TCPA / Palladium FAQ
Versjon 1.0
Ross
Anderson
Til norsk ved
Alexander I. Karlsen og
Lars Eirik Danielsen
Dette dokumentet er tilgjengelig under
GNU Free Documentation
License.
For de siste oppdateringer, se den engelske originalversjonen.
NB! Microsoft har omdøpt Palladium til NGSCB (Next Generation Secure Computing Base), mens TCPA har byttet navn til TCG (Trusted Computing Group).
1. Hva er TCPA og Palladium?
TCPA står for Trusted
Computing Platform Alliance, et initiativ ledet av Intel. Deres
uttalte mål er "en ny datamaskinplattform for det neste
århundret, som vil sørge for økt tillit til
PC-plattformen". Palladium
er programvare som Microsoft sier de planlegger å bygge inn i
fremtidige utgaver av Windows; den vil bygge på TCPA-maskinvare,
og vil legge til noen ekstra
funksjoner.
2. Hva gjør TCPA / Palladium, forklart med vanlige ord?
Det tilbyr en datamaskinplattform hvor man ikke kan tukle med
programmene, og hvor disse programmene kan kommunisere sikkert med
leverandøren. Det åpenbare bruksområdet er kontroll
av digitale rettigheter - "digital
rights management" (DRM): Disney vil få muligheten til
å selge deg DVD-er som det vil være mulig å
dekryptere og spille av på en Palladium-plattform, men som du
ikke vil kunne kopiere. Musikkindustrien vil kunne selge deg musikk
som du laster ned, men som du ikke vil være i stand til å
bytte med andre. De vil kunne selge deg CD-er som bare kan spilles av
tre ganger, eller bare på fødselsdagen din. Dette vil
åpne for en mengde nye markedsføringsmuligheter.
TCPA / Palladium vil også gjøre det mye vanskeligere for
deg å kjøre ikke-lisensiert programvare. Piratkopiert
programvare kan oppdages og slettes ved hjelp av
"fjernstyring". Det vil også gjøre det lettere
å leie programvare, i stedet for å kjøpe den; og
hvis du ikke betaler leien, kommer ikke bare programvaren til å
slutte å virke, men filene som ble laget med programmet, kan
også bli ubrukelige. Bill Gates har i årevis drømt
om å få kineserne
til å betale for programvare: Med Palladium kan han ha blitt
bønnhørt.
Det er mange andre muligheter. Myndigheter vil ha mulighet til å
innrette seg slik at alle Word-dokumenter laget på offentlige
funksjonærers PC-er, automatisk blir "hemmeligstemplet",
så de ikke kan lekkes elektronisk til
journalister. Auksjonssider kunne insistere på at du bruker
proxy-programvare som de har godtatt, til å by, så du ikke
kan benytte deg av taktisk budgivning. Juksing i dataspill kan
gjøres vanskeligere.
Men det er ulemper. Vi vil få sentralisert sensur: Mekanismene
som er laget for å slette piratkopiert musikk via fjernstyring,
kan også brukes til å slette dokumenter som en domstol
(eller et programvareselskap) finner støtende - dette kan
være alt fra pornografi til dokumenter som kritiserer politiske
ledere. Programvareselskaper kan også vanskeliggjøre et
bytte til konkurrerende produkter; for eksempel kunne Word kryptere
alle dokumentene dine med nøkler som bare Microsoft-produkter
har tilgang til; det betyr at du bare ville kunne lese dem med
Microsoft-produkter, og ikke med noen konkurrerende tekstbehandler.
3. Så jeg vil ikke lenger kunne spille av MP3-filer på
min PC?
Med eksisterende MP3-filer kan det gå greit en stund. Microsoft
sier at Palladium ikke vil forårsake at noe plutselig slutter
å virke. Men en fersk programvareoppdatering for Windows Media
Player har skapt strid
ved å insistere på at brukerne aksepterer fremtidige
anti-pirattiltak, som kan omfatte sletting av piratkopiert innhold
funnet på din datamaskin. I tillegg vil noen programmer som gir
mennesker mer kontroll over sine PC-er, som VMware og Total Recorder, sannsynligvis
ikke virke under TCPA. Så du må kanskje bruke en annen
avspiller - og hvis din avspiller vil spille av piratkopierte
MP3-filer, blir den sannsynligvis ikke autorisert til å spille
av de nye, beskyttede titlene.
Det er opp til hvert program å bestemme sikkerhetspolicyen for
sine filer. Til dette brukes en nettilkoblet policy-server. Så
Media Player vil bestemme hva slags betingelser de beskyttede titlene
blir underlagt, og jeg forventer at Microsoft vil inngå alle
mulige slags avtaler med innholdsleverandørene, som vil
eksperimentere med en rekke forskjellige forretningsmodeller. Vi
får kanskje CD-er som bare koster en tredjedel av normal pris,
men som du bare kan spille av tre ganger; hvis du betaler de
resterende to tredjedeler, vil du få fulle
avspillingsrettigheter. Det kan tenkes at du får lov til å
låne bort din kopi av en eller annen digital musikk til
en venn, men da vil du ikke kunne avspille din egen backup-kopi
før vennen din gir deg hovedkopien tilbake. Det er mer
sannsynlig at du ikke får låne bort musikk i det hele
tatt. Denne politikken vil gjøre livet besværlig for
enkelte; for eksempel kan regional koding hindre deg i å se en
polsk utgave en film hvis din PC er kjøpt utenfor Europa.
Alt dette kunne ha vært gjennomført i dag - alt Microsoft
behøver å gjøre, er å laste ned og
installere en "feiloppretting" i avspilleren din - men når TCPA
/ Palladium gjør det vanskeligere å tukle med
avspillingsprogramvaren, og lettere for Microsoft å kontrollere
oppgraderinger og feilopprettinger, vil det bli vanskeligere for deg
å finne utveier, og det ovennevnte vil bli en mer attraktiv
måte å gjøre forretninger på.
4. Hvordan virker det?
TCPA sørger for at overvåknings- og
rapporteringskomponenter blir montert inn i fremtidige PC-er. Den
foretrukne implementasjon i TCPAs første fase er en
"Fritz"-brikke - en smartkortbrikke eller maskinvarebasert
sikkerhetsnøkkel ("dongle") som loddes fast på
hovedkortet.
Når du starter PC-en din, tar Fritz affære. Han sjekker at
boot ROM er som forventet, eksekverer den, og måler maskinens
tilstand; så sjekker han den første delen av
operativsystemet, laster og eksekverer det, sjekker maskinens
tilstand; og så videre. Tillitsgrensen, bestående av
maskinvare og programvare som regnes som kjent og verifisert, blir
stadig utvidet. Det vedlikeholdes en tabell over maskinvaren (lydkort,
grafikkort osv.) og programvaren (OS, drivere osv.); Fritz sjekker at
maskinvarekomponentene er på TCPAs liste over godkjente enheter,
at programvarekomponentene er signert, og at ingen av dem har et
serienummer som er blitt opphevet. Hvis det har vært betydelige
endringer i PC-ens konfigurasjon, må maskinen logge på
nettet for å bli resertifisert. Resultatet er en PC som starter
opp i en kjent tilstand med en godkjent kombinasjon av maskinvare og
programvare (hvis lisenser ikke er utgått). Kontrollen
overføres så til håndhevelsesprogramvare i
operativsystemet - dette vil være Palladium hvis
operativsystemet ditt er Windows.
Når maskinen er i denne tilstanden, kan Fritz bevitne det
overfor tredjepart: For eksempel kan han benytte en
autentifikasjonsprotokoll overfor Disney for å bevise at hans
maskin er en egnet mottager av "Snehvit". Dette innebærer
å sertifisere at PC-en for nærværende kjører
et autorisert program - MediaPlayer, DisneyPlayer, eller
lignende. Disney-serveren sender da krypterte data med en
nøkkel som Fritz bruker til å "bryte seglet" på
filmen. Fritz gjør nøkkelen tilgjengelig bare for det
autoriserte programmet, og bare så lenge miljøet forblir
"pålitelig". For dette formålet er "pålitelig"
definert av sikkerhetspolicyen som lastes ned fra en server
kontrollert av programeieren. Dette betyr at Disney kan beslutte
å utgi sitt beste innhold til et gitt medieavspillingsprogram
som motytelse for en kontrakt som stiller krav til at programmet ikke
vil lage noen uautoriserte kopier av innholdet, og vil påtvinge
visse betingelser (inkludert hvilket sikkerhetsnivå som må
settes i TCPA). Det kan omfatte betaling: Disney kunne for eksempel
insistere på at programmet samler inn ti kroner hver gang du ser
filmen. Faktisk kan programmet selv også leies, og dette er av
stor interesse for programvareselskaper. Mulighetene ser ut til
å være begrenset utelukkende av markedsførernes
fantasi.
5. Hva annet kan TCPA og Palladium brukes til?
TCPA kan også brukes til å implementere mye strengere
tilgangskontroll for konfidensielle dokumenter. For eksempel kunne en
hær sørge for at dens soldater bare kan opprette
Word-dokumenter merket som "Konfidensiell" eller høyere, og at
bare en TCPA-PC med et sertifikat utgitt av hærens eget
sikkerhetsorgan kan lese et slikt dokument. Dette kalles "obligatorisk
tilgangskontroll", og er noe som myndighetene ivrer etter å
innføre. Palladium-kunngjøringen antyder at
Microsoft-produktet vil støtte dette: Du vil få
muligheten til å konfigurere Word slik at det vil kryptere alle
dokumenter som er opprettet i et gitt område på din
maskin, og dele dem bare med andre brukere i en definert gruppe.
Bedrifter vil også få mulighet til å gjøre
dette, for å gjøre livet vanskeligere for angivere. De
kan arrangere det slik at firmadokumenter bare kan leses på
firmaets PC-er, med mindre en person med den rette autorisasjon
klarerer dem for eksport. De kan også implementere
tidlåser: De kan for eksempel ordne det slik at alle
e-postmeldinger "fordamper" etter 90 dager, hvis ingen direkte foretar
seg noe for å bevare dem. (Tenk hvor nyttig det ville ha
vært for Enron eller Arthur Andersen, eller for Microsoft selv
under antitrust-saken.) Mafiaen kan bruke de samme hjelpemidler: De
kunne arrangert det slik at regnearket med de seneste
narkotikasendingene bare kan leses på akkrediterte mafia-PC-er,
og vil forsvinne i slutten av måneden. Dette ville kunne
gjøre jobben vanskeligere for FBI - men Microsoft diskuterer
med myndighetene om hvorvidt politimenn og spioner skal få en
eller annen form for tilgang til universalnøkler. Men uansett
vil en angiver som sender et dokument til en journalist via e-post,
oppnå lite, siden journalistens Fritz-brikke vil nekte å
gi ham nøkkelen som er nødvendig for å dechiffrere
det.
TCPA / Palladium synes også forutbestemt for bruk i elektroniske
betalingssystemer. En av Microsoft-visjonene er tydeligvis at mye av
funksjonaliteten som nå bygger på bankkort, kan flyttes
til programvare så snart programmene kan lages immune mot
tukling. Dette er nødvendig hvis vi skal ha en fremtid hvor vi
betaler for bøker vi leser og musikk vi hører på,
målt i et visst antall øre per side eller per
minutt. Selv om dette ikke fungerer som forretningsmodell - og det er
gode
argumenter for hvorfor det vil mislykkes - kommer det helt klart
til å bety konkurranse for et antall nettbaserte
betalingssystemer, og kan innebære smitteeffekter for
brukeren. Hvis det om ti år er upraktisk å handle på
nett med et kredittkort med mindre du bruker en TCPA- eller
Palladium-plattform, kan dette få mange mennesker til å
gå over til systemet.
6. OK, så det vil bli vinnere og tapere - Disney vinner
muligens stort, og smartkortprodusenter går kanskje nedenom. Men
Microsoft og Intel investerer vel ikke nisifrede beløp bare for
veldedighet? Hvordan har de til hensikt å tjene penger på
det?
Mine spioner hos Intel forteller meg at det var en
forsvarsstrategi. Siden de tjener mesteparten av pengene sine på
mikroprosessorer for PC, og har mesteparten av markedet, kan de bare
ekspandere ved å øke størrelsen på
markedet. De er fast bestemt på at PC-en skal bli hjertet i det
fremtidige hjemmenettverk. Hvis underholdning kommer til å bli
det viktigste i dette markedet, og DRM er teknologien som vil
gjøre det hele mulig, da må PC-en kunne takle DRM eller
risikere å bli erstattet på hjemmemarkedet.
Microsoft var også motivert av lysten til å innlemme all
slags underholdning i sitt imperium. Men de kommer uansett til å
vinne stort hvis TCPA eller Palladium blir utbredt, siden de vil kunne
kutte dramatisk ned på kopiering av programvare. "Å
få kineserne til å betale for programvare" har vært
en stor sak for Bill; med Palladium kan han knytte hver PC til sin
individuelle, lisensierte kopi av Office, og med TCPA kan han knytte
hvert hovedkort til sin individuelle, lisensierte kopi av
Windows. TCPA vil også ha en verdensomspennende svarteliste med
serienumrene til alle kopier av Office som blir piratkopiert.
Endelig vil Microsoft gjøre det dyrere å kutte ut sine
produkter (som Office) til fordel for konkurrerende produkter (som OpenOffice). Dette vil
gjøre det mulig for dem å ta mer betalt for
oppgraderinger, uten at brukerne forlater skuta.
7. Hvor kom ideen fra?
Den opptrådte først i en artikkel av Bill Arbaugh, Dave
Farber og Jonathan Smith, "A Secure and Reliable
Bootstrap Architecture", i møtereferatet fra IEEE-symposiet
om sikkerhet og privatliv (Security and Privacy) (1997), sidene
65-71. Det førte til et amerikansk patent: "Secure and Reliable
Bootstrap Architecture", amerikansk patentnummer 6.185.678, 6. februar
2001. Bills tanker hadde utviklet seg fra et arbeid han gjorde for NSA
angående kodesignering i 1994. Microsoft har også
søkt om patentbeskyttelse
for operativsystemdelen.
(Patenttekstene finnes her og her.)
Men historien strekker seg enda lenger tilbake. Markus Kuhn
skrev om TrustNo1-prosessoren
for mange år siden, og den grunnleggende ideen - en spesielt
betrodd "referansemonitor" som overvåker en datamaskins
tilgangskontrollfunksjoner - går minst tilbake til en
artikkel skrevet av James Anderson for USAF i 1972. Den har hatt
en fremtredende plass i det amerikanske forsvarets tenkning omkring
sikre systemer siden den gang.
8. Hva har dette med Pentium 3-serienummeret å
gjøre?
Intel startet et tidligere prosjekt i midten av 1990-årene, som
ville ha plassert Fritz-brikkens funksjonalitet inne i PC-ens
hovedprosessor, eller på hurtigminnebrikken (cache), innen
2000. Pentium-serienummeret var første steg på veien. Den
uheldige reaksjonen blant folk flest synes å ha fått dem
til å ta en pause, etablere et konsortium sammen med Microsoft
og andre, og satse på at det store antallet aktører vil
gjøre det mulig å gjennomføre planen.
9. Hvorfor kalles overvåkningsbrikken for
"Fritz"-brikken?
Til ære for den amerikanske senator Fritz Hollings fra South
Carolina, som arbeider
utrettelig i Kongressen for å gjøre TCPA til en
obligatorisk del av all forbrukerelektronikk.
10. OK, så TCPA hindrer ungdommer i å kopiere musikk og
vil hjelpe bedrifter med å beskytte konfidensielle data. Det
hjelper kanskje mafiaen også, med mindre FBI får en
bakdør, noe jeg antar de vil få. Men bortsett fra
pirater, industrispioner og aktivister, hvem har problemer med
det?
Mange bedrifter vil tape. For eksempel ser det ut til at den
europeiske smartkortindustrien vil bli skadelidende, når
funksjonene som nå tilbys i produktene deres, får innpass
i Fritz-brikkene i folks bærbare og håndholdte PC-er og
tredjegenerasjons mobiltelefoner. Faktisk kan det tenkes at mye av
informasjonssikkerhetsindustrien vil like det dårlig hvis TCPA
tar av. Microsoft påstår at Palladium vil stoppe spam
(søppelpost), virus og omtent alle andre stygge ting i
cyberspace - i så tilfelle vil både antivirusselskaper,
spammere, produsentene av spam-filtre, produsentene av brannmurer og
de som er eksperter på å oppdage datainnbrudd, gå
mørke tider i møte.
Man har alvorlige bekymringer omkring effekten på industrien som
lever av salg av informasjonsbaserte varer og tjenester, spesielt hva
innovasjon angår, på hastigheten av nye
bedriftsetableringer og på sannsynligheten for at dagens
dominerende bedrifter vil være i stand til å holde
på sine monopoler. Problemene med hensyn til innovasjon er godt
forklart i en fersk
spalte i New York Times, skrevet av den høyt anerkjente
økonomen Hal Varian.
Men det er mye verre problemer. Det grunnleggende poenget er at den
som kontrollerer Fritz-brikken, vil skaffe seg en enorm makt. Å
ha kontroll med dette ene punktet, er som å tvinge alle til
å bruke samme bank, samme revisor eller samme advokat. Denne
makten kan misbrukes på mange måter.
11. Hvordan kan TCPA misbrukes?
En av bekymringene er sensur. TCPA var fra begynnelsen av designet for
å støtte sentralisert annullering av
"pirat-bits". Piratprogramvare vil oppdages og uskadeliggjøres
av Fritz når du prøver å laste den, men hva med
piratkopierte sanger og videoer? Og hvordan kan du overføre en
sang eller video som du eier, fra én PC til en annen, hvis du
ikke kan fjerne den fra den første maskinen? Den
foreslåtte løsningen er at sikkerhetspolicyen til et
program som støtter TCPA, for eksempel en medieavspiller eller
en tekstbehandler, vil administreres av en server som befinner seg et
annet sted på nettet, som vil opprettholde en liste over ikke
godkjente filer. Denne vil lastes ned i oppdatert versjon fra tid til
annen, og vil brukes til å "sile" alle filene som programmet
åpner. Filer kan avvises på grunnlag av innhold,
serienummeret til programmet som laget den, og en rekke andre
kriterier. Den foreslåtte bruken av dette er at hvis alle i Kina
bruker samme kopi av Office, så stopper man ikke bare denne
kopien fra å kjøre på alle TCPA-PC-er; det ville
bare motivere kineserne til å bruke vanlige PC-er i stedet for
TCPA-maskiner, for å unngå annullering. Så man
sørger for at ingen TCPA-PC-er i verden vil godta å lese
filer som er laget med dette piratprogrammet.
Dette er ille nok, men potensialet for misbruk strekker seg mye lenger
enn kommersiell "mobbing" og økonomisk krigføring; man
åpner for politisk sensur. Jeg forventer at man vil ta ett steg
om gangen. Først vil en eller annen politistyrke med gode
hensikter, skaffe en kjennelse mot et pornografisk bilde av et barn,
eller en "bruksanvisning" som forklarer hvordan man saboterer
jernbanesignaler. Alle PC-er som støtter TCPA, vil slette,
eller kanskje rapportere, disse stygge dokumentene. Så vil en
part i en injurie- eller opphavsrettssak få en rettskjennelse
mot et anstøtelig dokument; kanskje scientologikirken vil
søke å svarteliste den berømte
Fishman-erklæringen. Så snart advokater og
sensurmyndigheter innser potensialet, vil bekken bli til en elv.
Den moderne tid begynte ikke før Gutenberg oppfant
trykkepressen med bevegelige typer, noe som muliggjorde ivaretagelse
og spredning av informasjon som fyrster og biskoper ønsket
å ødelegge. Et eksempel: Da Wycliffe oversatte Bibelen
til engelsk i 1380-1, ble Lollard-bevegelsen han startet, enkelt
undertrykket; men da Tyndale oversatte Det nye testamente i 1524-5,
klarte han å trykke over 50.000 kopier før de tok ham og
brant ham på bålet. Den gamle orden i Europa kollapset, og
den moderne tid begynte. Samfunn som forsøkte å
kontrollere informasjon, ble ikke konkurransedyktige, og da
Sovjetunionen kollapset, så det ut til at den demokratiske
liberale kapitalismen hadde vunnet. Men nå har TCPA og Palladium
satt i fare den uvurderlige arven som Gutenberg etterlot
oss. Elektroniske bøker vil bli sårbare så snart de
er utgitt; rettsapparatet kan beordre dem tilbaketrukket, og
TCPA-infrastrukturen vil gjøre grovarbeidet.
Så etter Sovjetunionens forsøk på å
registrere og kontrollere alle skrivemaskiner og faksmaskiner,
prøver TCPA å registrere og kontrollere alle
datamaskiner. Konsekvensene for frihet, demokrati og rettferdighet er
bekymringsverdige.
12. Skremmende. Men kan man ikke bare slå det av?
Selvsagt - med mindre systemadministratoren din konfigurerer maskinen
din slik at TCPA er påkrevd, kan du alltid skru det av. Da kan
du kjøre PC-en med administrator-privilegier, og bruke usikre
applikasjoner.
Det er en imidlertid ett tilfelle hvor du ikke kan skru av
Fritz. Du kan ikke få ham til å ignorere piratkopiert
programvare. Selv om han har blitt informert om at PC-en starter i
ikke-betrodd modus, sjekker han fortsatt at operativsystemet ikke er
på listen over tilbakekalte serienummer. Dette har implikasjoner
for nasjonal suverenitet. Hvis Saddam er dum nok til å
oppgradere PC-en sin til å bruke TCPA, så vil amerikanske
styresmakter få muligheten til å svarteliste
Windows-lisensene hans, og dermed stenge ned PC-ene hans, neste gang
det bryter ut krig. Å starte i ikke-betrodd modus vil ikke
hjelpe. Han ville måtte grave fram gamle kopier av Windows 2000,
bytte til GNU/Linux, eller finne en måte å isolere
Fritz-brikken fra hovedkortene sine på uten å
ødelegge dem.
Hvis du ikke er en personlig fiende av den amerikanske
presidenten, er kanskje ikke dette et problem for deg. Men hvis du
skrur av TCPA, så vil ikke lenger applikasjonene dine som
støtter TCPA virke, i hvert fall ikke 100%. Det vil bli som
å bytte fra Windows til Linux i dag; du får kanskje mer
frihet, men ender opp med færre valgmuligheter. Hvis
applikasjonene som bruker TCPA / Palladium er mest attraktive for folk
flest, kan du rett og slett ende opp med å måtte bruke dem
- akkurat som mange må bruke Microsoft Word fordi alle vennene
og kollegaene deres sender dem Word-dokumenter. Microsoft sier at
Palladium, i motsetning til vanlig TCPA, vil kunne kjøre
betrodde og ikke-betrodde applikasjoner samtidig i ulike vinduer;
dette vil antakelig gjøre det lettere for folk å starte
å bruke det.
13. Så økonomi kommer til å spille en viktig
rolle her?
Akkurat. Den største profitten i markedene for IT-produkter og
-tjenester synes å gå til selskaper som kan etablere
plattformer (slik som Windows eller Word) og kontrollere
kompatibilitet med dem, slik at de styrer markedet for
komplementære produkter. For eksempel
bruker noen mobiltelefonleverandører autentisering ved
"challenge-response" for å sjekke om batteriet i telefonen
er en originaldel. Er det uoriginalt, vil telefonen nekte å lade
det, og kan til og med tappe det så raskt som mulig. Noen
skrivere autentiserer tonerkassettene elektronisk; hvis du bruker en
billig erstatning, vil skriveren senke kvaliteten fra 1200 dpi til 300
dpi. Sony Playstation 2 bruker liknende autentisering for å
forsikre seg om at minnekortene er laget av Sony og ikke en
lavpriskonkurrent.
TCPA ser ut til å være designet for å maksimere
effekten, og dermed det økonomiske potensialet, av slik
oppførsel. Gitt fortegnelsen over Microsofts tidligere
konkurrerende strategiske spill, forventer jeg at Palladium vil
støtte dem. Hvis du kontrollerer en TCPA-aktivert applikasjon,
så kan policy-serveren din tvinge gjennom ditt valg av regler
for hvilke applikasjoner som får lov til å bruke filene
som koden din lager. Disse filene kan beskyttes ved bruk av sterk
kryptering, med nøkler som er kontrollert av Fritz-brikken i
alle datamaskiner. Dette betyr at en suksessrik applikasjon som
støtter TCPA vil være verdt mye mer penger for
programvareselskapet som kontrollerer den, siden de kan leie ut
tilgang til sine grensesnitt for den prisen markedet måtte
tåle. Det vil altså bli stort press mot programutviklere
om å legge inn støtte for TCPA i sine applikasjoner; og
hvis Palladium er det første operativsystemet som
støtter TCPA, vil dette gi det konkurransefordeler over
GNU/Linux og MacOS blant utviklere.
14. Men vent, gir ikke loven folk rett til "reverse engineering" av
grensesnitt for å oppnå kompabilitet?
Jo, og dette er veldig viktig for at markedet for IT-produkter og
-tjenester skal fungere; se Samuelson og Scotchmer, "The Law and
Economics of Reverse Engineering", Yale Law Journal, mai 2002,
1575-1663. Men loven gir deg i de fleste tilfeller bare muligheten til
å prøve, ikke til å lykkes. Den gang kompatibilitet
betydde å rote rundt i filformater, var det en reell konkurranse
- da Word og Word Perfect kjempet om dominans, hver av dem
prøvde å lese den andres filer og gjøre det
vanskelig for den andre å lese dens egne. Med TCPA er imidlertid
det spillet over; uten tilgang til nøklene, eller en måte
å bryte seg inn i brikkene på, har du ingen mulighet.
Å stenge konkurrenter ute fra applikasjoners filformater
var en av motivasjonene for TCPA: se et innlegg fra
Lucky Green, og gå til talen hans ved Def Con for å høre
mer. Dette er en taktikk som sprer seg også ut over
dataverdenen. Den amerikanske kongressen er
opprørt over bilprodusenter som bruker utestenging fra
dataformater for å hindre kunder i å få gjort
reparasjoner hos uavhengige forhandlere. Og Microsofts folk sier at de
ønsker Palladium overalt, til og med i armbåndsuret
ditt. De økonomiske konsekvensene for alle uavhengige
forretninger kan bli store.
15. Kan ikke TCPA knekkes?
Tidlige versjoner vil være sårbare for enhver med
redskaper og tålmodighet til å knekke maskinvaren (for
eksempel ved å få data i klartekst på bussen mellom
prosessoren og Fritz-brikken). Fra og med fase 2 vil imidlertid
Fritz-brikken forsvinne inn i prosessoren - la oss kalle den "Hexium"
- og ting vil bli mye vanskeligere. Virkelig seriøse
motstandere, med store økonomiske ressurser, vil fortsatt klare
å knekke den. Det vil imidlertid bli stadig vanskeligere og
dyrere.
I mange land vil dessuten knekking av Fritz være ulovlig. I USA
sørger "Digital Millennium Copyright Act" allerede for dette,
mens situasjonen i EU vil variere fra land til land, avhengig av
hvordan nasjonale reglementer implementerer EUs Copyright-direktiv.
I tillegg har det i mange produkter allerede med vilje blitt blandet
sammen kompatibilitetskontroll og copyright-kontroll. Sony
Playstations autentiseringsbrikker inneholder også
kodingsalgoritmen for DVD, slik at de som driver med "reverse
engineering" kan bli anklaget for å omgå en
kopisperremekanisme og rammes av "Digital Millennium Copyright
Act". Det vil sannsynligvis bli en stygg situasjonen - og den vil
favorisere store firmaer med store budsjetter til å dekke
saksomkostninger.
16. Hvor store kan de samlede økonomiske følgene
bli?
Underholdningsindustrien kan tjene en del på å stoppe
kopiering av musikk - regn med at Sir Michael Jagger vil bli litt
rikere. Men jeg forventer at den viktigste økonomiske
følgen vil bli en styrket posisjon til etablerte aktører
i IT-markedet på bekostning av nykommere. Dette kan bety
økte markedsandeler for selskaper som Intel, Microsoft og IBM -
men på bekostning av innovasjon og generell vekst. Eric von
Hippel dokumenterer hvordan de fleste innovasjoner som setter
fart på den økonomiske veksten ikke er forventet av
produsentene av plattformene som de er basert på; og
teknologiske endringer i markedene for IT-produkter og -tjenester er
vanligvis kumulative. Å gi etablerte aktører nye
måter å gjøre livet surt for mennesker som
prøver å utvikle nye bruksområder for produktene
deres, vil skape allslags feller og perverse incentiver.
Store selskaper vil dra større nytte av den enorme
sentraliseringen av økonomisk makt som TCPA / Palladium
representerer enn små selskaper; når
Palladium-applikasjoner gjør det mulig for store selskaper
å fange opp flere ringvirkninger av deres økonomiske
aktiviteter, vil det oppstå liknende effekter som når
bilfirma tvinger bileiere til å få utført
vedlikehold ved autoriserte verksteder. Siden det er størst
vekst i sysselsetting i små og mellomstore bedrifter, kan dette
få konsekvenser for arbeidsplasser.
Det kan også oppstå forskjellige regionale effekter. For
eksempel har mange år med offentlige subsidier gjort Europas
smartkortindustri sterk, på bekostning av at andre teknologiske
nyvinninger har blitt utestengt fra området. Jeg har snakket med
erfarne folk fra industrien som forventer at når den andre fasen
av TCPA plasserer Fritz-funksjonaliteten inni prosessoren, vil det
slå beina under smartkortsalget. En rekke insidere i
TCPA-selskaper har innrømmet overfor meg at å fortrenge
smartkort fra markedet for autentiseringsbevis er et av
forretningsmålene deres. Mange av funksjonene som
smartkortprodusentene vil at du skal utføre med kortet ditt vil
i stedet bli gjort av Fritz-brikken i den bærbare datamaskinen
din, PDA-en din eller mobiltelefonen din. Hvis denne industrien knuses
av TCPA, kan Europa tape store summer. Andre store deler av
informasjonssikkerhetindustrien kan også bli skadelidende.
17. Hvem er de andre taperne?
På en rekke områder vil eksisterende forretningsprosesser
bryte sammen og gi innehavere av copyright mulighet til å hente
ut nye leieinntekter. Jeg søkte for eksempel nylig om
tillatelse til å gjøre et et stykke landbruksjord som vi
eier om til en hage; for å gjøre dette måtte vi
skaffe seks kopier av et 1:1250 kart av åkeren til de lokale
myndighetene. I gamle dager kunne alle hente et kart på det
lokale biblioteket og kopiere det. Nå er kartene lagret på
en server på biblioteket, med copyrightkontroll, og du kan
få max fire kopier av ett blad. For en enkeltperson er dette
lett å omgå: Kjøp fire kopier i dag og send en venn
for kjøpte å de siste to i morgen.
Men firmaer som bruker mange kart vil ende opp med å betale mer
penger til kartselskapene. Dette er kanskje et lite problem; gang det
med noen tusen for å få en viss idé av effektene på
den totale økonomien. Nettooverføringene av inntekter og
formue vil sannsynligvis, nok en gang, være fra små
selskaper til store og fra nykommere til etablerte.
Dette kan forhåpentligvis skape politisk motstand. En
velkjent britisk advokat sa
at copyright-lovgivningen bare kan tolereres fordi den ikke blir brukt
mot den store majoriteten av mindre alvorlige lovbrudd. Og det kommer
til å bli noen særdeles høyt profilerte
sørgelige saker. Jeg forstår det slik at nye
copyright-bestemmelser som skal komme senere i år i
Storbritannia vil frata de blinde "fair use"-retten til å bruke
verktøy som oversetter tekst fra skjermen og gjør dem i
stand til å lese elektroniske bøker. Vanligvis ville ikke
byråkratisk idioti som dette bety små mye, siden folk
flest ville ignorere det, og politiet ville ikke være så
dumme at de forfulgte noen. Men hvis copyright-bestemmelser blir
tvunget igjennom av beskyttelsesmekanismer i maskinvare som det er
upraktisk å bryte, kan de blinde bli blant de store
taperne. (Mange andre marginale grupper møter liknende
trusler.)
18. Uff. Hva mer?
TCPA vil underminere General Public License (GPL), som mange frie
programvareprosjekter med åpen kildekode er distribuert
under. GPL er laget for å unngå at fruktene av felles
frivillig arbeid skal kapres av private selskaper for profitt. Hvem
som helst kan bruke og endre programvare som er distribuert under
denne lisensen, men hvis du distribuerer en modifisert kopi, må
du gjøre den tilgjengelig for verden, sammen med kildekoden,
slik at andre kan gjøre nye modifikasjoner selv.
Minst to selskaper har begynt å arbeide på en TCPA-utvidet
versjon av GNU/Linux. Dette involverer opprydding av koden og fjerning
av en rekke funksjoner. For å få et sertifikat fra
TCPA-konsortiet må sponsoren sende den beskårne koden til
et evalueringslaboratorium, sammen med masse dokumentasjon som viser
hvorfor diverse kjente angrep på koden ikke
virker. (Evalueringen er på nivå E3 - kostbar nok til
å holde unna det frie programvarefellesskapet, samtidig som den
er slapp nok til at de fleste kommersielle programvareforhandlere
får sjansen til å få den dårlige koden sin
gjennom.) Til tross for at det modifiserte programmet vil dekkes av
GPL, med kildekode som er fri for alle, vil det ikke gjøre full
nytte av TCPA-funksjonene med mindre du har et sertifikat for
programmet, spesifikt for Fritz-brikken i din maskin. Dette vil koste
deg penger (om ikke med det første, så i hvert fall etter
hvert).
Du vil fortsatt være fri til å gjøre endringer i
den modifiserte koden, men du vil ikke være i stand til å
få et sertifikat som gir deg innpass i TCPA-systemet. Noe
liknende skjer med Linuxversjonen fra
Sony for Playstation 2; konsollens kopisperremekanismer
hinder deg i å kjøre en endret binærfil, og fra
å bruke en rekke av maskinvarefunksjonene. Selv om en filantrop
lager en nonprofit sikker utgave av GNU/Linux, vil ikke det
resulterende produktet virkelig være en GPL-versjon av et
TCPA-operativsystem, men et proprietært operativsystem som
filantropen kan gi bort gratis. (Vi har fortsatt
spørsmålet om hvem som skal betale for sertifikater til
brukerne.)
Man trodde at GPL gjorde det umulig for et selskap å komme og
stjele kode som var et resultat av en felles innsats. Dette bidro til
at folk ble villige til å ofre fritid for å skrive fri
programvare til nytte for fellesskapet. Men TCPA endrer
dette. Så snart majoriteten av PC-ene på markedet
støtter TCPA, vil ikke GPL lenger virke som beregnet. Fordelen
for Microsoft er ikke at dette direkte vil ødelegge fri
programvare. Poenget er at straks folk forstår at selv
programvare under GPL kan kapres for kommersielle formål, vil
idealistiske unge programmerere bli mye mindre motiverte for å
skrive fri programvare.
19. Jeg forstår at noen mennesker blir opprørt over
dette.
Og det er mange andre politiske spørsmål - transparens i
prosessering av personlige data som er nedfelt i EUs
databeskyttelsesdirektiv; suverenitetsspørsmålet, om
hvorvidt copyright-reglementer vil skrives av nasjonale regjeringer
eller en programvareutvikler i Portland eller Redmond; om TCPA vil bli
brukt av Microsoft til å tilintetgjøre Apache; og om folk
vil være komfortable med tanken på å få PC-ene
sine styrt, i praksis, med fjernkontroll -- kontroll som kan
beslaglegges av rettsvesen eller myndigheter uten at de vet om det.
20. Stopp en halv, er ikke TCPA ulovlig etter
konkurranselovgivningens monopolforebyggende bestemmelser?
Intel har finslipt sin "plattformlederskap"-strategi, som går ut
på at de leder industrisamarbeid om å utvikle teknologi
som vil gjøre PC-en mer nyttig, slik som PCI-bussen og
USB. Deres arbeidsmetoder er beskrevet i en bok
av Gawer og Cusumano. Intel setter opp et konsortium som fordeler
arbeidet med utviklingen av teknologien, får grunnleggerne til
å legge noen patenter i potten, publiserer en standard,
sørger for å få en del kraft bak den, og
lisensierer den deretter til industrien på betingelse av at
lisenshaverne til gjengjeld kryss-lisensierer eventuelle egne
innblandede patenter, uten kostnad, til alle medlemmene av
konsortiet.
Det positive synet på denne strategien var at Intel økte
det totale markedet for PC-er; medaljens bakside var at de forhindret
enhver konkurrent fra å oppnå en dominant posisjon innen
en hvilken som helst teknologi som kunne truet deres dominans over
PC-ens maskinvare. Derfor hadde ikke Intel råd til å la
IBMs "microchannel"-buss overleve, ikke bare i sammenheng med
konkurransen om PC-plattformen, men også fordi IBM ikke hadde
interesse av å tilby den båndbredden som PC-en trengte for
å konkurrere med de kraftigste systemene. Effekten kan i
strategisk terminologi til en viss grad sammenliknes med de gamle
romernes skikk med å ødelegge alle boliger og hogge ned
alle trær nær veiene og slottene deres. Ingen
konkurrerende bygninger er tillatt i nærheten av Intels
plattform; alt må jevnes ut til en allmenning. Men en pen,
ryddig, nøye kontrollert allmenning: grensesnitt bør
være "åpne men ikke frie".
Konsortiets tilnærming har utviklet seg til en svært
effektiv måte å balansere på grensen av
konkurranselovgivningens monopolforebyggende bestemmelser. Så
langt ser det ikke ut til at myndighetene har bekymret seg over slike
konsortier - så lenge standardene er åpne og tilgjengelige
for alle selskaper. De må kanskje bli en smule mer
sofistikerte.
Hvis Fritz Hollings klarer å få sitt lovforslag gjennom
den amerikanske kongressen, vil TCPA bli obligatorisk og
monopolspørsmålet vil falle bort, i hvert fall i
Amerika. Man kan jo håpe at europeiske lovgivere har mer
ryggrad.
21. Når kommer dette i butikkhyllene?
Det har kommet. Spesifikasjonen ble
publisert i 2000. Atmel selger allerede Fritz-brikken,
og selv om du må signere en avtale om hemmeligholdelse for
å få databladet, har du kunnet kjøpe den installert
i IBMs
Thinkpad-serie med bærbare datamaskiner siden mai 2002. Noen
av de eksisterende funksjonene i Windows XP og X-Box er
TCPA-funksjoner. Hvis du for eksempel endrer konfigurasjonen av PC-en
din mer enn bare litt, må du registrere all programvaren din
på nytt hos Microsoft. Siden Windows 2000 har Microsoft
også arbeidet med å sertifisere alle enhetsdrivere: hvis
du prøver å laste en usignert driver, vil XP klage. Det
er også en økende interesse
i USAs regjering for den tekniske standardiseringsprosessen. Toget
har begynt å rulle.
Timingen for Palladium er mer usikker. Det ser ut til å
pågå en maktkamp mellom Microsoft og Intel; Palladium vil
også kunne kjøre på konkurrerende maskinvare fra
leverandører som Wave
Systems, og applikasjoner skrevet for å kjøres
på grunnleggende TCPA vil måtte skrives på nytt for
å kunne kjøres på Palladium. Det virker som om
dette er et spill for å sikre at framtidens sikre
databehandlingsplattform blir kontrollert av Microsoft alene. Det kan
også være en taktikk for å avskrekke andre selskaper
fra å prøve å utvikle programvareplattformer basert
på TCPA. Intel og AMD ser ut til å planlegge at andre
generasjons TCPA-funksjonalitet skal tilbys gratis og integrert i
prosessoren. Dette kan gi høyere sikkerhet, men vil
gjøre dem i stand til å kontrollere utviklingen i stedet
for Microsoft.
Jeg vet at Palladium ble annonsert offentlig over en måned etter
at jeg presenterte en
artikkel på en konferanse om Open Source Software
Economics den 20. juni. Denne artikkelen kritiserer TCPA som
konkurransehemmende, hvilket har blitt rikelig bekreftet av senere
avsløringer.
22. Hva er TORA BORA?
Dette ser ut til å ha vært en intern spøk i
Microsoft: se kunngjøringen av
Palladium. Ideen er at "Trusted Operating Root Architecture"
(Palladium) vil stoppe "Break Once Run Anywhere"-angrepet. Med dette
mener de at piratkopiert materiale, når beskyttelsen
først har blitt brutt, kan legges på Internett og brukes
av alle.
Senere har de tydeligvis innsett at denne spøken kunne bli sett
på som smakløs. I en tale som jeg overvar den 10. juli
hos Microsoft Resarch var slagordet endret til "BORE-resistance", hvor
BORE står for "Break Once Run Everywhere". (Taleren beskrev
forøvrig vannmerking av copyright-beskyttet materiale som
"content screening" (skjerming av innhold), et begrep som brukes om
metoder for å hindre mindreårige i å se pornografi:
PR-maskineriet er tydeligvis i full gang! Han fortalte oss også
at det ikke ville virke med mindre alle brukte et betrodd
operativsystem. Når jeg spurte ham om dette betydde å kvitte
seg med Linux svarte han at Linux-brukere måtte fåes til
å bruke "content screening".)
23. Men er ikke datasikkerhet en bra ting?
Spørsmålet er: sikkerhet for hvem? Du foretrekker kanskje
å slippe å bekymre deg for virus, men hverken TCPA eller
Palladium vil fikse det. Virus utnytter måten applikasjoner
(slik som Microsoft Office og Outlook) bruker skripting. Du blir
kanskje irritert over spam (søppelpost), men det ville ikke
fikse det heller. (Microsoft antyder at det vil bli fikset, ved
å filtrere ut alle usignerte meldinger - men da vil spammerne
bare kjøpe TCPA-PC-er. Det vil være en bedre
løsning for deg å bruke din nåværende
e-postklient til å filtrere ut post fra folk som du ikke kjenner
og legge dem i en egen mappe som du kan se raskt gjennom en gang om
dagen.) Du bekymrer deg kanskje for personvern, men hverken TCPA eller
Palladium vil fikse det; nesten alle brudd på personvernet er
resultater av misbruk av autorisert tilgang, ofte skaffet gjennom
framtvunget samtykke. Forsikringsselskaper som krever at du samtykker
i at data om din helse blir delt ut til din arbeidsgiver og alle andre
som de kan selge dem til, kommer ikke til å stoppe fordi PC-ene
deres nå offisielt er "sikre". Tvert imot, de kommer heller til
å selge dem i enda større grad, fordi datamaskiner
nå er "betrodde".
Økonomer har oppdaget at når en produsent gjør et
"grønt" produkt tilgjengelig, øker det ofte
forurensingen, fordi folk kjøper grønt i stedet for
å kjøpe mindre; vi kan oppleve noe tilsvarende denne
"social choice trap", som det kalles, innen sikkerhet. Ved å
styrke og utvide monopoler vil TCPA dessuten øke grunnlaget for
prisdiskriminering, og dermed ønsket om å høste
personlige data til bruk i markedsføring.
Det mest
nestekjærlige synet på TCPA ble framsatt av en forsker i
Microsoft: det finnes situasjoner hvor du ønsker å
begrense brukerens handlinger. Du ønsker for eksempel å
hindre folk i å tukle med kilometertelleren på bilen
før de selger den. På samme måte må man
behandle brukeren som en fiende hvis man ønsker å
utføre DRM (kontroll av digitale rettigheter) på en PC.
Sett fra denne innfallsvinkelen tilbyr TCPA og Palladium i
større grad sikkerhet til PC-forhandlere,
programvareleverandører og underholdningsindustri enn til
brukere. De tilfører ikke noen ekstra verdi for brukeren,
heller tvert imot. De begrenser hva du kan gjøre med PC-en din
for at programvare- og tjenesteleverandører skal få
muligheten til å hale ut mer penger av deg. Dette er den
klassiske definisjonen på et utnyttende kartell - en
industriavtale som endrer betingelsene for handelen slik at
forbrukerens utbytte forminskes.
Det er ingen tvil om at Palladium vil selges sammen med ny
funksjonalitet slik at pakken totalt sett ser ut til å
være gunstig på kort sikt, men de langsiktige
økonomiske, sosiale og rettslige følgene krever
alvorlig ettertanke.
24. Så hvorfor kalles dette "Betrodd Databehandling"? Jeg ser
ingen grunn til å stole på dette i det hele tatt!
Det er nærmest en intern spøk. I USAs forsvarsdepartement
er et "betrodd system eller komponent" definert som "et som kan bryte
sikkerhetspolicyen din". Dette kan se selvmotsigende ut ved
første øyekast, men tenk litt over det. E-postvokteren
eller brannmuren som står mellom et hemmelig og et topphemmelig
system kan - hvis den feiler - bryte sikkerhetspolicyen om at post
bare skal flyte fra hemmelig til topphemmelig, men aldri i motsatt
retning. Den er derfor betrodd oppgaven med å håndheve
informasjonsflytpolicyen.
Eller for å ta et sivilt eksempel: anta at du stoler på at
legen din holder pasientjournalen din privat. Dette betyr at han har
tilgang til informasjonen, slik at han kunne lekke den til pressen
hvis han var uforsiktig eller ondsinnet. Du stoler ikke på at
jeg klarer å oppbevare pasientjournalen din, fordi jeg ikke har
den; uavhengig av om jeg liker deg eller hater deg, er det ingenting
jeg kan gjøre for å påvirke din policy om at
journalen din skal være konfidensiell. Det kan derimot legen
din; og det faktum at han er i posisjon til å skade deg er
egentlig det du mener (på systemnivå) når du sier at
du har tiltro til ham. Kanskje du har et godt inntrykk av ham, eller
kanskje du bare må stole på ham fordi han er den eneste
legen på øya du bor på; det spiller ingen rolle,
forsvarsdepartementets definisjon fjerner disse uklare,
følelsesmessige aspektene ved "tiltro" (som kan forvirre
folk).
Sent på 90-tallet, da man debatterte om kryptografi skulle
være underlagt statlig kontroll, foreslo Al Gore en "tiltrodd
tredjepart" ("Trusted Third Party") - en tjeneste som skulle
sørge for trygg oppbevaring av en kopi av
dekrypteringsnøkkelen, i tilfelle du (eller FBI, eller NSA)
noen gang skulle trenge den. Navnet ble gjort narr av akkurat som
"markedsføringstrikset" hvor den russiske kolonien
Øst-Tyskland ble kalt en "Demokratisk Republikk". Men det rimer
jo faktisk med forsvarsdepartementets tenkemåte. En tiltrodd
tredjepart er en tredjepart som kan bryte sikkerhetspolicyen din.
25. Så en "Betrodd Datamaskin" er en som kan bryte
sikkerheten min?
Nå har du forstått det.
Ross Anderson
Den engelske originalversjonen, tilgjengelig på
http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html, inneholder
lenker til de siste oppdateringene, lagt til etter at dokumentet ble
skrevet i juli 2002.
Elektronisk Forpost Norge er en rettighetsorganisasjon som jobber
med medborgerskap og juridiske rettigheter i IT-samfunnet.
www.efn.no.
Dette dokumentets adresse:
http://www.efn.no/tcpa-faq-no.html
Sist oppdatert av Lars Eirik Danielsen 5. mai 2003.
