Microsoft rückt mit Details zu ‘Sicherheit im Prozessor’ heraus

CloudEnterpriseServer

Bisher hat der Softwareriese nur über Hardware-Security und Digital Rights Management auf dem PC gesprochen. Aber die Pläne sind schon weiter gediehen als bisher bekannt war.

Microsoft hat Pläne für eine enge Verzahnung von Hardwareplattform und Betriebssystem vorgelegt, womit die Sicherheit von Desktops insgesamt deutlich verbessert werden soll. Der Plan, über den der Softwarekonzern jetzt beginnt ausführlich zu sprechen, gewinnt eine gewisse Eleganz durch den Umstand, dass die CPU-Hersteller Intel und AMD mit ihren Produkten schon seit längerem Microsofts ‘Execution Protection’ (NX, für ‘no execution’) unterstützen können. Kritiker warnen bereits vor einem Hardwarediktat durch Microsoft.
NX soll mit dem Service Pack 2 (SP2) für Windows XP Wirklichkeit werden. SP2 ist für Anfang kommenden Jahres angekündigt. “Wir erwarten, dass künftige 32-Bit- und 64-Bit-Plattformen NX durchgängig unterstützen”, heißt es in einem Microsoft-Papier dazu. Intels Itanium und AMDs K8 tun das bereits.

Grundlage der NX-Technologie ist die Trennung von Anwendungscode und den zu verarbeitenden Daten. Entwickler, die auf anderen Betriebssystemen arbeiten, wenden ein, dass sich dies eigentlich von selbst verstehe. Microsoft wagt sich erst jetzt an diese Aufgabe, weil deutlich geworden ist, dass die Sicherheitsprobleme zu einem großen Teil damit zu tun haben.

Seit vergangenem Jahr propagiert Microsoft seine ‘Next Generation Secure Computing Base’ (NGSCB), nach deren Konzept auch ein Digital Rights Management (DRM) bis auf die Hardware-Ebene herunter geknüpft werden soll. Dies soll den Vertrieb von digitalen Inhalten mit Kopierschutz praktikabel machen. Der NX-Ansatz wäre ein erster Schritt, um Microsoft auch für DRM auf Hardwarebasis in Position zu bringen.

In den Microsoft-Unterlagen, die derzeit kursieren, wird aber auch ausdrücklich darauf hingewiesen, dass es mit dem SP2 durch NX zu Inkompatibilitäten mit Anwendungen kommen könne, die ihren Code dynamisch generieren und diesen Code dann nicht als generiert und ausführungsberechtigt markieren. ‘Managed Code’-Anwendungen und andere Komponenten, die mit Microsofts ‘Common Language Runtime’ innerhalb von Dotnet erstellt wurden, könnten dagegen weiterhin verwendet werden, heißt es weiter.

Sobald also nicht-kompatible Anwendungen auf einer Hardwareplattform ausgeführt werden sollen, die bereits NX versteht und ausführt, könne es zu Schwierigkeiten kommen. Auf lange Sicht, da sind sich die Branchenbeobachter einig, werde es wohl keinen Hersteller von PC-Prozessoren geben, der sich den Luxus leisten wird, NX nicht zu unterstützen – denn das könne von Microsoft schließlich zur Voraussetzung für die Zusammenarbeit bei Entwicklung und Anpassung gemacht werden. Und darauf wären die CPU-Hersteller angewiesen.

Aus Sicht der PC-Hersteller wiederum wäre es ein ersehntes Verkaufsargument, ihre Produkte mit dem Prädikat ‘Hardware mit eingebauter Sicherheit’ anzubieten.