sandy bridge "Intel Manageability Engine" = tcpa

D

deXTer2k4

Semiprofi
Thread Starter
Mitglied seit
14.07.2004
Beiträge
1.014
da ich nur einen alten thread zu dem thema gefunden habe wollte ich mal fragen ob inzwischen was neues darüber bekannt geworden ist..das letzte mal wars ein aufschrei aber diesmal war das marketing wohl besser, einfach so wenig drüber sagen wie möglich und keinem fällts auf, guter plan ;)
"Golem und Heise vermelden eine bisher unbekannte Funktion von Intels Sandy-Bridge-Prozessoren. Diese haben eine "Manageability Engine" an Bord, welche faktisch wie ein zweites, vom Benutzer abgeschottetes (virtuelles) Betriebssystem funktioniert."

"…irreführend, weil vertrauenswürdig ist da nicht viel daran, wenn auf dem eigenen PC ein vom Benutzer abgeschotteter Bereich Programme und Programmcode ausführen darf …"

"...kann man mittels der "Manageability Engine" agieren, ohne daß der Benutzer auch nur den Hauch einer Chance hat. Auf Rechnern mit einer (vom Staat oder Online-Kriminellen) befallenen "Manageability Engine" würde ja nicht einmal eine Formatierung der Festplatte etwas bringen, weil die "Manageability Engine" in der CPU selber steckt."

"Rein technisch machbar ist damit die komplette Kontrolle des PCs durch Dritte - und natürlich auch solche Sachen wie eine Online-Durchsuchung …"
Zum Vergrößern anklicken....

Trusted Computing reloaded: Intels Manageability Engine | 3DCenter.org

da weiß man doch gleich wieder warum man neuere intel cpus nicht mag :)

edit:

laut golem ist es in allen i3/5/7 cpus enthalten und ist spätestens mit einem aktuellen bios aktiviert.. vordergründig soll in der ME erstmal nur ein passwort-generator laufen, aber es lässt sich natürlich alles mögliche darin ausführen.. (außerhalb jeder kontrolle des users versteht sich..)
Obwohl sich die Verschlüsselungstechnik in der "Manageability Engine" (ME) jedes Sandy-Bridge-Prozessors (Core i3/5/7 mit vierstelliger Modellnummer) befindet, reicht ein solcher PC allein nicht aus. Die ME läuft wie in einer virtuellen Maschine unabhängig vom Rest der CPU. Das muss das BIOS unterstützen. Dadurch soll die ME vom Betriebssystem nicht angegriffen werden können.[...]
In der ME soll nur signierter Code von Unternehmen laufen, die Intel dafür zertifiziert.
Zum Vergrößern anklicken....
Isolierte Manageability Engine mit signiertem Code - Intel, Symantec und Vasco: Sandy-Bridge-Prozessor mit Einmal-Passwörtern - Golem.de

also genau das was man schonmal als tcpa einführen wollte - mit den noch weiter reichenden möglichkeiten der aktuellen hardware.. ein post ausm heise forum was sich damit alles machen lässt..:
Da kann Software ausserhalb der Kontrolle des Betriebssystem in der
Hardware verankert werden.
Auch im Power-Off Zustand sind die meisten Dinge weiterhin
funktionsfähig.
Der Benutzer des Rechners kann sich nicht dagegen wehren; selbst das
Formatieren der Festplatte und Installieren eines neuen OS wäre
völlig nutzlos.

Als Intel die CPU-ID herausbrachte ging ein Aufschrei durch die
IT-Landschaft.
Aber diese "Manageability Engine" bzw. Intel Active Management
Technology stellt alles in den Schatten was die Welt jemals gesehen
hat.
Intel Active Management Technology - Wikipedia, the free encyclopedia

Zum Beispiel könnte sich das Notebook mitten in der Nacht selbst
einschalten, sich per WLAN an einer Schnüffelzentrale anmelden und
dann kann aus der Ferne ALLES aber auch Alles mit dem Rechner gemacht
werden.
Der Rechner kann auch in ausgeschalteten Zustand über Ethernet oder
WLan kommunizieren.
Die Hardware kann Verbindungen zu bestimmten Rechnern (z.B.
wikileaks) unterbinden, ohne dass der Benutzer etwas merkt oder etwas
dagegen tun könnte.
Der Internet-Kill-Switch könnte schon im eigenen PC ansetzen.
Die perfekte Big-Brother Überwachung.

Und endlich wäre auch DRM (digitale Rechteverwaltung) völlig
unangreifbar.
Hacker hätte keine Chance denn die Entschlüsselung läuft jetzt in der
Hardware.
Zum Vergrößern anklicken....
http://www.heise.de/ix/news/foren/S...ne-der-Horror/forum-194122/msg-19827064/read/
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Krass, davon habe ich ja gar nichts mitbekommen. Interessanter Text.
Meine CPU mag ich trotzdem. Nicht weil Intel drauf steht, sondern weil sie schön schnell ist.
 
Es gibt viele Features, die bei Missbrauch scheiße sind in einer CPU. Der neue Aufbau für Virtualisierung kann mit Garantie auch missbraucht werden. Um so komplexer ein Produkt um so höher die Risiken und für eine legale Durchsuchung braucht es in eienm Rechtsstaat immer noch Gründe. Man sollte sich um sowas nicht so wild den Kopf zerbrechen. Wir werden den ganzen Tag gedata-mined uns so einen Dreeck, das ist viel besorgniserregender...
 
"Für den Anfang ist die "Manageability Engine" seitens Intel zur sicheren Erzeugung von Einmal-Passwörtern gedacht, womit die Authentifizierung auf Webseiten sicherer gemacht werden soll als bisher (genannt "Identity Protection Technology"). Vorraussichtlich ist das System nutzvoll gegenüber gefälschten Webseiten, auf welchen sich der (per Phising angezogene) Computernutzer fälschlicherweise einloggen will – eine Sicherungsmaßnahme gegenüber Schädlingsbefall auf dem eigenen PC sind sichere Einmal-Passwörter dagegen nicht. Ob das Sicherheitsniveau damit in der Praxis merkbar steigt, wäre aber trotzdem abzuwarten – IT-Sicherheit bemißt sich nie an nur einer einzelnen Maßnahme."
 
Zuletzt bearbeitet:
pajaa schrieb:
Unseren LGA1155-Boards fehlt die Unterstützung.
Zum Vergrößern anklicken....
kann ich nicht finden, wo soll das stehen?

€: nachtrag: in dem pdf steht nur dass tcpa durch den oem aktiviert werden muss.
das heißt die mainboards können das alle und die tcpa-einheit muss nur noch per bios aktiviert werden...
 
Zuletzt bearbeitet:
Da drin: http://download.intel.com/technology/security/downloads/324770.pdf

Requirements for Using Intel® IPT
For customers, clients, or employees to use this security technology, three conditions must be met:
• Users must be on a PC powered by a select 2nd generation Intel Core processor, produced by an OEM that has enabled Intel IPT (consult the Intel Identity Protection Web site, ipt.intel.com, for a complete list of models).
• The Web site, VPN, or SaaS application being accessed must be one that offers this protection, as supported by Symantec or Vasco.
• This form of security is provided as an opt-in service, so the user must actively choose to link the PC to authenticate the account.
Zum Vergrößern anklicken....
 
deXTer2k4 schrieb:
habe ich schon, und bin zu dem ergebnis gekommen was ich schon geschrieben habe. aber wenn du das thema in diesem thread nicht haben willst ok ;)
Zum Vergrößern anklicken....

Im Bulldozerthread ist das Thema wirklich unangebracht, hier aber schon. Schade, daß du auf meinen Post vom 20.9. nicht mehr eingegangen bist.
Aber ok. Nun zeig mir doch bitte mal ein Mainboard von Asus, GB, AsRock und co, daß mit aktiviertem IPT verkauft wird. Denn nur dann lohnt sich die ganze Aufregung über ein Feature.
Ist diese Funktion garnicht aktivierbar, muss man auch nicht aufschreien. Und man muss sogar sogar noch aktiv dafür entscheiden, das zu nutzen.
 
pajaa schrieb:
Aber ok. Nun zeig mir doch bitte mal ein Mainboard von Asus, GB, AsRock und co, daß mit aktiviertem IPT verkauft wird. Denn nur dann lohnt sich die ganze Aufregung über ein Feature.
Ist diese Funktion garnicht aktivierbar, muss man auch nicht aufschreien. Und man muss sogar sogar noch aktiv dafür entscheiden, das zu nutzen.
Zum Vergrößern anklicken....

nein, denn das heißt es kann jederzeit aktiviert werden ohne dass man kontrolle darüber hat, also ich würde sowas jedenfalls nicht im rechner wollen ;)

selbst ein an/aus schalter wäre eigentlich ein witz, wer garantiert mir dass der funktioniert? da müsste man ja den bios quellcode haben um das überprüfen zu können..
 
Zuletzt bearbeitet:
wieso china vs. usa und russland vs. europa?

aber das ist hier wohl O/T
 
deXTer2k4 schrieb:
nein, denn das heißt es kann jederzeit aktiviert werden ohne dass man kontrolle darüber hat, also ich würde sowas jedenfalls nicht im rechner wollen ;)

selbst ein an/aus schalter wäre eigentlich ein witz, wer garantiert mir dass der funktioniert? da müsste man ja den bios quellcode haben um das überprüfen zu können..
Zum Vergrößern anklicken....

Ja, kann es jederzeit ohne Zustimmung des Users aktiviert werden? Zu welchem Zweck? Ohne die installierte Software ist das IDT ziemlich aufgeschmissen. Die ME, die in jedem Prozessor steckt, ist auch nur ein Teil davon.

Deine Weltkriegsszenarien sind übrigens genauso an den Haaren herbeigezogen.
 
Der Passwortgenerator entstammt doch dem Chipsatz.. ergo beträffe das "nur" Q67 und Z68 Boards.. richtig?
Aber ist eh egal, ist ja nicht aktiviert. Die totale Überwachung ist nur noch ein paar Meter entfernt..
 
Zuletzt bearbeitet:
deXTer2k4 schrieb:
nein, denn das heißt es kann jederzeit aktiviert werden ohne ...
aber was soll das gerede? weiß doch jeder wozu das wirklich da ist.. weiß doch jeder wies kommt kann ja jeder in der offb nachlesen... teuerung durch unser selbstvernichtendes geldsystem(dank zins/kredit ausm nichts) - 3. weltkrieg (1. araber vs israel, china vs usa, russland vs europa..hurra) - dann vielleicht noch giftgasangriffe und dann überwachungsstaat mit mikrochip im arm -.- - und dann kommen irgendwann unsere außerirdischen freunde wieder (die mit dem spruch "lasst _uns_ menschen machen ausm alten testament..)

...aber das peilt wohl keiner außer mir -.-
Zum Vergrößern anklicken....


Ansonsten alles frisch :stupid: , das ist doch nicht Dein Ernst und OT , LG
 
ich habe es schon damals (im märz) erfahren und ja, damals gab es doch auch einen aufschrei. da ging es noch um hollywood und das man geliehen filme eindeutig dem rechner zuweisen kann, damit die filmedistributoren immer wissen, wer was wann wie und wie lange sehen darf.
immerhin ist es ein Opt-In. genauso wie mit Steam und SteamGuard.
 
Laut der IPT-Seite gibt es im Moment nur Boards von Intel selbst, die dieses Zeug überhaupt unterstützen, desweiteren muss die Software auch auf einem Rechenr aufgespielt werden und drittens sollte mna sich lieber über die gefühlten 3 Millionen sonstigen Sicherheitsriskiken im Internet gedanken machen, als hier wieder gegen Intel ein Faß aufzumachen.
 
Anhand der Software, welche momentan Nutzen daraus zieht kann man dieses Problen nicht messen. Das Problem besteht sobald eine Hardwarebasis geschaffen wurde, welche breit genug ist, um Software, welche die Anwender zum Nutzen dieser Hardwarefunktionailtät zwingt wirtschaftlich breit genug vermarkten zu können. Denn hätte entsprechende Hardware erst einmal einen relevanten Marktanteil, dann würde z.B. das später erscheinende Windows 9 erst gar nicht mehr ohne installiert werden wollen.

Wer also jetzt sorglos entsprechende Hardware anschafft oder gar distribuiert setzt selbst einen Ziegelstein in die entstehende Mauer, welche persönliche Daten näher an Jeden anderen als deren Eigentümer bringen soll.

Ja, die Industrie hat es inzwischen gelernt, Dinge die primär zu ihrem eigenen Vorteil sind (z.b.Social Networks, CloudComputing), oder gar zum Nachteil der zahlenden Kunden (HD+,glossy 16:9 Displays) nicht nur unauffällig, sondern teilweise sogar als angebliche Verbesserung zu verkaufen.
 
Zuletzt bearbeitet:
Mick_Foley schrieb:
Laut der IPT-Seite gibt es im Moment nur Boards von Intel selbst, die dieses Zeug überhaupt unterstützen, desweiteren muss die Software auch auf einem Rechenr aufgespielt werden und drittens sollte mna sich lieber über die gefühlten 3 Millionen sonstigen Sicherheitsriskiken im Internet gedanken machen, als hier wieder gegen Intel ein Faß aufzumachen.
Zum Vergrößern anklicken....

Habe soeben bei meinem Windows Updateverlauf entdeckt, dass am 9.10 unter "intel - other HW" das "intel management engine interface" installiert wurde (win7 64, Ultimate,I7 2600k)?!! Wie ist das möglich? - habe ein ASUS MIVE Board? - leider war ich die letzten Wochen fast nur auf Dienstreisen und meine Kinder haben wahrscheinlich bei der Installation auf ja gedrückt...
 
Zuletzt bearbeitet:
kumberg12 schrieb:
Habe soeben bei meinem Windows Updateverlauf entdeckt, dass am 9.10 unter "intel - other HW" das "intel management engine interface" installiert wurde (win7 64, Ultimate)?!! Wie ist das möglich? - habe ein ASUS MIVE Board? - leider war ich die letzten Wochen fast nur auf Dienstreisen und meine Kinder haben wahrscheinlich bei der Installation auf ja gedrückt...
Zum Vergrößern anklicken....

Kein Grund zur Panik, das heißt zwar ähnlich wie das Zeug hier ist aber nicht das Zeug hier. Windows hat einen Treiber zur Thermischen-Überwachung geupdatet:

Intel Management Engine Interface Treiber 2.0.9.1122

Da hat auch keiner extra was bestätigt. ;)
 
Danke Mick Foley - Panik habe ich nur wenn ich spontan auf eine teure neue PC HW/GK Generation aufrüste ohne das mit meiner Frau vorher abzustimmen.....
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

R
Lesertest Be Quiet! Dark Rock Pro 5
Antworten
0
Aufrufe
972
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh