TCPA / Palladium FAQ 1.0 by Ross Anderson (posted by xxo) Tuesday December 03, 2002 at 11:19 AM |
faq over de "trusted computer" plannen van microsoft en dergelijke. (c) licentie: Gnu Free Documentation License
1. Wat zijn TCPA en Palladium?
De afkorting TCPA staat voor de Trusted
Computing Platform Alliance, een initiatief onder leiding van Intel.
Naar eigen zeggen willen zij `een nieuw computer platform voor de volgende
eeuw dat zorgt voor een verbeterd vertrouwen in het PC platform'
bewerkstelligen.
Palladium
is software waarvan Microsoft zegt dat het plannen heeft om het te verwerken
in toekomstige versies van Windows; het zal voortborduren op de TCPA hardware,
en zal een paar
extra mogelijkheden toevoegen.
2. En wat doet TCPA / Palladium, in gewoon Nederlands?
Het zorgt voor een computer waarop de gebruiker niet kan rommelen met
de programma's die erop draaien, en waarop die programma's ook op een
verzekerde manier kunnen communiceren met de makers ervan.
De meest voor de hand liggende toepassing is de zgn.
Digital
Rights Management (DRM): Dat maakt het bijvoorbeeld Disney mogelijk om je
DVD's te verkopen die je kunt decoderen en afspelen op een Palladium systeem,
maar die je niet kan kopiëren. De platenindustrie kan ermee muziek ter
download aanbieden die je niet kunt doorgeven aan anderen. Het wordt ook
mogelijk dat ze je CD's kunnen verkopen die je slechts 3 keer kan afspelen,
of bijvoorbeeld alleen op je verjaardag. Allerlei nieuwe verkooptruukjes
zullen mogelijk worden.
TCPA / Palladium zal het ook moeilijker maken om ongelicenseerde software
te draaien. Illegale software kan van afstand opgespoord en verwijderd worden.
Het zal het ook gemakkelijker maken om software te verhuren; als je de huur
niet meer betaald, zal niet alleen de software niet meer werken, maar ook de
bestanden die ermee gemaakt zijn. Jarenlang heeft Bill Gates gedroomt van een
manier om de Chinezen te
laten betalen voor hun software: Palladium zou hiervoor een geschenk uit
de hemel zijn.
Er zijn nog meer mogelijkheden. Het zal voor overheden mogelijk worden
om het zo te regelen dat alle Word documenten die door ambtenaren
gemaakt worden vanaf het begin `vertrouwelijk' zijn en niet kunnen worden
gelekt aan journalisten. Veilingsites zouden erop kunnen aandringen
dat je `trusted' software gebruikt om te bieden, om tactisch bieden
moeilijker te maken. Valsspelen in computerspelletjes zou ook moeilijker
gemaakt kunnen worden.
Er is echter een keerzijde. Er zal op afstand gecontroleerde censuur zijn:
het mechanisme dat ervoor zorgt dat illegale muziek verwijderd wordt kan net
zo goed gebruikt worden om documenten te verwijderen waarvan een rechter
(of een software bedrijf) heeft besloten dat het aanstootgevend is - dit kan
van alles zijn, van pornografie tot stukken die politieke leiders bekritiseren.
Software bedrijven kunnen je het ook moeilijker maken om over te stappen naar
een concurrent. Word zou bijvoorbeeld al je documenten kunnen coderen met
sleutels waar alleen Microsoft producten over beschikken. Dit zou betekenen
dat je ze alleen zou kunnen lezen met Microsoft producten, en niet met een
concurrerend tekstverwerkingspakket.
3. Dus ik kan voortaan geen MP3's meer op mijn PC afspelen?
Met de bestaande MP3's hoef je je daar voorlopig geen zorgen om te maken.
Microsoft heeft gezegt dat Palladium er niet voor zal zorgen dat iets
plotseling ophoudt met werken. Echter, een recente update voor
Windows Media Player heeft
voor opschudding gezorgt door van gebruikers te eisen dat ze akkoord gaan
met toekomstige maatregelen die piraterij moeten tegengaan, wat zou kunnen
betekenen dat het illegale bestanden gaat wissen als het die aantreft.
Bovendien, sommige programma's die je meer controle geven over je PC, zoals
VMware en
Total Recorder,
zullen waarschijnlijk niet met TCPA kunnen werken. Dus je moet misschien een
andere media player gaan gebruiken - en als dat programma wel illegale MP3's
afspeelt, is het onwaarschijnlijk dat het programma geauthoriseerd zal worden
om de nieuwe, beschermde muziek af te spelen.
Het is de taak van een programma om de `security policy' voor zijn bestanden
te regelen, door gebruik te maken van een online `policy server'. Dus Media
Player zal kijken welke voorwaarden verbonden zijn aan beschermde titels, en
ik verwacht dat Microsoft allerlei deals met de mediabedrijven zal sluiten,
die op hun beurt zullen experimenteren met diverse business-modellen. Je zou
CD's kunnen krijgen die slechts een derde kosten maar die je slechts 3x kan
afspelen, en die je door de rest ook te betalen pas echt kan gebruiken.
Misschien dat het toegestaan wordt om een kopie van de muziek uit te lenen aan
een vriend, maar je eigen backup ervan zal dan niet meer afspeelbaar zijn tot
je de muziek hebt teruggekregen. Het is waarschijnlijker dat je helemaal
geen muziek meer kan uitlenen. Deze maatregelen zullen vervelend uitpakken
voor sommige mensen; bijvoorbeeld, regio-gebonden codering zou ervoor kunnen
zorgen dat je de Poolse versie van een film niet kan bekijken als je je PC
buiten Europa gekocht hebt.
Dit is vandaag de dag al mogelijk - Microsoft zou dit alles als een upgrade
voor Media Player kunnen introduceren - maar zogauw TCPA / Palladium er is
wordt het erg moeilijk om de software te omzeilen, en gemakkelijker voor
Microsoft om upgrades en patches te reguleren. Het wordt moeilijker om als
gebruiker hieraan te ontkomen, en daardoor is het een aantrekkelijkere
manier van zaken doen.
4. Hoe werkt het?
TCPA zorgt voor een controlerend en rapporterend component wat geplaatst
wordt in toekomstige PC's. In het begin zal de voorkeur liggen in een
zgn. `Fritz' chip - een smartcard chip of `dongle' wat op het moederbord
gesoldeerd wordt.
Wanneer je de PC aanzet, komt Fritz in actie. Hij controleerd dat het boot ROM
ok is, voert het uit, bekijkt de staat van de machine; dan bekijkt hij het
bootgedeelte van het besturingssysteem, laad het en voert het uit, controleert
de staat van de machine; enzovoort. Het gedeelte van de hardware en software
die bekend en geverifieerd is, wordt zo steeds verder uitgebreid. Een tabel
wordt bijgehouden van de hardware (geluidskaart, videokaart, etc) en de
software (OS, drivers, etc); Fritz checked dat de hardware TCPA-goedgekeurd
is, de software gesigneerd, en dat geen van hen een serienummer heeft wat niet
meer geldig is. Als er belangrijke aanpassingen in de configuratie van de PC is,
zal de machine online moeten gaan om overnieuw gecertificeerd te worden.
Het resultaat is een PC die wordt opgestart naar een bekende staat met een
goedgekeurde combinatie van hardware en software (waarvan de licentie niet
verlopen is). De besturing wordt dan overgedragen aan de controlerende
software in het besturingssysteem - Palladium in het geval van Windows.
Zodra de computer eenmaal in deze staat is aangekomen, kan Fritz het
certificeren aan zogenoemde `derden'. Hij kan een authenticatie protocol
uitvoeren met Disney om te bewijzen dat de computer geschikt is om
`Sneeuwwitje' te ontvangen. Dit houdt in, bewijzen dat de PC op dat moment een
geauthoriseerd programma gebruikt - DisneyPlayer of iets dergelijks. De server
van Disney stuurt dan gecodeerde data, met een sleutel die Fritz zal gebruiken
om het te decoderen. Fritz geeft de sleutel alleen af aan het programma in
kwestie en alleen zolang de omgeving `betrouwbaar' blijft.
`Betrouwbaar' in deze, wordt gedefinieerd door de security policy die
gedownload is van een server onder het toezicht van de software maker. Dit
betekent dat Disney kan besluiten om zijn nieuwste films te laten afspelen
door een bepaald media programma in ruil voor een afspraak dat het programma
de gebruiker niet in staat stelt om onbevoegd te kopiëren, en aan nog wat
andere voorwaarden (zoals het gewenste TCPA security level) voldoet.
Hier kan betaling mee gemoeid zijn: Disney zou kunnen eisen dat het programma
een euro binnenhaalt voor elke keer dat je een film bekijkt. Sterker nog, het
programma zelf kan ook verhuurd worden, en dit is vooral interresant voor
software-bedrijven. De mogelijkheden lijken slechts begrensd door de fantasie
van de mensen die dit alles op de markt moeten brengen.
5. Waar kan TCPA en Palladium nog meer voor gebruikt worden?
TCPA kan ook gebruikt worden om strenge toegangscontrole af te dwingen voor
vertrouwelijke documenten. Bijvoorbeeld, een leger zou kunnen bepalen dat
soldaten alleen Word documenten kunnen maken die als `Vertrouwelijk' of nog
hoger geclassificeerd zijn, en dat alleen een TCPA PC met een certificaat van
de eigen veiligheidsdienst zo'n document kan lezen. Dit wordt `mandatory acces
control' genoemd, en overheden zijn er nogal weg van. De aankondiging van
Palladium impliceert dat het Microsoft product dit mogelijk zal maken: het
wordt mogelijk om Word zo in te stellen dat het alle documenten die je in een
bepaald gedeelte van de computer maakt codeert, en alleen deelt met een
beperkt aantal andere gebruikers.
Bedrijven kunnen dit ook doen, om het leven voor klokkenluiders moeilijker te
maken. Ze kunnen het zo regelen dat bedrijfsdocumenten alleen gelezen kunnen
worden op bedrijfs-PC's, behalve als een bevoegd iemand ze openbaar maakt.
Ook worden tijdsloten mogelijk, bijvoorbeeld dat alle email zonder een spoor
achterna te laten verdwijnt na 90 dagen, als niemand het perse wil bewaren.
(Dit was natuurlijk zeer handig geweest voor Enron,
Arthur Andersen, of voor Microsoft zelf tijdens de antitrust rechtszaak.) De
mafia zou dit ook net zo kunnen gebruiken: ze zouden bijvoorbeeld ervoor
kunnen zorgen dat spreadsheets met daarop de laatste drug transacties alleen
gelezen zouden kunnen worden op vertrouwde mafia PC's, en aan het einde van de
maand verdwijnen. Dit zou moeilijkheden kunnen opleveren voor de FBI - hoewel
Microsoft in overleg is met overheden over de mogelijkheid om politieagenten
en spionnen op een manier toegang te geven tot een soort `loper'. In ieder
geval zal een klokkenluider die een document emailt naar een journalist
weinig meer bereiken, omdat de Fritz chip van de journalist niet de sleutel
zal geven om het document te decoderen.
TCPA / Palladium lijkt ook voorbestemd voor gebruik in het electronisch
betaalverkeer. Een van de plannen van Microsoft lijkt te zijn dat veel van de
functionaliteit die nu op bankpassen gegrond is overgeheveld kan worden naar
software zogauw de programma's `tamper-resistant' (beveiligd) gemaakt kunnen
worden. Dit is nodig als we een toekomst tegemoet gaan waarin we moeten
betalen voor de boeken die we lezen en de muziek waarnaar we luisteren, in
centen per pagina of per minuut. Zelfs als dit misschien
helemaal niet werkt als business-model - en er zijn
goede argumenten aan te voeren waarom niet - is dit alsnog duidelijke
concurrentie voor een aantal online betalings-systemen, en dit zou gevolgen
kunnen hebben voor de consument. Als het over 10 jaar lastig is om online te
winkelen met een creditcard zonder een TCPA of Palladium systeem, zullen een
hoop mensen noodgedwongen moeten overstappen.
6. OK, dus er zijn winnaars en verliezers - Disney heeft veel te
winnen, en makers van smartcards riskeren faillissement. Maar Microsoft en
Intel investeren toch niet bedragen met 9 nullen uit liefdadigheid? Hoe
denken zij hier winst uit te kunnen halen?
Mijn bronnen bij Intel vertellen me dat het een defensieve zet was. Zolang ze
de meeste winst behalen met PC microprocessoren, en de grootste markt
beheersen, kunnen ze alleen hun bedrijf laten groeien door de omvang van de
markt te verruimen. Ze zijn ervan overtuigd dat de PC de `hub' van een
toekomstig thuis-netwerk gaat worden. Als entertainment de `killer app' gaat
worden, en DRM noodzakelijke technologie om dit mogelijk te maken, zal de PC
DRM moeten aankunnen, of weggeconcurreerd worden in deze markt.
Microsoft is verder ook gemotiveerd door het verlangen om alle entertainment
in hun invloedssfeer te krijgen. Maar ze winnen ook een hoop als TCPA of
Palladium wijdverspreid wordt, omdat het ze dan mogelijk wordt om het kopiëren
van software drastisch in te perken. `De Chinezen laten betalen voor software'
is een hot item voor Bill; met Palladium kan hij elke PC verbinden met een
individueel gelicenseerde kopie van Office, en met TCPA kan hij elk moederbord
verbinden met zijn individueel gelicenseerde kopie van Windows. TCPA zal ook
een wereldwijde zwarte lijst omvatten voor de serienummers van kopieën van
Office die illegaal verspreid worden.
Ook zou Microsoft het graag extra moeilijk maken voor mensen om
om te schakelen van een van hun producten (zoals Office) naar concurrerende
producten (zoals OpenOffice). Dit zal
het mogelijk maken om in de toekomst meer te gaan vragen voor upgrades zonder
dat ze het risico lopen klanten te verliezen.
7. Waar komt het idee vandaan?
Het kwam voor het eerst voor in een publicatie van Bill Arbaugh, Dave Farber
en Jonathan Smith, ``A
Secure and Reliable Bootstrap Architecture'', in de handelingen van het
IEEE Symposium on Security and Privacy (1997) p. 65-71. Het mondde uit in het
Amerikaanse patent nr. 6,185,678 van 6 februari 2001. Bill's geesteskind was
het resultaat van onderzoek naar `code signing' dat hij verrichte voor de NSA
in 1994. Microsoft heeft ook een
patent aanvraag ingedient aangaande de
aspecten van het besturingssysteem.
(De text van de patenten kan je
hier en
hier vinden.)
De ideeën van deze patenten zijn echter wellicht niet nieuw. Markus Kuhn
heeft jaren geleden over
de TrustNo1
Processor geschreven, en het achterliggende idee - een vertrouwde
`referentie monitor' die de toegangscontrole overziet - gaat op zijn minst
terug tot
een werkstuk door James Anderson voor de Amerikaanse luchtmacht in 1972.
Het is sindsdien een kenmerk in de benadering van het ontwerp van veilige
militaire systemen geworden.
8. Wat is het verband met het serienummer in de Pentium 3?
Intel begon midden jaren '90 een programma dat de functionaliteit van
de Fritz chip in de hoofdprocessor (of de cache controllor), zou
moeten hebben gebracht tegen het jaar 2000. Het Pentium serienummer
was een eerste stap in deze richting. De negatieve publieke reactie
hierop lijkt hen doen heroveregen een consortium met Microsoft en
anderen te vormen om zo sterker komen te staan.
9. Vanwaar de benaming `Fritz' voor de chip?
Ter ere van Senator Fritz Hollings van South Carolina, die
onvermoeibaar aan het zwoegen is in het Amerikaanse congres om TCPA
een verplicht onderdeel van alle consumenten-electronica te maken.
10. OK, dus TCPA stopt het stelen van muziek door kinderen en helpt
bedrijven data vertrouwelijk te houden. Het helpt de mafia ook, behalve als de
FBI een `back door' krijgt, waar ik van uitga. Maar afgezien van piraten,
bedrijfsspionnen en activisten, wie heeft hier problemen mee?
Een hoop bedrijven lopen risico. Het ziet er bijvoorbeeld naar uit dat de
Europese smartcard industrie schade gaat ondervinden, omdat de dingen die hun
producten nu regelen migreren naar de Fritz chips in laptops, PDA's en derde
generatie mobiele telefoons. Sterker nog, velen in de informatiebeveiling
hebben reden om zich zorgen te maken als TCPA gaat werken. Microsoft claimed
dat Palladium spam, virussen, en zo'n beetje al het slechte in cyberspace, zal
tegengaan - als dat zo is, zouden de antivirus-makers, spammers, spam-filter
makers, firewall verkopers en systeembeveiligers het kaas van hun brood moeten
laten eten.
Er is reden tot ongerustheid over de effecten op de IT sector,
vooral de innovatie, en het tempo waarmee nieuwe bedrijven
zich kunnen vestigen en de kans dat bestaande bedrijven kunnen blijven leunen
op hun monopoliepositie. De problemen voor innovatie worden goed uitgelegd in
een
recentelijke column in de New York Times door de gerenommeerde
econoom Hal Varian.
Maar er zijn nog diepere problemen. De fundamentele kwestie is dat diegene die
de Fritz chips beheerst een enorme hoeveelheid macht krijgt. De beschikking
hebben over zo'n zwaar machtsmiddel is hetzelfde als iedereen dwingen gebruik
te maken van dezelfde bank, dezelfde accountant, of dezelfde advocaat. Er zijn
veel manieren waarop deze macht zou kunnen worden misbruikt.
11. Hoe kan TCPA worden misbruikt?
Een van de problemen is censuur. TCPA is vanaf het begin ontworpen
om gecentraliseerd het onbruikbaar maken van gepirate bits mogelijk te
maken. Illegale software kan opgespoord en onbruikbaar gemaakt worden
door Fritz als je het probeert te laden, maar wat gebeurt er met illegale
muziek of videos? En hoe kan je een nummer of video dat je bezit van
een PC naar een andere overzetten, zonder dat je het onbruikbaar kan
maken op de eerste? De voorgestelde oplossing is dat een programma
dat geschikt is voor TCPA, zoals een media-player of tekstverwerker,
zijn `security policy' gedicteerd krijgt van een server op afstand,
die een lijst van `slechte bestanden' zal bijhouden.
Deze zal van tijd tot tijd gedownload worden en gebruikt worden om alle
bestanden die het programma opent te screenen. Bestanden kunnen onbruikbaar
gemaakt worden vanwege hun inhoud, vanwege het serienummer van het programma
wat gebruikt is om ze te maken, en vanwege een aantal andere criteria. Het
idee hierachter is dat als iedereen in China dezelfde kopie van Office
gebruikt, je niet alleen degene stopt die deze kopie draait op een TCPA PC;
dat zou immers de Chinezen alleen motiveren een normale PC te gebruiken. Men
zorgt er dus ook voor dat elke TCPA PC in de wereld weigert om bestanden te
lezen die gemaakt zijn met dat illegale programma.
Dit is al erg genoeg, maar het potentieel voor misbruik strekt zich
veel verder uit dan commercieel wangedrag en economische oorlogvoering,
richting politieke censuur. Ik verwacht dat dit stapje voor stapje gebeurt.
Eerst zal een politiemacht, met alle goede bedoelingen, een rechterlijk bevel
krijgen om een pornografische foto van een kind, of een handleiding die
uitlegt hoe je spoorweg-stoplichten kan saboteren, te verbieden. Alle
TCPA-ondersteundende PC's zullen deze documenten dan rapporteren en/of wissen.
Vervolgens zal iemand een rechtszaak aanspannen wegens smaad of schending van
auteursrechten om een document te verbieden; misschien dat
Scientology-aanhangers zullen proberen om de beroemde
Fishman Affidavits
op een zwarte lijst te krijgen. Zogauw advocaten en overheden het potentieel
doorkrijgen, zullen we van de regen in de drup terecht komen.
De moderne tijd begon pas echt toen Gutenberg in Europa de drukpers uitvond,
die het mogelijk maakte om informatie te bewaren en te verspreiden, ook als
dit tegen de zin van heersers en bisschoppen in was. Toen Wycliffe
bijvoorbeeld de Bijbel naar het Engels vertaalde in 1380-1381, werd de Lollard
beweging die hij begon gemakkelijk onderdrukt; echter, toen Tyndale het Nieuwe
Testament vertaalde in 1524-1525, kon hij meer dan 50'000 kopieën maken
voordat ze hem te pakken kregen en op de brandstapel smeten. De oude orde in
Europa stortte in elkaar, en de moderne tijd begon. Samenlevingen die
probeerde informatie tegen te houden werden oncompetitief, en met de val van
de Soviet Unie leek het dat democratisch liberaal kapitalisme gewonnen had.
TCPA en Palladium vormen nu een bedreiging, juist voor die erfenis van
onschatbare waarde die Gutenberg ons nagelaten heeft. Electronische boeken
zijn, eenmaal gepubliceerd, nog steeds kwetsbaar; rechters kunnen ze met
met terugwerkende kracht niet gepubliceerd verklaren en de TCPA infrastructuur
kan het smerige werk opknappen.
Dus, na de pogingen van de Soviet Unie om alle typemachines en faxen te
registreren en controleren, is TCPA nu een poging om alle computers te
registreren en controleren. De implicaties voor vrijheid, democratie en het
rechtssysteem zijn zorgelijk.
12. Klinkt naar. Kan je het niet gewoon uitzetten?
Natuurlijk - behalve als je systeembeheerder je machine zo insteld dat
TCPA verplicht is, kan je het altijd uitzetten. Je kan dan je PC laten
draaien zonder beperkingen, en onveilige programma's gebruiken.
Echter, er is één geval waarin je Fritz niet kan uitzetten.
Je kan er niet voor zorgen dat hij illegale software negeert. Zelfs
als hij ervan op de hoogte is dat de PC in onbeveiligde mode draait,
checked hij nog steeds dat het besturingssysteem niet op de zwarte lijst
met serienummers staat. Dit heeft implicaties voor de soevereiniteit van
naties. Als Saddam stom genoeg is om zijn PC's te upgraden naar TCPA-modellen,
kan de Amerikaanse overheid zijn Windows-licenties op die zwarte lijst zetten
en zijn PC's onbruikbaar maken, de volgende keer dat er een oorlog is.
De PC's opstarten in een niet-beveilige mode helpt niet. Hij zou een oude
kopie van Windows 2000 moeten opzoeken, op GNU/Linux moeten overstappen,
of een manier moeten vinden om de Fritz chips op zijn moederborden uit te
zonderen zonder ze te beschadigen.
Als je geen persoonlijke vijand van de president van de VS bent, is dit
misschien niet zo'n probleem. Maar als je TCPA uitzet, werken je
TCPA-programma's ook niet, of niet net zo goed. Het zal ongeveer net zo zijn
als het omschakelen van Windows naar Linux vandaag de dag; je hebt misschien
meer vrijheid, maar komt met minder keus te zitten. Als de programma's die
TCPA / Palladium gebruiken aantrekkelijker zijn voor de meeste mensen, zal het
voorkomen dat je geen andere keus hebt dan ze ook te gebruiken - net zoals dat
veel mensen Microsoft Word moeten gebruiken omdat al hun vrienden en collega's
ze telkens MS Word documenten toesturen. Microsoft zegt dat Palladium, in
tegenstelling tot pure TCPA, het mogelijk maakt om trusted en niet-trusted
programma's tegelijkertijd te draaien in andere vensters; dit is waarschijnlijk
om het makkelijker te maken om het te gaan gebruiken in het begin.
13. Dus economie speelt hierin een grote rol?
Precies. De grootste winsten in de IT sector gaan
naar bedrijven die een platform neerzetten (zoals Windows of Word) en
de compatibiliteit daarmee kunnen sturen, zodat ze de markt van aanvullende
producten ook kunnen beheersen. Om een voorbeeld te nemen,
sommige makers van mobiele telefoons gebruiken een challenge-response
authenticatie om te controleren dat de batterij een origineel onderdeel is
in plaats van een clone - in welk geval de telefoon weigert hem op te laden,
en misschien zelfs ervoort zorgt dat hij extra snel leegraakt. Sommige
printers gebruiken zo'n zelfde systeem voor de cartridges; als je een
goedkoper model koopt, verslechtert de printer stilletjes de print-kwaliteit
van 1200 dpi naar 300 dpi. De Sony PlayStation 2 gebruik een soortgelijk
systeem om te zorgen dat de geheugen-cartridges gemaakt worden door Sony in
plaats van een goedkopere concurrent.
TCPA lijkt erop gericht om dit effect te maximaliseren, en daarmee de
economische invloed van zulk gedrag. Microsoft's geschiedenis aangaande
strategische competitie-truuks in acht nemend, verwacht ik dat Palladium
die verder zal versterken. Dus als je een TCPA-ondersteunend programma
schrijft, kan je de policy server regels laten opleggen die zeggen welke
andere programma's de bestanden kunnen gebruiken die met jouw programma
gemaakt worden.
Deze bestanden kunnen beschermt worden met sterke cryptografie, met sleutels
beheerst door de Fritz chip op een ieders PC. Wat dit betekent is dat een
succesvolle TCPA-applicatie veel meer geld waard is voor het software bedrijf
dat het uitgeeft, omdat ze de toegang tot hun interface kunnen verhuren voor
elk bedrag dat andere ontwikkelaars maar willen betalen. Dus er zal een grote
druk worden uitgeoefent op software ontwikkelaars om hun programma's geschikt
te maken voor TCPA; en als Palladium het eerste besturingssysteem is dat
TCPA ondersteunt, zal dit een competitief voordeel geven over GNU/Linux en
MacOS in deze kringen.
14. Wacht even, geeft de wet mensen niet het recht om interfaces
middels reverse engineering uit elkaar te pluizen voor
compatibiliteit?
Ja, en dit is heel belangrijk voor het functionering van de IT sector; zie
Samuelson en Scotchmer,
``The Law and Economics of Reverse Engineering'', Yale Law Journal,
mei 2002, p. 1575-1663. Maar de wet geeft je in de meeste gevallen alleen het
recht om het te proberen - niet om te slagen. Toen compatibiliteit niet meer
betekende dan het aanrommelen met bestandsformaten, was er een wedloop - toen
Word en WordPerfect aan het vechten waren om de markt, probeerde elk de
bestanden van de ander te lezen en het moeilijk te maken voor de ander om de
eigen bestanden te lezen. Echter, met TCPA is dit spel beslist; zonder toegang
tot de sleutels, en zonder een middel om de chips te omzeilen, heb je het
nakijken.
Concurrenten uit de eigen bestandsformaten weren was een van de motivaties
voor TCPA; zie een
bericht van Lucky Green, en bekijk de website van
Def Con om meer te horen. Deze
tactiek wordt ook buiten de computerwereld al toegepast. Het Amerikaanse
congres
roert zich omdat auto-fabrikanten data formaten gebruiken die hun klanten
ervan weerhouden reparaties te krijgen bij onafhankelijke dealers, omdat
deze die formaten niet kennen. En de Microsoft lui zeggen dat ze Palladium
overal willen krijgen, zelfs in je horloge. De economische gevolgen voor
onafhankelijke bedrijven waar ook ter wereld kunnen significant zijn.
15. Kan TCPA niet gekraakt worden?
De eerste versies zullen kwetsbaar zijn voor iedereen met het gereedschap en
geduld om de hardware te kraken (bijv. door ongecodeerde data uit de bus
tussen de CPU en de Fritz chip uit te lezen). Echter, later zal de Fritz chip
integreren in de hoofdprocessor - laten we die voor het gemak even `Hexium'
noemen - en zal het een stuk moeilijker worden. Alleen zeer professionele
technici zullen het met veel geld en moeite nog kunnen doen.
Bovendien, in veel landen zal het kraken van Fritz illegaal zijn. In de VS is
er de DMCA (Digital Millennium Copyright Act) die dit al verbied, in de EU kan
het per land verschillen, afhankelijk van hoe de nationale overheden het EU
Copyright Directive implementeren in de wetgeving.
In veel producten wordt compatibiliteitsbeheersing al zeer bewust verstrengeld
met bescherming van auteursrechten. De authenticatie-chips van de Sony
Playstation bevatten ook het encryptie-algorithme voor DVD's, zodat reverse
engineering ervan gelijkgesteld kan worden aan het proberen te omzeilen van
een mechanisme dat dient om auteursrechten te beschermen, zodat mensen die het
proberen veroordeelt kunnen worden onder de DMCA. Deze situatie wordt
waarschijnlijk erg netelig - en dat is weer in het voordeel van grote
berijven met grote juridische budgetten.
16. Wat zal meest waarschijnlijke economische effect zijn?
De media-bedrijven zullen een beetje meer winst boeken door muziek kopiëren
te verhinderen - Sir Michael Jagger wordt nog net dat beetje rijker. Maar ik
verwacht dat het belangrijkste economische effect het versterken van de
positie van de huidige IT-bedrijven ten koste van nieuwkomers zal zijn. Dit
zal een vergroting van het marktaandeel van bedrijven als Intel, Microsoft
en IBM betekenen - maar dit alles ten koste van algemene innovatie en groei.
Eric von Hippel
heeft beschreven hoe de meeste innovaties die sterke economische groei tot
gevolg hadden niet werden geanticipeerd door de makers van de platforms waarop
ze gebaseerd waren; en de technologische verandering in de IT sector is
meestal cumulatief. Bestaande bedrijven meer manieren geven om het leven van
innovatieve mensen zuur te maken zal allerlei soorten valstrikken zetten.
De grote centralisatie van economische macht die TCPA / Palladium voorstaat
zal grote bedrijven prefereren boven kleine; zodra Palladium-applicaties
grote bedrijven in staat stelt om meer winst te halen uit nevenactiviteiten,
zullen er soortgelijke effecten optreden als met autobedrijven die eigenaren
dwingen om hun onderhoud te laten plegen bij erkende dealers. Aangezien de
meeste banengroei plaatsheeft in het midden- en kleinbedrijf, zal dit
gevolgen hebben voor de werkgelegenheid.
Er zullen misschien ook regionale effecten optreden. Vele jaren van
overheidssteun hebben de Europese smartcard industrie bijvoorbeeld sterk
gemaakt, met het gevolg dat andere technologie-sectoren relatief zijn
achtergebleven. Hooggeplaatse industriëlen met wie ik heb gesproken
verwachten dat zogauw TCPA zijn tweede fase ingaat en Fritz in de
CPU verdwijnt, dit de verkoop van smartcards een flinke dreun zal geven.
Een aantal insiders van TCPA-bedrijven hebben aan mij toegegeven dat
het verdringen van smartcards van de authenticatie-markt een van hun
doelstellingen is. Veel van de dingen waarvoor smartcard makers willen
dat je een smartcard gebruikt zullen gedaan worden met de Fritz
chip in je laptop, PDA, of GSM. Als deze industrie afgeknepen wordt
door TCPA, zal Europa er behoorlijk op achteruit gaan. Andere grote
sectoren binnen de IT kunnen eveneens slachtoffer worden.
17. Wie verliest er nog meer?
Er zullen veel plaatsen zijn waar bestaande gebruiken plotseling niet meer
werken, waardoor beheerders van auteursrecht op nieuwe manieren geld kunnen
binnenslepen. Zo vroeg ik laatst een vergunning aan om een stuk
landbouwgrond van ons te mogen veranderen in een tuin; om dit te doen,
moesten we aan de gemeente zes kopieën van een 1:1250 kaart van het stuk
grond geven. Vroeger ging iedereen dan gewoon naar de plaatselijke bibliotheek
om een kaart te vinden en te kopiëren. Tegenwoordig staan de kaarten op een
server in de bibliotheek, met een kopieerbeveiliging waardoor je maar vier
kopieën van een vel mag maken. Voor personen is dat gemakkelijk genoeg te
omzeilen: maak vandaag vier kopieën en stuur morgen een vriend voor de andere
twee. Maar bedrijven die veel kaarten gebruiken zullen hierdoor meer geld
moeten betalen aan de bedrijven die de kaarten maken. Dit is misschien een
klein probleem; vermenigvuldig het met duizend om en idee te krijgen van het
effect op de gehele economie. De transacties van inkomen en vermogen zullen
zeer waarschijnlijk, wederom, van kleine naar grote bedrijven, en van nieuwe
naar oude bedrijven zijn.
Hopelijk roept dit politieke weerstand op. Een bekende Britse advocaat
heeft gezegd dat auteursrecht alleen getolereerd wordt omdat het niet
streng opgehouden wordt voor het grote aantal van kleine schendingen. En er
zullen een aantal opvallende en schrijnende gevallen van pechvogels zijn. Ik
begrijp dat auteursrecht-regulaties die later dit jaar in Groot-Brittannie
zullen uitkomen blinden het recht zullen ontnemen om, dankzij `fair use,'
gebruik te maken van voorlees-software om e-books te lezen. Normaal gesproken
hebben dit soort bureaucratische stommiteiten niet zo'n impact omdat mensen
zo'n regel gewoon zouden negeren en de politie niet idioot genoeg is om
iemand hiervoor op te pakken. Maar als de regulaties afgedwongen worden door
hardwarematige restricties die praktisch niet te omzeilen zijn, zullen blinden
hiervan serieus de dupe worden. (En er zijn nog veel meer minderheden die
hetzelfde soort risico lopen.)
18. Bah. Wat nog meer?
TCPA zal de General Public License (GPL) ondermijnen, waaronder veel
vrije en `open source' software wordt gedistribueerd. De GPL is
ontworpen om te voorkomen dat private ondernemingen met de resultaten van
gemeenschappelijke arbeid op de loop gaan om er veel winst op te maken
zonder iets aan de gemeenschap terug te geven. Iedereen kan software die
onder deze licentie gedistribueerd is vrij gebruiken en aanpassen, maar als je
een aangepaste kopie wil distribueren, moet je het beschikbaar maken aan
iedereen, samen met de bijbehorende broncode, zodat andere mensen
hierop ook weer hun eigen aanpassingen kunnen maken.
Op zijn minst twee bedrijven zijn begonnen om een TCPA-ondersteunende
versie van GNU/Linux te maken. Hiervoor zal wat werk aan de broncode
nodig zijn. Om een certificaat van het TCPA consortium te krijgen, zal
iemand een werkende versie van de code aan een evaluatie lab moeten
geven, samen met een hoop documentatie die uitlegt waarom sommige
manieren om het te breken niet werken. (De evaluatie is op level E3 -
duur genoeg om de vrije software mensen buiten te sluiten, maar lax
genoeg zodat de meeste commerciële software bedrijven nog een
redelijke kans hebben om hun ranzige code erdoor te krijgen.)
Hoewel het aangepaste programma onder de GPL zal vallen, en
de broncode vrij beschikbaar zal zijn voor iedereen, zal het geen
gebruik kunnen maken van de mogelijkheden van TCPA zonder
dat je een certificaat hebt die specifiek is voor de Fritz chip op
jouw computer. Dat is waarvoor je zult moeten gaan betalen
(misschien niet in het begin, maar zeker op den duur).
Je bent dan nog steeds vrij om aanpassingen te maken aan de
broncode, maar je bent zelf niet in staat om vervolgens een certificaat
te krijgen om in het TCPA systeem te komen. Iets soortgelijks
gebeurt met de Linux
versie door Sony die geleverd wordt voor de Playstation 2; de
kopieerbeveiliging van de console gaat de mogelijkheid tegen van het draaien
van een aangepaste versie, en van het gebruiken van een aantal
hardware-toepassingen. Zelfs als een filantroop een non-profit,
trusted GNU/Linux gaat regelen, zou het resulterende product niet echt
meer een GPL versie van een TCPA implementatie zijn, maar een gesloten
besturingssysteem wat de filantroop gratis weg geeft. (En dan heb je nog de
vraag wie er voor de certificaten van de gebruikers betaalt.)
Sommigen geloven dat de GPL het onmogelijk maakt voor een bedrijf
om even langs te komen en broncode te `stelen' die het resultaat was
van een gemeenschappelijke inzet. Dit maakte mensen meer welwillend
om hun eigen vrije tijd op te offeren om vrije software te schrijven voor
het gemeenschappelijke goed. TCPA brengt daar verandering in.
Zodra de meerderheid van de PC's op de markt TCPA ondersteunen,
zal de GPL niet meer werken zoals bedoeld. Het probleem is: zogauw
men zich realiseert dat zelfs software onder de GPL misbruikt kan
worden voor commerciële doeleinden, zullen idealistische jonge
programmeurs veel minder gemotiveerd zijn om vrije software te schrijven.
19. Ik begrijp dat een hoop mensen hier kwaad over zullen worden.
En er zijn vele andere politieke kwesties - de transparantie van het
behandelen van persoonlijke informatie vastgeleged in de EU richtlijn voor
data-bescherming; de soevereiniteitskwestie, of de auteursrecht regulaties
geschreven zullen worden door de nationale overheden of door een
software-ontwikkelaar in Portland of Redmond; of TCPA gebruikt zal worden
door Microsoft als een manier om Apache (concurrende software voor web-servers)
de nek om te draaien; en of mensen het idee prettig vinden dat hun PC's
effectief van een afstand bediend zullen worden zonder hun inbreng - bediening
die overgenomen kan worden door gerechtshoven of overheidsinstanties zonder
hun medeweten.
20. Wacht even, is TCPA niet verboden door antitrust wetgeving?
Intel heeft aangezet tot een strategie waarin ze een `platform leider' zijn,
en de industrie aansporen om technologie te ontwikkelen die de PC
nuttiger maken, zoals de PCI bus en USB. Hun modus operandi
is beschreven in een
boek van Gawer en Cusumano.
Intel zet een consortium op om de ontwikkeling van technologie te delen,
laat de oprichtende leden wat patenten verzamelen, publiceert
een standaard, zorgt dat het wat vaart krijgt, en licenseert het
dan aan de industrie op de voorwaarde dat bedrijven die de licentie
aanvaarden in ruil elk conflicterend patent dat ze zelf bezitten weer
terug-licenseren, kostenloos, aan alle leden van het consortium.
De positieve kant van dit verhaal is dat Intel de gehele PC markt
vergroot heeft; de schaduwzijde is dat ze hebben voorkomen dat
een concurrent een dominantie positie kon bereiken met een
technologie die een bedreiging voor ze had kunnen betekenen.
Zo kon Intel het zich niet veroorloven dat IBM's Microchannel Bus
een success zou worden, niet alleen als concurrend zenuwcentrum
voor een PC, maar ook omdat IBM geen interesse had om de
bandbreedte te garanderen die nodig was om de PC te laten
concurreren met duurdere high-end systemen. Het effect lijkt wat
op de oude Romeinse praktijk, om alle huizen en bomen dichtbij
hun wegen of kastelen met de grond gelijk te maken. Geen
concurrende structuur kan worden toegestaan naast Intel's platform;
alles moet afgevlakt worden. Netjes en orderlijk en goed gereguleerd:
interfaces moeten `open maar niet vrij' zijn.
De consortium-aanpak is geevolueerd in een erg effectieve manier
om onder antitrust wetgeving uit te komen. De authoriteiten lijken
zich tot nu toe weinig zorgen hebben gemaakt om dit soort
consortia - zolang de standaarden open en toegankelijk blijven
voor alle bedrijven. Misschien moeten ze wat meer gaan opletten.
Als Fritz Hollings zijn wetsvoorstel door het Amerikaanse congres
krijgt, wordt TCPA vanzelfsprekend een verplicht iets en valt de
antitrust kwestie weg, tenminste in Amerika. We zullen moeten
hopen dat Europese wetgevers meer ruggegraat hebben.
21. Wanneer gaat dit op de markt komen?
Het is er al.
De specificatie is
gepubliceerd in 2000. Atmel verkoopt al een
Fritz chip,
en hoewel je een geheimhoudings-overeenkomst moet tekenen om informatie te krijgen,
was het al mogelijk om er een te bemachtigen sinds mei 2002, in de vorm van een onderdeel in de
IBM Thinkpad laptops. Sommige van de bestaande eigenschappen van Windows XP en de
X-Box
zijn TCPA: bijvoorbeeld, als je je PC configuratie ook maar een klein beetje
wijzigt, moet je al je software laten her-registreren door Redmond.
Sinds Windows 2000 is Micosoft ook bezig met het certificeren van
alle device drivers: als je een ongesigneerde driver probeert te laden,
klaagt XP. Ook groeit de
interesse van de Amerikaanse overheid in het technische standardisatie
proces. De trein is aan het rollen gebracht.
De timing van Palladium is minder zeker. Er lijkt een machtsstrijd gaande
tussen Microsoft en Intel; Palladium zal ook met concurrende hardware
draaien van leveranciers als Wave Systems,
en programma's ontworpen voor TCPA zullen herschreven moeten worden
voor Palladium. Dit lijkt erop gericht om te zorgen dat Microsoft de touwtjes
van het `veilige' computer platform van de toekomst strak in handen krijgt.
Het zou ook een tactiek kunnen zijn om andere bedrijven ervan te
weer houden om software te ontwikkelen voor TCPA. Intel en AMD lijken
van plan om de tweede generatie TCPA gratis in de hoofdprocessor
te implementeren. Dit zorgt misschien voor hogere veiligheid, maar zorgt
er tegelijkertijd voor dat zij de ontwikkelingen kunnen besturen, in plaats
van Microsoft.
Ik weet wel dat de aankondiging van Palladium een maand naar voren
is gebracht nadat ik op een conferentie over
de economie van open source
software op 20 juni
een werkstuk publiceerde.
Dit stuk bekritiseerde TCPA als anti-competitief, wat sindsdien ook
overduidelijk is bevestigd door nieuwe onthullingen.
22. Wat is TORA BORA?
Dit lijkt op een interne grap van Microsoft: zie de
Palladium
aankondiging. Het idee is dat de `Trusted Operating Root
Architectecture' (Palladium) het `Break Once Run Anywhere' zal
tegengaan. Met dat laatste bedoelen ze dat, zoals nu, illegale software,
eenmaal onbeschermt, op het Internet gezet en gebruikt kan worden
door iedereen.
Ze lijken door te hebben gekregen dat deze grap in het verkeerde keelgat
kan schieten. Op een bijeenkomst van Microsoft Research waar ik bij was,
op 10 juli, hadden ze de slogan veranderd in `BORE-resistance', waar BORE
staat voor `Break Once Run Everywhere'. (Overigens, een van de sprekers
beschreef digitaal watermerken als `content screening', een term
die eerder gebruikt is om techniek aan te duiden die ervoor moest zorgen
dat minderjarigen geen pornografie te zien kregen: de PR machine heeft het
zwaar te verduren! Hij vertelde ook dat het niet zou werken, tenzij
iedereen een trusted besturingssysteem zou gebruiken. Desgevraagd of
dit hetzelfde betekende als het uit de weg ruimen van Linux, antwoorde hij
dat Linux gebruikers maar gedwongen moesten worden om content
screening te gebruiken.)
23. Maar is een veilige PC niet iets goeds?
De hamvraag is: veiligheid voor wie? Je wilt je misschien geen zorgen
maken om virussen, maar noch TCPA, noch Palladium zal daar
iets aan doen: virusen maken misbruik van de manier waarop
software (zoals MS Office en Outlook) gebruik maken van scripting.
Je ergert je misschien aan spam, maar dat wordt ook niet verholpen.
(Microsoft impliceert dat het het ook tegen houdt, door alle ongesigneerde
berichten weg te filtreren - maar de spammers zullen moeiteloos
ook gewoon TCPA PC's kunnen gebruiken. Je bent beter af als je
je bestaande email programma gebruikt om email van mensen
die je niet kent in een aparte folder te zetten die je elke dag even
doorneemt.) Je maakt je misschien zorgen om privacy, maar
noch TCPA noch Palladium helpt daarbij; bijna alle privacy
overtredingen zijn het resultaat van misbruik van geauthorisereerde
toegang, die vaak is verkregen door goedkeuring af te dwingen.
De ziektekostenverzekeraar die van je verlangt dat je toestemming
verleent om jouw informatie door te geven aan je werkgever en aan iedereen
aan wie ze het kunnen verkopen, zal daar echt niet mee ophouden
als hun PC's plotseling officieel `veilig' worden. Integendeel, het is
waarschijnlijker dat ze die informatie dan nog meer gaan verkopen,
omdat computers dan `trusted' zijn.
Economen hebben opgemerkt dat wanneer een leverancier een `groen'
product maakt, het vaak de vervuiling doet toenemen, omdat mensen
dan groen gaan kopen, in plaats van minder; we zullen misschien
een equivalent van deze zgn. `social choice trap' zien. Daar komt nog
bij, dat dankzij het versterken en uitbreiden van monopolieposities,
TCPA prijs-differentiatie zal stimuleren, en daarmee het nut van het
verzamelen van persoonlijke informatie.
Het
meest rooskleurige beeld van TCPA wordt verkondigt door een Microsoft
researcher: er zijn omstandigheden waarin je de gebruiker zou willen beperken.
Je wilt bijvoorbeeld niet dat mensent kunnen rotzooien met de
kilometerstand van een auto vlak voordat ze hem verkopen. Als je DRM op
een PC wil doen, moet je de gebruiker dus net zo behandelen - als de vijand.
Gezien in dit licht, doen TCPA en Palladium lang niet zoveel om veiligheid
voor de gebruiker te waarborgen als voor de verkoper, de software
leverancier, en de media-aanbieders. Ze voegen geen waarde toe voor
de gebruiker, maar vernietigen het. Ze beperken wat je met je PC kan
doen om software- en service-aanbieders in staat te stellen nog meer
geld uit je te zuigen. Dit past in het klassieke beeld van een kartel:
een overeenkomst tussen bedrijven die de voorwaarden waaronder
handel gedreven wordt zo aanpast dat het overschot bij de
consument geminimaliseerd wordt.
Zonder twijfel zal Palladium gebundelt worden met nieuwe
capaciteiten zodat het gehele pakket lijkt alsof het waarde
toevoegt, althans op de korte termijn, maar de lange termijn
economische, sociale en juridische aspecten vragen om
grondige aandacht.
24. Waarom wordt dit dan `Trusted Computing' genoemd? Ik
snap niet waarom ik het zou moeten vertrouwen!
Het is een soort grap voor insiders. In het Amerikaanse ministerie
van Defensie is een `trusted' systeem of onderdeel daarvan gedefinieerd
als een die `de security policy kan breken'. Dit lijkt misschien
tegenstrijdig, maar denk er maar over na. De emailbeveiliging/firewall die
een Secret van een Top Secret systeem scheidt kan - als het
niet goed werkt - de security policy breken dat email alleen van Secret
naar Top Secret mag gaan, maar niet in tegengestelde richting.
Het is daardoor `trusted' om deze policy na te leven.
Of neem een alledaags voorbeeld: ga ervan uit dat je je huisarts
vertrouwd jouw medische dossier privé te houden. Dit betekent
dat hij toegang heeft tot jouw dossier, en dus dat hij ze zou kunnen
doorsluizen aan de pers als hij onzorgvuldig of kwaadwillend zou zijn.
Je vertrouwt mij niet om jouw medische dossier te bewaren, omdat
ik ze niet heb; ongeacht of ik je mag of een hekel aan je heb,
ik kan niets doen dat jouw policy, dat jouw medische dossier
vertrouwelijk moet blijven, kan aantasten. Jouw huisarts wel; en
het feit dat hij de mogelijkheid heeft om jou schade te berokkenen
is wat er hier wordt bedoeld wanneer je zegt dat jij hem vertrouwd.
Misschien dat je een goed gevoel over hem hebt, of misschien heb
je hem maar te vertrouwen omdat hij de enige arts is op het eiland
waar je woont; echter, het ministerie van Defensie schaaft deze vage,
emotionele aspecten (die verwarring kunnen scheppen) van het
begrip `trust' af.
Bedenk dat aan het eind van de jaren '90, toen het debat
gevoerd werd over overheidsgecontroleerde cryptografie, Al Gore
een `Trusted Third Party' voorstelde - een service die een kopie
van je decoderings-sleutel zou bewaren, voor in het geval dat
jij (of de FBI, of de NSA) hem nodig zou hebben. De naam werd
weggehoond als het soort reclame-logica waarmee de Russische
kolonie in Oost-Duitsland door het leven ging als een
`Democratische Republiek', maar het past precies in de denkwereld
van het ministerie van Defensie. Een `Trusted Third Party' is een derde
die jouw security policy kan breken.
25. Dus een `Trusted Computer' is er een die mijn veiligheid in gevaar brengt?
Nu vat je hem.
TCPA / Palladium FAQ 1.0
Ross Anderson
nederlandse versie
Squell
De
Economics and Security Resource Page bevat ook veel relevante
achtergrondinformatie.
rolili by rolala Tuesday December 03, 2002 at 12:24 PM |
& |
zzzzzzzzzzzzzz.................
You scared me! by Austin Tuesday December 03, 2002 at 06:46 PM |
punt a: kan dat aub ingekord worden?
punt b: En nu de praktijk, hoe kan ik als gewone burger tegengaan dat ik morgen mijn pc moet aanspreken met 'Dag big brother', en dat hij antwoord 'kan je eens naar de dagboekkamer komen?'
Leuk tekstje niwaar? by Frank Van Damme Thursday December 05, 2002 at 11:18 PM |
frankSPAM.vanSPAMdamme@SPAMstudent.kul..ac.be |
Aan degenen die nu nog puur uit wraak een gekopiƫerde windows draaien met applicaties waar ze ingelocked zijn, weigeren dat vanaf nu dus uit principe...
Vanaf nu leer ik langsheen de dt- fouten lezen by Phil Saturday December 07, 2002 at 03:46 PM |
Beste,
Als reactie op jullie artikel leer ik vanaf nu langs de dt- fouten heen lezen, want anders had ik van Uw artikel niets begrepen...
Anders ben ik wel tegen TCPA, dat terzijde.