Sicherheit: Darum hat das Surface PC kein Thunderbolt

[English]Microsofts Surfaces kommen mit verlötetem RAM und mit USB Type-C, statt Thunderbolt-Anschluss, daher. Nun gibt es wohl eine mögliche Erklärung: Passiert alles aus Sicherheitsgründen.

Die aktuellen Surface-Modelle wie das Surface Pro 7 oder das Surface Laptop 3 und auch das kommende Surface Book 3 unterstützen den Thunderbolt-Anschluss nicht. Während Thunderbolt 3.0, der bis zu 40 Gbits/s übertragen kann, für Mac-Besitzer längst zum Standard gehört, stattet Microsoft seine Geräte nur mit einem USB 3 Type-C-Anschluss aus. Zudem sind die Chips des Arbeitsspeichers fest verlötet, also nicht austauschbar (ok, haben viele andere Geräte auch nicht).

Thunderbold ist ein von Intel und Apple gemeinsam entwickeltes Schnittstellen-Protokoll, welches auf der USB 3.1 Type-C-Schnittstelle aufsetzt. Der Ansatz soll in Zukunft in USB 4.0 aufgehen. Steckt man ein Gerät an, besteht die Möglichkeit des Speicherdirektzugriffs – lesend und schreibend. Die Wikipedia schreibt: Dieses Einfallstor soll durch IOMMU auf Host-Seite begrenzt werden, jedoch unterstützt unter Windows nur Windows 10 Enterprise IOMMU. Aktiv ist es normalerweise ohnehin nicht. Unter Linux ist IOMMU im Kernel unterstützt, aber in allen gängigen Distributionen inaktiv.

Sicherheitsgründe verhindern angeblich Thunderbolt

Wenn man sich die Probleme anschaut, die Surface-Benutzer so mit ihren Geräten haben, könnte man spontan ‘kann Microsoft so etwas nicht’ denken. Zumal neue Ice Lake-CPUs eine Thunderbolt-Unterstützung auf dem Chip anbieten. Den Grund hat jetzt WalkingCat in einem Video offen gelegt: Sicherheit.

Mir ist die Quelle des Videos unklar – aber es soll wohl ein Microsoft-Sprecher sein, der die Erklärungen abgibt. Von daher sollte man die nachfolgenden Aussagen mit Vorsicht behandeln – denn es ist nicht bekannt, ob das offizielle Haltung Microsofts ist.

Thunderbolt ermöglicht einen direkten Zugriff auf den Arbeitsspeicher (siehe auch diese Diskussion, sowie meine obige Erklärung). Daher verzichtet Microsoft auf den Thunderbolt-Anschluss, weil man befürchtet, dass die Schlüssel für die Festplattenverschlüsselung so ausgelesen werden können.

Auch der fest verlötete Arbeitsspeicher wird mit Sicherheitsbedenken begründet. Austauschbare Speichermodule könnte man mit flüssigem Stickstoff kühlen und so einfrieren. Das ermöglicht den Speicherinhalt später auszulesen, was wieder ein Sicherheitsrisiko darstellt. Allerdings sollte man die Aussagen des Videos, wie oben bereits angedeutet, mit Vorsicht behandeln. Solange die Quelle unbekannt ist und nicht sicher ist, dass das eine Microsoft-Position darstellt, bleibt das alles Spekulation.

Dieser Beitrag wurde unter Allgemein abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Sicherheit: Darum hat das Surface PC kein Thunderbolt

  1. 1ST1 sagt:

    Jetzt wundere ich mich aber etwas… Denn in Windows 10 gibts ja lokale/gruppen-Richtlinien, welche genau den Thunderbold-DMA-Zugriff verhindern können, zumindestens solange der Benutzer anwesend ist (Bildschirm gesperrt). Jeder halbwegs schlaue Admin hat die umgesetzt, es gibt ja auch diverse Listen mit Richtlinien-Empfehlungen bzw. sogar die MS Security-Baseline, die man einfach nur abklappern und umsetzen muss. Selbstverständlich kann man sowas auch schon per Preload für eine Masseninstallation in der Produktion solcher PCs umsetzen. Bedeutet das am Ende, dass diese Einstellung nutzlos ist und man die Thunderbold-Buchse besser per Heißklebepistole unzugänglich machen sollte? Wie lade ich dann mein Notebook auf, wie nutze ich dann die Dockingstation?

  2. Gaga sagt:

    Ja nee ist klar…
    Ich breche bei der Nasa ein, schraub einen PC auf und überschütte das Mainboard mit Flüssigstickstoff um den Speicherbaustein auszubauen (hab natürlich einen Stickstoffkanister für den Transport dabei) um diesen später auszulesen… :-). Den PC lasse ich natürlich, bestück mit einem neuen Baustein damit es nicht auffällt stehen, und die Festplatte interssiert mich auch nicht. Eieiei…
    Das verlöten der Bausteine ist einfach billiger und verhindert zudem, dass sich die Kundschaft die Geräte selbst aufrüsten kann. Bei einem Defekt ist das Gerät dann Sondermüll oder muss teuer (beim Hersteller) repariert werden.

    • chw9999 sagt:

      >> „(hab natürlich einen Stickstoffkanister für den Transport dabei)“
      Na, wenn’s weiter nichts ist: Habe während meines Studiums* jahrelang Stickstoff in der Thermoskanne mit nach Hause genommen, ist funktionell und auch noch total unauffällig :) Chip rein, mehrere Stunden sicher.

      Google: Dewargefäß

      Andere Alternativen kennt man auch aus Dokumentationen wie Jurassic Park und so ;)

      Cheers!

      *) Ist mittlerweile verjährt ;)

  3. Robert sagt:

    Verlötete Teile spart allerdings auch Ressourcen für Sockel etc. und verhindern Kontaktprobleme, wie Smartphones und Tablets zeigen. Wenn es um Defekte geht, wären gesockelte Kondensatoren ebenfalls wünschenswert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert