Argwaan blijft over veiligheidsprotocol Microsoft

Microsoft wil met veiligheidsprotocol Palladium computers veiliger maken. Het bedrijf slaagt er voorlopig niet in het wantrouwen erover weg te nemen.

Softwareontwikkelgereedschap met Palladium Een eerste glimp op Palladium is er voor bezoekers van de Winhec in New Orleans, van 5 tot 7 mei. Microsoft zal vervolgens ook in oktober meer bekend maken over Palladium, op de Professional Developers Conferentie in Los Angeles, in Microsofts agenda de belangrijkste conferentie over softwareontwikkelingen. Die maand noemt het bedrijf ook als datum voor het uitgeven van een softwareontwikkelomgeving (sdk) waarin voorbeeldcode van Palladium wordt opgenomen.

Begin deze maand onthult de softwaregigant meer details over de toekomstige beveiliging van de fabriekseigen besturingssystemen en toepassingen daarop. De combinatie van speciale hard- en software is bekend onder de naam Palladium. Begin dit jaar doopte het bedrijf het beveiligingsschema om to 'next-generation secure computing base'.
Volgens Microsoft is het voornaamste doel van Palladium om gebruikers en gebruikersgroepen meer databeveiliging te bieden.

Zo transparant mogelijk

De softwareindustrie staat onder toenemende druk om betrouwbaarheid en integriteit te leveren, zo stelt Microsoft in een uitvoerige uitleg over Palladium. "Het is een lange-termijn project. De eerste Palladium-pc's verschijnen pas over enkele jaren en de softwarereus verwacht dat een algemene toepassing ervan pas in de jaren daarna."
Het bedrijf wil het protocol samen met consument en bedrijfsleven ontwikkelen: "Zo transparant mogelijk, zodat zo veel mogelijk belanghebbenden op de hoogte zijn, en belangrijker nog, bijdragen aan de ontwikkeling ervan."
Het protocol werkt alleen voor speciaal geschreven toepassingen en laat bestaande applicaties onberoerd. Het moet onder meer mogelijk maken dat een medewerker op afstand een beveiligde netwerkverbinding kan opzetten met zijn bedrijf. Dat hoeft niet te vrezen voor virussen op de pc van de medewerker, die zich op zijn beurt geen zorgen hoeft te maken over inbraken vanaf het werk.
Voor die vertrouwensomgeving werkt Microsoft aan een combinatie van hard- en software. De hardware is een deel van het geheugen, fysiek geïsoleerd en beschermd en moet onder meer verzegelde opslag mogelijk maken van data die niet mag worden gelezen door niet-geauthoriseerde toepassingen.
Microsoft beschrijft het geheel als een kluis, waarin de benodigde veiligheidsgegevens zijn op te slaan. Het veronderstelt dat de kluis ongevoelig is voor virussen, software-aanvallen en 'spy-ware' (software waarmee data of bijvoorbeeld toetsaanslagen worden afgekeken).
Het softwaregedeelte van Palladium bestaat uit twee delen. Een kluisbesturingssysteem moet zorgdragen voor het uitvoeren binnen de kluis van verzoeken van diensten of software, het tweede deel van de software-aanpak.
Het kluisbesturingssysteem bemoeit zich niet met het Windows-besturingssysteem of applicaties. "Alles, inclusief virussen, blijven daarin werken zoals voorheen." Dat betekent dan ook niet, dat Palladium antivirussoftware overbodig maakt. Wel zou Palladium kunnen garanderen dat een speciaal hiervoor geschreven anti-virusprogramma bij het opstarten niet is aangetast door een virus.
Een dergelijke 'erkende werking' van applicaties maakt ook het regelen van bijvoorbeeld bankzaken of aankopen via computernetwerken zeker. "Allen de vereiste data wordt toegelaten, niet viruscode of code afkomstig van een onbekende computer op internet."
Behalve het verzegelen van opslag en versleuteling van data zal Palladium ook bepaalde hardware-onderdelen aan- of uitschakelen. Ook software kan zichzelf in een gegarandeerde beginstaat klaarzetten.
Palladium is het begin van een bedrijfsmatig systeem dat de pricacy kan beschermen en versterken, aldus Microsoft. Daartoe wil het de productie van de hard- en software met zoveel mogelijk partijen organiseren. "Gebruikers kunnen de werking van hun systeem laten nakijken door de organisatie die ze het meest vertrouwen."

Digitale burgerrechten

Ondanks deze openhartige uitleg van Microsoft is Palladium bedolven onder felle kritiek. Dat gebeurt onder meer in usenet-discussiegroepen en op verschillende websites. Critici zien er een ultieme poging van de softwaregigant in om voor altijd een einde te maken aan illegale software. Samen met multi-medialeveranciers moet het protocol ook het kopiëren van bijvoorbeeld muziek of films een halt toeroepen.
Volgens Mario Juarez, bij Microsoft verantwoordelijk voor het beveiligingsplatform, heeft het bedrijf met verschillende Europese instituten en vertegenwoordigers van de EU gesproken om de eerste ongerustheden weg te nemen.
Met een van de bekendste critici, Ross Anderson, hoofd van een onderzoeksgroep over computerbeveiliging aan de Britse universiteit van Cambridge, heeft het bedrijf nog geen contact gehad. Deze schetst een tamelijk paranoïde toekomst met Palladium. Het protocol wordt hierin vergeleken met de methoden van de voormalige Sovjet Unie om alle faxen en typemachines onder controle te krijgen. Anderson vermoedt onder meer dat Microsoft met het systeem de Europese chipkaartindustrie een hak wil zetten. Smartcards zijn een alternatief voor het schema; computers met Palladium maken de chipkaarten overbodig. Een 'vertrouwde' computer is er juist een die je moet wantrouwen, aldus Anderson.
Ook het Nederlandse lobby-bureau voor digitale burgerrechten Bits of Freedom refereert via de website aan het pleidooi van Anderson. Woordvoerder Maurice Wesseling is het vooral met de slotconclusie van Anderson eens. "Microsoft legt het vriendelijk uit, maar uiteindelijk wil het de mogelijkheden van de pc inperken."
Palladium maakt volgens hem software en hardware tot een onlosmakelijk geheel. Nu de aankomende Europese auteurswet het doorbreken van alle digitale beschermingsmethodieken verbiedt, is er voor de gewone gebruiker geen ontkomen meer aan. "De techniek reguleert het gebruik van de pc. Slechts enkelen zullen er een weg omheen vinden."
De meeste Nederlandse politici hebben volgens Wesseling geen flauw benul wat de invloed van Palladium kan zijn. Eind april stelde wel Groenlinks-kamerlid Cees Vendrik vragen over Palladium. Het antwoord van het ministerie van Justitie volgt over enkele weken.

Overheersing

Palladium ontlokte midden april wederom felle kritiek tijdens een cryptografie-conferentie in San Fransisco. Sun-cryptograaf Whitfield Diffie, onder meer bekend van het Diffie-Helmann versleutelingsprotocol, zou er veel applaus hebben gekregen voor zijn pleidooi waarin hij Microsofts plannen gelijkstelde aan een poging tot "overheersing en buitensluiting". Diffie werd geciteerd door het tijdschrift Eetimes. Donald Rivest, oprichter van Computerbeveiligingsbedrijf RSA en professor aan MIT, riep volgens dat tijdschrift op tot een maatschappelijk discussie.
Een algemeen computerbeveiligingsschema gaat er komen, aldus de ict-professor. Palladium moet volgens Rivest goed bestudeerd worden. "We moeten er zeker van zijn dat het de niveau's van veiligheid biedt die we wensen." < BR>