Trusted Execution Environment

Eine Trusted Execution Environment (TEE) stellt eine sichere bzw. vertrauenswürdige Laufzeitumgebung für Applikationen zur Verfügung. Dabei kann ein TEE isoliert auf einem separaten Prozessor, direkt auf dem Hauptprozessor(en) eines Computersystems oder aber in einem Die eines Multiprozessor-Systems bzw. eines Ein-Chip-Systems (SoC) existieren. Auf dem TEE können nur speziell dafür freigeschaltete Applikationen ausgeführt werden.

Das TEE-Konzept verfeinert das Konzept des Trusted Computing. Ein oder mehrere vertrauenswürdige Laufzeitumgebungen können parallel existieren, daneben können noch weitere unsichere oder ungeschützte Umgebungen existieren.

Technologien

Je nach Hersteller existieren zur Realisierung eines TEE verschiedene Technologien.

Abgrenzung zu anderen Technologien

Ein Hypervisor alleine stellt noch kein TEE bereit. Er kann zwar verschiedene Betriebssysteme auf einem Prozessor ausführen, die Isolierung ist jedoch auf den Prozessor beschränkt. Ein TEE umfasst auch Peripheriegeräte, die zwischen Zugriffen aus sicheren und nicht-sicheren Applikationen oder Betriebssystemen unterscheiden können.

Auch ein TPM alleine stellt noch kein TEE dar, da auf dem Chip selber keine Applikationen ausgeführt werden können. Ein TPM kann jedoch von TEE verwendet werden, z. B. bei Intels TXT Konzept.

Chipkarten, USB-Tokens oder Hardware-Sicherheitsmodule stellen ein TEE dar, bieten wegen der fehlenden Ein- und Ausgabekomponenten (Tastatur, Monitor) jedoch nur beschränkte Möglichkeiten. Darüber hinaus sind sie oft nur für einen bestimmten Zweck ausgelegt und bieten keine freie Programmierbarkeit. Bei Chipkarten oder Token können sich aus der im Vergleich zum Hauptprozessor geringen Rechenleistung und Speicherkapazität weitere Einschränkungen ergeben.

Anwendungen

Die TEE-Technologie kommt heute hauptsächlich auf Smartphones und Tablets zum Einsatz, z. B. für DRM. Die Weiterentwicklung und Standardisierung dieser Technologie ist von entscheidender Bedeutung für Anwendungen wie Mobile-Banking und NFC-Zahlungsmöglichkeiten. Auch das Konzept Bring your own device (BYOD), die Schaffung eines privaten Bereiches parallel zu einem sicheren Bereich für Firmendaten, stützt sich auf das TEE-Konzept[7][8].

Standardisierung

Der Industrieverband Global Platform, der auch Spezifikationen für Laufzeitumgebungen auf Chipkarten und herausgibt, arbeitet an einer Standardisierung von TEEs in folgenden Bereichen:

  • Laufzeitumgebung für Applikationen[9]
  • Installation und Verwaltung von Applikationen

Eine Definition des Trusted Execution Environment im Sinne von GlobalPlatform wurde 2011 in einem White Paper zusammengefasst[10].

Im Rahmen der Linaro-Initiative[11] existiert auch eine Arbeitsgruppe, die den Zugriff auf ARM TrustZone basierte TEEs von Linux aus standardisiert.

Einzelnachweise

  1. http://www.amd.com/us/press-releases/Pages/amd-strengthens-security-2012jun13.aspx
  2. Patent US7603550: Computer system including a secure execution mode-capable CPU and a security services processor connected via a secure communication path. Angemeldet am 18. April 2003, veröffentlicht am 13. Oktober 2009, Anmelder: Advances Micro Devices Inc, Erfinder: Kevin J. McGrath et Al.
  3. http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?id=1339667038
  4. http://www.arm.com/products/processors/technologies/trustzone/index.php
  5. http://www.3dcenter.org/artikel/trusted-computing-reloaded-intels-manageability-engine
  6. http://www.digitimes.com/news/a20130315PR203.html?chid=9
  7. https://www.all-about-security.de/nachrichten-aktuelles/artikel/kooperation-fuer-geschuetzte-sicherheitsanwendungen-auf-smartpho/
  8. http://www.samsung.com/de/business/solutions-services/mobile-solutions/security/samsung-knox
  9. Archivierte Kopie (Memento desOriginals vom 1. Januar 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.globalplatform.org
  10. Archivierte Kopie (Memento desOriginals vom 24. September 2015 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.globalplatform.org
  11. http://www.linaro.org/