EFNs logo

TCPA / Palladium FAQ

Versjon 1.0

Ross Anderson

Til norsk ved Alexander I. Karlsen og Lars Eirik Danielsen

Dette dokumentet er tilgjengelig under GNU Free Documentation License.

For de siste oppdateringer, se den engelske originalversjonen.

NB! Microsoft har omdøpt Palladium til NGSCB (Next Generation Secure Computing Base), mens TCPA har byttet navn til TCG (Trusted Computing Group).


1. Hva er TCPA og Palladium?

TCPA står for Trusted Computing Platform Alliance, et initiativ ledet av Intel. Deres uttalte mål er "en ny datamaskinplattform for det neste århundret, som vil sørge for økt tillit til PC-plattformen". Palladium er programvare som Microsoft sier de planlegger å bygge inn i fremtidige utgaver av Windows; den vil bygge på TCPA-maskinvare, og vil legge til noen ekstra funksjoner.

2. Hva gjør TCPA / Palladium, forklart med vanlige ord?

Det tilbyr en datamaskinplattform hvor man ikke kan tukle med programmene, og hvor disse programmene kan kommunisere sikkert med leverandøren. Det åpenbare bruksområdet er kontroll av digitale rettigheter - "digital rights management" (DRM): Disney vil få muligheten til å selge deg DVD-er som det vil være mulig å dekryptere og spille av på en Palladium-plattform, men som du ikke vil kunne kopiere. Musikkindustrien vil kunne selge deg musikk som du laster ned, men som du ikke vil være i stand til å bytte med andre. De vil kunne selge deg CD-er som bare kan spilles av tre ganger, eller bare på fødselsdagen din. Dette vil åpne for en mengde nye markedsføringsmuligheter.

TCPA / Palladium vil også gjøre det mye vanskeligere for deg å kjøre ikke-lisensiert programvare. Piratkopiert programvare kan oppdages og slettes ved hjelp av "fjernstyring". Det vil også gjøre det lettere å leie programvare, i stedet for å kjøpe den; og hvis du ikke betaler leien, kommer ikke bare programvaren til å slutte å virke, men filene som ble laget med programmet, kan også bli ubrukelige. Bill Gates har i årevis drømt om å få kineserne til å betale for programvare: Med Palladium kan han ha blitt bønnhørt.

Det er mange andre muligheter. Myndigheter vil ha mulighet til å innrette seg slik at alle Word-dokumenter laget på offentlige funksjonærers PC-er, automatisk blir "hemmeligstemplet", så de ikke kan lekkes elektronisk til journalister. Auksjonssider kunne insistere på at du bruker proxy-programvare som de har godtatt, til å by, så du ikke kan benytte deg av taktisk budgivning. Juksing i dataspill kan gjøres vanskeligere.

Men det er ulemper. Vi vil få sentralisert sensur: Mekanismene som er laget for å slette piratkopiert musikk via fjernstyring, kan også brukes til å slette dokumenter som en domstol (eller et programvareselskap) finner støtende - dette kan være alt fra pornografi til dokumenter som kritiserer politiske ledere. Programvareselskaper kan også vanskeliggjøre et bytte til konkurrerende produkter; for eksempel kunne Word kryptere alle dokumentene dine med nøkler som bare Microsoft-produkter har tilgang til; det betyr at du bare ville kunne lese dem med Microsoft-produkter, og ikke med noen konkurrerende tekstbehandler.

3. Så jeg vil ikke lenger kunne spille av MP3-filer på min PC?

Med eksisterende MP3-filer kan det gå greit en stund. Microsoft sier at Palladium ikke vil forårsake at noe plutselig slutter å virke. Men en fersk programvareoppdatering for Windows Media Player har skapt strid ved å insistere på at brukerne aksepterer fremtidige anti-pirattiltak, som kan omfatte sletting av piratkopiert innhold funnet på din datamaskin. I tillegg vil noen programmer som gir mennesker mer kontroll over sine PC-er, som VMware og Total Recorder, sannsynligvis ikke virke under TCPA. Så du må kanskje bruke en annen avspiller - og hvis din avspiller vil spille av piratkopierte MP3-filer, blir den sannsynligvis ikke autorisert til å spille av de nye, beskyttede titlene.

Det er opp til hvert program å bestemme sikkerhetspolicyen for sine filer. Til dette brukes en nettilkoblet policy-server. Så Media Player vil bestemme hva slags betingelser de beskyttede titlene blir underlagt, og jeg forventer at Microsoft vil inngå alle mulige slags avtaler med innholdsleverandørene, som vil eksperimentere med en rekke forskjellige forretningsmodeller. Vi får kanskje CD-er som bare koster en tredjedel av normal pris, men som du bare kan spille av tre ganger; hvis du betaler de resterende to tredjedeler, vil du få fulle avspillingsrettigheter. Det kan tenkes at du får lov til å låne bort din kopi av en eller annen digital musikk til en venn, men da vil du ikke kunne avspille din egen backup-kopi før vennen din gir deg hovedkopien tilbake. Det er mer sannsynlig at du ikke får låne bort musikk i det hele tatt. Denne politikken vil gjøre livet besværlig for enkelte; for eksempel kan regional koding hindre deg i å se en polsk utgave en film hvis din PC er kjøpt utenfor Europa.

Alt dette kunne ha vært gjennomført i dag - alt Microsoft behøver å gjøre, er å laste ned og installere en "feiloppretting" i avspilleren din - men når TCPA / Palladium gjør det vanskeligere å tukle med avspillingsprogramvaren, og lettere for Microsoft å kontrollere oppgraderinger og feilopprettinger, vil det bli vanskeligere for deg å finne utveier, og det ovennevnte vil bli en mer attraktiv måte å gjøre forretninger på.

4. Hvordan virker det?

TCPA sørger for at overvåknings- og rapporteringskomponenter blir montert inn i fremtidige PC-er. Den foretrukne implementasjon i TCPAs første fase er en "Fritz"-brikke - en smartkortbrikke eller maskinvarebasert sikkerhetsnøkkel ("dongle") som loddes fast på hovedkortet.

Når du starter PC-en din, tar Fritz affære. Han sjekker at boot ROM er som forventet, eksekverer den, og måler maskinens tilstand; så sjekker han den første delen av operativsystemet, laster og eksekverer det, sjekker maskinens tilstand; og så videre. Tillitsgrensen, bestående av maskinvare og programvare som regnes som kjent og verifisert, blir stadig utvidet. Det vedlikeholdes en tabell over maskinvaren (lydkort, grafikkort osv.) og programvaren (OS, drivere osv.); Fritz sjekker at maskinvarekomponentene er på TCPAs liste over godkjente enheter, at programvarekomponentene er signert, og at ingen av dem har et serienummer som er blitt opphevet. Hvis det har vært betydelige endringer i PC-ens konfigurasjon, må maskinen logge på nettet for å bli resertifisert. Resultatet er en PC som starter opp i en kjent tilstand med en godkjent kombinasjon av maskinvare og programvare (hvis lisenser ikke er utgått). Kontrollen overføres så til håndhevelsesprogramvare i operativsystemet - dette vil være Palladium hvis operativsystemet ditt er Windows.

Når maskinen er i denne tilstanden, kan Fritz bevitne det overfor tredjepart: For eksempel kan han benytte en autentifikasjonsprotokoll overfor Disney for å bevise at hans maskin er en egnet mottager av "Snehvit". Dette innebærer å sertifisere at PC-en for nærværende kjører et autorisert program - MediaPlayer, DisneyPlayer, eller lignende. Disney-serveren sender da krypterte data med en nøkkel som Fritz bruker til å "bryte seglet" på filmen. Fritz gjør nøkkelen tilgjengelig bare for det autoriserte programmet, og bare så lenge miljøet forblir "pålitelig". For dette formålet er "pålitelig" definert av sikkerhetspolicyen som lastes ned fra en server kontrollert av programeieren. Dette betyr at Disney kan beslutte å utgi sitt beste innhold til et gitt medieavspillingsprogram som motytelse for en kontrakt som stiller krav til at programmet ikke vil lage noen uautoriserte kopier av innholdet, og vil påtvinge visse betingelser (inkludert hvilket sikkerhetsnivå som må settes i TCPA). Det kan omfatte betaling: Disney kunne for eksempel insistere på at programmet samler inn ti kroner hver gang du ser filmen. Faktisk kan programmet selv også leies, og dette er av stor interesse for programvareselskaper. Mulighetene ser ut til å være begrenset utelukkende av markedsførernes fantasi.

5. Hva annet kan TCPA og Palladium brukes til?

TCPA kan også brukes til å implementere mye strengere tilgangskontroll for konfidensielle dokumenter. For eksempel kunne en hær sørge for at dens soldater bare kan opprette Word-dokumenter merket som "Konfidensiell" eller høyere, og at bare en TCPA-PC med et sertifikat utgitt av hærens eget sikkerhetsorgan kan lese et slikt dokument. Dette kalles "obligatorisk tilgangskontroll", og er noe som myndighetene ivrer etter å innføre. Palladium-kunngjøringen antyder at Microsoft-produktet vil støtte dette: Du vil få muligheten til å konfigurere Word slik at det vil kryptere alle dokumenter som er opprettet i et gitt område på din maskin, og dele dem bare med andre brukere i en definert gruppe.

Bedrifter vil også få mulighet til å gjøre dette, for å gjøre livet vanskeligere for angivere. De kan arrangere det slik at firmadokumenter bare kan leses på firmaets PC-er, med mindre en person med den rette autorisasjon klarerer dem for eksport. De kan også implementere tidlåser: De kan for eksempel ordne det slik at alle e-postmeldinger "fordamper" etter 90 dager, hvis ingen direkte foretar seg noe for å bevare dem. (Tenk hvor nyttig det ville ha vært for Enron eller Arthur Andersen, eller for Microsoft selv under antitrust-saken.) Mafiaen kan bruke de samme hjelpemidler: De kunne arrangert det slik at regnearket med de seneste narkotikasendingene bare kan leses på akkrediterte mafia-PC-er, og vil forsvinne i slutten av måneden. Dette ville kunne gjøre jobben vanskeligere for FBI - men Microsoft diskuterer med myndighetene om hvorvidt politimenn og spioner skal få en eller annen form for tilgang til universalnøkler. Men uansett vil en angiver som sender et dokument til en journalist via e-post, oppnå lite, siden journalistens Fritz-brikke vil nekte å gi ham nøkkelen som er nødvendig for å dechiffrere det.

TCPA / Palladium synes også forutbestemt for bruk i elektroniske betalingssystemer. En av Microsoft-visjonene er tydeligvis at mye av funksjonaliteten som nå bygger på bankkort, kan flyttes til programvare så snart programmene kan lages immune mot tukling. Dette er nødvendig hvis vi skal ha en fremtid hvor vi betaler for bøker vi leser og musikk vi hører på, målt i et visst antall øre per side eller per minutt. Selv om dette ikke fungerer som forretningsmodell - og det er gode argumenter for hvorfor det vil mislykkes - kommer det helt klart til å bety konkurranse for et antall nettbaserte betalingssystemer, og kan innebære smitteeffekter for brukeren. Hvis det om ti år er upraktisk å handle på nett med et kredittkort med mindre du bruker en TCPA- eller Palladium-plattform, kan dette få mange mennesker til å gå over til systemet.

6. OK, så det vil bli vinnere og tapere - Disney vinner muligens stort, og smartkortprodusenter går kanskje nedenom. Men Microsoft og Intel investerer vel ikke nisifrede beløp bare for veldedighet? Hvordan har de til hensikt å tjene penger på det?

Mine spioner hos Intel forteller meg at det var en forsvarsstrategi. Siden de tjener mesteparten av pengene sine på mikroprosessorer for PC, og har mesteparten av markedet, kan de bare ekspandere ved å øke størrelsen på markedet. De er fast bestemt på at PC-en skal bli hjertet i det fremtidige hjemmenettverk. Hvis underholdning kommer til å bli det viktigste i dette markedet, og DRM er teknologien som vil gjøre det hele mulig, da må PC-en kunne takle DRM eller risikere å bli erstattet på hjemmemarkedet.

Microsoft var også motivert av lysten til å innlemme all slags underholdning i sitt imperium. Men de kommer uansett til å vinne stort hvis TCPA eller Palladium blir utbredt, siden de vil kunne kutte dramatisk ned på kopiering av programvare. "Å få kineserne til å betale for programvare" har vært en stor sak for Bill; med Palladium kan han knytte hver PC til sin individuelle, lisensierte kopi av Office, og med TCPA kan han knytte hvert hovedkort til sin individuelle, lisensierte kopi av Windows. TCPA vil også ha en verdensomspennende svarteliste med serienumrene til alle kopier av Office som blir piratkopiert.

Endelig vil Microsoft gjøre det dyrere å kutte ut sine produkter (som Office) til fordel for konkurrerende produkter (som OpenOffice). Dette vil gjøre det mulig for dem å ta mer betalt for oppgraderinger, uten at brukerne forlater skuta.

7. Hvor kom ideen fra?

Den opptrådte først i en artikkel av Bill Arbaugh, Dave Farber og Jonathan Smith, "A Secure and Reliable Bootstrap Architecture", i møtereferatet fra IEEE-symposiet om sikkerhet og privatliv (Security and Privacy) (1997), sidene 65-71. Det førte til et amerikansk patent: "Secure and Reliable Bootstrap Architecture", amerikansk patentnummer 6.185.678, 6. februar 2001. Bills tanker hadde utviklet seg fra et arbeid han gjorde for NSA angående kodesignering i 1994. Microsoft har også søkt om patentbeskyttelse for operativsystemdelen. (Patenttekstene finnes her og her.)

Men historien strekker seg enda lenger tilbake. Markus Kuhn skrev om TrustNo1-prosessoren for mange år siden, og den grunnleggende ideen - en spesielt betrodd "referansemonitor" som overvåker en datamaskins tilgangskontrollfunksjoner - går minst tilbake til en artikkel skrevet av James Anderson for USAF i 1972. Den har hatt en fremtredende plass i det amerikanske forsvarets tenkning omkring sikre systemer siden den gang.

8. Hva har dette med Pentium 3-serienummeret å gjøre?

Intel startet et tidligere prosjekt i midten av 1990-årene, som ville ha plassert Fritz-brikkens funksjonalitet inne i PC-ens hovedprosessor, eller på hurtigminnebrikken (cache), innen 2000. Pentium-serienummeret var første steg på veien. Den uheldige reaksjonen blant folk flest synes å ha fått dem til å ta en pause, etablere et konsortium sammen med Microsoft og andre, og satse på at det store antallet aktører vil gjøre det mulig å gjennomføre planen.

9. Hvorfor kalles overvåkningsbrikken for "Fritz"-brikken?

Til ære for den amerikanske senator Fritz Hollings fra South Carolina, som arbeider utrettelig i Kongressen for å gjøre TCPA til en obligatorisk del av all forbrukerelektronikk.

10. OK, så TCPA hindrer ungdommer i å kopiere musikk og vil hjelpe bedrifter med å beskytte konfidensielle data. Det hjelper kanskje mafiaen også, med mindre FBI får en bakdør, noe jeg antar de vil få. Men bortsett fra pirater, industrispioner og aktivister, hvem har problemer med det?

Mange bedrifter vil tape. For eksempel ser det ut til at den europeiske smartkortindustrien vil bli skadelidende, når funksjonene som nå tilbys i produktene deres, får innpass i Fritz-brikkene i folks bærbare og håndholdte PC-er og tredjegenerasjons mobiltelefoner. Faktisk kan det tenkes at mye av informasjonssikkerhetsindustrien vil like det dårlig hvis TCPA tar av. Microsoft påstår at Palladium vil stoppe spam (søppelpost), virus og omtent alle andre stygge ting i cyberspace - i så tilfelle vil både antivirusselskaper, spammere, produsentene av spam-filtre, produsentene av brannmurer og de som er eksperter på å oppdage datainnbrudd, gå mørke tider i møte.

Man har alvorlige bekymringer omkring effekten på industrien som lever av salg av informasjonsbaserte varer og tjenester, spesielt hva innovasjon angår, på hastigheten av nye bedriftsetableringer og på sannsynligheten for at dagens dominerende bedrifter vil være i stand til å holde på sine monopoler. Problemene med hensyn til innovasjon er godt forklart i en fersk spalte i New York Times, skrevet av den høyt anerkjente økonomen Hal Varian.

Men det er mye verre problemer. Det grunnleggende poenget er at den som kontrollerer Fritz-brikken, vil skaffe seg en enorm makt. Å ha kontroll med dette ene punktet, er som å tvinge alle til å bruke samme bank, samme revisor eller samme advokat. Denne makten kan misbrukes på mange måter.

11. Hvordan kan TCPA misbrukes?

En av bekymringene er sensur. TCPA var fra begynnelsen av designet for å støtte sentralisert annullering av "pirat-bits". Piratprogramvare vil oppdages og uskadeliggjøres av Fritz når du prøver å laste den, men hva med piratkopierte sanger og videoer? Og hvordan kan du overføre en sang eller video som du eier, fra én PC til en annen, hvis du ikke kan fjerne den fra den første maskinen? Den foreslåtte løsningen er at sikkerhetspolicyen til et program som støtter TCPA, for eksempel en medieavspiller eller en tekstbehandler, vil administreres av en server som befinner seg et annet sted på nettet, som vil opprettholde en liste over ikke godkjente filer. Denne vil lastes ned i oppdatert versjon fra tid til annen, og vil brukes til å "sile" alle filene som programmet åpner. Filer kan avvises på grunnlag av innhold, serienummeret til programmet som laget den, og en rekke andre kriterier. Den foreslåtte bruken av dette er at hvis alle i Kina bruker samme kopi av Office, så stopper man ikke bare denne kopien fra å kjøre på alle TCPA-PC-er; det ville bare motivere kineserne til å bruke vanlige PC-er i stedet for TCPA-maskiner, for å unngå annullering. Så man sørger for at ingen TCPA-PC-er i verden vil godta å lese filer som er laget med dette piratprogrammet.

Dette er ille nok, men potensialet for misbruk strekker seg mye lenger enn kommersiell "mobbing" og økonomisk krigføring; man åpner for politisk sensur. Jeg forventer at man vil ta ett steg om gangen. Først vil en eller annen politistyrke med gode hensikter, skaffe en kjennelse mot et pornografisk bilde av et barn, eller en "bruksanvisning" som forklarer hvordan man saboterer jernbanesignaler. Alle PC-er som støtter TCPA, vil slette, eller kanskje rapportere, disse stygge dokumentene. Så vil en part i en injurie- eller opphavsrettssak få en rettskjennelse mot et anstøtelig dokument; kanskje scientologikirken vil søke å svarteliste den berømte Fishman-erklæringen. Så snart advokater og sensurmyndigheter innser potensialet, vil bekken bli til en elv.

Den moderne tid begynte ikke før Gutenberg oppfant trykkepressen med bevegelige typer, noe som muliggjorde ivaretagelse og spredning av informasjon som fyrster og biskoper ønsket å ødelegge. Et eksempel: Da Wycliffe oversatte Bibelen til engelsk i 1380-1, ble Lollard-bevegelsen han startet, enkelt undertrykket; men da Tyndale oversatte Det nye testamente i 1524-5, klarte han å trykke over 50.000 kopier før de tok ham og brant ham på bålet. Den gamle orden i Europa kollapset, og den moderne tid begynte. Samfunn som forsøkte å kontrollere informasjon, ble ikke konkurransedyktige, og da Sovjetunionen kollapset, så det ut til at den demokratiske liberale kapitalismen hadde vunnet. Men nå har TCPA og Palladium satt i fare den uvurderlige arven som Gutenberg etterlot oss. Elektroniske bøker vil bli sårbare så snart de er utgitt; rettsapparatet kan beordre dem tilbaketrukket, og TCPA-infrastrukturen vil gjøre grovarbeidet.

Så etter Sovjetunionens forsøk på å registrere og kontrollere alle skrivemaskiner og faksmaskiner, prøver TCPA å registrere og kontrollere alle datamaskiner. Konsekvensene for frihet, demokrati og rettferdighet er bekymringsverdige.

12. Skremmende. Men kan man ikke bare slå det av?

Selvsagt - med mindre systemadministratoren din konfigurerer maskinen din slik at TCPA er påkrevd, kan du alltid skru det av. Da kan du kjøre PC-en med administrator-privilegier, og bruke usikre applikasjoner.

Det er en imidlertid ett tilfelle hvor du ikke kan skru av Fritz. Du kan ikke få ham til å ignorere piratkopiert programvare. Selv om han har blitt informert om at PC-en starter i ikke-betrodd modus, sjekker han fortsatt at operativsystemet ikke er på listen over tilbakekalte serienummer. Dette har implikasjoner for nasjonal suverenitet. Hvis Saddam er dum nok til å oppgradere PC-en sin til å bruke TCPA, så vil amerikanske styresmakter få muligheten til å svarteliste Windows-lisensene hans, og dermed stenge ned PC-ene hans, neste gang det bryter ut krig. Å starte i ikke-betrodd modus vil ikke hjelpe. Han ville måtte grave fram gamle kopier av Windows 2000, bytte til GNU/Linux, eller finne en måte å isolere Fritz-brikken fra hovedkortene sine på uten å ødelegge dem.

Hvis du ikke er en personlig fiende av den amerikanske presidenten, er kanskje ikke dette et problem for deg. Men hvis du skrur av TCPA, så vil ikke lenger applikasjonene dine som støtter TCPA virke, i hvert fall ikke 100%. Det vil bli som å bytte fra Windows til Linux i dag; du får kanskje mer frihet, men ender opp med færre valgmuligheter. Hvis applikasjonene som bruker TCPA / Palladium er mest attraktive for folk flest, kan du rett og slett ende opp med å måtte bruke dem - akkurat som mange må bruke Microsoft Word fordi alle vennene og kollegaene deres sender dem Word-dokumenter. Microsoft sier at Palladium, i motsetning til vanlig TCPA, vil kunne kjøre betrodde og ikke-betrodde applikasjoner samtidig i ulike vinduer; dette vil antakelig gjøre det lettere for folk å starte å bruke det.

13. Så økonomi kommer til å spille en viktig rolle her?

Akkurat. Den største profitten i markedene for IT-produkter og -tjenester synes å gå til selskaper som kan etablere plattformer (slik som Windows eller Word) og kontrollere kompatibilitet med dem, slik at de styrer markedet for komplementære produkter. For eksempel bruker noen mobiltelefonleverandører autentisering ved "challenge-response" for å sjekke om batteriet i telefonen er en originaldel. Er det uoriginalt, vil telefonen nekte å lade det, og kan til og med tappe det så raskt som mulig. Noen skrivere autentiserer tonerkassettene elektronisk; hvis du bruker en billig erstatning, vil skriveren senke kvaliteten fra 1200 dpi til 300 dpi. Sony Playstation 2 bruker liknende autentisering for å forsikre seg om at minnekortene er laget av Sony og ikke en lavpriskonkurrent.

TCPA ser ut til å være designet for å maksimere effekten, og dermed det økonomiske potensialet, av slik oppførsel. Gitt fortegnelsen over Microsofts tidligere konkurrerende strategiske spill, forventer jeg at Palladium vil støtte dem. Hvis du kontrollerer en TCPA-aktivert applikasjon, så kan policy-serveren din tvinge gjennom ditt valg av regler for hvilke applikasjoner som får lov til å bruke filene som koden din lager. Disse filene kan beskyttes ved bruk av sterk kryptering, med nøkler som er kontrollert av Fritz-brikken i alle datamaskiner. Dette betyr at en suksessrik applikasjon som støtter TCPA vil være verdt mye mer penger for programvareselskapet som kontrollerer den, siden de kan leie ut tilgang til sine grensesnitt for den prisen markedet måtte tåle. Det vil altså bli stort press mot programutviklere om å legge inn støtte for TCPA i sine applikasjoner; og hvis Palladium er det første operativsystemet som støtter TCPA, vil dette gi det konkurransefordeler over GNU/Linux og MacOS blant utviklere.

14. Men vent, gir ikke loven folk rett til "reverse engineering" av grensesnitt for å oppnå kompabilitet?

Jo, og dette er veldig viktig for at markedet for IT-produkter og -tjenester skal fungere; se Samuelson og Scotchmer, "The Law and Economics of Reverse Engineering", Yale Law Journal, mai 2002, 1575-1663. Men loven gir deg i de fleste tilfeller bare muligheten til å prøve, ikke til å lykkes. Den gang kompatibilitet betydde å rote rundt i filformater, var det en reell konkurranse - da Word og Word Perfect kjempet om dominans, hver av dem prøvde å lese den andres filer og gjøre det vanskelig for den andre å lese dens egne. Med TCPA er imidlertid det spillet over; uten tilgang til nøklene, eller en måte å bryte seg inn i brikkene på, har du ingen mulighet.

Å stenge konkurrenter ute fra applikasjoners filformater var en av motivasjonene for TCPA: se et innlegg fra Lucky Green, og gå til talen hans ved Def Con for å høre mer. Dette er en taktikk som sprer seg også ut over dataverdenen. Den amerikanske kongressen er opprørt over bilprodusenter som bruker utestenging fra dataformater for å hindre kunder i å få gjort reparasjoner hos uavhengige forhandlere. Og Microsofts folk sier at de ønsker Palladium overalt, til og med i armbåndsuret ditt. De økonomiske konsekvensene for alle uavhengige forretninger kan bli store.

15. Kan ikke TCPA knekkes?

Tidlige versjoner vil være sårbare for enhver med redskaper og tålmodighet til å knekke maskinvaren (for eksempel ved å få data i klartekst på bussen mellom prosessoren og Fritz-brikken). Fra og med fase 2 vil imidlertid Fritz-brikken forsvinne inn i prosessoren - la oss kalle den "Hexium" - og ting vil bli mye vanskeligere. Virkelig seriøse motstandere, med store økonomiske ressurser, vil fortsatt klare å knekke den. Det vil imidlertid bli stadig vanskeligere og dyrere.

I mange land vil dessuten knekking av Fritz være ulovlig. I USA sørger "Digital Millennium Copyright Act" allerede for dette, mens situasjonen i EU vil variere fra land til land, avhengig av hvordan nasjonale reglementer implementerer EUs Copyright-direktiv.

I tillegg har det i mange produkter allerede med vilje blitt blandet sammen kompatibilitetskontroll og copyright-kontroll. Sony Playstations autentiseringsbrikker inneholder også kodingsalgoritmen for DVD, slik at de som driver med "reverse engineering" kan bli anklaget for å omgå en kopisperremekanisme og rammes av "Digital Millennium Copyright Act". Det vil sannsynligvis bli en stygg situasjonen - og den vil favorisere store firmaer med store budsjetter til å dekke saksomkostninger.

16. Hvor store kan de samlede økonomiske følgene bli?

Underholdningsindustrien kan tjene en del på å stoppe kopiering av musikk - regn med at Sir Michael Jagger vil bli litt rikere. Men jeg forventer at den viktigste økonomiske følgen vil bli en styrket posisjon til etablerte aktører i IT-markedet på bekostning av nykommere. Dette kan bety økte markedsandeler for selskaper som Intel, Microsoft og IBM - men på bekostning av innovasjon og generell vekst. Eric von Hippel dokumenterer hvordan de fleste innovasjoner som setter fart på den økonomiske veksten ikke er forventet av produsentene av plattformene som de er basert på; og teknologiske endringer i markedene for IT-produkter og -tjenester er vanligvis kumulative. Å gi etablerte aktører nye måter å gjøre livet surt for mennesker som prøver å utvikle nye bruksområder for produktene deres, vil skape allslags feller og perverse incentiver.

Store selskaper vil dra større nytte av den enorme sentraliseringen av økonomisk makt som TCPA / Palladium representerer enn små selskaper; når Palladium-applikasjoner gjør det mulig for store selskaper å fange opp flere ringvirkninger av deres økonomiske aktiviteter, vil det oppstå liknende effekter som når bilfirma tvinger bileiere til å få utført vedlikehold ved autoriserte verksteder. Siden det er størst vekst i sysselsetting i små og mellomstore bedrifter, kan dette få konsekvenser for arbeidsplasser.

Det kan også oppstå forskjellige regionale effekter. For eksempel har mange år med offentlige subsidier gjort Europas smartkortindustri sterk, på bekostning av at andre teknologiske nyvinninger har blitt utestengt fra området. Jeg har snakket med erfarne folk fra industrien som forventer at når den andre fasen av TCPA plasserer Fritz-funksjonaliteten inni prosessoren, vil det slå beina under smartkortsalget. En rekke insidere i TCPA-selskaper har innrømmet overfor meg at å fortrenge smartkort fra markedet for autentiseringsbevis er et av forretningsmålene deres. Mange av funksjonene som smartkortprodusentene vil at du skal utføre med kortet ditt vil i stedet bli gjort av Fritz-brikken i den bærbare datamaskinen din, PDA-en din eller mobiltelefonen din. Hvis denne industrien knuses av TCPA, kan Europa tape store summer. Andre store deler av informasjonssikkerhetindustrien kan også bli skadelidende.

17. Hvem er de andre taperne?

På en rekke områder vil eksisterende forretningsprosesser bryte sammen og gi innehavere av copyright mulighet til å hente ut nye leieinntekter. Jeg søkte for eksempel nylig om tillatelse til å gjøre et et stykke landbruksjord som vi eier om til en hage; for å gjøre dette måtte vi skaffe seks kopier av et 1:1250 kart av åkeren til de lokale myndighetene. I gamle dager kunne alle hente et kart på det lokale biblioteket og kopiere det. Nå er kartene lagret på en server på biblioteket, med copyrightkontroll, og du kan få max fire kopier av ett blad. For en enkeltperson er dette lett å omgå: Kjøp fire kopier i dag og send en venn for kjøpte å de siste to i morgen. Men firmaer som bruker mange kart vil ende opp med å betale mer penger til kartselskapene. Dette er kanskje et lite problem; gang det med noen tusen for å få en viss idé av effektene på den totale økonomien. Nettooverføringene av inntekter og formue vil sannsynligvis, nok en gang, være fra små selskaper til store og fra nykommere til etablerte.

Dette kan forhåpentligvis skape politisk motstand. En velkjent britisk advokat sa at copyright-lovgivningen bare kan tolereres fordi den ikke blir brukt mot den store majoriteten av mindre alvorlige lovbrudd. Og det kommer til å bli noen særdeles høyt profilerte sørgelige saker. Jeg forstår det slik at nye copyright-bestemmelser som skal komme senere i år i Storbritannia vil frata de blinde "fair use"-retten til å bruke verktøy som oversetter tekst fra skjermen og gjør dem i stand til å lese elektroniske bøker. Vanligvis ville ikke byråkratisk idioti som dette bety små mye, siden folk flest ville ignorere det, og politiet ville ikke være så dumme at de forfulgte noen. Men hvis copyright-bestemmelser blir tvunget igjennom av beskyttelsesmekanismer i maskinvare som det er upraktisk å bryte, kan de blinde bli blant de store taperne. (Mange andre marginale grupper møter liknende trusler.)

18. Uff. Hva mer?

TCPA vil underminere General Public License (GPL), som mange frie programvareprosjekter med åpen kildekode er distribuert under. GPL er laget for å unngå at fruktene av felles frivillig arbeid skal kapres av private selskaper for profitt. Hvem som helst kan bruke og endre programvare som er distribuert under denne lisensen, men hvis du distribuerer en modifisert kopi, må du gjøre den tilgjengelig for verden, sammen med kildekoden, slik at andre kan gjøre nye modifikasjoner selv.

Minst to selskaper har begynt å arbeide på en TCPA-utvidet versjon av GNU/Linux. Dette involverer opprydding av koden og fjerning av en rekke funksjoner. For å få et sertifikat fra TCPA-konsortiet må sponsoren sende den beskårne koden til et evalueringslaboratorium, sammen med masse dokumentasjon som viser hvorfor diverse kjente angrep på koden ikke virker. (Evalueringen er på nivå E3 - kostbar nok til å holde unna det frie programvarefellesskapet, samtidig som den er slapp nok til at de fleste kommersielle programvareforhandlere får sjansen til å få den dårlige koden sin gjennom.) Til tross for at det modifiserte programmet vil dekkes av GPL, med kildekode som er fri for alle, vil det ikke gjøre full nytte av TCPA-funksjonene med mindre du har et sertifikat for programmet, spesifikt for Fritz-brikken i din maskin. Dette vil koste deg penger (om ikke med det første, så i hvert fall etter hvert).

Du vil fortsatt være fri til å gjøre endringer i den modifiserte koden, men du vil ikke være i stand til å få et sertifikat som gir deg innpass i TCPA-systemet. Noe liknende skjer med Linuxversjonen fra Sony for Playstation 2; konsollens kopisperremekanismer hinder deg i å kjøre en endret binærfil, og fra å bruke en rekke av maskinvarefunksjonene. Selv om en filantrop lager en nonprofit sikker utgave av GNU/Linux, vil ikke det resulterende produktet virkelig være en GPL-versjon av et TCPA-operativsystem, men et proprietært operativsystem som filantropen kan gi bort gratis. (Vi har fortsatt spørsmålet om hvem som skal betale for sertifikater til brukerne.)

Man trodde at GPL gjorde det umulig for et selskap å komme og stjele kode som var et resultat av en felles innsats. Dette bidro til at folk ble villige til å ofre fritid for å skrive fri programvare til nytte for fellesskapet. Men TCPA endrer dette. Så snart majoriteten av PC-ene på markedet støtter TCPA, vil ikke GPL lenger virke som beregnet. Fordelen for Microsoft er ikke at dette direkte vil ødelegge fri programvare. Poenget er at straks folk forstår at selv programvare under GPL kan kapres for kommersielle formål, vil idealistiske unge programmerere bli mye mindre motiverte for å skrive fri programvare.

19. Jeg forstår at noen mennesker blir opprørt over dette.

Og det er mange andre politiske spørsmål - transparens i prosessering av personlige data som er nedfelt i EUs databeskyttelsesdirektiv; suverenitetsspørsmålet, om hvorvidt copyright-reglementer vil skrives av nasjonale regjeringer eller en programvareutvikler i Portland eller Redmond; om TCPA vil bli brukt av Microsoft til å tilintetgjøre Apache; og om folk vil være komfortable med tanken på å få PC-ene sine styrt, i praksis, med fjernkontroll -- kontroll som kan beslaglegges av rettsvesen eller myndigheter uten at de vet om det.

20. Stopp en halv, er ikke TCPA ulovlig etter konkurranselovgivningens monopolforebyggende bestemmelser?

Intel har finslipt sin "plattformlederskap"-strategi, som går ut på at de leder industrisamarbeid om å utvikle teknologi som vil gjøre PC-en mer nyttig, slik som PCI-bussen og USB. Deres arbeidsmetoder er beskrevet i en bok av Gawer og Cusumano. Intel setter opp et konsortium som fordeler arbeidet med utviklingen av teknologien, får grunnleggerne til å legge noen patenter i potten, publiserer en standard, sørger for å få en del kraft bak den, og lisensierer den deretter til industrien på betingelse av at lisenshaverne til gjengjeld kryss-lisensierer eventuelle egne innblandede patenter, uten kostnad, til alle medlemmene av konsortiet.

Det positive synet på denne strategien var at Intel økte det totale markedet for PC-er; medaljens bakside var at de forhindret enhver konkurrent fra å oppnå en dominant posisjon innen en hvilken som helst teknologi som kunne truet deres dominans over PC-ens maskinvare. Derfor hadde ikke Intel råd til å la IBMs "microchannel"-buss overleve, ikke bare i sammenheng med konkurransen om PC-plattformen, men også fordi IBM ikke hadde interesse av å tilby den båndbredden som PC-en trengte for å konkurrere med de kraftigste systemene. Effekten kan i strategisk terminologi til en viss grad sammenliknes med de gamle romernes skikk med å ødelegge alle boliger og hogge ned alle trær nær veiene og slottene deres. Ingen konkurrerende bygninger er tillatt i nærheten av Intels plattform; alt må jevnes ut til en allmenning. Men en pen, ryddig, nøye kontrollert allmenning: grensesnitt bør være "åpne men ikke frie".

Konsortiets tilnærming har utviklet seg til en svært effektiv måte å balansere på grensen av konkurranselovgivningens monopolforebyggende bestemmelser. Så langt ser det ikke ut til at myndighetene har bekymret seg over slike konsortier - så lenge standardene er åpne og tilgjengelige for alle selskaper. De må kanskje bli en smule mer sofistikerte.

Hvis Fritz Hollings klarer å få sitt lovforslag gjennom den amerikanske kongressen, vil TCPA bli obligatorisk og monopolspørsmålet vil falle bort, i hvert fall i Amerika. Man kan jo håpe at europeiske lovgivere har mer ryggrad.

21. Når kommer dette i butikkhyllene?

Det har kommet. Spesifikasjonen ble publisert i 2000. Atmel selger allerede Fritz-brikken, og selv om du må signere en avtale om hemmeligholdelse for å få databladet, har du kunnet kjøpe den installert i IBMs Thinkpad-serie med bærbare datamaskiner siden mai 2002. Noen av de eksisterende funksjonene i Windows XP og X-Box er TCPA-funksjoner. Hvis du for eksempel endrer konfigurasjonen av PC-en din mer enn bare litt, må du registrere all programvaren din på nytt hos Microsoft. Siden Windows 2000 har Microsoft også arbeidet med å sertifisere alle enhetsdrivere: hvis du prøver å laste en usignert driver, vil XP klage. Det er også en økende interesse i USAs regjering for den tekniske standardiseringsprosessen. Toget har begynt å rulle.

Timingen for Palladium er mer usikker. Det ser ut til å pågå en maktkamp mellom Microsoft og Intel; Palladium vil også kunne kjøre på konkurrerende maskinvare fra leverandører som Wave Systems, og applikasjoner skrevet for å kjøres på grunnleggende TCPA vil måtte skrives på nytt for å kunne kjøres på Palladium. Det virker som om dette er et spill for å sikre at framtidens sikre databehandlingsplattform blir kontrollert av Microsoft alene. Det kan også være en taktikk for å avskrekke andre selskaper fra å prøve å utvikle programvareplattformer basert på TCPA. Intel og AMD ser ut til å planlegge at andre generasjons TCPA-funksjonalitet skal tilbys gratis og integrert i prosessoren. Dette kan gi høyere sikkerhet, men vil gjøre dem i stand til å kontrollere utviklingen i stedet for Microsoft.

Jeg vet at Palladium ble annonsert offentlig over en måned etter at jeg presenterte en artikkel på en konferanse om Open Source Software Economics den 20. juni. Denne artikkelen kritiserer TCPA som konkurransehemmende, hvilket har blitt rikelig bekreftet av senere avsløringer.

22. Hva er TORA BORA?

Dette ser ut til å ha vært en intern spøk i Microsoft: se kunngjøringen av Palladium. Ideen er at "Trusted Operating Root Architecture" (Palladium) vil stoppe "Break Once Run Anywhere"-angrepet. Med dette mener de at piratkopiert materiale, når beskyttelsen først har blitt brutt, kan legges på Internett og brukes av alle.

Senere har de tydeligvis innsett at denne spøken kunne bli sett på som smakløs. I en tale som jeg overvar den 10. juli hos Microsoft Resarch var slagordet endret til "BORE-resistance", hvor BORE står for "Break Once Run Everywhere". (Taleren beskrev forøvrig vannmerking av copyright-beskyttet materiale som "content screening" (skjerming av innhold), et begrep som brukes om metoder for å hindre mindreårige i å se pornografi: PR-maskineriet er tydeligvis i full gang! Han fortalte oss også at det ikke ville virke med mindre alle brukte et betrodd operativsystem. Når jeg spurte ham om dette betydde å kvitte seg med Linux svarte han at Linux-brukere måtte fåes til å bruke "content screening".)

23. Men er ikke datasikkerhet en bra ting?

Spørsmålet er: sikkerhet for hvem? Du foretrekker kanskje å slippe å bekymre deg for virus, men hverken TCPA eller Palladium vil fikse det. Virus utnytter måten applikasjoner (slik som Microsoft Office og Outlook) bruker skripting. Du blir kanskje irritert over spam (søppelpost), men det ville ikke fikse det heller. (Microsoft antyder at det vil bli fikset, ved å filtrere ut alle usignerte meldinger - men da vil spammerne bare kjøpe TCPA-PC-er. Det vil være en bedre løsning for deg å bruke din nåværende e-postklient til å filtrere ut post fra folk som du ikke kjenner og legge dem i en egen mappe som du kan se raskt gjennom en gang om dagen.) Du bekymrer deg kanskje for personvern, men hverken TCPA eller Palladium vil fikse det; nesten alle brudd på personvernet er resultater av misbruk av autorisert tilgang, ofte skaffet gjennom framtvunget samtykke. Forsikringsselskaper som krever at du samtykker i at data om din helse blir delt ut til din arbeidsgiver og alle andre som de kan selge dem til, kommer ikke til å stoppe fordi PC-ene deres nå offisielt er "sikre". Tvert imot, de kommer heller til å selge dem i enda større grad, fordi datamaskiner nå er "betrodde".

Økonomer har oppdaget at når en produsent gjør et "grønt" produkt tilgjengelig, øker det ofte forurensingen, fordi folk kjøper grønt i stedet for å kjøpe mindre; vi kan oppleve noe tilsvarende denne "social choice trap", som det kalles, innen sikkerhet. Ved å styrke og utvide monopoler vil TCPA dessuten øke grunnlaget for prisdiskriminering, og dermed ønsket om å høste personlige data til bruk i markedsføring.

Det mest nestekjærlige synet på TCPA ble framsatt av en forsker i Microsoft: det finnes situasjoner hvor du ønsker å begrense brukerens handlinger. Du ønsker for eksempel å hindre folk i å tukle med kilometertelleren på bilen før de selger den. På samme måte må man behandle brukeren som en fiende hvis man ønsker å utføre DRM (kontroll av digitale rettigheter) på en PC.

Sett fra denne innfallsvinkelen tilbyr TCPA og Palladium i større grad sikkerhet til PC-forhandlere, programvareleverandører og underholdningsindustri enn til brukere. De tilfører ikke noen ekstra verdi for brukeren, heller tvert imot. De begrenser hva du kan gjøre med PC-en din for at programvare- og tjenesteleverandører skal få muligheten til å hale ut mer penger av deg. Dette er den klassiske definisjonen på et utnyttende kartell - en industriavtale som endrer betingelsene for handelen slik at forbrukerens utbytte forminskes.

Det er ingen tvil om at Palladium vil selges sammen med ny funksjonalitet slik at pakken totalt sett ser ut til å være gunstig på kort sikt, men de langsiktige økonomiske, sosiale og rettslige følgene krever alvorlig ettertanke.

24. Så hvorfor kalles dette "Betrodd Databehandling"? Jeg ser ingen grunn til å stole på dette i det hele tatt!

Det er nærmest en intern spøk. I USAs forsvarsdepartement er et "betrodd system eller komponent" definert som "et som kan bryte sikkerhetspolicyen din". Dette kan se selvmotsigende ut ved første øyekast, men tenk litt over det. E-postvokteren eller brannmuren som står mellom et hemmelig og et topphemmelig system kan - hvis den feiler - bryte sikkerhetspolicyen om at post bare skal flyte fra hemmelig til topphemmelig, men aldri i motsatt retning. Den er derfor betrodd oppgaven med å håndheve informasjonsflytpolicyen.

Eller for å ta et sivilt eksempel: anta at du stoler på at legen din holder pasientjournalen din privat. Dette betyr at han har tilgang til informasjonen, slik at han kunne lekke den til pressen hvis han var uforsiktig eller ondsinnet. Du stoler ikke på at jeg klarer å oppbevare pasientjournalen din, fordi jeg ikke har den; uavhengig av om jeg liker deg eller hater deg, er det ingenting jeg kan gjøre for å påvirke din policy om at journalen din skal være konfidensiell. Det kan derimot legen din; og det faktum at han er i posisjon til å skade deg er egentlig det du mener (på systemnivå) når du sier at du har tiltro til ham. Kanskje du har et godt inntrykk av ham, eller kanskje du bare må stole på ham fordi han er den eneste legen på øya du bor på; det spiller ingen rolle, forsvarsdepartementets definisjon fjerner disse uklare, følelsesmessige aspektene ved "tiltro" (som kan forvirre folk).

Sent på 90-tallet, da man debatterte om kryptografi skulle være underlagt statlig kontroll, foreslo Al Gore en "tiltrodd tredjepart" ("Trusted Third Party") - en tjeneste som skulle sørge for trygg oppbevaring av en kopi av dekrypteringsnøkkelen, i tilfelle du (eller FBI, eller NSA) noen gang skulle trenge den. Navnet ble gjort narr av akkurat som "markedsføringstrikset" hvor den russiske kolonien Øst-Tyskland ble kalt en "Demokratisk Republikk". Men det rimer jo faktisk med forsvarsdepartementets tenkemåte. En tiltrodd tredjepart er en tredjepart som kan bryte sikkerhetspolicyen din.

25. Så en "Betrodd Datamaskin" er en som kan bryte sikkerheten min?

Nå har du forstått det.

Ross Anderson


Den engelske originalversjonen, tilgjengelig på http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html, inneholder lenker til de siste oppdateringene, lagt til etter at dokumentet ble skrevet i juli 2002.

Elektronisk Forpost Norge er en rettighetsorganisasjon som jobber
med medborgerskap og juridiske rettigheter i IT-samfunnet.
www.efn.no.

Dette dokumentets adresse:
http://www.efn.no/tcpa-faq-no.html


Sist oppdatert av   Lars Eirik Danielsen     5. mai   2003.

Support the Blue Ribbon Campaign for Free Speech! Best Viewed With Any Browser Valid XHTML 1.0! Frames Free! Ribbon Campaign Created with GNU Emacs www.linux.org - a GNU and better computer for you