sinnvolle zusätzliche vertrauensbildende Maßnahme wäre, kann TUViT nicht entscheiden.")

Welches Prüfvorgehen hätte wirklich Sicherheit geboten?

In der elektronischen Kommunikation mit dem Projektleiter der TÜViT-Studie sowie im direkten Gespräch mit dem verantwortlichen TÜViT-Geschäftsführer zeigte sich, daß bei der TÜViT GmbH die Überzeugung vorherrscht, eine Sicherheitsprüfung müsse von der Ehrlichkeit der geprüften Firma/Institution ausgehen und könne diesen Aspekt nicht mit technischen Mitteln garantieren.

Dieses Verständnis von "Sicherheit", das die TÜViT GmbH der Studie zugrunde legte, widerspricht jedoch den Forschungsergebnissen der letzten Jahrzehnte im Sicherheitsbereich. Entwicklungen wie "digitale Signatur", "elektronisches Geld" u. v. m. beruhen ja gerade auf Verfahren, die völlig unabhängig von der Ehrlichkeit und Vertrauenswürdigkeit der an einer Transaktion beteiligten Personen oder Firmen mit hauptsächlich technischen Mitteln sicherstellen, daß die jeweilige "Prüfaussage" (z. B. die Nicht-Abstreitbarkeit einer Bestellung) garantiert werden kann.

Es wäre durchaus möglich gewesen, die TÜViT-Prüfung so zu gestalten, daß sie völlig unabhängig von der Vertrauenswürdigkeit des geprüften Unternehmens einen zuverlässigen Nachweis für die Prüfaussage hätte erbringen können.

Ein mögliches Prüfvorgehen, das diese Sicherheit bieten würde, könnte z. B. wie folgt aussehen (und würde kaum mehr kosten als das von der TÜViT GmbH gewählte Verfahren):

1. Das Call-Center-Audit und die Prüfung des Konfigurationsmanagements von Microsoft hätten gestrichen werden können, weil diese Aspekte für die Bedenken der Öffentlichkeit gegen die MS-Produktaktivierung entweder nicht relevant waren oder keine Beweiskraft hatten.
2. Mit dem auf diese Weise eingesparten Geld hätte die Prüfstelle die Algorithmen für (a) die Erzeugung der Aktivierungs- bzw. Registrierungsdaten und (b) die Entschlüsselung dieser Daten aus den benutzten Internetprotokollen gemäß den von Microsoft vorgelegten Spezifikationen eigenständig implementieren können.
3. Mit den eigenständig implementierten Hilfsprogrammen aus Schritt 2 hätte die Prüfstelle leicht feststellen können, ob die Produktaktivierung einer im Handel bezogenen Endbenutzerversion von Windows XP auch wirklich genau die "Aktivierungsdaten" (und keine zusätzlichen "Nutzdaten") überträgt, die gemäß den MS-Spezifikationen übertragen werden sollten.
4. Durch gelegentliche Stichproben gemäß Schritt 3 hätte sich die zeitliche Stabilität des Prüfergebnisses problemlos und ohne großen Aufwand verifizieren lassen. (Die erforderlichen Hilfsprogramme müssen für neue Versionen des geprüften Produkts ja nicht angepaßt werden, solange nicht an den Spezifikationen der Produktaktivierung selbst Änderungen vorgenommen werden.)

Ein solches Vorgehen würde der Prüfstelle ermöglichen, eine zuverlässige Aussage über die Produktaktivierung zu machen, ohne dazu dem Auftraggeber der Studie Vorschußvertrauen geben zu müssen. Die Maßnahmen der Prüfstelle hätten für sich genommen bereits die "Spionagefreiheit" des Produktaktivierungs-Vorgangs sichergestellt.

Zusammenfassung

Die Schwachstellen der TÜViT-Prüfung sind für sich genommen keine Indizien dafür, daß im Rahmen der Produktaktivierung eine Datenspionage erfolgt. Bei einer Sicherheitsprüfung im Sinne einer "Vermeidung von Datenspionage und -manipulation" soll jedoch die Prüfung gerade nachweisen, daß die geprüfte Institution keinen "Datenklau" betreibt und somit vertrauenswürdig ist. Sie darf daher die nachzuweisende Vertrauenswürdigkeit nicht bereits im Vorfeld stillschweigend unterstellen.

Insofern hat sich die TÜViT GmbH ungeeigneter Prüfmethoden für den Nachweis der Aussage "Die Microsoft Produktaktivierung ist einfach, schnell und vertrauenswürdig" bedient. Darüber hinaus läßt das Verhalten der Prüfstelle im Umfeld dieser Studie Zweifel an der für Prüfstellen erforderlichen Unabhängigkeit aufkommen. So hat z. B. die TÜViT GmbH das Prüfergebnis nicht nur dem Auftraggeber mitgeteilt und auf der eigenen Website publiziert, sondern auch ein Werbeschreiben für die Vertrauenswürdigkeit der Produktaktivierung an den TÜViT-Adreßbestand verschickt. Dies weist entweder auf ein eigenes wirtschaftliches Interesse am Prüfergebnis oder auf eine bezahlte Werbeaktion für den Auftraggeber der Prüfung hin. Denn es ist wohl zweifelhaft, ob bei einem für Microsoft negativen Prüfergebnis ebenfalls ein entsprechender Serienbrief an den TÜViT-Adreßbestand gesandt worden wäre.

Für die TÜViT GmbH läßt sich somit insgesamt festhalten, daß sie bei dieser Studie gegen die folgenden zwei Güteerfordernisse für Prüfstellen verstoßen hat, die in internationalen Normen festgelegt sind:

1. "Das Labor muß über grundsätzliche Regelungen und Verfahren verfügen, durch welche die Teilnahme an Tätigkeiten vermieden wird, die das Vertrauen in seine Kompetenz, Unparteilichkeit, sein Urteilsvermögen oder seine betriebliche Integrität herabsetzen könnten." (ISO 17025, "General Requirements for the Competence of Calibration and Testing Laboratories", Abschnitt 4.1.5d)
2. "Wenn es notwendig ist, Verfahren anzuwenden, die keine Standardverfahren sind, so muß ... das entwickelte Verfahren vor der Anwendung angemessen validiert worden sein." (ISO 17025, Abschnitt 5.4.4, "Nicht genormte Verfahren")

Was den Auftraggeber der Studie und die Vertrauenswürdigkeit der Produktaktivierung betrifft, so besteht aufgrund der fachlichen Mängel der TÜViT-Prüfung leider weiterhin die unklare Situation aus der Zeit vor der TÜViT-Studie. Sofern Microsoft die Befürchtungen der Datenschützer und Konsumenten wirksam ausräumen möchte, müßte daher eine Prüfung beauftragt werden, die den "Stand der Technik" im Sicherheitsbereich nicht nur für sich beansprucht, sondern auch tatsächlich konsequent umsetzt.

(Stand: 09.04.2002)