Какую цену мы заплатим за систему защиты контента в Windows Vista

Опубликован перевод на русский язык работы Питера Гутмана с подробным анализом мер по защите контента в операционной системе Windows Vista. В статье "A Cost Analysis of Windows Vista Content Protection" (cs.auckland.ac.nz/~pgut001/pubs/vista_cost.txt, перевод: emdrone.livejournal.com/176676.html) Гутман анализирует, какую цену придется заплатить всем нам за технологию Vista Content Protection. Мы публикуем ключевые тезисы из этого большого текста.

В новой операционной системе значительно переделаны некоторые ключевые компоненты, работающие с мультимедийной информацией. Целью этой переделки является защита так называемого "контента класса люкс" - тех файлов, которые обычно переписываются с дисков Blu-Ray или HD-DVD. Проблема в том, что осуществление такой защиты приводит к существенному снижению системной производительности и стабильности, увеличению затрат на поддержку, оборудование и софт. По мнению Гутмана, эти затраты лягут на плечи не только отдельных пользователей, но и на всю мировую компьютерную индустрию. Спецификации Vista Content Protection могут стать "самой длинной в истории предсмертной запиской" или привести к беспрецедентной монополии Microsoft.

Отключение функциональности

Механизм защиты материалов пропускает защищенные материалы только через интерфейсы со встроенной защитой, а остальные интерфейсы отключает. Сегодня для высококачественного вывода звука чаще всего используется S/PDIF (Sony/Philips Digital Interface Format). Большинство новых аудиокарт имеют оптический цифровой вывод TOSlink, и даже последнее поколение материнских плат включают в себя, как минимум, коаксиальный (а часто и оптический) выход. Поскольку S/PDIF не имеет встроенных защит, Vista требует, чтобы интерфейс был отключен, если проигрываются защищенные материалы. Подобным же образом отключается канал YPbPr при просмотре защищенных видеороликов через незащищенные интерфейсы Vista.

Непрямое отключение функциональности

Например, для VoIP-телефонии критически важной функцией является автоматическое уничтожение эха (AEC). При работе функции AEC обратный сигнал подмешивается в поток основного сигнала, но защита Vista не позволит это сделать, поскольку в этом случае есть опасность доступа к защищенному контенту. Система Vista позволяет лишь передачу сильно испорченного, ухудшенного сигнала, который затрудняет эффективную работу AEC.

Снижение качества воспроизведения

Кроме прямого запрета на воспроизведение, Vista требует, чтобы каждый интерфейс, обслуживающий защищенные потоки, портил качество пропускаемого сигнала. Это делается через "сужающую систему" (constrictor), которая ухудшает сигнал до гораздо более низкого уровня, а затем снова восстанавливает его, но со значительным понижением качества.

Уничтожение открытых стандартов на оборудование

Дабы предотвратить создание эмуляторов устройств с защитой, Vista проводит "сканирование функциональности компонентов" (Hardware Functionality Scan, HFS), которое получает уникальные "отпечатки" устройств и гарантирует, что они настоящие. Чтобы это работало, спецификация требует, чтобы операционные детали работы устройств оставались конфиденциальны. Очевидно, любой программист, имеющий доступ к протоколу и способный написать для него драйвер, знает достаточно, чтобы сымитировать HFS-отклик. Единственный способ защитить сканы "отпечатков" - не выпускать никаких технических спецификаций, за исключением необходимого минимума.

Уничтожение унифицированных драйверов

Еще одно следствие HFS-сканирования.

Саботаж "неугодных" драйверов

Как только в конкретном драйвере или устройстве найдена уязвимость, позволяющая копировать защищенный контент, его подпись-идентификация отзывается компанией Microsoft, что означает, что он перестает работать. Детали здесь расплывчаты, возможно, минимальная функциональность для устройства все-таки будет сохранена.

Угроза отзыва драйвера - это угроза многомиллионных штрафов и эмбарго на будущие версии драйверов, вдобавок к угрозе отзыва разрешения на работу устройства, описанной выше.

Ухудшение надежности системы

Система Vista требует, чтобы устройства писали так называемые "подрывные рычажки" ("tilt bits"), если они заметят что-нибудь необычное. Например, если наблюдаются необычные флуктуации напряжения, сбои сигналов на шинах, слегка порченные return codes (возвращаемый статус об успешности операции) после вызова функции, система устанавливает "tilt bit".

Подобные "сбои" в работе программ случаются нередко. Раньше это не составляло проблемы - системы разработаны с некоторым запасом прочности, и это не сбивало их работу. С введением "tilt bits" вся устойчивость пропадает. Любое обычно незаметное колебание становится важно, потому что оно может быть знаком атаки на защищенный контент.

Увеличение стоимости оборудования

Защита таких удивительно ценных "материалов класса люкс" требует дополнительных трудозатрат по разработке драйверов и поддержке пользователей. Конечно, основная часть нагрузки ляжет на производителей оборудования.

Излишняя нагрузка на ЦПУ

Чтобы предотвратить вмешательство во внутренние коммуникации системы защиты контента, все сообщения должны быть шифрованы и авторизованы. Например, поток на видеокарту должен быть шифрован кодом AES-128. Требования к криптографии простираются за шифрование данных и охватывают команды и даже управление между компонентами программ. Например, коммуникации между user-mode и kernel-mode должны быть авторизованы OMAC-метками.

Чтобы предотвратить активные атаки, драйверы должны обращаться к железу с опросами каждые 30 мс. Помимо этого, делаются дополнительные опросы, например, Vista обращается к видеоустройству при показе каждого кадра, чтобы проверить, что "подрывные рычажки" ("tilt bits") находятся там, где им положено находиться.


Вывод

Анализ системы защиты контента в операционной системе ясно показывает, что вся конструкция Windows Vista создана вокруг этой базовой идеи. Один характерный пример: блоки охраняемого "контента люкс" в памяти помечены специальным битом защиты и зашифрованы, чтобы эту информацию нельзя было скопировать на жесткий диск. Однако Vista не предписывает никакого другого шифрования памяти и с довольным видом оставит открытыми ваши банковские пароли, данные счетов и кредитных карт, личные данные и т.д. Механизм защиты, встроенный "Майкрософтом", ясно дает понять: то, что в их глазах является "материалом люкс", стоит гораздо больше, чем банковские пароли пользователя.

Зачем Microsoft идет на такие беспрецедентные сложности? Здесь может быть только одно логичное объяснение, считает Питер Гутман. Если Microsoft удастся сделать систему Vista стандартной ОС, то корпорация получит монопольный контроль над каналами распространения защищенной цифровой информации. "Результатом станет технологически исполненная монополия, по сравнению с которой сегодняшняя де-факто монополия Windows покажется эпохой рая на земле", - говорит он.

Анатолий АЛИЗАР

Версия для печатиВерсия для печати

Номер: 

01 за 2007 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Абыфацель
Виста прям как гроб разукрашеный - снаружи всё в цветах, а внутри сплошной must die. И ведь "предсмертная записка" Vista Content Protection - это ведь только вершина айсберга. В традициях Микрософт втихаря иметь ещё и недокументированые спецификации, что не для широкой публики. Так что анализ Питера Гутмана это далеко ещё не всё.

Лично я с Вистой иметь дело уже не собираюсь - ну только если вышестоящее начальство под дулом пистолета не заставит. Но хоть теперь то мы будем знать, что процессоры, видюхи и прочие железяки с надписью "vista ready" покупать не стоит. Ибо нафиг нам эти "подрывные рычажки"? Другое дело останутся ли железяки, что не "виста реди"?

Аватар пользователя Al
И флаг вам в руки! :) Каждому свое...
Аватар пользователя абыфацель
Не флаг, а "КВ" у нас в руках.
Аватар пользователя SF
Ф обшчым, все идём под Линух. А что заказчику что-то под винду надо - его проблема, пусть эмулятор ставить! Абы не виста...
Аватар пользователя mike
>В традициях Микрософт втихаря иметь ещё и недокументированые спецификации...

Простак. Это у всех разраборщиков так. :)

Аватар пользователя Эдуард
>>железяки с надписью "vista ready" покупать не стоит

Не выйдет у них из этой задумки, как не вышло из продажи двд-призервативов (одноразовых). Покупатели такое не купят (если только заранее заготовленный бренд-нейм), а производитель вряд-ли будет делать.