Виста сильно меняет ключевые элементы
Операционной системы для обеспечения «защиты» так называемых «материалов класса люкс » (premium
content, в другом смысле — платного контента), т.е. данных с Blu-Ray или
HD-DVD дисков. Реализация этих защитных мер вызовет значительные затраты и ухудшение системных показателей, стабильности системы, технических затрат на поддержку и трат на железо и программы. Эти пункты затронут не только пользователей Висты, но и поразят всю
компьютерную индустрию, поскольку эффекты распространятся на все устройства и программы, которые когда-либо
могли бы войти в контакт с Вистой, даже когда они не используются прямо в этой ОС (например, железо в Макинтоше или Линукс-сервере). Этот документ проводит анализ затрат и «сопутствующих разрушений» (collateral damage), которые это вызовет в компьютерной индустрии.

Система защиты, встроенная в Висту,
возможно, представляет из себя самую длинную предсмертную записку, известную в человеческой истории.

Introduction

(……) Нехарактерно для технической спецификации — язык
документа Microsoft призывает производителей «добровольно» применять еще более строгие механизмы, чем предписаны документом.


Disabling of Functionality
Отключение функциональности

Механизм защиты материалов пропускает материалы
лишь через те интерфейсы, в которые также встроены
механизмы защиты. Сегодня чаще всего употребляемый интерфейс для вывода звука — S/PDIF (Sony/Philips Digital Interface Format). Большинство новых аудиокарт имеют TOSlink — оптический цифровой вывод высококачественного звука, и даже последнее поколение
материнских плат включают в себя как минимум коаксиальный (а часто и оптический) выход. Поскольку S/PDIF не имеет встроенных защит, Виста требует, чтобы интерфейс был отключен, если проигрываются защищенные материалы. Другими словами, если вы вложили кучу денег в аудио, которое берет сигнал из цифрового потока, вы не сможете его использовать с защищенными материалами.

Подобным же образом видео (YPbPr) окажется отключенным механизмами защиты Висты.

Indirect Disabling of Functionality
Непрямое отключение функциональности

Например, голосовые коммуникации через PC зависят от автоматического уничтожения
эха (AEC). AEC для работы требует подмешивания сигнала через обратную связь в поток основного сигнала, но защиты Висты этого не дозволяют, поскольку в механизме есть опасность (неавторизованного) доступа к материалам класса люкс. Виста позволяет лишь обратную связь сильно разрушенного, ухудшенного сигнала, которая, возможно, как-то будет полезна для минимального исполнения функции уничтожения
эха.

Требование отключить видео и аудио приводит к хаосу в стандартных системных операциях, т.к. использованная политика безопасности оказывается политикой «по высшей метке»: общий уровень чувствительности выставляется по уровню самой охраняемой информации в вашей системе. Так что в момент, когда аудио «класса люкс» появляется на вашей системе, возникнет принудительное ухудшение сигнала и отключение вывода.

Что делает механизм вдвойне занятным — тот факт, что ухудшение/отключение делается динамически, так что если материалы люкс непостоянны, либо замирают/нарастают,
либо включаются/выключаются, различные системы
вывода и качество вывода будет нарастать/замирать, включаться/выключаться синхронно.
Обычно такое поведение вызывает переустановку драйверов или даже возврат по гарантии, но в случае новой Майкрософтовской ОС оно лишь указывает на то, что все функционирует как надо.

Decreased Playback Quality
Снижение качества выхода

Помимо действий «все — или ничего», Виста требует, чтобы каждый интерфейс, обслуживающий люкс-потоки портил качество пропускаемого сигнала. Это делается через «сужающую систему» (constrictor), который ухудшает сигнал до гораздо более низкого уровня, затем снова раздувая его до первоначальных размеров, но со значительным понижением качества. Т.е., если вы смотрите на дорогом жидкокристаллическом дисплее сигнал с DVI высокого качества через свою видеокарту, и если присутствует защищаемый класс, вы увидите картинку, которая, как это выражено в спецификации, «слегка размыта», что-то вроде изображения на 10-летнем электронно-лучевом, который вы подобрали за $2 на распродаже.

…Единственное, что прямо разрешено — лишь ТВ-выход очень низкого качества, и
то — лишь после применения к нему Macrovision-обработки.

То же самое относится к звуку, который ухудшается до (фраза из спецификации) «размытого с меньшим числом деталей".

Примечательно то, что документы Висты утверждают, что различать собственные продукты по степени (принудительно испорченного) сигнала должны будут сами производители. Это звучит примерно как «перебить ноги олимпийским бегунам и составлять таблицу результатов по времени их финиша на костылях».

Помимо очевидных последствий намеренно саботированного качества
вывода, подобные средства могут иметь серьезные последствия
и для применений в областях, где высокое качество репродукции строго необходимо для результата. Например, в медицинской обработке изображений
запрещают или сильно не рекомендуют применять сжатие с потерями, т.к. внесенные артефакты могут приводить к неверной диагностике или даже в крайних случаях угрожать жизни пациента.

Elimination of Open-source Hardware Support
Уничтожение
Open-Source поддержки железа

Дабы предотвратить создание эмуляторов устройств с зашитой, Виста требует Скан Функциональности Компонентов (Hardware Functionality Scan, HFS), который бы получал уникальные «отпечатки» устройств, чтобы гарантировать, что они настоящие. Для этого
компьютер осуществляет операцию, которая уникальна для устройства данного типа.

Чтобы это работало, спецификация требует, чтобы операционные детали работы устройств оставались
конфиденциальны. Очевидно, любой программист, имеющий доступ к протоколу и способный написать для него драйвер, знает достаточно, чтобы
сымитировать HFS-отклик. Единственным способом защитить
скан «отпечатка» — не выпускать никаких технических деталей для
оборудования за исключением минимума, необходимого для рекламного сравнения с другими продуктами.

Elimination of Unified Drivers
Уничтожение унифицированных драйверов

Еще один расход, убыток, связанный с HFS-сканами: большинство
производителей (к счастью) несколько лет назад перешли к «объединенной» или «унифицированной» модели драйверов. Поскольку HFS требует уникального отклика для снятия «отпечатка» (например, для каждого графического чипа), более не станет возможным сохранять унифицированные
драйверы (как сегодня для Catalyst/Detonator/ForceWare).

Если графический чип интегрирован в материнскую плату, и к нему нет легкого доступа с шины, то стандарт не требует шифрования сигнала (см. ниже). Поскольку нагрузка на процессор при шифровании значительна, вполне вероятно, что это означает, что такие интегрированные чипы неожиданно станут очень популярны после выпуска Висты. Однако это ведет к проблеме:
придется вводить искусственные различия и несовместимость для различения чипов на карточке и на материнской плате для успеха скана
HFS.

Дополнительные проблемы возникают с аудио драйверами. Для системы HDMI audio выглядит точно так же, как и S/PDIF — намеренное инженерное решение для упрощения драйверов. Для Висты придется вводить искусственные различия, также понижая уровень поддержки
драйверов и увеличивая стоимость разработки.

Denial-of-Service via Driver Revocation
DoS (саботаж системы) путем манипуляций с драйверами

Как только в конкретном драйвере или карточке найдена уязвимость, его подпись-идентификация отзывается Майкрософтом, что означает, что он перестает работать (детали здесь
расплывчаты, возможно, минимальная функциональность
вроде экрана 640х480 будет позволена, чтобы система смогла загрузиться). Т.е. сообщение о баге в каком-либо драйвере или в карточке приведет к тому, что по всему миру поддержка его будет отключена до появления заплаты. Если это не самая последняя модель, и производителю не интересно переписывать драйверы (..), все устройства этого типа по всему миру становятся навечно
неработоспособными.

Угроза отзыва драйвера — атомная бомба, щелчок комиссарского револьвера, напоминающий пастве об их Долге.
Точно детали кувалды, которой будут бить по производителям, запрятаны
эти условия в конфиденциальных лицензионных соглашениях, но я слышал упоминания о многомиллионных штрафах и эмбарго на будущие версии вдобавок к угрозе отзыва разрешения на работу устройства, описанную выше.

Decreased System Reliability
Ухудшение надежности системы

Виста требует, чтобы устройства писали так называемые «tilt bits», если они заметят что-нибудь необычное. Например, если наблюдаются необычные флуктуации напряжения, сбои сигналов на шинах, слегка порченные return codes (возвращаемый статус об
успешности операции) после вызова функции. Подобные случаи не так необычны (автор приводит пару примеров). Ранее это не составляло проблемы — системы разработаны с некоторым запасом прочности, и это не сбивало их работу. Степень устойчивости может сильно разниться (…) — один очевидный пример — перепад напряжения в сети. Разные
PC в ответ на одинаковое внешнее воздействие
могут реагировать по разному — от полного
падения до абсолютного игнорирования перепада вообще.

Со введением tilt bits вся эта устойчивость идет в мусор. Любое
незаметное колебание неожиданно важно потому, что оно может быть знаком атаки на охраняемые материалы. Эффект, который это будет иметь на надежность систем, не требует дальнейших разъяснений.

«Функции защиты» вроде tilt bits несут зловещие возможности по саботажу систем (DoS)… Любая недружественная программа, учитывая
существующее количество количество рычажков для подрыва, которые услужливо
вставили в Виста, решившая потянуть за некоторые из них, причинит значительные повреждения. Последствия, с точки зрения компьютерной безопасности, весьма серьезны, поскольку крошечная, легко скрываемая программка будет достаточна
для полной остановки машины, и сама суть, натура «защиты материалов» в Висте сделает почти невозможным определить, почему происходит Denial of Service. Более того, авторы враждебных программ, пользующихся «функциями защиты», будут защищены актом DMCA против попыток реверс-инженеринга для нейтрализации тех «функций», которые они используют.

Даже без учета таких программ, последствия самой возможности внешнего агента выключить вашу инфраструктуру в ответ на утечку из потока данных, обнаруженную в каком-либо чипсете, огромны с точки зрения безопасности.

Правительства вне США уже нервничают о вопросах использования американских Операционных Систем даже без встроенной возможности удаленного саботажа. И как и в примере с ухудшением медицинских изображений, вы его не обнаружите, пока не станет слишком поздно, что превращает Виста
PC в тикающую бомбу с часовым механизмом.

Increased Hardware Costs
Увеличение стоимости железа

Increased Cost due to Requirement to License Unnecessary Third-party IP — увеличение расходов на лицензирование.
Защита таких удивительно ценных «материалов класса люкс» требует дополнительной технологии поддержки. К сожалению б`ольшая часть её принадлежит другим фирмам и требует
дополнительного лицензирования (далее автор приводит примеры).

Unnecessary CPU Resource Consumption
Расточительность ненужной нагрузки на процессор

Чтобы предотвратить вмешательство во внутренние коммуникации системы, все сообщения должны быть шифрованы и авторизованы. Например, поток на видеокарту должен быть шифрован кодом AES-128. Требования к криптографии простираются за шифрование данных и охватывают команды и управление между компонентами программ. Например, коммуникации между user-mode и kernel-mode должны
быть авторизованы OMG-метками, со значительной нагрузкой на вычисления на обоих концах канала.

Чтобы предотвратить активные атаки, драйвера должны обращаться к железу с опросами каждые 30 миллисекунд. Что означает, что даже когда в системе не происходит ничего, они должны просыпаться 30 раз в секунду, чтобы в системе могло и далее ничего не происходить.
Помимо этого, делаются дополнительные опросы, например, Виста обращается к видео
устройству при показе каждого кадра, дабы проверить, что подрывные рычажки (tilt bits) там, где им положено находиться.

Встроенная графика создает дополнительные проблемы в том, что блоки драгоценного охраняемого «материала люкс» хранятся в памяти, откуда они могут быть
записаны (сброшены) на диск. Чтобы этого избежать, Виста помечает такие страницы специальным битом защиты, который значит, что они должны быть зашифрованы прежде, чем быть скопированы на диск, и дешифрованы после попадания в память.
Однако Виста не предписывает никакого другого шифрования памяти, и с довольным видом оставит открытыми ваши банковские пароли, данные счетов и кредитных карт, личные данные и т.д. Механизм защиты, встроенный Майкрософтом, ясно дает понять, что в их глазах является «материалом люкс» и стоит гораздо больше, чем банковские пароли пользователя.

Final Thoughts
Заключение

«Никакие усилия не будут успешными, если
они не созданы с мыслью об удобстве для потребителя. Майкрософт верит, что хорошее впечатление — требование для успеха систем".
Майкрософт

В конце концов остается вопрос — почему MS, несмотря на трудности, продвигает этот проект? Если спросить
большинство, что они понимают под «premium media player», они ответят «PVR» или «DVD player», но не «Windows PC». Зачем с такими стараниями превращать PC в то, чем он не является?

В Июле 2006 Cory Doctorow опубликовал анализ анти-конкурентной
природы ограничения копирования в Аппловский iTunes (Information Week, 31 July 2006). Единственная причина, которую я вижу, по которой МС вынуждает своих клиентов, программистов, производителей плат и т.д.
пройти через столь болезненную процедуру, в том, что по её окончании Майкрософт полностью завладеет каналом распространения (distribution channel) «материалов люкс»

(…) Он не только исключит всех конкурентов, но и, поскольку он будет единственным каналом, сможет приказывать тем, кто поставляет программы, так, как
Apple сегодня приказывает музыкальной индустрии. Результатом станет технологически исполненная монополия, по сравнению с которой сегодняшняя де-факто монополия
Windows покажется эпохой рая на земле.

В целом, Виста выглядит как удивительно близорукий инженерный проект, концентрирующийся целиком на защите материалов и не берущий в расчет огромные последствия применяемых решений. Это компьютерный эквивалент европейского (и спешно отмененного) предложения впечатывать RFID в банкноты с большим номиналом в качестве меры против фальшивомонетчиков, полностью игнорируя тот факт, что главными пользователями этой технологии
стали бы преступники, которые бы смогли на расстоянии определять наиболее
подходящих для ограбления жертв.

Хуже всего то, что выхода нет. Изготовители железа будут вынуждены работать с Вистой: «подпись лицензии о защите материалов не требуется, но без лицензии
никакие охраняемые материалы не будут пропускаться к драйверу».

Какую бы систему вы не использовали — Висту, Уиндоуз, Линукс, ФриБиЭсДи, Соларис на x86 — майкрософтовская защита сделает ваш компьютер более дорогим, менее надежным, более трудным для программирования и поддержки, более подверженным враждебным программам и с большим числом проблем совместимости.

Acknowledgements

Этот документ был составлен из разных источников, включая те, которые я должен был
переписать своими словами, чтобы сохранить их анонимность.

Заключение от переводчика

Автор не смог себе представить причин, по которым МС заставляет всех идти путем Висты. Я могу их перечислить без труда.

Во-первых, «защита» видео и аудио — лишь небольшая часть проекта, о котором я уже писал. Идет полная переделка сетей в том виде, как они сложились к 2000-му.:

…тут и разработка целых специальных тактик, которые должны просто сделать мир общих стандартов и свободного обмена информацией и документами «вне закона», вроде идеи «безопасной документации»; вот отрывок из статьи создателя движения ГНУ Ричарда Столмана (перевод
suhov):

…Технически, идея вероломного использования вашего ПК состоит в том, что каждый файл сопровождается цифровой подписью, хранящейся втайне от вас. Специально спроектированное ПО использует эту подпись для того, чтобы решать, естественно без вашего согласия, какие файлы ему можно открывать, а какие нет (DRM – Digital Restrictions Management). Также такое ПО автоматически обновляет через Сеть свою базу данных, где хранятся ограничивающие правила. Если вы воспротивитесь «насильственному» обновлению, скажем, через файервол, то ПО перестаёт полноценно функционировать (ср. Активизация Windows).

Естественно, Голливуд и компании звукозаписи планируют воспользоваться данной возможностью для контроля над распространением видео и
музыкальной продукции в цифровом виде через Сеть.

Но это не всё. Есть планы распространить контроль на электронную почту и документы. Скажем, создавать документы с ограниченным сроком действия, перестающие читаться через заданное время («невидимые чернила» для автоматического затирания «нехорошего» приказа начальства) или читающиеся только в определённой компании. Можно ввести также цензуру, скажем, ввести всеобщее правило для запрещения «нежелательного» документа, открывающего какую-либо нелицеприятную тайну, например, о правительстве.

Между прочим, в США уже разрабатывается соответствующее законодательство. CBDTPA – одно из них. Даже если подобное законодательство не обяжет вас подчиниться новым правилам по вероломному использованию вашего ПК, социальное давление может сделать работу за него. Например, все будут пересылать документы в MS Word последней версии, и формат будет нечитабельным никаким другим ПО и даже самим Word более ранних версий.

Кстати, еще одним из корпоративных, совместных и согласованных «направлений атаки» в этом направлении является создание разного рода вдруг ставших популярными он-лайн (вечных) хранилок вашей почты, ваших закладок, бэкапов ваших внутренних файлов — проталкиваемых под предлогом, что «это удобно», потому что вы можете связаться с ними «из любого места с любого компьютера». Личный компьютер последовательно лишается личности и принадлежности вам, как личного хранилища вашей информации

Во-вторых, Майкрософт — не есть частная компания (которую создал гений Билл Гейтс). МС — «государство США», точно так же, как и Гугл
— «государство», госпроект сделанный на основе одного из существовавших поисковиков (кстати, еще одно доказательство того, что я несколько раз писал, появилось сегодня — очередной человек осужден американским судом на основе свидетельств о содержимом его поисков на Гугле).
Поэтому в моих представлениях об устройстве мира нет места рассуждениям, что в корпорации-монополисте «не подумали», что будет можно отключать любые компьютеры в мире и/или держать в строю любых производителей любых карт, драйверов и/или программ.

В связи с этим интересны несколько строчек заметки о принятии Российского закона этим летом (обнаружил их в выпуске «Системного Администратора»):

..Проект федерального закона «Об информации, информационных технологиях и защите информации» во втором чтении поддержали 395 из 450 депутатов. И также активно думцы промолчали по поводу
двух поправок, касающихся запрета на использование
зарубежных программно-технических средств в стратегических отраслях, и
особо важных объектах, а также недопустимости наличия в данных средствах недокументированных функций.

Авторы поправок, единороссы Геннадий Гудков и Александр Хинштейн, вынесли их на отдельное голосование. Но подавляющее большинство депутатов — 382 и 386 — просто уклонились от процедуры, демонстративно проигнорировав все возможные позиции — «за», «против» и «воздержался».
«По сути, это был саботаж…», — сказал Системому Администратору Дмитрий Горовцов, помощник депутата Госдумы РФ Геннадия Гудкова. Только 65 и 63 депутатов при голосовании за первую и вторую поправки определились со своей позицией и нажали кнопку «за»

Таким образом, зеленый свет дан и зарубежному софту в России, и прославившемуся законопроекту…

Совсем не зря работают майкрософтовские лоббисты

А в целом вся эта история — замечательная иллюстрация к теме о том, что в обществе паразита-посредника исполнение как бы заявленных функций (авиакомпания делает авиаперевозки, госпиталь — лечит, и т.д.) всегда становится второстепенным, и намеренный шантаж или саботаж функциональности для выбивания прибылей или достижения контроля за клиентами — самый что ни на есть повседневный прием, на который и внимание обращать как бы некузяво — «нуу, это же бизнес?».

Оригинал:

A Cost Analysis of Windows Vista Content Protection
Peter Gutmann, pgut001@cs.auckland.ac.nz
http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.txt

Перевод:
http://emdrone.livejournal.com/176676.html

Оставить мнение

Check Also

Используй, свободно! Как работает уязвимость use-after-free в почтовике Exim

В самом популярном на сегодняшний день почтовом сервере Exim был обнаружен опасный баг: ес…