Ik schrijf al jaren over “digital rights management” (DRM) in deze kolom, maar hier sta ik op het punt er weer over te schrijven. Dat komt omdat DRM-ook wel “kopieerbeschermingssoftware” of “digital restrictions management” genoemd – een van de meest opvallende en minst begrepen feiten over technologie in de hedendaagse wereld is.,
wanneer u in een discussie over DRM komt, vindt u vaak ruzie over de vraag of en wanneer kopiëren en delen moet worden toegestaan. Vergeet dat Voor nu. Daar gaat het niet om, om redenen die binnenkort duidelijk zullen zijn. In plaats daarvan, laten we praten over de koude, harde juridische, technische, markt en normatieve realiteiten van DRM. Laten we praten over wat er gebeurt met DRM in de echte wereld.
in de echte wereld doet” bare ” DRM niet echt veel., Voordat overheden wetten uitvaardigden die compromitterende DRM illegaal maakten (zelfs als er geen inbreuk op het auteursrecht plaatsvond), overleefde DRM het contact met de markt niet lang. Dat komt omdat technologisch gezien DRM niet logisch is. Om DRM te laten werken, moet je een versleuteld bericht (bijvoorbeeld een film) naar je klant sturen en je klant een programma geven om het te decoderen. Iedereen die wil kan uw klant worden gewoon door het downloaden van uw speler of het kopen van uw apparaat – “iedereen” in dit geval omvat de meest ervaren technische mensen in de wereld., Vanaf daar, de taak van uw tegenstander is om erachter te komen waar in de speler je hebt Verborgen de sleutel die wordt gebruikt om het bericht te decoderen (de film, het ebook, lied, enz.). Zodra ze dat doet, kan ze haar eigen speler die uw bestanden decoderen maken. En tenzij het illegaal is om dit te doen, kan ze haar app of apparaat verkopen, die beter zal zijn dan de jouwe, omdat het een heleboel dingen zal doen die je niet wilt dat het doet: je klanten toestaan om de media te gebruiken die ze kopen op welke apparaten ze ook bezitten, hen toestaan om de media te delen met vrienden, om het te spelen in andere landen, om het te verkopen als een gebruikt goed, enzovoort.,
de enige reden om DRM te gebruiken is omdat uw klanten iets willen doen en u niet wilt dat ze het doen. Als iemand anders kan bieden uw klanten een speler die de dingen die je haat en ze houden van doet, ze zullen het kopen. Dus je DRM verdwijnt.
een goede analoog hieraan zijn inkjet cartridges. Printerbedrijven verdienen veel meer geld als je je inkt bij hen koopt, omdat ze het als een gek kunnen markeren (milliliter voor milliliter, HP inkt kost meer dan vintage Champagne). Dus ze doen een hoop dingen om te voorkomen dat je je cartridges opnieuw vult en ze in je printer stopt., Toch kunt u gemakkelijk en legaal goedkope, nagevulde en externe cartridges voor uw printer kopen. Hetzelfde voor telefoon ontgrendelen: uiteraard telefoonbedrijven houden je als klant langer en meer geld verdienen als je je telefoon moet weggooien wanneer je van provider verandert, dus ze proberen de telefoon die je koopt met je plan op hun netwerken te vergrendelen. Maar telefoon ontgrendelen is legaal in het Verenigd Koninkrijk, dus praktisch elke krantenwinkel en stomerij in mijn buurt zal uw telefoon te ontgrendelen voor een Vijfje (u kunt ook gratis programma ‘ s downloaden van het net om dit te doen als u bereid bent om de handel gedoe voor geld).,
de technische en commerciële krachten die ons telefoonontgrendelen en cartridges bijvullen gaven, zijn dezelfde krachten die DRM een totale non-starter zouden maken, behalve een vervelende wet.
Enter the DMCA
in 1995 schreef Bill Clinton ‘ s copyright tsaar Bruce Lehman – een auteursrechtadvocaat, laat in Microsoft – een witboek waarin een nieuw regelgevend kader voor het internet werd voorgesteld. Het was gestoord. Volgens Lehman ‘ s plan zou elke kopie van elk werk expliciet moeten worden toegestaan en een licentievergoeding moeten worden geïnd., Dat betekent dat uw computer zou moeten controleren op toestemming en betalen een kleine royalty wanneer het gekopieerd een bestand van de modem buffer in het geheugen, en van het geheugen in de grafische kaart.Lehman diende zijn paper in bij de toenmalige vicepresident Al Gore, die hoorzittingen hield over de demilitarisatie van het internet-de Nationale informatie – Infrastructuur (NII) of “informatiesnelweg” – hoorzittingen. Tot zijn eer verwierp Al Gore het Lehman-plan en stuurde hem weg.,Lehman ‘ s volgende stop was Genève, waar hij de Wereldorganisatie voor intellectuele eigendom van de Verenigde Naties (WIPO) overtuigde om belangrijke maatregelen uit zijn plan in internationale verdragen (het WIPO-verdrag inzake auteursrecht en het WIPO-verdrag inzake uitvoeringen en fonogrammen) om te zetten. Toen kreeg hij het Amerikaanse Congres zover om een wet aan te nemen om te voldoen aan het Verdrag – de Digital Millennium Copyright Act (DMCA) – die veel van het spul dat Gore had afgewezen in de Amerikaanse wet heeft gestopt.
de DMCA is een lang en complex instrument, maar waar ik het hier over heb is paragraaf 1201: de beruchte “anti-omzeiling” Bepalingen., Ze maken het illegaal om een “effectieve manier van toegangscontrole” te omzeilen die een auteursrechtelijk beschermd werk beperkt. De bedrijven die DRM maken en de rechtbanken hebben dit zeer breed geïnterpreteerd, mensen verplichten om informatie te publiceren over kwetsbaarheden in DRM, van het publiceren van de geheime sleutels verborgen in de DRM, van het publiceren van instructies voor het omzeilen van de DRM – kortom, alles wat denkbaar hulp en comfort zou kunnen geven aan iemand die iets wilde doen dat de fabrikant of de auteursrechthouder verbood.,in 2000 oordeelde Een Amerikaanse rechtbank van beroep (in Universal City Studios, Inc v Reimerdes) dat het breken van DRM illegaal was, zelfs als je iets probeerde te doen dat anders legaal zou zijn. Met andere woorden, als uw ebook heeft een beperking die u stopt met het lezen van het op woensdag, kunt u niet breken die beperking, zelfs als het anders legaal zou zijn om het boek te lezen op woensdag.
in de VS biedt het eerste amendement van de Grondwet een brede bescherming aan de vrije meningsuiting, en verbiedt het de overheid wetten te maken die de Vrijheid van meningsuiting van Amerikanen beknotten., Hier heeft de zaak Reimerdes een ander slecht precedent geschapen: het verplaatste computercode van het rijk van beschermde expressie naar een soort grijze zone waar het wel of niet beschermd kan worden.
in de Bernstein v Verenigde Staten van 1997 vond een andere Amerikaanse beroepsinstantie dat code beschermde expressie was., Bernstein was een keerpunt in de geschiedenis van computers en de wet: het ging om een wiskundige van UC Berkeley genaamd Daniel Bernstein, die het Amerikaanse verbod op het produceren van cryptografische tools die berichten konden versleutelen met zo ‘ n efficiëntie dat de politie ze niet kon decoderen. De Amerikaanse National Security Agency (NSA) noemde dergelijke programma ‘ s “munitie” en beperkte het gebruik en de publicatie ervan ernstig. Bernstein publiceerde zijn encryptie-programma ‘ s op het internet en verdedigde met succes zijn recht om dit te doen door het eerste amendement aan te halen., Toen het Hof van beroep akkoord ging, werd het vermogen van de NSA om civiel gebruik van sterke cryptografie te controleren vernietigd. Sindsdien hebben onze computers de macht gehad om geheimen te bewaren die niemand kan halen, behalve met onze toestemming – dat is de reden waarom de NSA en GCHQ ’s geheime anti-security initiatieven, Bullrun en Edgehill, gericht kwetsbaarheden in besturingssystemen, programma’ s en hardware. Ze konden de wiskunde niet verslaan (ze probeerden ook de wiskunde te ondermijnen, waardoor het Amerikaanse National Institute for Standards in Technology een zwak algoritme voor het produceren van willekeurige getallen adopteerde).,
sinds Reimerdes is het duidelijk dat DRM niet het recht is om piraterij te voorkomen: het is het recht om je eigen copyright wetten te maken. Het recht om dingen uit te vinden die mensen niet mogen doen – ook al staat de wet het toe-en om deze verboden in te bedden in code die illegaal is om te overtreden. Reimerdes liet ons ook zien dat DRM het recht is om spraak te onderdrukken: het recht om mensen te stoppen met het uitspreken van code of sleutels of andere uitdrukkingen als er een kans is dat deze uitingen uw verzonnen auteursrechtwetten zullen verstoren.,
inzicht in beveiliging
de entertainmentindustrie noemt DRM “beveiliging” – software, omdat het hen veilig maakt voor hun klanten. Veiligheid is geen kwestie van abstracte absoluten, het vereist een context. Je kunt niet “veilig” zijn, in het algemeen — je kunt alleen veilig zijn voor enig risico. Bijvoorbeeld, het hebben van voedsel maakt u veilig van honger, maar zet je in gevaar van obesitas gerelateerde ziekte.
DRM is ontworpen op basis van de veronderstelling dat gebruikers het niet willen, en als ze het konden uitschakelen, zouden ze dat doen., U hebt alleen DRM nodig om gebruikers te stoppen met het doen van dingen die ze proberen te doen en willen doen. Als het ding dat de DRM beperkt iets is wat niemand toch wil doen, heb je de DRM niet nodig. Je hebt geen slot nodig op een deur die niemand ooit wil openen.
DRM gaat ervan uit dat de eigenaar van de computer de tegenstander is. Om DRM te laten werken, moet er geen voor de hand liggende manier zijn om het te verwijderen, te onderbreken of voor de gek te houden. Om DRM te laten werken, moet het zich bevinden in een computer waarvan het besturingssysteem is ontworpen om sommige van zijn bestanden en processen te verduisteren: om opzettelijk de eigenaar van de computer te misleiden over wat de computer doet., Als u uw computer vraagt om een lijst van alle lopende programma ‘ s, Het heeft om het DRM-programma voor u te verbergen. Als je het vraagt om je de bestanden te laten zien, moet het de DRM-bestanden voor je verbergen. Iets minder en u, als eigenaar van de computer, zou het programma te doden en de bijbehorende bestanden te verwijderen bij het eerste teken van problemen.
een toename van de beveiliging van de bedrijven waar u uw media koopt, betekent een afname van uw eigen beveiliging., Wanneer uw computer is ontworpen om u te behandelen als een niet-vertrouwde partij, loopt u een ernstig risico: iedereen die schadelijke software op uw computer kan zetten, hoeft alleen maar te profiteren van de opzettelijke capaciteit van uw computer om de werking ervan voor u te verhullen om het veel moeilijker voor u te maken om te weten wanneer en hoe u bent gecompromitteerd.
DRM in het tijdperk van massasurveillance
Hier is nog iets over beveiliging: het is een proces, geen product (hat tip aan Bruce Schneier!)., Er is geen test om te weten of een systeem veilig is of niet; per definitie, alles wat je kunt doen om de beveiliging van een systeem te testen is mensen vertellen hoe het werkt en hen vragen om je te vertellen wat er mis mee is. Het ontwerpen van een beveiligingssysteem zonder publieke beoordeling is een dwaze boodschap, ervoor te zorgen dat je een systeem hebt ontworpen dat is beveiligd tegen mensen dommer dan jij, en niemand anders.
elk beveiligingssysteem vertrouwt op rapporten van nieuw ontdekte kwetsbaarheden als een middel om voortdurend te verbeteren., De krachten die tegen beveiligingssystemen werken-scripts die aanvallen automatiseren, theoretische vooruitgang, gemakkelijk te volgen gidsen die gemakkelijk kunnen worden gegoogled-verbeteren altijd, zodat elk systeem dat niet profiteert van zijn eigen continue verbetering minder effectief wordt na verloop van tijd. Dat wil zeggen, de pool van tegenstanders in staat om het systeem te verslaan gaat omhoog in de tijd, en de energie die ze moeten besteden om dit te doen gaat naar beneden in de tijd, tenzij kwetsbaarheden voortdurend worden gemeld en gerepareerd.
Hier is waar DRM en uw beveiliging werken voor verschillende doeleinden., De DMCA ‘ s bevel tegen het publiceren van zwakke punten in DRM betekent dat de kwetsbaarheden blijven ongepatchte langer dan in vergelijkbare systemen die niet worden gedekt door de DMCA. Dat betekent dat elk systeem met DRM gemiddeld gevaarlijker zal zijn voor de gebruikers dan een systeem zonder DRM.
de DMCA is verspreid naar andere gebieden, dankzij die WIPO verdragen. In het Verenigd Koninkrijk kregen we DMCA-achtige wetten via de EUCD. Canada kreeg ze via Bill C-11. Vrijwel elke plaats die is geà ndustrialiseerd en wil handelen met de rest van de wereld heeft een verbod op het verzwakken van DRM., Veel van deze wetten – met inbegrip van de DMCA – hebben bepalingen die zogenaamd legitieme beveiligingsonderzoek te beschermen, maar in de praktijk, deze zijn zo smal en de straffen voor DMCA schendingen zijn zo verschrikkelijk dat niemand probeert om gebruik te maken van hen.
bijvoorbeeld, in 2005, Sony-BMG music verscheept een DRM genaamd de “Sony Rootkit” op 51m audio-CD ‘ s. Toen een van deze CD ’s in een PC werd geplaatst, veranderde het automatisch en onopgemerkt het besturingssysteem zodat het niet langer bestanden of programma’ s kon zien die begonnen met “$SYS$.,”De rootkit infecteerde miljoenen computers, waaronder meer dan 200.000 Amerikaanse militaire en overheidsnetwerken, voordat het bestaan ervan openbaar werd. Echter, verschillende grote en gerespecteerde veiligheidsorganisaties zeggen dat ze wisten over de Sony Rootkit maanden voor de openbaarmaking, maar niet gepubliceerd omdat ze vreesden straf onder de DMCA. Ondertussen, virus-schrijvers onmiddellijk begonnen hun programma ‘ s te hernoemen om te beginnen met $SYS$, omdat deze bestanden onzichtbaar voor virus-checkers zou zijn als ze landden op een computer die was gecompromitteerd door Sony.,
Snowden, DMCA and the Future of Security
de onthullingen van NSA-klokkenluider Edward Snowden hebben het wereldwijde gesprek over privacy en veiligheid veranderd. Volgens een Pew-studie van afgelopen herfst proberen de meeste Amerikaanse internetgebruikers nu maatregelen te nemen om hun computers veiliger te maken en hun privé-informatie meer privé te houden.
Het is moeilijk te overschatten hoe Opmerkelijk dit is (Ik heb er in December een hele kolom aan gewijd)., Gedurende de hele geschiedenis van de technologie-industrie was er geen merkbare vraag van de consument naar veiligheid en privacy. Er was geen reden om te geloven dat het uitgeven van geld het maken van een product veiliger zou vertalen in genoeg nieuwe gebruikers om te betalen voor de extra engineering werk dat het meebrengt.
met de bewustzijnsverandering van de Snowden-bestanden, hebben we, voor het eerst ooit, het potentieel voor commercieel succes gebaseerd op claims van veiligheid. Dat is inderdaad goed nieuws – want computerbeveiliging is nooit een kwestie van individuele actie., Het maakt niet uit hoe zorgvuldig je met je e-mail omgaat als de mensen met wie je correspondeert slordig zijn met hun kopieën van je berichten. Het is een beetje als volksgezondheid: het is belangrijk om ervoor te zorgen dat je schoon drinkwater hebt, maar als je buren geen aandacht besteden aan hun water en allemaal cholera krijgen, zal de zuiverheid van je eigen watervoorziening je niet veilig houden.
maar er kan geen echte beveiliging zijn in een wereld waar het illegaal is om mensen te vertellen wanneer de computers in hun leven hen in gevaar brengen., Met andere woorden, er kan geen echte veiligheid zijn in een wereld waar de DMCA en zijn wereldwijde neven nog steeds intact zijn.
Party like it ‘ s 1997
wat ons terug brengt naar Bernstein. in 1997 besloot een panel van rechters van het Amerikaanse federale hof van beroep in het Negende Circuit dat code expressieve spraak was en dat wetten die publicatie ervan verbieden ongrondwettelijk waren. In 2000 stelde de rechtbank van Reimerdes vast dat deze bescherming zich niet uitstrekte tot code die de DMCA schendt.
Het is lang geleden dat iemand een rechter vroeg om de vragen in Reimerdes te heroverwegen., In 2000 besloot een rechter dat het niet om Vrijheid van meningsuiting ging, maar om een gevecht tussen bedrijven die “enorme bedragen investeerden” in films en mensen die geloofden dat “informatie zonder kosten beschikbaar moest zijn voor iedereen die slim genoeg was om in de computersystemen in te breken.”De rechter had toen ongelijk, en de onrechtvaardigheid is sindsdien alleen maar scherper geworden.
geen rechtszaak is ooit een zekerheid, maar ik geloof dat er een goede kans is dat een rechter in 2014 de DMCA/vrije meningsuiting vraag heel anders zou kunnen beantwoorden., In 14 jaar tijd is het argument voor code als expressieve spraak alleen maar versterkt en zijn de gevaren van het censureren van code alleen maar duidelijker geworden.
als ik een slimme ondernemer was met een hoge eetlust voor risico-en een redelijke oorlogskist voor geschillen-zou ik heel serieus nadenken over hoe ik een technologie kan bouwen die juridische functies toevoegt aan een DRM-enfeedled systeem (bijvoorbeeld iTunes/Netflix/Amazon video), functies die al mijn concurrenten te laf zijn om te overwegen., De potentiële markt voor apparaten die legale dingen doen die mensen willen doen is titanic. een oordeel dat de juiste kant op gaat zou een ernstige existentiële bedreiging voor de computerbeveiliging elimineren, wat tegenwoordig synoniem is voor veiligheid zelf.
en zodra anti-omzeiling een dode letter is in Amerika, kan het niet lang overleven in de rest van de wereld. Voor een ding, een product als een fictieve Itunes/Amazon / Netflix video unlocker zou lekken over de nationale grenzen heel gemakkelijk, waardoor niet-Amerikaanse verboden aantoonbaar zinloos., Voor een andere, de meeste landen die anti-omzeiling op de boeken kwamen er als gevolg van de druk van de Amerikaanse handelsvertegenwoordiger; als de VS anti-omzeiling daalt, de handelspartners het gewapend-twisted in dezelfde positie zal niet ver achter.
Ik heb gesproken met een aantal advocaten die intiem zijn met alle relevante zaken en geen van hen vertelde me dat het een verloren zaak was (aan de andere kant, geen van hen zei dat het een zekere zaak was, ofwel). Het is een riskant voorstel, maar er moet iets gedaan worden., Zie je, in tegenstelling tot wat de rechter in Reimerdes zei in 2000, heeft dit niets te maken met de vraag of informatie vrij is of niet – het gaat allemaal over de vraag of mensen vrij zijn.
- Computing
- Technologie blog
- blogs
- Deel op Facebook
- Delen op Twitter
- Delen via e-Mail
- Deel op LinkedIn
- Delen op Pinterest
- Delen op WhatsApp
- Delen op Messenger