„Trusted Execution Environment“ – Versionsunterschied
| [gesichtete Version] | [gesichtete Version] |
K Ausdruck |
+ {{Belege fehlen}} (die Hauptaussagen sind unbelegt); Rechtschreibung |
||
| Zeile 1: | Zeile 1: | ||
{{Belege fehlen}} |
|||
Eine '''Trusted Execution Environment''' (TEE) stellt eine sichere bzw vertrauenswürdige Laufzeitumgebung für Applikationen zur Verfügung. Dabei kann ein TEE isoliert auf einem separaten Prozessor, direkt auf dem Hauptprozessor(en) eines Computzersystems oder aber in einem [[ |
Eine '''Trusted Execution Environment''' (TEE) stellt eine sichere bzw vertrauenswürdige Laufzeitumgebung für Applikationen zur Verfügung. Dabei kann ein TEE isoliert auf einem separaten Prozessor, direkt auf dem Hauptprozessor(en) eines Computzersystems oder aber in einem [[Die (Halbleitertechnik)|Die]] eines Multiprozessor-System bzw eines [[System-on-a-Chip|Ein-Chip-System (SoC)]] existieren. |
||
== Technologien == |
== Technologien == |
||
Je nach Hersteller existieren zur Realisierung eines TEE verschiedene Technologien. |
Je nach Hersteller existieren zur Realisierung eines TEE verschiedene Technologien. |
||
* [[AMD]]: |
* [[AMD]]: |
||
** zusätzlicher ARM- |
** zusätzlicher ARM-basierter Sicherheitsprogressor (Platform Security Processor, PSP) <ref>http://www.amd.com/us/press-releases/Pages/amd-strengthens-security-2012jun13.aspx</ref>) auf dem Die |
||
** Vertualisierungstechnik ''Secure Extension Mode'' (SEM) |
** Vertualisierungstechnik ''Secure Extension Mode'' (SEM) |
||
| Zeile 12: | Zeile 13: | ||
** [[Trusted Execution Technology]] (TXT) |
** [[Trusted Execution Technology]] (TXT) |
||
** [[Intel Active Management Technology]] |
** [[Intel Active Management Technology]] |
||
* [[ |
* [[MIPS Technologies|MIPS]]: |
||
** Virtualisierung <ref>http://www.digitimes.com/supply_chain_window/story.asp?datepublish=2013/3/15&pages=PR&seq=203</ref> |
** Virtualisierung <ref>http://www.digitimes.com/supply_chain_window/story.asp?datepublish=2013/3/15&pages=PR&seq=203</ref> |
||
| Zeile 19: | Zeile 20: | ||
Ein [[Hypervisor]] alleine stellt ebenfalls keine TEE dar. Er kann zwar verschiedene Betriebssysteme auf einem Prozessor ausführen, die Isolierung ist jedoch auf den Prozessor beschränkt. Ein TEE umfasst auch Peripheriegeräte, die zwischen Zugriffen aus sicheren und nicht-sicheren Applikationen oder Betriebssystemen unterscheiden können. |
Ein [[Hypervisor]] alleine stellt ebenfalls keine TEE dar. Er kann zwar verschiedene Betriebssysteme auf einem Prozessor ausführen, die Isolierung ist jedoch auf den Prozessor beschränkt. Ein TEE umfasst auch Peripheriegeräte, die zwischen Zugriffen aus sicheren und nicht-sicheren Applikationen oder Betriebssystemen unterscheiden können. |
||
[[Chipkarte |
[[Chipkarte]]n, [[Security-Token|USB-Tokens]] oder [[Hardware-Sicherheitsmodul]]e stellen ein TEE dar, bieten wegen der fehlenden Ein- und Ausgabekomponeten (Tastatur, Monitor) jedoch nur beschränkte Möglichkeiten. Darüber hinaus sind sie oft nur für einen bestimmten Zweck ausgelegt und bieten keine freie Programmierbarkeit. Bei Chipkarten oder Token können sich aus der im Vergleich zum Hauptprozessor geringe Rechenleistung und Speicherkapazität weitere Einschränkungen ergeben. |
||
Ein [[TPM]] alleine stellt noch kein TEE dar, da auf dem Chip selber keine Applikationen ausgeführt werden können. Es wird jedoch von Intels TXT verwendet. |
Ein [[TPM]] alleine stellt noch kein TEE dar, da auf dem Chip selber keine Applikationen ausgeführt werden können. Es wird jedoch von Intels TXT verwendet. |
||
Das TEE |
Das TEE-Konzept verfeinert das Konzept des [[Trusted Computing]]. Ein oder mehrere vertrauenswürdige Laufzeitumgebungen können parallel existieren, daneben können noch weitere unsichere oder ungeschützte Umgebungen existieren. |
||
== Anwendungen == |
== Anwendungen == |
||
Die TEE |
Die TEE-Technologie kommt heute hauptsächlich auf [[Smartphone]]s und [[Tablet-Computer|Tablet]]s zum Einsatz, z. B. für |
||
[[Digitale Rechteverwaltung|DRM]]. Die Weiterentwicklung und Standardisierung dieser Technologie ist von entscheidender Bedeutung für Anwendungen wie Mobile-Banking, NFC-Zahlungsmöglichkeiten gesehen. Auch das Konzept [[Bring your own device]] (BYOD), die Schaffung eines privatem Bereich parallel zu einem sicheren Bereich für Firmendaten, stützt sich auf das TEE Konzept. |
[[Digitale Rechteverwaltung|DRM]]. Die Weiterentwicklung und Standardisierung dieser Technologie ist von entscheidender Bedeutung für Anwendungen wie Mobile-Banking, NFC-Zahlungsmöglichkeiten gesehen. Auch das Konzept [[Bring your own device]] (BYOD), die Schaffung eines privatem Bereich parallel zu einem sicheren Bereich für Firmendaten, stützt sich auf das TEE Konzept. |
||
== Standardisierung == |
== Standardisierung == |
||
Der Industrieverband [[GlobalPlatform]], der auch Spezifikationen für Laufzeitumgebungen auf Chipkarten und herausgibt, arbeitet an einer Standardisierung von TEEs in folgenden Bereichen |
Der Industrieverband [[GlobalPlatform]], der auch Spezifikationen für Laufzeitumgebungen auf Chipkarten und … herausgibt, arbeitet an einer Standardisierung von TEEs in folgenden Bereichen: |
||
* Laufzeitumgebung für Applikationen |
* Laufzeitumgebung für Applikationen |
||
* Installation und Verwaltung von Applikationen |
* Installation und Verwaltung von Applikationen |
||
Im Rahmen der [[Linaro]] |
Im Rahmen der [[Linaro]]-Initiative<ref>http://www.linaro.org/</ref> existiert auch eine Arbeitsgruppe, die den Zugriff auf ARM TrustZone basierte TEEs von [[Linux]] aus standardisiert. |
||
== Einzelnachweise == |
== Einzelnachweise == |
||
Version vom 24. Dezember 2013, 12:08 Uhr
Eine Trusted Execution Environment (TEE) stellt eine sichere bzw vertrauenswürdige Laufzeitumgebung für Applikationen zur Verfügung. Dabei kann ein TEE isoliert auf einem separaten Prozessor, direkt auf dem Hauptprozessor(en) eines Computzersystems oder aber in einem Die eines Multiprozessor-System bzw eines Ein-Chip-System (SoC) existieren.
Technologien
Je nach Hersteller existieren zur Realisierung eines TEE verschiedene Technologien.
- AMD:
- zusätzlicher ARM-basierter Sicherheitsprogressor (Platform Security Processor, PSP) [1]) auf dem Die
- Vertualisierungstechnik Secure Extension Mode (SEM)
Abgrenzung zu anderen Technologien
Ein Hypervisor alleine stellt ebenfalls keine TEE dar. Er kann zwar verschiedene Betriebssysteme auf einem Prozessor ausführen, die Isolierung ist jedoch auf den Prozessor beschränkt. Ein TEE umfasst auch Peripheriegeräte, die zwischen Zugriffen aus sicheren und nicht-sicheren Applikationen oder Betriebssystemen unterscheiden können.
Chipkarten, USB-Tokens oder Hardware-Sicherheitsmodule stellen ein TEE dar, bieten wegen der fehlenden Ein- und Ausgabekomponeten (Tastatur, Monitor) jedoch nur beschränkte Möglichkeiten. Darüber hinaus sind sie oft nur für einen bestimmten Zweck ausgelegt und bieten keine freie Programmierbarkeit. Bei Chipkarten oder Token können sich aus der im Vergleich zum Hauptprozessor geringe Rechenleistung und Speicherkapazität weitere Einschränkungen ergeben.
Ein TPM alleine stellt noch kein TEE dar, da auf dem Chip selber keine Applikationen ausgeführt werden können. Es wird jedoch von Intels TXT verwendet.
Das TEE-Konzept verfeinert das Konzept des Trusted Computing. Ein oder mehrere vertrauenswürdige Laufzeitumgebungen können parallel existieren, daneben können noch weitere unsichere oder ungeschützte Umgebungen existieren.
Anwendungen
Die TEE-Technologie kommt heute hauptsächlich auf Smartphones und Tablets zum Einsatz, z. B. für DRM. Die Weiterentwicklung und Standardisierung dieser Technologie ist von entscheidender Bedeutung für Anwendungen wie Mobile-Banking, NFC-Zahlungsmöglichkeiten gesehen. Auch das Konzept Bring your own device (BYOD), die Schaffung eines privatem Bereich parallel zu einem sicheren Bereich für Firmendaten, stützt sich auf das TEE Konzept.
Standardisierung
Der Industrieverband GlobalPlatform, der auch Spezifikationen für Laufzeitumgebungen auf Chipkarten und … herausgibt, arbeitet an einer Standardisierung von TEEs in folgenden Bereichen:
- Laufzeitumgebung für Applikationen
- Installation und Verwaltung von Applikationen
Im Rahmen der Linaro-Initiative[4] existiert auch eine Arbeitsgruppe, die den Zugriff auf ARM TrustZone basierte TEEs von Linux aus standardisiert.