Back        Prossimo "Mancante"

Si fa allarmismo sul Trusted Computing?

4 April 2006

Un lettore, laureando in Ingegneria Informatica, sostiene che non tutto il male viene per nuocere e che bisogna avere fiducia negli ingegneri. Segue il commento di Alessandro Bottoni.

Quando Fritz Chip ? un amico

Roma - Cara redazione di Punto Informatico, leggo regolarmente i vostri articoli sul Trusted Computing perché sono molto interessato alla faccenda in qualità di laureando in Ingegneria Informatica. Ho avuto modo di leggere le diverse opinioni dei commentatori che si schierano contro e a favore del “Calcolo Fidato”. Ho avuto modo di discutere con docenti universitari di quella che potrà essere l’evoluzione dell’Information and Communication Technology a fronte di questa “rivoluzionaria” introduzione.

Premesso che già da qualche anno pensavo all’uso di un “coprocessore crittografico” nei grandi server per agevolare le comunicazioni criptate (pensiamo ad SSL quando usiamo la nostra carta di credito online), pare che un dispositivo come il Fritz Chip possa servire a scopi simili. Ma andiamo per ordine…

Si è parlato molto male del TC, e qui, come in un mio articolo pubblicato su La Gazzetta del Pirata, una via di mezzo tra un forum e una webzine, mi schiero in una posizione “intermedia” nei confronti di questa tecnologia.
Per prima cosa sono assolutamente contro qualsiasi tipo di allarmismo: circola in rete un file che invita a boicottare Palladium. Nel testo si immagina una conversazione tra un utente inesperto ed uno esperto. Il primo non riesce ad ascoltare i propri MP3 memorizzati su disco rigido. Ecco la risposta al telefono dell’utente esperto:

“Caro amico mio, hai fatto 2 grossi errori, ed ora non c’è più nulla da fare: sei in PALLADIUM. Il primo errore è stato comperare un Computer Palladium con il “Pentium D”; il secondo è stato comperare un Sistema Operativo Palladium “Windows View”. Mi spiace dirtelo, ma tutti i File Mp3 del Disco Fisso esterno non è che non te li vede, ma te li ha cancellati Palladium, per sempre, ed il DVD non funziona perchè è copiato e Palladium non permette di vedere cose copiate, ed il Sito di Emule non ha problemi, è Palladium che non ti permette di collegarti a quei siti quindi neanche al sito di WinMX puoi più collegarti… mi dispiace, dovresti buttare via tutto e cambiare totalmente tipo di Computer e Sistema Operativo e prendere tutto non Palladium…”

Giudico più che assurda una cosa simile: un sistema che cancella indistintamente i file MP3 o DivX dal disco “ritenendoli” illegali. MSN Messenger attualmente dispone di questa, per così dire, protezione, ma effettua la cancellazione recuperabile - tramite un comune programma di recovery - solo nel PC del destinatario. Immaginate un musicista amatoriale che commette lo sbaglio di codificare i suoi brani in MP3? Io immagino il risarcimento di danni morali e intellettuali che potrebbe chiedere a Microsoft se Vista gli cancella tutti gli MP3.

Ma sorvoliamo questo aspetto. Ciò che mi ha spinto a scrivere questa lettera è stata la lettura dell’articolo “Addormentare la belva”. Parliamo ora di Endorsement Key e Remote Attestation.
Sono convinto che nei sistemi TC debba esistere un sistema (collegamento cavi, istruzioni assembly o cose simili) che permetta di sovrascrivere le chiavi. Questo perchè esse vengono caricate dalla casa madre in qualche modo… Eppure non mi trovo tanto d’accordo su quanto detto circa la possibilità di mentire a chi vuole conoscere la nostra configurazione hardware. Vediamo attentamente perché.

Esistono settori in cui funzionalità avanzate di autenticazione sono necessarie e utili. Parlo di settore Militare, Pubblica Amministrazione e Bancario. Pensiamo agli uffici comunali, o al comando di Polizia all’angolo della strada, o alla nostra banca dove abbiamo la possibilità di effettuare transazioni online. In tutti questi casi è necessario stabilire con certezza chi sta facendo cosa, e impedire che utenti non autorizzati effettuino operazioni… non autorizzate.

Gli uffici del nostro Comune potrebbero applicare la seguente strategia: avere macchine con la medesima configurazione hardware e software, e fare in modo che ad ogni transazione tra calcolatori in rete ognuno verifichi che l’altro rispetti la configurazione hardware standard e le sue Endorsement Keys siano approvate da un server centrale interno alla rete, del quale si deve altrettanto approvare la configurazione hardware e software.

Pensiamo ora alle banche. In Italia il phishing è sempre più diffuso. Cosa accadrebbe se il nostro browser ci avvertisse dell’autenticità o meno del server e allo stesso tempo il server, su nostra richiesta preventiva, blocchi i tentativi di connessioni da postazioni non riconosciute? Avremmo a disposizione una serie di garanzie anche a livello assicurativo per le nostre transazioni bancarie.

In questi scenari diventa palese come una tecnologia come TC sia una miniera d’oro in termini di sicurezza per l’utente stesso. Il problema, ahimè, subentra quando ci sono di mezzo sistemi DRM e anticopia.

Le industrie investono attualmente miliardi nel tentativo, ahimè vano, di difendere la, dopotutto legittima, proprietà intellettuale. Il problema che subentra è l’eccesso di tutela. Di rootkit ne abbiamo parlato tutti, e adesso si parla di dispositivi autorizzati.

Scenari da brivido?

In verità il punto che voglio affrontare in questa sede è quello della fattibilità. Come fa un CD audio a rifiutarsi di essere riprodotto su un lettore non-trusted? Il CD è solo una memoria che contiene dati, non un sistema con processore che può rilasciare dati su richiesta, al contrario di dispositivi USB, SD-like ecc. Lo standard CD-Audio è di pubblico dominio, e i CD-Audio, se vogliono essere chiamati tali, devono sottostare alle specifiche Redbook. Se pure volessimo creare uno standard CD-Audio 2.0 crittografato, mi dite come è possibile fare in modo che questo, una volta riprodotto su un lettore, si blocchi sugli altri? In teoria il lettore inciderebbe la propria Endorsement Key pubblica, così che gli altri si rifiutino da sé di leggere il CD? Ma qui viene subito la contraddizione perché non c’è bisogno di un hacker per costruire e commercializzare lettori che, in base al nuovo standard, continuino a leggere i CD-Audio.

Per i DVD non ritengo altrettanto fattibile una protezione basata sul Fritz Chip nei lettori domestici.

In primis il passaggio da un giorno all’altro a questo standard obbligherebbe tutti noi a buttare e sostituire i lettori DVD casalinghi. Ammesso che si possa fare, o meglio ammesso che il pubblico lo accetti, come la mettiamo con i DVD non protetti?
Attualmente i DVD-Video sono protetti da CSS, Content Scrambling System, basato sulla crittografia dei settori del DVD. L’algoritmo è stato spezzato grazie al Reverse Engineering di un software per la riproduzione, che contiene il DeCSS necessario a leggere il DVD. Una volta violato il CSS, è possibile tranquillamente copiarlo come non-protetto.

Adesso qualcuno risponda a questa domanda molto semplice: come farà un lettore-trusted a dire che un DVD è il filmato del mio compleanno e un altro è una copia di Matrix Reloaded comprata dal vucumprà di fiducia? In teoria dovrebbe bloccare il contenuto non protetto. E mi dite con che diritto? Come può un lettore che porta il marchio DVD-Video nel celebre logo violare palesemente uno standard? Come si fa a dire al pubblico “Ti sto vendendo un lettore che ti farà buttare nel cestino tutti i DVD dei tuoi compleanni e cerimonie”?

Questo però mi porta a pensare che al limite queste protezioni saranno applicate agli HD-DVD e ai BluRay. In questo caso, però, non potranno essere commercializzate telecamere con registratore HD-DVD/BluRay in quanto non potranno proteggere il contenuto, visto che se lo faranno sarà un giochetto da ragazzi creare false protezioni e tornare a capo. Credo che con queste mie affermazioni il mondo del trusted-DRM sia crollato per metà.

L’altra metà è Internet. Sono d’accordo che i sistemi DRM basati sul Fritz Chip, sulle Endorsement Keys e sul Closed Source impediranno la copia non autorizzata dei contenuti scaricati da Internet. Anche a questa situazione ho una risposta: la gente smetterà automaticamente di acquistare da Internet. Il mio non è un proclama alla pirateria, ma, oggettivamente parlando, anche con i sistemi TC, posto che nessun S.O. cancellerà arbitrariamente file, sarà possibile:
- Ascoltare MP3, non prevedendo lo standard un sistema DRM
- Guardare film catturati al cinema con la telecamera
- Guardare Rip di DVD o da TV

Se Windows Vista decidesse di cancellare file arbitrariamente, questa sarà l’occasione per il downgrade al caro vecchio XP, per il quale magari usciranno di driver per il Fritz Chip.

Vorrei ricordare comunque che il Fritz Chip non è in grado da solo di decidere. Il Fritz Chip non può stabilire da solo se ci sono (e quali sono) file MP3 su disco. Per accedere ai file del disco c’è bisogno di un file system, che in migliaia e migliaia di istruzioni assembly implementa le necessarie istruzioni per manovrare il disco. Ancora, il file system ha accesso esclusivo al disco. Se il processore, dall’alto della sua Modalità Supervisore (o Kernel Mode) non potrà materialmente interagire col disco senza mandare in crash il sistema.

L’utente non menta sul proprio hardware

Giusto due paroline sulla Modalità Supervisore, visto che l’ho nominata. Ormai è risaputo che Windows Vista non supporterà driver non firmati: questa politica farà in modo che un utente (o un rootkit, a meno che Microsoft non ci metta lo zampino) possa inviare istruzioni assembly arbitrarie al processore e manomettere aree di memoria e periferiche senza passare prima per l’approvazione del kernel del sistema. In quest’ottica si rientra nel discorso dell’utente che può avere o meno pieno controllo della propria macchina.
Non c’entra più nulla TC, ma è solo il software a deciderlo, e TC lo aiuterà soltanto.

Una delle mie teorie e che prima o poi ci sarà una modalità del processore al di sopra della Kernel Mode, una vera e propria Trusted Mode dove per entrarvi serve software-trusted, altrimenti qualche istruzione assembly risulterà bloccata. Ma non voglio entrare troppo nella parte tecnica altrimenti i lettori meno esperti non capirebbero.

Entriamo nel discorso Remote Attestation un po’ più nel dettaglio. Premetto che la Remote Attestation è una funzionalità realizzabile già attualmente senza bisogno di Fritz Chip e simili, e di cui un esempio si trova nella verifica del software autentico di Windows Update.

Ho letto con interesse l’intero articolo e vorrei chiarire una cosa: la Remote Attestation è attivabile solo via software. Il server invia attraverso la Rete una richiesta di verifica, il client la interpreta e a quel punto si interfaccia con il sistema per chiedere l’esecuzione della procedura, che va necessariamente eseguita in Kernel Mode, ovvero con lo sblocco di tutti i codici assemblativi, e cioè a opera del kernel del S.O.

Non starà al Fritz Chip ma al S.O. difenderci da Attestation non autorizzate, ad esempio esigendo l’autorizzazione di un superutente (Administrator in Windows, root in UNIX) mediante password. Starà quindi a Microsoft fare in modo che tutte le richieste di attestazione vengano vagliate dall’utente. Se non dovesse essere così, ecco un nuovo motivo per non scegliere Windows Vista.

Sono convinto che in Linux ci comparirà una simpatica finestra di “sudo” (il comando per eseguire azioni come root) a chiederci la password e non ci saranno brutti scherzetti.

Il problema sta comunque sulle menzogne. Non mi trovo assolutamente d’accordo su quanto proposto. Non ritengo sia giusto offrire la possibilità di mentire sulla propria configurazione hardware e software. Spesso infatti nascerebbe l’esigenza di applicare un contratto software. In Italia le false dichiarazioni sono un reato. Evitiamo di dare all’utente la possibilità di farle. Meglio invece dargli il diritto di tacere, anche se ciò dovesse comportare l’impossibilità di accedere a un servizio, a patto che tale servizio non sia “indispensabile” (es. accedere a Internet, inviare posta).

Tuttavia l’invito all’attenzione resta, dal momento che un programma come le famigerate barre di Internet Explorer (spesso portatrici di spyware) potrebbe, se eseguito con privilegi amministrativi, tentare di eseguire Attestation per chiunque gliele chieda. Qui il problema sta sul Closed Source e non è colpa del Fritz Chip.

L’ultimo aspetto della Remote Attestation è la possibilità di aprire file con un unico programma. La mia risposta è semplice: se una software house intende far sì che i file prodotti da un suo programma (testi, immagini ecc.) siano leggibili solo da esso, che usi formati proprietari, e non formati come PDF, JPEG ecc. di cui le specifiche sono pubbliche. Al limite si crittografa il file con una chiave interna al programma, ma dire “Impossibile installare Macromedia Fireworks perchè è già installato Adobe Photoshop” equivale a violare la libera concorrenza, e questo è il reato di concorrenza sleale!

Conclusioni e la risposta di A. Bottoni

Prima di concludere vorrei tornare a parlare dell’olocausto informatico continuamente citato dai contestatori del TC.
Un mondo in cui il software viene completamente bloccato se non è trusted (ivi compresi i sistemi operativi Open Source) costringerebbe noi ingegneri a buttare nel cestino le nostre lauree, perchè vi saranno solo due o tre aziende produttrici di software iscritte al TCG. E credete che noi saremo mai disposti ad accettare questo?

Un mondo in cui pochi sanno tutto di tutti e nessun comune mortale sa niente di nessuno ci porta al capolavoro letterario di G. Orwell, 1984. Pensate che sia possibile un mondo simile? Io credo di no, perché nessuna dittatura non voluta dal popolo è mai durata. Il Partito Fascista, per farvi un esempio di dittatura, è caduto solo con la guerra perchè tanti e tanti erano i suoi sostenitori. E magari molti di noi hanno un nonno o uno zio anziano che, al tempo, aveva la tessera… Qui le carte in tavola sono completamente diverse: dalle violazioni sulla privacy gli unici a guadagnare sono gli azionisti delle poche aziende del TCG contro i 2 miliardi e passa di utenti al mondo. Chi vincerà la sfida? Loro? Io non credo.

Veniamo allora alle conclusioni, visto che il KMail con cui sto scrivendo questa mail sta per fondere.
Il mio è un invito a non precipitare nell’allarmismo come sta accadendo per l’aviaria. Sappiate tutti che c’è un mondo, quello degli ingegneri dell’hardware e del software, che se non è dalla parte loro è dalla parte vostra. E l’unico modo per essere dalla parte loro è possedere loro azioni o essere nel loro Consiglio di Amministrazione.

Noi ingegneri difenderemo la vostra privacy perché di mezzo c’è anche la nostra. Essere contro le malefatte del TC non significa essere a favore della pirateria, anche perché ho già spiegato come gli effetti potranno essere minimi (peraltro l’attuale DRM di Windows Media Player è più che sufficiente per le esigenze).

In verità, prima ci accusano di essere illegali, poi loro, nei modi più disparati, violano leggi sulla privacy e sulla concorrenza ben definite. Da un lato li giustifico, perchè negli USA le leggi non sono severe come in Italia. Lo spam è in certe forme legalizzato, e le aziende godono di diritti nettamente superiori a quelli dei consumatori.

Qui in Italia stiamo tranquilli, fidatevi!

Nella speranza di aver contribuito a tamponare allarmismi ingiustificati invio i miei saluti,
Antonio A.

Gentile Antonio,
grazie per la tua lunga lettera che, al di là delle opinioni e degli auspici, senza dubbio rinnova ulteriormente il dibattito sul Trusted Computing, argomento di cui ci si tende ad occupare soltanto in sedi ristrette e del quale il pubblico è poco e, appunto, male informato.
La redazione ha girato ad Alessandro Bottoni, titolare su Punto Informatico della rubrica Untrusted, le tue considerazioni. Qui sotto il suo commento.
A presto, la Redazione

“Quando nel 1987 MC Microcomputer cominciò ad occuparsi del Diritto di Levi, venne immediatamente tacciato di allarmismo gratuito da parte di molti lettori. Molti dei commenti che ho letto a quel tempo contenevano praticamente gli stessi concetti che sono presenti in questa tua lettera, così come in molti dei commenti che appaiono a margine dei miei articoli su Punto Informatico. Nonostante questo, noi tutti oggi paghiamo fior di euro in Diritti di Levi alle industrie americane dell’entertainement attraverso la beneamata SIAE. Paghiamo e stiamo zitti.

Il Diritto di Levi, oggi “equo compenso”, lo ricordo per gli assenti ed i distratti, è quella “piccola” tassa (fino al 33% del prezzo di vendita) sui supporti vergini e sui masterizzatori che noi tutti paghiamo come “compensazione” alla SIAE (e quindi anche alla RIAA piuttosto che alla MPAA) perché questi oggetti potrebbero essere utilizzati per effettuare una copia privata di un film o di un album musicale, anche se magari si utilizzano per tutt’altro scopo.

Se si proponesse l’uso del Trusted Computing solo negli ambienti che effettivamente lo richiedono, come il settore militare e bancario, non staremmo neanche qui a discuterne. Sarebbe un uso del tutto logico e legittimo di questa tecnologia.

Se si fossero occupati, per tempo e nel modo dovuto, del Trusted Computing i professionisti del settore, non starei sicuramente qui ad occuparmene io. Mi sentirei perfettamente al sicuro dietro le spalle di questo ipotetico esercito di security manager, uniti nella difesa dei miei e dei tuoi diritti digitali.

Il problema è che questa tecnologia la si vuole imporre a tutti, compresa mia zia ottantenne, e che gran parte dei cosiddetti professionisti non si preoccupa affatto di dire alla gente comune cosa comporta realmente la sua diffusione sul mercato. Se avvertire la gente della tegola in arrivo è fare dell’allarmismo, allora sono un allarmista.

Alessandro Bottoni

Questo post tratto da: P.I.: Si fa allarmismo sul Trusted Computing?

Back        Prossimo "Mancante"