Adobe, Amazon, Barnes & Noble. Все эти компании прилагают массу усилий для защиты электронных книг от копирования и распространения в интернете. Однако каждый раз находятся способы ее обойти или взломать. Как работает такая защита, как ее взламывают и какие альтернативные способы принуждения к покупке (в противовес краже) используют компании вместо DRM — обо всем этом поговорим в сегодняшней статье.

Электронные книги решают многие проблемы. Не нужно рубить деревья, тысячи книг умещаются на карте памяти размером с ноготь, а электронные читалки доступны любых форм и размеров, при этом их стоимость, если говорить об американском рынке, сопоставима со стоимостью десятка бумажных изданий. Неудивительно, что еще в 2011 году объем продаж электронных книг в магазине Amazon в США превысил объем продаж печатных изданий сперва в США, а буквально через год — и по всему миру.

Однако в 2015 году энтузиазм покупателей пошел на спад, а в 2016-м наметились просто-таки тревожные тенденции. Сперва замедлился рост продаж электронных изданий, а потом и вовсе продажи начали падать. Что случилось?

Свою роль здесь сыграла простейшая комбинация факторов: стоимость электронных изданий в крупных магазинах (Amazon, Barnes & Noble) почти догнала по цене бумажные книги, но ограничений у электронных изданий куда больше.

Например, возьмем Amazon. Что можно сделать с купленной на Amazon бумажной книгой? Да что угодно. Ее можно прочитать, одолжить другу, наконец — подарить, до или после прочтения. Ненужные книги можно сдать в макулатуру или отдать в библиотеку, где к ним получит доступ еще сколько-то читателей.

А что можно сделать с купленной на Amazon электронной книгой? Ее можно скачать на авторизованное устройство (любой планшет или телефон на Android и iOS или читалку на E Ink, если она Kindle) и прочитать. В некоторых случаях книгу можно одолжить другому пользователю, у которого также есть учетная запись Amazon. Впрочем, даже когда подобное разрешено, одалживать книги можно нечасто и ненадолго. Еще книгу можно удалить из своей библиотеки. На этом возможности заканчиваются.

Электронные книги прекрасно продавались пять лет назад, но на сегодняшний день продажи «электронки» у крупных магазинов падают, а перспективы электронных продаж уже не выглядят так радужно. Цены на «электронку» постепенно докарабкались до цен на бумажные издания, а присущие электронным форматам ограничения никто и не подумал снять. Ситуация дошла в своей абсурдности до предела после того, как студенты американских университетов дружно проигнорировали электронные учебники: при том что в электронном виде учебные материалы можно было купить на 20–30% дешевле бумажных, электронный учебник невозможно ни продать в конце учебного года, ни купить со скидкой в букинистическом отделе. При цене учебников, исчисляющейся десятками долларов, стоимость пользования электронными версиями заметно превышала стоимость владения «бумагой».

Что же мешает студентам, да и простым читателям, делиться книгами в электронной форме? Три буквы: DRM. Термином Digital Rights Management (DRM) обозначают различные виды защиты, с помощью которых правообладатели контролируют использование лицензиатом (уже не покупателем!) защищенного материала. Для электронных книг в качестве DRM чаще всего используется шифрование, но и здесь ситуация далеко не однозначна. Давай посмотрим, какие именно системы DRM используются в мире, а какие — у нас в стране.

 

PDF: прадедушка цифровых книг

Да, все правильно: одним из первых форматов электронных книг, в котором поддерживался DRM, был Adobe PDF. У компании «Элкомсофт», в которой работает автор этих строк, особо трогательное отношение как к формату, так и к компании Adobe: именно после успешного взлома DRM-защиты Adobe PDF разработчик Дмитрий Скляров оказался в американской тюрьме, а компания ввязалась в многомесячную тяжбу с Фемидой. Дмитрия арестовали во время поездки в США, где он делал доклад по особенностям защиты и взлома PDF, на следующий день после доклада на выходе из отеля (когда он собрал вещи и направлялся в аэропорт). И даже окончательное судебное решение Not guilty — «невиновен» — никак не компенсировало затраты нервов, времени и денег.

Сегодня же нам ничего не грозит, и особенности защиты формата PDF можно спокойно и безопасно обсуждать на страницах журнала. Если тебя действительно заинтересует тема шифрования, взлома и снятия защиты с PDF-файлов, рекомендую книжку, написанную Дмитрием Скляровым, — «Искусство защиты и взлома информации» (СПб., 2004). По иронии судьбы, в электронном виде книга распространяется именно в формате Adobe PDF. Следующие два раздела основаны на данных из книги.

 

Adobe PDF Merchant (Acrobat Web Buy)

Не пропускай этот раздел! Хоть на сегодняшний день Adobe PDF Merchant представляет исключительно исторический интерес (впрочем, как и вся защита Adobe PDF DRM), именно этот формат позволяет понять, что собой представляет защита DRM в применении к электронным изданиям. Основные принципы защиты DRM с тех пор мало изменились; изменилась в основном реализация.

Поддержка электронных книг появилась в виде подгружаемого модуля еще в Acrobat Reader 4.05, и первым таким модулем стал Acrobat Web Buy. Работа модуля была основана на тесном взаимодействии между клиентским устройством и сервером.

Acrobat Reader 4.05
Acrobat Reader 4.05

Что происходило при попытке открыть защищенную книгу? Модуль отправлял запрос на сервер DRM, который, собственно, и отвечал за управление правами. На сервер передавалась информация о покупке документа и идентификатор вычислительной среды, с которой делался запрос. В качестве идентификатора можно было использовать CPUID, серийный номер диска или идентификатор учетной записи пользователя в соответствующем приложении (это важно, поскольку именно такая привязка используется в современных схемах защиты).

Сервер, в свою очередь, проверял легитимность доступа к документу. Если проверка была успешно пройдена, сервер генерировал и отправлял устройству файл в формате RMF (Rights Management Format), который представлял собой XML-документ. В этом файле хранился криптографический ключ для расшифровки PDF, перечень разрешенных действий и сертификат для проверки лицензии.

Для проверки лицензии использовалось два ключа RSA длиной 1024 бит: один из них принадлежал издателю, а второй использовался Adobe в качестве доверенного сертификата, с помощью которого подписывался открытый ключ издателя.

Кроме того, в RMF-файле обязательно присутствовало хотя бы одно условие, которое требовалось для успешного доступа к документу. Таким условием могла быть привязка к учетной записи (идентификатору) пользователя, CPUID или серийный номер железа. Кроме того, можно было проверить дату, до наступления которой разрешался доступ к документу. Что интересно, условия можно было комбинировать с помощью логических операций AND и OR, что позволяло правообладателю, к примеру, сдавать PDF в аренду на определенный срок.

Система защиты была построена таким образом, что создать защищенный RMF-файл (а значит — и защищенную электронную книгу) без участия Adobe было невозможно (вспомним про второй ключ RSA). Зато, если в наши руки попадал RMF-файл, извлечь из него ключ шифрования было легче легкого.

Очевидная ошибка в реализации DRM PDF Merchant в том, что ключ шифрования передавался клиенту в готовом виде, а проверка условий была скорее формальностью, которой занималась та или иная программная реализация. Расшифровать сам документ можно было очень легко, просто вытащив ключ из RMF-файла. Вся защита строилась на предположении, что взломщику будет лень возиться с защитой. В целом систему PDF Merchant нельзя считать надежной системой DRM.

 

Adobe DRM (EBX)

Более свежая реализация от Adobe — защита электронных книг по протоколу Electronic Book Exchange (EBX), который разрабатывался организацией EBX Workgroup. Идея здесь в том, что при активации приложения для чтения электронных книг генерируется пара асимметричных ключей. Открытый ключ регистрируется на сервере, а секретный сохраняется на устройстве пользователя. При покупке лицензии читалка получает так называемый ваучер — XML-файл, в котором содержится ключ документа. Этот ключ шифруется с помощью открытого ключа пользователя. Кроме того, в ваучере содержится список прав доступа к документу и информация для проверки подлинности ваучера.

В этой схеме для расшифровки электронной книги нужен был доступ к секретному ключу пользователя (у самого пользователя доступа к нему не было, только само приложение могло извлечь ключ). Причем сам ключ дополнительно шифровался с помощью аппаратных идентификаторов устройства, что приводило к утрате лицензий при смене устройства. Для обхода этой проблемы был предусмотрен дополнительный способ доступа к секретному ключу, не зависящий от идентификаторов оборудования. Однако при использовании этого способа идентификатор можно было довольно легко вычислить, после чего секретный ключ пользователя можно было восстановить и получить неограниченный доступ ко всем купленным книгам.

Надежность и этой модели DRM неидеальна. Насколько нам известно, в Adobe eBook Reader не было сделано никаких значительных технических улучшений для снижения уязвимости DRM.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


2 комментария

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Windows 10 против шифровальщиков. Как устроена защита в обновленной Windows 10

Этой осенью Windows 10 обновилась до версии 1709 с кодовым названием Fall Creators Update …