Jag har skrivit om ”digital rights management” (DRM) i flera år i den här kolumnen, men här är jag på väg att skriva om det igen. Det beror på att DRM – ibland kallad ”copy protection software” eller ”digital restrictions management” – är en av de mest framträdande och minst förstådda fakta om teknik i dagens värld.,
När du kommer in i en diskussion om DRM, du ofta befinner dig argumentera om huruvida och när kopiering och delning bör tillåtas. Glöm det för tillfället. Det är inte poängen, av skäl som snart kommer att vara tydliga. Låt oss istället prata om DRM: s kalla, hårda juridiska, tekniska, marknadsplats och normativa verklighet. Låt oss prata om vad som händer med DRM i den verkliga världen.
i den verkliga världen gör ”bare” DRM egentligen inte mycket., Innan regeringar antog lagar som äventyrar DRM olagligt (även om ingen upphovsrättsintrång ägde rum) överlevde DRM inte kontakten med marknaden länge. Det är för att Tekniskt, DRM inte vettigt. För DRM att arbeta, du måste skicka en förvrängd meddelande (säg, en film) till din kund, sedan ge din kund ett program för att avkoda den. Den som vill kan bli din kund helt enkelt genom att ladda ner din spelare eller köpa din enhet – ”någon” i det här fallet innehåller de mest skickliga tekniska personerna i världen., Därifrån är din motståndares jobb att ta reda på var i spelaren du har gömt nyckeln som används för att avkoda meddelandet (filmen, ebook, sång, etc.). När hon gör det kan hon göra sin egen spelare som avkodar dina filer. Och om det inte är olagligt att göra detta, hon kan sälja sin app eller enhet, som kommer att vara bättre än din, eftersom det kommer att göra en massa saker du inte vill att det ska göra: låta dina kunder att använda media de köper på vilka enheter de äger, tillåta dem att dela media med vänner, att spela det i andra länder, att sälja,
den enda anledningen att använda DRM är att dina kunder vill göra något och du vill inte att de ska göra det. Om någon annan kan erbjuda dina kunder en spelare som gör de saker du hatar och de älskar, kommer de att köpa den. Så din DRM försvinner.
en bra analog till detta är bläckpatroner. Skrivarföretag tjänar mycket mer pengar när du köper ditt bläck från dem, eftersom de kan markera det som galet (milliliter för milliliter, HP-bläck kostar mer än vintage Champagne). Så de gör en massa saker för att stoppa dig från att fylla på dina patroner och sätta dem i din skrivare., Ändå kan du enkelt och lagligt köpa billiga, återfyllda och tredjeparts patroner för din skrivare. Samma för telefon upplåsning: uppenbarligen telefon företag hålla dig som kund längre och tjäna mer pengar om du måste kasta bort telefonen när du byter bärare, så de försöker låsa telefonen du köper med din plan till sina nätverk. Men telefonupplåsning är lagligt i Storbritannien, så praktiskt taget varje newsagent och kemtvätt i mitt grannskap kommer att låsa upp din telefon för en fiver (du kan också ladda ner gratis program från nätet för att göra detta om du är villig att handla krångel för pengar).,
de tekniska och kommersiella krafter som gav oss telefon upplåsning och patron påfyllning är samma krafter som skulle göra DRM en total icke-starter, med undantag för en irriterande lag.
ange DMCA
tillbaka 1995 skrev Bill Clintons copyright tsar Bruce Lehman – en upphovsrättsadvokat, sen av Microsoft – en vitbok som föreslog ett nytt regelverk för internet. Det var bonkers. Enligt Lehmans plan måste varje kopia av allt arbete uttryckligen tillåtas och en licensavgift tas ut., Det innebär att din dator skulle behöva kontrollera om tillstånd och betala en liten royalty när den kopierade en fil från modemets buffert i minnet, och från minne till grafikkortet.
Lehman överlämnade sin uppsats till dåvarande vice ordförande Al Gore, som höll utfrågningar om demilitariseringen av internet-de nationella informationsinfrastrukturen (NII) eller ”information superhighway” utfrågningar. Till hans ära avvisade Al Gore Lehman-planen och skickade honom att packa.,Lehmans nästa stopp var Genève, där han övertygade FN: s Världsorganisationen för immateriell äganderätt (WIPO) att anta viktiga åtgärder från sin plan i internationella fördrag (Wipo Copyright Treaty och Wipo Performances and Phonograms Treaty). Sedan fick han den AMERIKANSKA Kongressen att passera en lag för att följa fördraget – Digital Millennium Copyright Act (DMCA) – som smög mycket av de saker som Gore hade avvisat i amerikansk lag.
DMCA är ett långt och komplext instrument, men vad jag pratar om här är avsnitt 1201: de ökända ”Anti-circumvention” – bestämmelserna., De gör det olagligt att kringgå en ”effektiv åtkomstkontroll” som begränsar ett upphovsrättsskyddat arbete. De företag som gör DRM och domstolarna har tolkat detta mycket brett, ålägger människor från att publicera information om sårbarheter i DRM, från att publicera de hemliga nycklarna gömda i DRM, från att publicera instruktioner för att komma runt DRM – i grund och botten allt som skulle kunna ge stöd och komfort till någon som ville göra något som tillverkaren eller upphovsrättsinnehavaren förbjöd.,
betydligt, i 2000, en amerikansk appellationsdomstol fann (i Universal City Studios, Inc v Reimerdes) att bryta DRM var olagligt, även om du försökte göra något som annars skulle vara lagligt. Med andra ord, om din ebook har en begränsning som hindrar dig att läsa den på onsdagar, du kan inte bryta den begränsningen, även om det annars skulle vara lagligt att läsa boken på onsdagar.
i USA ger den första ändringen av konstitutionen ett brett skydd mot yttrandefrihet och förbjuder regeringen att göra lagar som abridge amerikaners yttrandefrihet., Här satte Reimerdes-fallet ett annat dåligt prejudikat: det flyttade datorkod från sfären av skyddat uttryck till en slags gråzon där det kanske eller kanske inte är skyddat.
i 1997 Bernstein mot USA fann en annan amerikansk appellationsdomstol att koden var skyddad uttryck., Bernstein var en vändpunkt i datorernas och lagens historia: det handlade om en UC Berkeley matematiker som heter Daniel Bernstein som utmanade det amerikanska förbudet mot att producera kryptografiska verktyg som kunde förvränga meddelanden med sådan effektivitet att polisen inte kunde avkoda dem. Den amerikanska National Security Agency (NSA) kallade sådana program ”ammunition” och strängt begränsade deras användning och publicering. Bernstein publicerade sina krypteringsprogram på internet och försvarade framgångsrikt sin rätt att göra det genom att citera det första ändringsförslaget., När appellationsdomstolen kom överens, förstördes NSA: s förmåga att kontrollera civil användning av stark kryptografi. Sedan dess har våra datorer haft befogenhet att hålla hemligheter som ingen kan extrahera förutom med vår tillåtelse – det är därför NSA och GCHQ: s hemliga Anti-säkerhetsinitiativ, Bullrun och Edgehill, riktade sårbarheter i operativsystem, program och hårdvara. De kunde inte besegra matematikerna (de försökte också undergräva matematiken, få US National Institute for Standards in Technology att anta en svag algoritm för att producera slumptal).,
ända sedan Reimerdes har det varit tydligt att DRM inte är rätt att förhindra piratkopiering: det är rätt att skapa egna upphovsrättslagar. Rätten att uppfinna saker som människor inte får göra – även om lagen tillåter det-och att bädda in dessa förbud i kod som är olagligt att bryta mot. Reimerdes visade oss också att DRM är rätt att undertrycka tal: rätten att stoppa människor från att yttra kod eller nycklar eller andra uttryck om det finns någon chans att dessa uttalanden kommer att störa dina påhittade upphovsrättslagar.,
förstå säkerhet
underhållningsindustrin kallar DRM ”säkerhet” – programvara, eftersom det gör dem säkra från sina kunder. Säkerhet är inte en fråga om abstrakta absolutes, det kräver ett sammanhang. Du kan inte vara” säker ” i allmänhet – du kan bara vara säker från viss risk. Till exempel, att ha mat gör dig säker från hunger, men riskerar dig från fetma-relaterad sjukdom.
DRM är utformad på antagandet att användarna inte vill ha det, och om de kunde stänga av det, skulle de., Du behöver bara DRM för att stoppa användare från att göra saker de försöker göra och vill göra. Om saken DRM begränsar är något Ingen vill göra ändå, behöver du inte DRM. Du behöver inte ett lås på en dörr som ingen någonsin vill öppna.
DRM förutsätter att datorns ägare är dess motståndare. För att DRM ska fungera måste det inte finnas något uppenbart sätt att ta bort, avbryta eller lura det. För att DRM ska fungera måste den bo i en dator vars operativsystem är utformat för att förvränga några av dess filer och processer: att medvetet hoodwink datorns ägare om vad datorn gör., Om du ber din dator att lista alla program som körs, måste den dölja DRM-programmet från dig. Om du ber det att visa dig filerna måste det dölja DRM-filerna från dig. Något mindre och du, som datorns ägare, skulle döda programmet och ta bort dess tillhörande filer vid första tecken på problem.
en ökning av säkerheten för de företag du köper dina media från innebär en minskning av din egen säkerhet., När datorn är utformad för att behandla dig som en opålitlig Part, du är på allvarlig risk: alla som kan sätta skadlig programvara på datorn har bara att dra nytta av datorns avsiktliga förmåga att dölja sin verksamhet från dig för att göra det mycket svårare för dig att veta när och hur du har äventyrats.
DRM i en tid präglad av massövervakning
Här är en annan sak om Säkerhet: Det är en process, inte en produkt (hattips till Bruce Schneier!)., Det finns inget test för att veta om ett system är säkert eller inte; per definition, allt du kan göra för att testa ett systems säkerhet är att berätta för människor hur det fungerar och be dem att berätta vad som är fel med det. Utforma ett säkerhetssystem utan offentlig granskning är en dåre ärende, se till att du har utformat ett system som är säkert mot människor dumare än du, och ingen annan.
varje säkerhetssystem bygger på rapporter om nyupptäckta sårbarheter som ett sätt att kontinuerligt förbättra., De krafter som arbetar mot säkerhetssystem-skript som automatiserar attacker, teoretiska framsteg, lätt att följa guider som lätt kan googlas-förbättras alltid så att alla system som inte drar nytta av sin egen kontinuerliga förbättring blir mindre effektiva över tiden. Det vill säga, poolen av motståndare som kan besegra systemet går upp med tiden, och den energi de måste förbruka för att göra det går ner över tiden, om inte sårbarheter kontinuerligt rapporteras och repareras.
här är där DRM och din säkerhet arbete vid kors syften., DMCA: s föreläggande mot publicering av svagheter i DRM innebär att dess sårbarheter förblir unpatched längre än i jämförbara system som inte omfattas av DMCA. Det innebär att alla system med DRM i genomsnitt kommer att vara farligare för sina användare än en utan DRM.
DMCA har spridit sig till andra territorier, tack vare dessa WIPO-fördrag. I Storbritannien har vi DMCA-liknande lagar genom EUCD. Kanada fick dem genom Bill C-11. Nästan varje plats som är industrialiserad och vill handla med resten av världen har ett förbud mot att försvaga DRM., Många av dessa lagar – inklusive DMCA – har bestämmelser som förmodligen skyddar legitim säkerhetsforskning, men i praktiken är dessa så smala och straffen för DMCA-överträdelser är så hemska att ingen försöker utnyttja dem.
under 2005 skickade Sony-BMG music en DRM som heter ”Sony Rootkit” på 51m-ljud-CD-skivor. När en av dessa CD-skivor infogades i en dator ändrade den automatiskt och oupptäckt operativsystemet så att det inte längre kunde se filer eller program som började med ”$SYS$.,”Rootkit infekterade miljontals datorer, inklusive över 200,000 amerikanska militära och statliga nätverk, innan dess existens blev offentlig. Men olika stora och respekterade säkerhetsorganisationer säger att de visste om Sony Rootkit månader före utlämnandet, men publicerade inte eftersom de fruktade straff under DMCA. Samtidigt började virusmakare omedelbart byta namn på sina program till att börja med $SYS$, eftersom dessa filer skulle vara osynliga för virus-checkers om de landade på en dator som hade äventyrats av Sony.,
Snowden, DMCA och framtiden för säkerhet
avslöjandena av NSA whistleblower Edward Snowden har förändrat den globala konversationen om integritet och säkerhet. Enligt en Pew-studie från förra hösten försöker de flesta amerikanska internetanvändare nu vidta åtgärder för att göra sina datorer säkrare och hålla sin privata information mer privat.
det är svårt att överdriva hur anmärkningsvärt det här är (jag ägnade en hel kolumn till den i December)., För hela teknikindustrins historia fanns det ingen märkbar efterfrågan på säkerhet och integritet för konsumenterna. Det fanns ingen anledning att tro att spendera pengar att göra en produkt säkrare skulle översätta till tillräckligt nya användare att betala för det extra ingenjörsarbete som det medförde.
med medvetandeändringen från Snowden-filerna har vi för första gången någonsin potentialen för kommersiell framgång baserad på krav på säkerhet. Det är goda nyheter faktiskt – eftersom datasäkerhet är aldrig en fråga om enskilda åtgärder., Det spelar ingen roll hur noga du hanterar din e-post om de personer du motsvarar är slarviga med sina kopior av dina meddelanden. Det är lite som folkhälsan: det är viktigt att se till att du har rent dricksvatten, men om dina grannar inte uppmärksammar deras vatten och alla får kolera, kommer din egen vattenförsörjning renhet inte att hålla dig säker.
men det kan inte finnas någon verklig säkerhet i en värld där det är olagligt att berätta för människor när datorerna i deras liv sätter dem i fara., Med andra ord kan det inte finnas någon verklig säkerhet i en värld där DMCA och dess globala kusiner fortfarande är intakta.
Party like it ’ s 1997
vilket för oss tillbaka till Bernstein. 1997 beslutade en panel av amerikanska federala appellationsdomstol domare i den nionde kretsen att koden var uttrycksfulla tal och att lagar som förbjuder dess publicering var grundlagsstridiga. År 2000 fann Reimerdes-domstolen att detta skydd inte utvidgades till kod som kränkte DMCA.
det har varit länge sedan någon bad en domare att ompröva frågorna i Reimerdes., År 2000 bestämde en domare att frågan inte handlade om yttrandefrihet, utan snarare en kamp mellan företag som” investerade stora summor ”i filmer och människor som trodde att” information skulle vara tillgänglig utan kostnad för någon smart nog att bryta sig in i datorsystemen.”Domaren hade fel då, och felaktigheten har bara blivit mer skarp sedan dess.
inget domstolsmål är någonsin en säker sak, men jag tror att det finns en bra chans att en domare i 2014 kan svara på DMCA/yttrandefriheten mycket annorlunda., På 14 år har fallet för kod som uttrycksfullt tal bara stärkts, och farorna med censurkod har bara blivit tydligare.
om jag var en slug entreprenör med en hög aptit för risk — och en rimlig krig-bröst för rättstvister – jag skulle tänka mycket allvarligt om hur man bygger en teknik som lägger rättsliga funktioner till en DRM-enfeebled system (säg, Itunes/Netflix/Amazon video), funktioner som alla mina konkurrenter är för fega för att överväga., Den potentiella marknaden för enheter som gör juridiska saker som människor vill göra är titanic, och en dom som gick rätt väg på detta skulle eliminera ett allvarligt existentiellt hot mot datasäkerhet, som idag är en synonym för säkerheten själv.
och när Anti-kringgående är ett dött brev i Amerika, kan det inte överleva länge i resten av världen. För en sak, en produkt som en teoretisk Itunes/Amazon/Netflix video unlocker skulle läcka över nationella gränser mycket lätt, vilket gör icke-amerikanska förbud bevisligen meningslöst., För en annan kom de flesta länder som har kringgående på böckerna dit på grund av påtryckningar från den amerikanska handelsrepresentanten.om USA sjunker mot kringgående kommer handelspartnerna som är beväpnade i samma position inte att ligga långt efter.
Jag har pratat med några advokater som är intima med alla relevanta fall och ingen av dem berättade att det var en förlorad orsak (å andra sidan sa ingen av dem att det var en säker sak heller). Det är ett riskabelt förslag, men något måste göras., Du ser, i motsats till vad domaren i Reimerdes sa år 2000, har detta inget att göra med om informationen är fri eller inte-det handlar om huruvida människor är fria.
- Computing
- teknik blogg
- blogposts
- Dela på Facebook
- Dela på Twitter
- dela via e-post
- Dela på LinkedIn
- Dela på Pinterest
- Dela på WhatsApp
- dela på Messenger