Back        Prossimo "Mancante"

Untrusted/ Trusted Computing e DRM

14 April 2006

di Alessandro Bottoni - Quali relazioni ci sono tra la blindatura trusted dei computer e le tecnologie di digital rights management? I produttori dicono che sono due cose diverse. Ma è davvero così? Il quadro.

Due cose diverse….

Roma - Una delle principali preoccupazioni “comunicazionali” delle aziende coinvolte nel progetto Trusted Computing è quella di separare nettamente il Trusted Computing dal mondo dei DRM (Digital Rights Management). Ad esempio, ecco cosa dice a questo proposito David Safford (IBM) nel suo Clarifying misinformation about TCPA, rispondendo alle accuse che Lucky Green aveva esposto al DefCon 10 (pagina 4):

“Gli obiettivi del TCPA (Ora TCG) sono quelli di impedire l’uso di software non regolarmente acquistato e quello di supportare la creazione di sistemi DRM.” I termini “copy protection” e “DRM” non appaiono da nessuna parte nella documentazione del TCG. Non erano i principali obiettivi del progetto ed il chip che ne risulta non è particolarmente adatto a questo impiego, dato che è scarsamente resistente all’attacco da parte del suo stesso proprietario. I principali obiettivi del TC sono la protezione delle chiavi di cifra dell’utente e la protezione dei dati cifrati nei confronti di attacchi via software dall’esterno (attacchi da remoto, attraverso la Rete ? NdR).”

Ed ancora, nelle conclusioni dello stesso documento:

“Il TCPA (ora TC) non è un sistema DRM. I sistemi DRM sono solo una delle possibili applicazioni del TC. Criticate pure i sistemi DRM finchè volete (ma lasciate stare il TC ? NdR).”

Anche Microsoft, nelle sue Technical FAQ su NGSCB (ex Palladium) si esprime più o meno nello stesso modo:

“NGSCB non è un sistema DRM. L’architettura di NGSCB prevede dei miglioramenti significativi per tutto l’ecosistema dei PC, aggiungendo uno strato di sicurezza che non esisteva in precedenza. Ovviamente, possono essere costruiti dei sistemi DRM che si avvantaggiano di questa architettura. I miglioramenti introdotti da NGSCB al sistema operativo ed all’hardware permettono di isolare le applicazioni software le une dalle altre, di memorizzare chiavi e dati segreti in modo sicuro e di garantire che solo il software autorizzato dall’utente abbia accesso a questo materiale. Di conseguenza, un sistema DRM può trarre vantaggio da questa tecnologia per garantire che i contenuti multimediali siano utilizzati in accordo con un insieme di regole comprese da entrambe le parti.”

Insomma, secondo il TCG e secondo Microsoft, il Trusted Computing non è un sistema DRM e non può essere ritenuto responsabile di ciò che faranno i sistemi DRM grazie alle sue funzionalità. Anche le altre aziende coinvolte nel progetto si sono schierate più o meno su questa posizione.

Ma le cose stanno veramente così?

Non proprio. In realtà, in molte delle sue implementazioni più avanzate, come la coppia Intel LaGrande/MS NGSCB, il TC può essere considerato un sistema DRM quasi completo, e pronto all’uso, già nella sua versione “di serie”, senza bisogno di altri strati di hardware o di software. Persino David Safford in persona è costretto ad ammettere implicitamente che le cose stanno in questo modo. Nel suo “Clarifying misinformation about TCPA”, infatti, Safford sottolinea più volte come le garanzie che egli fornisce per il TCPA (ora TCG) non possono essere applicate a Palladium (ora NGSCB) e ad altre implementazioni hardware “di secondo livello”, come Intel LaGrande o AMD Presidio. Ecco cosa dice Safford nel suo documento (Pagina 2) rispondendo alle argomentazioni di Ross Anderson su questo punto:

“Ross sostiene che “Palladium verrà costruito sulla base dell’hardware TCPA” e che “l’applicazione ovvia di queste tecnologie è la creazione di sistemi DRM”. Gran parte delle sue FAQ trattano di come i sistemi DRM possano essere realizzati ed usati in Palladium. Prima di tutto, questo è qualcosa che riguarda Palladium, non il TCPA. Secondo, l’applicazione ovvia del TCPA è di proteggere i dati segreti dell’utente contro attacchi da parte di virus o intruder, non la creazione di sistemi DRM. È sbagliato accomunare il TCPA con Palladium e con i sistemi DRM e non distinguere le contestazioni contro queste tre entità. Contestate quanto volete i sistemi DRM ma non accusate il TCPA per cose fatte da Palladium. Sono due sistemi diversi.”

In altri termini, secondo Safford, lo standard TCPA (ora TCG), di per sé, non è un sistema DRM e non può essere usato come tale, ma i due strati successivi dell’architettura, Intel LaGrande e MS NGSCB, possono essere considerati dei sistemi DRM a pieno titolo e possono benissimo essere usati come tali.

A voler essere fiscali, anche questa ammissione di David Safford non è del tutto veritiera. Il Fritz Chip (TPM), da solo, fornisce quasi tutte le funzionalità necessarie per costruire un robusto e raffinato sistema DRM senza dover fare altro che scrivere le applicazioni software in grado di usarle. Queste funzionalità sono le seguenti:

Endorsement Key: permette di identificare in modo univoco e sicuro il PC. Per ovvie ragioni, si tratta di un elemento fondamentale per quasi qualunque sistema DRM degno di questo nome.

Certificazione Digitale (Hashing): permette di identificare con certezza un programma od un file di dati. Anche questa è una funzionalità chiave per molti sistemi DRM perché permette di scoprire eventuali programmi “non originali” o “non autorizzati”.

Remote Attestation: permette di verificare che la macchina remota stia usando solo hardware e software “graditi” ed “affidabili”. Come ho già detto in altre occasioni, è difficile concepire un uso pratico di questa feature fuori dal mondo dei DRM.

Cifratura “Military Grade”: permette di proteggere crittograficamente dati e programmi da sguardi indiscreti e, sopratutto, dalla copia abusiva.

Secure Boot: garantisce che sul PC stia girando solo software “gradito” e “affidabile”. Questo è (anche) un modo eufemistico di dire che questa feature garantisce che sul PC giri solo un sistema operativo e del software regolarmente acquistato e pagato. Si tratta quindi (anche) di un sistema anticopia, cioè un tipo particolare di DRM.

…o due facce della stessa medaglia?

Per creare un sistema DRM di seconda generazione, sostanzialmente inviolabile, basta scrivere l’applicazione software che utilizzi queste feature o, più esattamente, basta modificare una delle applicazioni esistenti. Non è necessario nient’altro. Non è necessario nemmeno fare riferimento alla infrastruttura standard per la creazione di sistemi DRM che Microsoft mette ugualmente a disposizione degli sviluppatori da diverso tempo, la “Microsoft Windows Rights Management Services” (RMS).

La dimostrazione più eclatante di tutto questo viene proprio da Microsoft: la casa di Seattle prevede di usare l’architettura TC anche per implementare sistemi detti ERM (Enterprise Management System). Questi sistemi sono praticamente identici ad un normale sistema DRM, con la sola differenza che verranno usati da singoli individui, e non da aziende, per mantenere il controllo sui file da loro prodotti. Ebbene, queste funzionalità ERM saranno una feature standard di Windows Vista e del relativo MS Office, senza bisogno di nessuna aggiunta di elementi hardware o software. In altri termini, Intel LaGrande e MS NGSCB bastano e avanzano per creare un sistema DRM. In realtà, basta ed avanza anche il solo TPM.

Infatti, i due strati più elevati della infrastruttura Trusted Computing, cioè Intel LaGrande/AMD Presidio per quanto riguarda l’hardware, e MS NGSCB, per quanto riguarda il software, si limitano ad aggiungere delle funzionalità che rendono il sistema più resistente nei confronti di un attacco locale, senza sconvolgere l’architettura sottostante. Queste funzionalità sono le seguenti:

Curtained Memory: impedisce di leggere e/o scrivere i dati ed il codice che un programma mantiene in RAM. Si tratta di una funzionalità critica per la sicurezza ma anche di una chiara necessità per qualunque sistema DRM degno di fiducia.

Protected I/O: protegge i dati in transito tra i dispositivi di input (mouse, tastiera, microfono, webcam etc.) e la CPU e tra la CPU ed i dispositivi di output (display, casse audio etc.). Ovviamente, questa feature serve anche ad impedire la “cattura” dello stream di dati in chiaro all’uscita di questi dispositivi.

Il fatto che questi due strati dell’architettura Trusted Computing proteggano proprio questi elementi, diventa particolarmente illuminante se lo si legge alla luce di una affermazione di David Safford contenuta nel primo brano del suo documento che abbiamo riportato all’inizio di questo articolo. Safford sostiene che il Fritz Chip non è particolarmente “buono” come sistema DRM perché non è adeguatamente protetto nei confronti di attacchi locali, cioè attacchi condotti da qualcuno che abbia accesso fisico alla macchina. Guarda caso, le feature introdotte da Intel LaGrande e da AMD Presidio rendono l’intero sistema più resistente proprio a questo tipo di attacchi. Addirittura, sia Intel che altri produttori pianificano di portare le funzionalità del Fritz Chip all’interno della CPU, dove sarà ancora più al sicuro da attacchi di questo tipo. Certo queste funzionalità possono avere altri impieghi ed altre giustificazioni, ma questa strana coincidenza resta comunque da interpretare.

Ma proseguiamo con la nostra analisi. Un osservatore attento a questo punto avrà già notato che tutto questo discorso è minato alla base da un problema “filosofico”: difendere i propri diritti (copyright) è un atto eticamente legittimo ed un diritto riconosciuto dalla legge, di conseguenza non si può contestare l’uso del TC come base per futuri sistemi DRM. Non c’è nulla di malvagio nell’usare il TC al fine di creare dei sistemi DRM. Ed anche se ci fosse, comunque il TC non ne sarebbe responsabile più di quanto lo sia la scheda di rete.

Entrambe queste affermazioni sono però molto discutibili, se analizzate con il dovuto spirito critico.

Il copyright è certamente un diritto riconosciuto dalla legge (la Legge 633 del 1941 emanata, curiosamente, dal Governo Mussolini nel bel mezzo della Seconda Guerra Mondiale), così come lo è l’uso di sistemi DRM, ma l’uso di questi sistemi può essere ugualmente una azione “malvagia”.

Lo può essere per due ragioni. La prima, e la più evidente, è che questi sistemi non si limitano affatto a proteggere i diritti degli autori (o dei distributori) ma fanno molto di più e molto di peggio. In particolare, violano apertamente le leggi nazionali ed i trattati internazionali. In alcuni casi, questi sistemi arrivano persino ad installare backdoor o programmi spia sulla macchina dell’utente (a sua insaputa), come ha ben dimostrato nei mesi scorsi il caso Sony/BMG (ampiamente trattato da Punto Informatico).

Tuttavia, anche senza arrivare a questi livelli, i sistemi DRM attuali comunque non rispettano la legge.

DRM fuorilegge?

Un esempio che può valere per tutti è quello della durata temporale: i diritti d’autore scadono, i sistemi DRM no. In tutto il mondo, ad esempio, i diritti d’autore su un romanzo scadono al termine del 70esimo anno dopo la morte dell’autore, ma nessun sistema DRM esistente “rilascia il suo ostaggio” in accordo con questa norma di legge.

Si potrebbe fare un discorso analogo per quanto riguarda l’applicazione delle specifiche leggi nazionali sul copyright ed il discorso non cambierebbe: i sistemi DRM se ne fregano completamente di questi “dettagli legali” ed applicano, in modo molto rude ed efficace, soltanto le leggi previste dal loro produttore (le EULA, i contratti di vendita e di noleggio, le “trading policy” o le “company rules”). Ovviamente, nessuna di queste “regole” è stata discussa democraticamente, approvata da un parlamento e formalizzata in una legge nazionale. Grazie alla presenza di questi sistemi, ci si trova quindi costretti ad obbedire ad una dittatura tecnologica de facto messa in atto dalle major del recording.

Questo ci porta direttamente alla seconda ragione per cui l’uso di sistemi DRM può essere chiaramente “malvagio”. Anche quando funzionano e si attengono alle leggi, i sistemi DRM possono essere usati per imporre una forma di censura assolutamente senza precedenti. Una volta acquisiti i diritti su di una certa opera (magari con mezzi non del tutto rispettosi della figura dell’autore), l’azienda distributrice può decidere chi, come, dove, quando, a quale prezzo ed a quali condizioni quell’opera può essere “consumata”. Tutto questo, senza dover rendere conto di queste scelte a nessuno.

Un esempio può chiarire meglio il concetto. Ammettiamo che una grande azienda della distribuzione riesca a mettere le mani sui diritti di un film che mette in discussione il suo modo di operare. A quel punto, grazie ad un sistema DRM di seconda generazione, basato sul Trusted Computing, l’azienda può decidere che:
- Quel film lo possono vedere solo gli spettatori stranieri, grazie ai “regional code” dei DVD. Il mercato interno, politicamente “sensibile”, rimane “protetto” dal contenuto “sovversivo” dell’opera.
- Quel film lo si può vedere solo dopo le elezioni, ad esempio grazie ad un server NTP (Network Time Protocol) “fidato” di riferimento.
- Quel film lo si può vedere solo se si acquista anche “Rambo 32, la vendetta del nonno di Rambo”, questo grazie alla “intelligenza” che è possibile inserire in questi sistemi.
- Quel film lo si può vedere solo sul nuovo lettore DVD che l’azienda vuole lanciare sul mercato.
- Quel film lo si può vedere solo sborsando 300 Euro, un prezzo discutibile ma legittimo.

Di fronte a questi evidenti soprusi, non c’è possibilità di replica. Nemmeno la NSA in persona sarebbe in grado di “liberare” quest’opera dalla sua gabbia tecnologica. Figuriamoci i cineclub od i privati cittadini.

A questo punto, affermare che la tecnologia TC, che rende possibile tutto questo, sia “neutrale” diventa chiaramente insostenibile. Sarebbe come pretendere che la bomba H sia solo un diverso tipo di esplosivo, buono anche per le cave di sabbia. La realtà dei fatti è che il Trusted Computing è già di per sé un sistema DRM molto avanzato, che potrà servire da base per sistemi ancora più avanzati e che questi sistemi portano con sé la minaccia di una censura globale come l’Uomo non ne ha mai conosciute nella sua storia.

I diritti delle aziende del recording e degli autori sono già difesi da un vasto insieme di leggi, da eserciti di poliziotti e schiere di magistrati. Si tratta di una barriera difensiva molto più robusta di quella che difende molti altri diritti del cittadino, a volte anche più fondamentali. Non c’è motivo di sacrificare ancora un’altra parte della libertà individuale sull’altare di questo business.

Alessandro Bottoni
http://laspinanelfianco.wordpress.com

Le precedenti release di Untrusted sono disponibili qui

Questo post tratto da: P.I.: Untrusted/ Trusted Computing e DRM

Back        Prossimo "Mancante"