arch/ive/ief (2000 - 2005)

TCPA / Palladium FAQ 1.0
by Ross Anderson (posted by xxo) Tuesday December 03, 2002 at 11:19 AM

faq over de "trusted computer" plannen van microsoft en dergelijke. (c) licentie: Gnu Free Documentation License


TCPA / Palladium FAQ 1.0

Ross Anderson

nederlandse versie
Squell

Aanvullende informatie en nieuws is te vinden onderaan de Engelse versie van deze FAQ.
De Economics and Security Resource Page bevat ook veel relevante achtergrondinformatie.

1. Wat zijn TCPA en Palladium?

De afkorting TCPA staat voor de Trusted Computing Platform Alliance, een initiatief onder leiding van Intel. Naar eigen zeggen willen zij `een nieuw computer platform voor de volgende eeuw dat zorgt voor een verbeterd vertrouwen in het PC platform' bewerkstelligen. Palladium is software waarvan Microsoft zegt dat het plannen heeft om het te verwerken in toekomstige versies van Windows; het zal voortborduren op de TCPA hardware, en zal een paar extra mogelijkheden toevoegen.

2. En wat doet TCPA / Palladium, in gewoon Nederlands?

Het zorgt voor een computer waarop de gebruiker niet kan rommelen met de programma's die erop draaien, en waarop die programma's ook op een verzekerde manier kunnen communiceren met de makers ervan. De meest voor de hand liggende toepassing is de zgn. Digital Rights Management (DRM): Dat maakt het bijvoorbeeld Disney mogelijk om je DVD's te verkopen die je kunt decoderen en afspelen op een Palladium systeem, maar die je niet kan kopiëren. De platenindustrie kan ermee muziek ter download aanbieden die je niet kunt doorgeven aan anderen. Het wordt ook mogelijk dat ze je CD's kunnen verkopen die je slechts 3 keer kan afspelen, of bijvoorbeeld alleen op je verjaardag. Allerlei nieuwe verkooptruukjes zullen mogelijk worden.

TCPA / Palladium zal het ook moeilijker maken om ongelicenseerde software te draaien. Illegale software kan van afstand opgespoord en verwijderd worden. Het zal het ook gemakkelijker maken om software te verhuren; als je de huur niet meer betaald, zal niet alleen de software niet meer werken, maar ook de bestanden die ermee gemaakt zijn. Jarenlang heeft Bill Gates gedroomt van een manier om de Chinezen te laten betalen voor hun software: Palladium zou hiervoor een geschenk uit de hemel zijn.

Er zijn nog meer mogelijkheden. Het zal voor overheden mogelijk worden om het zo te regelen dat alle Word documenten die door ambtenaren gemaakt worden vanaf het begin `vertrouwelijk' zijn en niet kunnen worden gelekt aan journalisten. Veilingsites zouden erop kunnen aandringen dat je `trusted' software gebruikt om te bieden, om tactisch bieden moeilijker te maken. Valsspelen in computerspelletjes zou ook moeilijker gemaakt kunnen worden.

Er is echter een keerzijde. Er zal op afstand gecontroleerde censuur zijn: het mechanisme dat ervoor zorgt dat illegale muziek verwijderd wordt kan net zo goed gebruikt worden om documenten te verwijderen waarvan een rechter (of een software bedrijf) heeft besloten dat het aanstootgevend is - dit kan van alles zijn, van pornografie tot stukken die politieke leiders bekritiseren. Software bedrijven kunnen je het ook moeilijker maken om over te stappen naar een concurrent. Word zou bijvoorbeeld al je documenten kunnen coderen met sleutels waar alleen Microsoft producten over beschikken. Dit zou betekenen dat je ze alleen zou kunnen lezen met Microsoft producten, en niet met een concurrerend tekstverwerkingspakket.

3. Dus ik kan voortaan geen MP3's meer op mijn PC afspelen?

Met de bestaande MP3's hoef je je daar voorlopig geen zorgen om te maken. Microsoft heeft gezegt dat Palladium er niet voor zal zorgen dat iets plotseling ophoudt met werken. Echter, een recente update voor Windows Media Player heeft voor opschudding gezorgt door van gebruikers te eisen dat ze akkoord gaan met toekomstige maatregelen die piraterij moeten tegengaan, wat zou kunnen betekenen dat het illegale bestanden gaat wissen als het die aantreft. Bovendien, sommige programma's die je meer controle geven over je PC, zoals VMware en Total Recorder, zullen waarschijnlijk niet met TCPA kunnen werken. Dus je moet misschien een andere media player gaan gebruiken - en als dat programma wel illegale MP3's afspeelt, is het onwaarschijnlijk dat het programma geauthoriseerd zal worden om de nieuwe, beschermde muziek af te spelen.

Het is de taak van een programma om de `security policy' voor zijn bestanden te regelen, door gebruik te maken van een online `policy server'. Dus Media Player zal kijken welke voorwaarden verbonden zijn aan beschermde titels, en ik verwacht dat Microsoft allerlei deals met de mediabedrijven zal sluiten, die op hun beurt zullen experimenteren met diverse business-modellen. Je zou CD's kunnen krijgen die slechts een derde kosten maar die je slechts 3x kan afspelen, en die je door de rest ook te betalen pas echt kan gebruiken. Misschien dat het toegestaan wordt om een kopie van de muziek uit te lenen aan een vriend, maar je eigen backup ervan zal dan niet meer afspeelbaar zijn tot je de muziek hebt teruggekregen. Het is waarschijnlijker dat je helemaal geen muziek meer kan uitlenen. Deze maatregelen zullen vervelend uitpakken voor sommige mensen; bijvoorbeeld, regio-gebonden codering zou ervoor kunnen zorgen dat je de Poolse versie van een film niet kan bekijken als je je PC buiten Europa gekocht hebt.

Dit is vandaag de dag al mogelijk - Microsoft zou dit alles als een upgrade voor Media Player kunnen introduceren - maar zogauw TCPA / Palladium er is wordt het erg moeilijk om de software te omzeilen, en gemakkelijker voor Microsoft om upgrades en patches te reguleren. Het wordt moeilijker om als gebruiker hieraan te ontkomen, en daardoor is het een aantrekkelijkere manier van zaken doen.

4. Hoe werkt het?

TCPA zorgt voor een controlerend en rapporterend component wat geplaatst wordt in toekomstige PC's. In het begin zal de voorkeur liggen in een zgn. `Fritz' chip - een smartcard chip of `dongle' wat op het moederbord gesoldeerd wordt.

Wanneer je de PC aanzet, komt Fritz in actie. Hij controleerd dat het boot ROM ok is, voert het uit, bekijkt de staat van de machine; dan bekijkt hij het bootgedeelte van het besturingssysteem, laad het en voert het uit, controleert de staat van de machine; enzovoort. Het gedeelte van de hardware en software die bekend en geverifieerd is, wordt zo steeds verder uitgebreid. Een tabel wordt bijgehouden van de hardware (geluidskaart, videokaart, etc) en de software (OS, drivers, etc); Fritz checked dat de hardware TCPA-goedgekeurd is, de software gesigneerd, en dat geen van hen een serienummer heeft wat niet meer geldig is. Als er belangrijke aanpassingen in de configuratie van de PC is, zal de machine online moeten gaan om overnieuw gecertificeerd te worden. Het resultaat is een PC die wordt opgestart naar een bekende staat met een goedgekeurde combinatie van hardware en software (waarvan de licentie niet verlopen is). De besturing wordt dan overgedragen aan de controlerende software in het besturingssysteem - Palladium in het geval van Windows.

Zodra de computer eenmaal in deze staat is aangekomen, kan Fritz het certificeren aan zogenoemde `derden'. Hij kan een authenticatie protocol uitvoeren met Disney om te bewijzen dat de computer geschikt is om `Sneeuwwitje' te ontvangen. Dit houdt in, bewijzen dat de PC op dat moment een geauthoriseerd programma gebruikt - DisneyPlayer of iets dergelijks. De server van Disney stuurt dan gecodeerde data, met een sleutel die Fritz zal gebruiken om het te decoderen. Fritz geeft de sleutel alleen af aan het programma in kwestie en alleen zolang de omgeving `betrouwbaar' blijft. `Betrouwbaar' in deze, wordt gedefinieerd door de security policy die gedownload is van een server onder het toezicht van de software maker. Dit betekent dat Disney kan besluiten om zijn nieuwste films te laten afspelen door een bepaald media programma in ruil voor een afspraak dat het programma de gebruiker niet in staat stelt om onbevoegd te kopiëren, en aan nog wat andere voorwaarden (zoals het gewenste TCPA security level) voldoet. Hier kan betaling mee gemoeid zijn: Disney zou kunnen eisen dat het programma een euro binnenhaalt voor elke keer dat je een film bekijkt. Sterker nog, het programma zelf kan ook verhuurd worden, en dit is vooral interresant voor software-bedrijven. De mogelijkheden lijken slechts begrensd door de fantasie van de mensen die dit alles op de markt moeten brengen.

5. Waar kan TCPA en Palladium nog meer voor gebruikt worden?

TCPA kan ook gebruikt worden om strenge toegangscontrole af te dwingen voor vertrouwelijke documenten. Bijvoorbeeld, een leger zou kunnen bepalen dat soldaten alleen Word documenten kunnen maken die als `Vertrouwelijk' of nog hoger geclassificeerd zijn, en dat alleen een TCPA PC met een certificaat van de eigen veiligheidsdienst zo'n document kan lezen. Dit wordt `mandatory acces control' genoemd, en overheden zijn er nogal weg van. De aankondiging van Palladium impliceert dat het Microsoft product dit mogelijk zal maken: het wordt mogelijk om Word zo in te stellen dat het alle documenten die je in een bepaald gedeelte van de computer maakt codeert, en alleen deelt met een beperkt aantal andere gebruikers.

Bedrijven kunnen dit ook doen, om het leven voor klokkenluiders moeilijker te maken. Ze kunnen het zo regelen dat bedrijfsdocumenten alleen gelezen kunnen worden op bedrijfs-PC's, behalve als een bevoegd iemand ze openbaar maakt. Ook worden tijdsloten mogelijk, bijvoorbeeld dat alle email zonder een spoor achterna te laten verdwijnt na 90 dagen, als niemand het perse wil bewaren. (Dit was natuurlijk zeer handig geweest voor Enron, Arthur Andersen, of voor Microsoft zelf tijdens de antitrust rechtszaak.) De mafia zou dit ook net zo kunnen gebruiken: ze zouden bijvoorbeeld ervoor kunnen zorgen dat spreadsheets met daarop de laatste drug transacties alleen gelezen zouden kunnen worden op vertrouwde mafia PC's, en aan het einde van de maand verdwijnen. Dit zou moeilijkheden kunnen opleveren voor de FBI - hoewel Microsoft in overleg is met overheden over de mogelijkheid om politieagenten en spionnen op een manier toegang te geven tot een soort `loper'. In ieder geval zal een klokkenluider die een document emailt naar een journalist weinig meer bereiken, omdat de Fritz chip van de journalist niet de sleutel zal geven om het document te decoderen.

TCPA / Palladium lijkt ook voorbestemd voor gebruik in het electronisch betaalverkeer. Een van de plannen van Microsoft lijkt te zijn dat veel van de functionaliteit die nu op bankpassen gegrond is overgeheveld kan worden naar software zogauw de programma's `tamper-resistant' (beveiligd) gemaakt kunnen worden. Dit is nodig als we een toekomst tegemoet gaan waarin we moeten betalen voor de boeken die we lezen en de muziek waarnaar we luisteren, in centen per pagina of per minuut. Zelfs als dit misschien helemaal niet werkt als business-model - en er zijn goede argumenten aan te voeren waarom niet - is dit alsnog duidelijke concurrentie voor een aantal online betalings-systemen, en dit zou gevolgen kunnen hebben voor de consument. Als het over 10 jaar lastig is om online te winkelen met een creditcard zonder een TCPA of Palladium systeem, zullen een hoop mensen noodgedwongen moeten overstappen.

6. OK, dus er zijn winnaars en verliezers - Disney heeft veel te winnen, en makers van smartcards riskeren faillissement. Maar Microsoft en Intel investeren toch niet bedragen met 9 nullen uit liefdadigheid? Hoe denken zij hier winst uit te kunnen halen?

Mijn bronnen bij Intel vertellen me dat het een defensieve zet was. Zolang ze de meeste winst behalen met PC microprocessoren, en de grootste markt beheersen, kunnen ze alleen hun bedrijf laten groeien door de omvang van de markt te verruimen. Ze zijn ervan overtuigd dat de PC de `hub' van een toekomstig thuis-netwerk gaat worden. Als entertainment de `killer app' gaat worden, en DRM noodzakelijke technologie om dit mogelijk te maken, zal de PC DRM moeten aankunnen, of weggeconcurreerd worden in deze markt.

Microsoft is verder ook gemotiveerd door het verlangen om alle entertainment in hun invloedssfeer te krijgen. Maar ze winnen ook een hoop als TCPA of Palladium wijdverspreid wordt, omdat het ze dan mogelijk wordt om het kopiëren van software drastisch in te perken. `De Chinezen laten betalen voor software' is een hot item voor Bill; met Palladium kan hij elke PC verbinden met een individueel gelicenseerde kopie van Office, en met TCPA kan hij elk moederbord verbinden met zijn individueel gelicenseerde kopie van Windows. TCPA zal ook een wereldwijde zwarte lijst omvatten voor de serienummers van kopieën van Office die illegaal verspreid worden.

Ook zou Microsoft het graag extra moeilijk maken voor mensen om om te schakelen van een van hun producten (zoals Office) naar concurrerende producten (zoals OpenOffice). Dit zal het mogelijk maken om in de toekomst meer te gaan vragen voor upgrades zonder dat ze het risico lopen klanten te verliezen.

7. Waar komt het idee vandaan?

Het kwam voor het eerst voor in een publicatie van Bill Arbaugh, Dave Farber en Jonathan Smith, ``A Secure and Reliable Bootstrap Architecture'', in de handelingen van het IEEE Symposium on Security and Privacy (1997) p. 65-71. Het mondde uit in het Amerikaanse patent nr. 6,185,678 van 6 februari 2001. Bill's geesteskind was het resultaat van onderzoek naar `code signing' dat hij verrichte voor de NSA in 1994. Microsoft heeft ook een patent aanvraag ingedient aangaande de aspecten van het besturingssysteem. (De text van de patenten kan je hier en hier vinden.)

De ideeën van deze patenten zijn echter wellicht niet nieuw. Markus Kuhn heeft jaren geleden over de TrustNo1 Processor geschreven, en het achterliggende idee - een vertrouwde `referentie monitor' die de toegangscontrole overziet - gaat op zijn minst terug tot een werkstuk door James Anderson voor de Amerikaanse luchtmacht in 1972. Het is sindsdien een kenmerk in de benadering van het ontwerp van veilige militaire systemen geworden.

8. Wat is het verband met het serienummer in de Pentium 3?

Intel begon midden jaren '90 een programma dat de functionaliteit van de Fritz chip in de hoofdprocessor (of de cache controllor), zou moeten hebben gebracht tegen het jaar 2000. Het Pentium serienummer was een eerste stap in deze richting. De negatieve publieke reactie hierop lijkt hen doen heroveregen een consortium met Microsoft en anderen te vormen om zo sterker komen te staan.

9. Vanwaar de benaming `Fritz' voor de chip?

Ter ere van Senator Fritz Hollings van South Carolina, die onvermoeibaar aan het zwoegen is in het Amerikaanse congres om TCPA een verplicht onderdeel van alle consumenten-electronica te maken.

10. OK, dus TCPA stopt het stelen van muziek door kinderen en helpt bedrijven data vertrouwelijk te houden. Het helpt de mafia ook, behalve als de FBI een `back door' krijgt, waar ik van uitga. Maar afgezien van piraten, bedrijfsspionnen en activisten, wie heeft hier problemen mee?

Een hoop bedrijven lopen risico. Het ziet er bijvoorbeeld naar uit dat de Europese smartcard industrie schade gaat ondervinden, omdat de dingen die hun producten nu regelen migreren naar de Fritz chips in laptops, PDA's en derde generatie mobiele telefoons. Sterker nog, velen in de informatiebeveiling hebben reden om zich zorgen te maken als TCPA gaat werken. Microsoft claimed dat Palladium spam, virussen, en zo'n beetje al het slechte in cyberspace, zal tegengaan - als dat zo is, zouden de antivirus-makers, spammers, spam-filter makers, firewall verkopers en systeembeveiligers het kaas van hun brood moeten laten eten.

Er is reden tot ongerustheid over de effecten op de IT sector, vooral de innovatie, en het tempo waarmee nieuwe bedrijven zich kunnen vestigen en de kans dat bestaande bedrijven kunnen blijven leunen op hun monopoliepositie. De problemen voor innovatie worden goed uitgelegd in een recentelijke column in de New York Times door de gerenommeerde econoom Hal Varian.

Maar er zijn nog diepere problemen. De fundamentele kwestie is dat diegene die de Fritz chips beheerst een enorme hoeveelheid macht krijgt. De beschikking hebben over zo'n zwaar machtsmiddel is hetzelfde als iedereen dwingen gebruik te maken van dezelfde bank, dezelfde accountant, of dezelfde advocaat. Er zijn veel manieren waarop deze macht zou kunnen worden misbruikt.

11. Hoe kan TCPA worden misbruikt?

Een van de problemen is censuur. TCPA is vanaf het begin ontworpen om gecentraliseerd het onbruikbaar maken van gepirate bits mogelijk te maken. Illegale software kan opgespoord en onbruikbaar gemaakt worden door Fritz als je het probeert te laden, maar wat gebeurt er met illegale muziek of videos? En hoe kan je een nummer of video dat je bezit van een PC naar een andere overzetten, zonder dat je het onbruikbaar kan maken op de eerste? De voorgestelde oplossing is dat een programma dat geschikt is voor TCPA, zoals een media-player of tekstverwerker, zijn `security policy' gedicteerd krijgt van een server op afstand, die een lijst van `slechte bestanden' zal bijhouden. Deze zal van tijd tot tijd gedownload worden en gebruikt worden om alle bestanden die het programma opent te screenen. Bestanden kunnen onbruikbaar gemaakt worden vanwege hun inhoud, vanwege het serienummer van het programma wat gebruikt is om ze te maken, en vanwege een aantal andere criteria. Het idee hierachter is dat als iedereen in China dezelfde kopie van Office gebruikt, je niet alleen degene stopt die deze kopie draait op een TCPA PC; dat zou immers de Chinezen alleen motiveren een normale PC te gebruiken. Men zorgt er dus ook voor dat elke TCPA PC in de wereld weigert om bestanden te lezen die gemaakt zijn met dat illegale programma.

Dit is al erg genoeg, maar het potentieel voor misbruik strekt zich veel verder uit dan commercieel wangedrag en economische oorlogvoering, richting politieke censuur. Ik verwacht dat dit stapje voor stapje gebeurt. Eerst zal een politiemacht, met alle goede bedoelingen, een rechterlijk bevel krijgen om een pornografische foto van een kind, of een handleiding die uitlegt hoe je spoorweg-stoplichten kan saboteren, te verbieden. Alle TCPA-ondersteundende PC's zullen deze documenten dan rapporteren en/of wissen. Vervolgens zal iemand een rechtszaak aanspannen wegens smaad of schending van auteursrechten om een document te verbieden; misschien dat Scientology-aanhangers zullen proberen om de beroemde Fishman Affidavits op een zwarte lijst te krijgen. Zogauw advocaten en overheden het potentieel doorkrijgen, zullen we van de regen in de drup terecht komen.

De moderne tijd begon pas echt toen Gutenberg in Europa de drukpers uitvond, die het mogelijk maakte om informatie te bewaren en te verspreiden, ook als dit tegen de zin van heersers en bisschoppen in was. Toen Wycliffe bijvoorbeeld de Bijbel naar het Engels vertaalde in 1380-1381, werd de Lollard beweging die hij begon gemakkelijk onderdrukt; echter, toen Tyndale het Nieuwe Testament vertaalde in 1524-1525, kon hij meer dan 50'000 kopieën maken voordat ze hem te pakken kregen en op de brandstapel smeten. De oude orde in Europa stortte in elkaar, en de moderne tijd begon. Samenlevingen die probeerde informatie tegen te houden werden oncompetitief, en met de val van de Soviet Unie leek het dat democratisch liberaal kapitalisme gewonnen had. TCPA en Palladium vormen nu een bedreiging, juist voor die erfenis van onschatbare waarde die Gutenberg ons nagelaten heeft. Electronische boeken zijn, eenmaal gepubliceerd, nog steeds kwetsbaar; rechters kunnen ze met met terugwerkende kracht niet gepubliceerd verklaren en de TCPA infrastructuur kan het smerige werk opknappen.

Dus, na de pogingen van de Soviet Unie om alle typemachines en faxen te registreren en controleren, is TCPA nu een poging om alle computers te registreren en controleren. De implicaties voor vrijheid, democratie en het rechtssysteem zijn zorgelijk.

12. Klinkt naar. Kan je het niet gewoon uitzetten?

Natuurlijk - behalve als je systeembeheerder je machine zo insteld dat TCPA verplicht is, kan je het altijd uitzetten. Je kan dan je PC laten draaien zonder beperkingen, en onveilige programma's gebruiken.

Echter, er is één geval waarin je Fritz niet kan uitzetten. Je kan er niet voor zorgen dat hij illegale software negeert. Zelfs als hij ervan op de hoogte is dat de PC in onbeveiligde mode draait, checked hij nog steeds dat het besturingssysteem niet op de zwarte lijst met serienummers staat. Dit heeft implicaties voor de soevereiniteit van naties. Als Saddam stom genoeg is om zijn PC's te upgraden naar TCPA-modellen, kan de Amerikaanse overheid zijn Windows-licenties op die zwarte lijst zetten en zijn PC's onbruikbaar maken, de volgende keer dat er een oorlog is. De PC's opstarten in een niet-beveilige mode helpt niet. Hij zou een oude kopie van Windows 2000 moeten opzoeken, op GNU/Linux moeten overstappen, of een manier moeten vinden om de Fritz chips op zijn moederborden uit te zonderen zonder ze te beschadigen.

Als je geen persoonlijke vijand van de president van de VS bent, is dit misschien niet zo'n probleem. Maar als je TCPA uitzet, werken je TCPA-programma's ook niet, of niet net zo goed. Het zal ongeveer net zo zijn als het omschakelen van Windows naar Linux vandaag de dag; je hebt misschien meer vrijheid, maar komt met minder keus te zitten. Als de programma's die TCPA / Palladium gebruiken aantrekkelijker zijn voor de meeste mensen, zal het voorkomen dat je geen andere keus hebt dan ze ook te gebruiken - net zoals dat veel mensen Microsoft Word moeten gebruiken omdat al hun vrienden en collega's ze telkens MS Word documenten toesturen. Microsoft zegt dat Palladium, in tegenstelling tot pure TCPA, het mogelijk maakt om trusted en niet-trusted programma's tegelijkertijd te draaien in andere vensters; dit is waarschijnlijk om het makkelijker te maken om het te gaan gebruiken in het begin.

13. Dus economie speelt hierin een grote rol?

Precies. De grootste winsten in de IT sector gaan naar bedrijven die een platform neerzetten (zoals Windows of Word) en de compatibiliteit daarmee kunnen sturen, zodat ze de markt van aanvullende producten ook kunnen beheersen. Om een voorbeeld te nemen, sommige makers van mobiele telefoons gebruiken een challenge-response authenticatie om te controleren dat de batterij een origineel onderdeel is in plaats van een clone - in welk geval de telefoon weigert hem op te laden, en misschien zelfs ervoort zorgt dat hij extra snel leegraakt. Sommige printers gebruiken zo'n zelfde systeem voor de cartridges; als je een goedkoper model koopt, verslechtert de printer stilletjes de print-kwaliteit van 1200 dpi naar 300 dpi. De Sony PlayStation 2 gebruik een soortgelijk systeem om te zorgen dat de geheugen-cartridges gemaakt worden door Sony in plaats van een goedkopere concurrent.

TCPA lijkt erop gericht om dit effect te maximaliseren, en daarmee de economische invloed van zulk gedrag. Microsoft's geschiedenis aangaande strategische competitie-truuks in acht nemend, verwacht ik dat Palladium die verder zal versterken. Dus als je een TCPA-ondersteunend programma schrijft, kan je de policy server regels laten opleggen die zeggen welke andere programma's de bestanden kunnen gebruiken die met jouw programma gemaakt worden. Deze bestanden kunnen beschermt worden met sterke cryptografie, met sleutels beheerst door de Fritz chip op een ieders PC. Wat dit betekent is dat een succesvolle TCPA-applicatie veel meer geld waard is voor het software bedrijf dat het uitgeeft, omdat ze de toegang tot hun interface kunnen verhuren voor elk bedrag dat andere ontwikkelaars maar willen betalen. Dus er zal een grote druk worden uitgeoefent op software ontwikkelaars om hun programma's geschikt te maken voor TCPA; en als Palladium het eerste besturingssysteem is dat TCPA ondersteunt, zal dit een competitief voordeel geven over GNU/Linux en MacOS in deze kringen.

14. Wacht even, geeft de wet mensen niet het recht om interfaces middels reverse engineering uit elkaar te pluizen voor compatibiliteit?

Ja, en dit is heel belangrijk voor het functionering van de IT sector; zie Samuelson en Scotchmer, ``The Law and Economics of Reverse Engineering'', Yale Law Journal, mei 2002, p. 1575-1663. Maar de wet geeft je in de meeste gevallen alleen het recht om het te proberen - niet om te slagen. Toen compatibiliteit niet meer betekende dan het aanrommelen met bestandsformaten, was er een wedloop - toen Word en WordPerfect aan het vechten waren om de markt, probeerde elk de bestanden van de ander te lezen en het moeilijk te maken voor de ander om de eigen bestanden te lezen. Echter, met TCPA is dit spel beslist; zonder toegang tot de sleutels, en zonder een middel om de chips te omzeilen, heb je het nakijken.

Concurrenten uit de eigen bestandsformaten weren was een van de motivaties voor TCPA; zie een bericht van Lucky Green, en bekijk de website van Def Con om meer te horen. Deze tactiek wordt ook buiten de computerwereld al toegepast. Het Amerikaanse congres roert zich omdat auto-fabrikanten data formaten gebruiken die hun klanten ervan weerhouden reparaties te krijgen bij onafhankelijke dealers, omdat deze die formaten niet kennen. En de Microsoft lui zeggen dat ze Palladium overal willen krijgen, zelfs in je horloge. De economische gevolgen voor onafhankelijke bedrijven waar ook ter wereld kunnen significant zijn.

15. Kan TCPA niet gekraakt worden?

De eerste versies zullen kwetsbaar zijn voor iedereen met het gereedschap en geduld om de hardware te kraken (bijv. door ongecodeerde data uit de bus tussen de CPU en de Fritz chip uit te lezen). Echter, later zal de Fritz chip integreren in de hoofdprocessor - laten we die voor het gemak even `Hexium' noemen - en zal het een stuk moeilijker worden. Alleen zeer professionele technici zullen het met veel geld en moeite nog kunnen doen.

Bovendien, in veel landen zal het kraken van Fritz illegaal zijn. In de VS is er de DMCA (Digital Millennium Copyright Act) die dit al verbied, in de EU kan het per land verschillen, afhankelijk van hoe de nationale overheden het EU Copyright Directive implementeren in de wetgeving.

In veel producten wordt compatibiliteitsbeheersing al zeer bewust verstrengeld met bescherming van auteursrechten. De authenticatie-chips van de Sony Playstation bevatten ook het encryptie-algorithme voor DVD's, zodat reverse engineering ervan gelijkgesteld kan worden aan het proberen te omzeilen van een mechanisme dat dient om auteursrechten te beschermen, zodat mensen die het proberen veroordeelt kunnen worden onder de DMCA. Deze situatie wordt waarschijnlijk erg netelig - en dat is weer in het voordeel van grote berijven met grote juridische budgetten.

16. Wat zal meest waarschijnlijke economische effect zijn?

De media-bedrijven zullen een beetje meer winst boeken door muziek kopiëren te verhinderen - Sir Michael Jagger wordt nog net dat beetje rijker. Maar ik verwacht dat het belangrijkste economische effect het versterken van de positie van de huidige IT-bedrijven ten koste van nieuwkomers zal zijn. Dit zal een vergroting van het marktaandeel van bedrijven als Intel, Microsoft en IBM betekenen - maar dit alles ten koste van algemene innovatie en groei. Eric von Hippel heeft beschreven hoe de meeste innovaties die sterke economische groei tot gevolg hadden niet werden geanticipeerd door de makers van de platforms waarop ze gebaseerd waren; en de technologische verandering in de IT sector is meestal cumulatief. Bestaande bedrijven meer manieren geven om het leven van innovatieve mensen zuur te maken zal allerlei soorten valstrikken zetten.

De grote centralisatie van economische macht die TCPA / Palladium voorstaat zal grote bedrijven prefereren boven kleine; zodra Palladium-applicaties grote bedrijven in staat stelt om meer winst te halen uit nevenactiviteiten, zullen er soortgelijke effecten optreden als met autobedrijven die eigenaren dwingen om hun onderhoud te laten plegen bij erkende dealers. Aangezien de meeste banengroei plaatsheeft in het midden- en kleinbedrijf, zal dit gevolgen hebben voor de werkgelegenheid.

Er zullen misschien ook regionale effecten optreden. Vele jaren van overheidssteun hebben de Europese smartcard industrie bijvoorbeeld sterk gemaakt, met het gevolg dat andere technologie-sectoren relatief zijn achtergebleven. Hooggeplaatse industriëlen met wie ik heb gesproken verwachten dat zogauw TCPA zijn tweede fase ingaat en Fritz in de CPU verdwijnt, dit de verkoop van smartcards een flinke dreun zal geven. Een aantal insiders van TCPA-bedrijven hebben aan mij toegegeven dat het verdringen van smartcards van de authenticatie-markt een van hun doelstellingen is. Veel van de dingen waarvoor smartcard makers willen dat je een smartcard gebruikt zullen gedaan worden met de Fritz chip in je laptop, PDA, of GSM. Als deze industrie afgeknepen wordt door TCPA, zal Europa er behoorlijk op achteruit gaan. Andere grote sectoren binnen de IT kunnen eveneens slachtoffer worden.

17. Wie verliest er nog meer?

Er zullen veel plaatsen zijn waar bestaande gebruiken plotseling niet meer werken, waardoor beheerders van auteursrecht op nieuwe manieren geld kunnen binnenslepen. Zo vroeg ik laatst een vergunning aan om een stuk landbouwgrond van ons te mogen veranderen in een tuin; om dit te doen, moesten we aan de gemeente zes kopieën van een 1:1250 kaart van het stuk grond geven. Vroeger ging iedereen dan gewoon naar de plaatselijke bibliotheek om een kaart te vinden en te kopiëren. Tegenwoordig staan de kaarten op een server in de bibliotheek, met een kopieerbeveiliging waardoor je maar vier kopieën van een vel mag maken. Voor personen is dat gemakkelijk genoeg te omzeilen: maak vandaag vier kopieën en stuur morgen een vriend voor de andere twee. Maar bedrijven die veel kaarten gebruiken zullen hierdoor meer geld moeten betalen aan de bedrijven die de kaarten maken. Dit is misschien een klein probleem; vermenigvuldig het met duizend om en idee te krijgen van het effect op de gehele economie. De transacties van inkomen en vermogen zullen zeer waarschijnlijk, wederom, van kleine naar grote bedrijven, en van nieuwe naar oude bedrijven zijn.

Hopelijk roept dit politieke weerstand op. Een bekende Britse advocaat heeft gezegd dat auteursrecht alleen getolereerd wordt omdat het niet streng opgehouden wordt voor het grote aantal van kleine schendingen. En er zullen een aantal opvallende en schrijnende gevallen van pechvogels zijn. Ik begrijp dat auteursrecht-regulaties die later dit jaar in Groot-Brittannie zullen uitkomen blinden het recht zullen ontnemen om, dankzij `fair use,' gebruik te maken van voorlees-software om e-books te lezen. Normaal gesproken hebben dit soort bureaucratische stommiteiten niet zo'n impact omdat mensen zo'n regel gewoon zouden negeren en de politie niet idioot genoeg is om iemand hiervoor op te pakken. Maar als de regulaties afgedwongen worden door hardwarematige restricties die praktisch niet te omzeilen zijn, zullen blinden hiervan serieus de dupe worden. (En er zijn nog veel meer minderheden die hetzelfde soort risico lopen.)

18. Bah. Wat nog meer?

TCPA zal de General Public License (GPL) ondermijnen, waaronder veel vrije en `open source' software wordt gedistribueerd. De GPL is ontworpen om te voorkomen dat private ondernemingen met de resultaten van gemeenschappelijke arbeid op de loop gaan om er veel winst op te maken zonder iets aan de gemeenschap terug te geven. Iedereen kan software die onder deze licentie gedistribueerd is vrij gebruiken en aanpassen, maar als je een aangepaste kopie wil distribueren, moet je het beschikbaar maken aan iedereen, samen met de bijbehorende broncode, zodat andere mensen hierop ook weer hun eigen aanpassingen kunnen maken.

Op zijn minst twee bedrijven zijn begonnen om een TCPA-ondersteunende versie van GNU/Linux te maken. Hiervoor zal wat werk aan de broncode nodig zijn. Om een certificaat van het TCPA consortium te krijgen, zal iemand een werkende versie van de code aan een evaluatie lab moeten geven, samen met een hoop documentatie die uitlegt waarom sommige manieren om het te breken niet werken. (De evaluatie is op level E3 - duur genoeg om de vrije software mensen buiten te sluiten, maar lax genoeg zodat de meeste commerciële software bedrijven nog een redelijke kans hebben om hun ranzige code erdoor te krijgen.) Hoewel het aangepaste programma onder de GPL zal vallen, en de broncode vrij beschikbaar zal zijn voor iedereen, zal het geen gebruik kunnen maken van de mogelijkheden van TCPA zonder dat je een certificaat hebt die specifiek is voor de Fritz chip op jouw computer. Dat is waarvoor je zult moeten gaan betalen (misschien niet in het begin, maar zeker op den duur).

Je bent dan nog steeds vrij om aanpassingen te maken aan de broncode, maar je bent zelf niet in staat om vervolgens een certificaat te krijgen om in het TCPA systeem te komen. Iets soortgelijks gebeurt met de Linux versie door Sony die geleverd wordt voor de Playstation 2; de kopieerbeveiliging van de console gaat de mogelijkheid tegen van het draaien van een aangepaste versie, en van het gebruiken van een aantal hardware-toepassingen. Zelfs als een filantroop een non-profit, trusted GNU/Linux gaat regelen, zou het resulterende product niet echt meer een GPL versie van een TCPA implementatie zijn, maar een gesloten besturingssysteem wat de filantroop gratis weg geeft. (En dan heb je nog de vraag wie er voor de certificaten van de gebruikers betaalt.)

Sommigen geloven dat de GPL het onmogelijk maakt voor een bedrijf om even langs te komen en broncode te `stelen' die het resultaat was van een gemeenschappelijke inzet. Dit maakte mensen meer welwillend om hun eigen vrije tijd op te offeren om vrije software te schrijven voor het gemeenschappelijke goed. TCPA brengt daar verandering in. Zodra de meerderheid van de PC's op de markt TCPA ondersteunen, zal de GPL niet meer werken zoals bedoeld. Het probleem is: zogauw men zich realiseert dat zelfs software onder de GPL misbruikt kan worden voor commerciële doeleinden, zullen idealistische jonge programmeurs veel minder gemotiveerd zijn om vrije software te schrijven.

19. Ik begrijp dat een hoop mensen hier kwaad over zullen worden.

En er zijn vele andere politieke kwesties - de transparantie van het behandelen van persoonlijke informatie vastgeleged in de EU richtlijn voor data-bescherming; de soevereiniteitskwestie, of de auteursrecht regulaties geschreven zullen worden door de nationale overheden of door een software-ontwikkelaar in Portland of Redmond; of TCPA gebruikt zal worden door Microsoft als een manier om Apache (concurrende software voor web-servers) de nek om te draaien; en of mensen het idee prettig vinden dat hun PC's effectief van een afstand bediend zullen worden zonder hun inbreng - bediening die overgenomen kan worden door gerechtshoven of overheidsinstanties zonder hun medeweten.

20. Wacht even, is TCPA niet verboden door antitrust wetgeving?

Intel heeft aangezet tot een strategie waarin ze een `platform leider' zijn, en de industrie aansporen om technologie te ontwikkelen die de PC nuttiger maken, zoals de PCI bus en USB. Hun modus operandi is beschreven in een boek van Gawer en Cusumano. Intel zet een consortium op om de ontwikkeling van technologie te delen, laat de oprichtende leden wat patenten verzamelen, publiceert een standaard, zorgt dat het wat vaart krijgt, en licenseert het dan aan de industrie op de voorwaarde dat bedrijven die de licentie aanvaarden in ruil elk conflicterend patent dat ze zelf bezitten weer terug-licenseren, kostenloos, aan alle leden van het consortium.

De positieve kant van dit verhaal is dat Intel de gehele PC markt vergroot heeft; de schaduwzijde is dat ze hebben voorkomen dat een concurrent een dominantie positie kon bereiken met een technologie die een bedreiging voor ze had kunnen betekenen. Zo kon Intel het zich niet veroorloven dat IBM's Microchannel Bus een success zou worden, niet alleen als concurrend zenuwcentrum voor een PC, maar ook omdat IBM geen interesse had om de bandbreedte te garanderen die nodig was om de PC te laten concurreren met duurdere high-end systemen. Het effect lijkt wat op de oude Romeinse praktijk, om alle huizen en bomen dichtbij hun wegen of kastelen met de grond gelijk te maken. Geen concurrende structuur kan worden toegestaan naast Intel's platform; alles moet afgevlakt worden. Netjes en orderlijk en goed gereguleerd: interfaces moeten `open maar niet vrij' zijn.

De consortium-aanpak is geevolueerd in een erg effectieve manier om onder antitrust wetgeving uit te komen. De authoriteiten lijken zich tot nu toe weinig zorgen hebben gemaakt om dit soort consortia - zolang de standaarden open en toegankelijk blijven voor alle bedrijven. Misschien moeten ze wat meer gaan opletten.

Als Fritz Hollings zijn wetsvoorstel door het Amerikaanse congres krijgt, wordt TCPA vanzelfsprekend een verplicht iets en valt de antitrust kwestie weg, tenminste in Amerika. We zullen moeten hopen dat Europese wetgevers meer ruggegraat hebben.

21. Wanneer gaat dit op de markt komen?

Het is er al. De specificatie is gepubliceerd in 2000. Atmel verkoopt al een Fritz chip, en hoewel je een geheimhoudings-overeenkomst moet tekenen om informatie te krijgen, was het al mogelijk om er een te bemachtigen sinds mei 2002, in de vorm van een onderdeel in de IBM Thinkpad laptops. Sommige van de bestaande eigenschappen van Windows XP en de X-Box zijn TCPA: bijvoorbeeld, als je je PC configuratie ook maar een klein beetje wijzigt, moet je al je software laten her-registreren door Redmond. Sinds Windows 2000 is Micosoft ook bezig met het certificeren van alle device drivers: als je een ongesigneerde driver probeert te laden, klaagt XP. Ook groeit de interesse van de Amerikaanse overheid in het technische standardisatie proces. De trein is aan het rollen gebracht.

De timing van Palladium is minder zeker. Er lijkt een machtsstrijd gaande tussen Microsoft en Intel; Palladium zal ook met concurrende hardware draaien van leveranciers als Wave Systems, en programma's ontworpen voor TCPA zullen herschreven moeten worden voor Palladium. Dit lijkt erop gericht om te zorgen dat Microsoft de touwtjes van het `veilige' computer platform van de toekomst strak in handen krijgt. Het zou ook een tactiek kunnen zijn om andere bedrijven ervan te weer houden om software te ontwikkelen voor TCPA. Intel en AMD lijken van plan om de tweede generatie TCPA gratis in de hoofdprocessor te implementeren. Dit zorgt misschien voor hogere veiligheid, maar zorgt er tegelijkertijd voor dat zij de ontwikkelingen kunnen besturen, in plaats van Microsoft.

Ik weet wel dat de aankondiging van Palladium een maand naar voren is gebracht nadat ik op een conferentie over de economie van open source software op 20 juni een werkstuk publiceerde. Dit stuk bekritiseerde TCPA als anti-competitief, wat sindsdien ook overduidelijk is bevestigd door nieuwe onthullingen.

22. Wat is TORA BORA?

Dit lijkt op een interne grap van Microsoft: zie de Palladium aankondiging. Het idee is dat de `Trusted Operating Root Architectecture' (Palladium) het `Break Once Run Anywhere' zal tegengaan. Met dat laatste bedoelen ze dat, zoals nu, illegale software, eenmaal onbeschermt, op het Internet gezet en gebruikt kan worden door iedereen.

Ze lijken door te hebben gekregen dat deze grap in het verkeerde keelgat kan schieten. Op een bijeenkomst van Microsoft Research waar ik bij was, op 10 juli, hadden ze de slogan veranderd in `BORE-resistance', waar BORE staat voor `Break Once Run Everywhere'. (Overigens, een van de sprekers beschreef digitaal watermerken als `content screening', een term die eerder gebruikt is om techniek aan te duiden die ervoor moest zorgen dat minderjarigen geen pornografie te zien kregen: de PR machine heeft het zwaar te verduren! Hij vertelde ook dat het niet zou werken, tenzij iedereen een trusted besturingssysteem zou gebruiken. Desgevraagd of dit hetzelfde betekende als het uit de weg ruimen van Linux, antwoorde hij dat Linux gebruikers maar gedwongen moesten worden om content screening te gebruiken.)

23. Maar is een veilige PC niet iets goeds?

De hamvraag is: veiligheid voor wie? Je wilt je misschien geen zorgen maken om virussen, maar noch TCPA, noch Palladium zal daar iets aan doen: virusen maken misbruik van de manier waarop software (zoals MS Office en Outlook) gebruik maken van scripting. Je ergert je misschien aan spam, maar dat wordt ook niet verholpen. (Microsoft impliceert dat het het ook tegen houdt, door alle ongesigneerde berichten weg te filtreren - maar de spammers zullen moeiteloos ook gewoon TCPA PC's kunnen gebruiken. Je bent beter af als je je bestaande email programma gebruikt om email van mensen die je niet kent in een aparte folder te zetten die je elke dag even doorneemt.) Je maakt je misschien zorgen om privacy, maar noch TCPA noch Palladium helpt daarbij; bijna alle privacy overtredingen zijn het resultaat van misbruik van geauthorisereerde toegang, die vaak is verkregen door goedkeuring af te dwingen. De ziektekostenverzekeraar die van je verlangt dat je toestemming verleent om jouw informatie door te geven aan je werkgever en aan iedereen aan wie ze het kunnen verkopen, zal daar echt niet mee ophouden als hun PC's plotseling officieel `veilig' worden. Integendeel, het is waarschijnlijker dat ze die informatie dan nog meer gaan verkopen, omdat computers dan `trusted' zijn. Economen hebben opgemerkt dat wanneer een leverancier een `groen' product maakt, het vaak de vervuiling doet toenemen, omdat mensen dan groen gaan kopen, in plaats van minder; we zullen misschien een equivalent van deze zgn. `social choice trap' zien. Daar komt nog bij, dat dankzij het versterken en uitbreiden van monopolieposities, TCPA prijs-differentiatie zal stimuleren, en daarmee het nut van het verzamelen van persoonlijke informatie.

Het meest rooskleurige beeld van TCPA wordt verkondigt door een Microsoft researcher: er zijn omstandigheden waarin je de gebruiker zou willen beperken. Je wilt bijvoorbeeld niet dat mensent kunnen rotzooien met de kilometerstand van een auto vlak voordat ze hem verkopen. Als je DRM op een PC wil doen, moet je de gebruiker dus net zo behandelen - als de vijand.

Gezien in dit licht, doen TCPA en Palladium lang niet zoveel om veiligheid voor de gebruiker te waarborgen als voor de verkoper, de software leverancier, en de media-aanbieders. Ze voegen geen waarde toe voor de gebruiker, maar vernietigen het. Ze beperken wat je met je PC kan doen om software- en service-aanbieders in staat te stellen nog meer geld uit je te zuigen. Dit past in het klassieke beeld van een kartel: een overeenkomst tussen bedrijven die de voorwaarden waaronder handel gedreven wordt zo aanpast dat het overschot bij de consument geminimaliseerd wordt.

Zonder twijfel zal Palladium gebundelt worden met nieuwe capaciteiten zodat het gehele pakket lijkt alsof het waarde toevoegt, althans op de korte termijn, maar de lange termijn economische, sociale en juridische aspecten vragen om grondige aandacht.

24. Waarom wordt dit dan `Trusted Computing' genoemd? Ik snap niet waarom ik het zou moeten vertrouwen!

Het is een soort grap voor insiders. In het Amerikaanse ministerie van Defensie is een `trusted' systeem of onderdeel daarvan gedefinieerd als een die `de security policy kan breken'. Dit lijkt misschien tegenstrijdig, maar denk er maar over na. De emailbeveiliging/firewall die een Secret van een Top Secret systeem scheidt kan - als het niet goed werkt - de security policy breken dat email alleen van Secret naar Top Secret mag gaan, maar niet in tegengestelde richting. Het is daardoor `trusted' om deze policy na te leven.

Of neem een alledaags voorbeeld: ga ervan uit dat je je huisarts vertrouwd jouw medische dossier privé te houden. Dit betekent dat hij toegang heeft tot jouw dossier, en dus dat hij ze zou kunnen doorsluizen aan de pers als hij onzorgvuldig of kwaadwillend zou zijn. Je vertrouwt mij niet om jouw medische dossier te bewaren, omdat ik ze niet heb; ongeacht of ik je mag of een hekel aan je heb, ik kan niets doen dat jouw policy, dat jouw medische dossier vertrouwelijk moet blijven, kan aantasten. Jouw huisarts wel; en het feit dat hij de mogelijkheid heeft om jou schade te berokkenen is wat er hier wordt bedoeld wanneer je zegt dat jij hem vertrouwd. Misschien dat je een goed gevoel over hem hebt, of misschien heb je hem maar te vertrouwen omdat hij de enige arts is op het eiland waar je woont; echter, het ministerie van Defensie schaaft deze vage, emotionele aspecten (die verwarring kunnen scheppen) van het begrip `trust' af.

Bedenk dat aan het eind van de jaren '90, toen het debat gevoerd werd over overheidsgecontroleerde cryptografie, Al Gore een `Trusted Third Party' voorstelde - een service die een kopie van je decoderings-sleutel zou bewaren, voor in het geval dat jij (of de FBI, of de NSA) hem nodig zou hebben. De naam werd weggehoond als het soort reclame-logica waarmee de Russische kolonie in Oost-Duitsland door het leven ging als een `Democratische Republiek', maar het past precies in de denkwereld van het ministerie van Defensie. Een `Trusted Third Party' is een derde die jouw security policy kan breken.

25. Dus een `Trusted Computer' is er een die mijn veiligheid in gevaar brengt?

Nu vat je hem.

Ross Anderson


  • [ nederlandse vertaling door squell |zf ]
  • last updated: 25.nov.2002 0x3de1bf88
  • GNU Free Documentation License

    rolili
    by rolala Tuesday December 03, 2002 at 12:24 PM
    &

    zzzzzzzzzzzzzz.................

    You scared me!
    by Austin Tuesday December 03, 2002 at 06:46 PM

    punt a: kan dat aub ingekord worden?
    punt b: En nu de praktijk, hoe kan ik als gewone burger tegengaan dat ik morgen mijn pc moet aanspreken met 'Dag big brother', en dat hij antwoord 'kan je eens naar de dagboekkamer komen?'

    Leuk tekstje niwaar?
    by Frank Van Damme Thursday December 05, 2002 at 11:18 PM
    frankSPAM.vanSPAMdamme@SPAMstudent.kul..ac.be

    Aan degenen die nu nog puur uit wraak een gekopiƫerde windows draaien met applicaties waar ze ingelocked zijn, weigeren dat vanaf nu dus uit principe...

    Vanaf nu leer ik langsheen de dt- fouten lezen
    by Phil Saturday December 07, 2002 at 03:46 PM

    Beste,

    Als reactie op jullie artikel leer ik vanaf nu langs de dt- fouten heen lezen, want anders had ik van Uw artikel niets begrepen...

    Anders ben ik wel tegen TCPA, dat terzijde.