Как пишет Питер Гутман, в новой операционной системе значительно переделаны некоторые ключевые компоненты, работающие с мультимедийной информацией. Целью этой переделки является защита так называемого «контента класса люкс» — тех файлов, которые обычно переписываются с дисков Blu-Ray или HD-DVD. Проблема в том, что осуществление такой защиты приводит к существенному снижению системной производительности и стабильности, увеличению затрат на поддержку, оборудование и софт. По мнению Гутмана, эти затраты лягут на плечи не только отдельных пользователей, но и на всю мировую компьютерную индустрию.
В своей статье “A Cost Analysis of Windows Vista Content Protection” (плохой перевод на русский) Питер Гутман анализирует, какую цену придется заплатить всем нам за технологию защиты контента в Windows Vista. Мы публикуем ключевые тезисы из этой статьи.
Отключение функциональности
Механизм защиты материалов пропускает защищенные материалы только через интерфейсы со встроенной защитой, а остальные интерфейсы отключает. Сегодня для высококачественного вывода звука чаще всего используется S/PDIF (Sony/Philips Digital Interface Format). Большинство новых аудиокарт имеют оптический цифровой вывод TOSlink, и даже последнее поколение материнских плат включают в себя как минимум коаксиальный (а часто и оптический) выход. Поскольку S/PDIF не имеет встроенных защит, Vista требует, чтобы интерфейс был отключен, если проигрываются защищенные материалы. Подобным же образом отключается канал YPbPr при просмотре защищенных видеороликов через незащищенные интерфейсы Vista.
Непрямое отключение функциональности
Например, для VoIP-телефонии критически важной функцией является автоматическое уничтожение эха (AEC). При работе функции AEC обратный сигнал подмешивается в поток основного сигнала, но защита Vista не позволит это сделать, поскольку в этом случае есть опасность доступа к защищенному контенту. Система Vista позволяет лишь передачу сильно испорченного, ухудшенного сигнала, который затрудняет эффективную работу AEC.
Снижение качества воспроизведения
Кроме прямого запрета на воспроизведение, Vista требует, чтобы каждый интерфейс, обслуживающий защищенные потоки, портил качество пропускаемого сигнала. Это делается через «сужающую систему» (constrictor), которая ухудшает сигнал до гораздо более низкого уровня, а затем снова восстанавливает его, но со значительным понижением качества.
Уничтожение открытых стандартов на оборудование
Дабы предотвратить создание эмуляторов устройств с зашитой, Vista проводит «сканирование функциональности компонентов» (Hardware Functionality Scan, HFS), которое получает уникальные «отпечатки» устройств и гарантирует, что они настоящие. Чтобы это работало, спецификация требует, чтобы операционные детали работы устройств оставались конфиденциальны. Очевидно, любой программист, имеющий доступ к протоколу и способный написать для него драйвер, знает достаточно, чтобы сымитировать HFS-отклик. Единственный способ защитить сканы «отпечатков» — не выпускать никаких технических спецификаций, за исключением необходимого минимума.
Уничтожение унифицированных драйверов
Еще одно следствие HFS-сканирования.
Саботаж «неугодных» драйверов
Как только в конкретном драйвере или устройстве найдена уязвимость, позволяющая копировать защищенный контент, его подпись-идентификация отзывается компанией Microsoft, что означает, что он перестает работать. Детали здесь расплывчаты, возможно, минимальная функциональность для устройства все-таки будет сохранена.
Угроза отзыва драйвера — это угроза многомиллионных штрафов и эмбарго на будущие версии драйверов, вдобавок к угрозе отзыва разрешения на работу устройства, описанную выше.
Ухудшение надежности системы
Система Vista требует, чтобы устройства писали так называемые «подрывные рычажки» (“tilt bits”), если они заметят что-нибудь необычное. Например, если наблюдаются необычные флуктуации напряжения, сбои сигналов на шинах, слегка порченные return codes (возвращаемый статус об успешности операции) после вызова функции, система устанавливает “tilt bit”.
Подобные “сбои” в работе программ случаются нередко. Раньше это не составляло проблемы — системы разработаны с некоторым запасом прочности, и это не сбивало их работу. С введением “tilt bits” вся устойчивость пропадает. Любое обычно незаметное колебание становится важно, потому что оно может быть знаком атаки на защищенный контент.
Увеличение стоимости оборудования
Защита таких удивительно ценных «материалов класса люкс» требует дополнительных трудозатрат по разработке драйверов и поддержке пользователей. Конечно, основная часть нагрузки ляжет на производителей оборудования.
Излишняя нагрузка на ЦПУ
Чтобы предотвратить вмешательство во внутренние коммуникации системы защиты контента, все сообщения должны быть шифрованы и авторизованы. Например, поток на видеокарту должен быть шифрован кодом AES-128. Требования к криптографии простираются за шифрование данных и охватывают команды и даже управление между компонентами программ. Например, коммуникации между user-mode и kernel-mode должны быть авторизованы OMAC-метками.
Чтобы предотвратить активные атаки, драйверы должны обращаться к железу с опросами каждые 30 мс. Помимо этого, делаются дополнительные опросы, например, Vista обращается к видеоустройству при показе каждого кадра, чтобы проверить, что «подрывные рычажки» (“tilt bits”) находятся там, где им положено находиться.
Вывод
Анализ системы защиты контента в операционной системе ясно показывает, что вся конструкция Windows Vista создана вокруг этой базовой идеи. Один характерный пример: блоки охраняемого «контента люкс» в памяти помечены специальным битом защиты и зашифрованы, чтобы эту информацию нельзя было скопировать на жесткий диск. Однако Vista не предписывает никакого другого шифрования памяти, и с довольным видом оставит открытыми ваши банковские пароли, данные счетов и кредитных карт, личные данные и т.д. Механизм защиты, встроенный «Майкрософтом», ясно дает понять: то, что в их глазах является «материалом люкс», стоит гораздо больше, чем банковские пароли пользователя.
Зачем Microsoft идет на такие беспрецедентные сложности? Здесь может быть только одно логичное объяснение. Если Microsoft удастся сделать систему Vista стандартной ОС, то корпорация получит монопольный контроль над каналами распространения защищенной цифровой информации. «Результатом станет технологически исполненная монополия, по сравнению с которой сегодняшняя де-факто монополия Windows покажется эпохой рая на земле», — говорит Питер Гутман.
В своей статье “A Cost Analysis of Windows Vista Content Protection” (плохой перевод на русский) Питер Гутман анализирует, какую цену придется заплатить всем нам за технологию защиты контента в Windows Vista. Мы публикуем ключевые тезисы из этой статьи.
Отключение функциональности
Механизм защиты материалов пропускает защищенные материалы только через интерфейсы со встроенной защитой, а остальные интерфейсы отключает. Сегодня для высококачественного вывода звука чаще всего используется S/PDIF (Sony/Philips Digital Interface Format). Большинство новых аудиокарт имеют оптический цифровой вывод TOSlink, и даже последнее поколение материнских плат включают в себя как минимум коаксиальный (а часто и оптический) выход. Поскольку S/PDIF не имеет встроенных защит, Vista требует, чтобы интерфейс был отключен, если проигрываются защищенные материалы. Подобным же образом отключается канал YPbPr при просмотре защищенных видеороликов через незащищенные интерфейсы Vista.
Непрямое отключение функциональности
Например, для VoIP-телефонии критически важной функцией является автоматическое уничтожение эха (AEC). При работе функции AEC обратный сигнал подмешивается в поток основного сигнала, но защита Vista не позволит это сделать, поскольку в этом случае есть опасность доступа к защищенному контенту. Система Vista позволяет лишь передачу сильно испорченного, ухудшенного сигнала, который затрудняет эффективную работу AEC.
Снижение качества воспроизведения
Кроме прямого запрета на воспроизведение, Vista требует, чтобы каждый интерфейс, обслуживающий защищенные потоки, портил качество пропускаемого сигнала. Это делается через «сужающую систему» (constrictor), которая ухудшает сигнал до гораздо более низкого уровня, а затем снова восстанавливает его, но со значительным понижением качества.
Уничтожение открытых стандартов на оборудование
Дабы предотвратить создание эмуляторов устройств с зашитой, Vista проводит «сканирование функциональности компонентов» (Hardware Functionality Scan, HFS), которое получает уникальные «отпечатки» устройств и гарантирует, что они настоящие. Чтобы это работало, спецификация требует, чтобы операционные детали работы устройств оставались конфиденциальны. Очевидно, любой программист, имеющий доступ к протоколу и способный написать для него драйвер, знает достаточно, чтобы сымитировать HFS-отклик. Единственный способ защитить сканы «отпечатков» — не выпускать никаких технических спецификаций, за исключением необходимого минимума.
Уничтожение унифицированных драйверов
Еще одно следствие HFS-сканирования.
Саботаж «неугодных» драйверов
Как только в конкретном драйвере или устройстве найдена уязвимость, позволяющая копировать защищенный контент, его подпись-идентификация отзывается компанией Microsoft, что означает, что он перестает работать. Детали здесь расплывчаты, возможно, минимальная функциональность для устройства все-таки будет сохранена.
Угроза отзыва драйвера — это угроза многомиллионных штрафов и эмбарго на будущие версии драйверов, вдобавок к угрозе отзыва разрешения на работу устройства, описанную выше.
Ухудшение надежности системы
Система Vista требует, чтобы устройства писали так называемые «подрывные рычажки» (“tilt bits”), если они заметят что-нибудь необычное. Например, если наблюдаются необычные флуктуации напряжения, сбои сигналов на шинах, слегка порченные return codes (возвращаемый статус об успешности операции) после вызова функции, система устанавливает “tilt bit”.
Подобные “сбои” в работе программ случаются нередко. Раньше это не составляло проблемы — системы разработаны с некоторым запасом прочности, и это не сбивало их работу. С введением “tilt bits” вся устойчивость пропадает. Любое обычно незаметное колебание становится важно, потому что оно может быть знаком атаки на защищенный контент.
Увеличение стоимости оборудования
Защита таких удивительно ценных «материалов класса люкс» требует дополнительных трудозатрат по разработке драйверов и поддержке пользователей. Конечно, основная часть нагрузки ляжет на производителей оборудования.
Излишняя нагрузка на ЦПУ
Чтобы предотвратить вмешательство во внутренние коммуникации системы защиты контента, все сообщения должны быть шифрованы и авторизованы. Например, поток на видеокарту должен быть шифрован кодом AES-128. Требования к криптографии простираются за шифрование данных и охватывают команды и даже управление между компонентами программ. Например, коммуникации между user-mode и kernel-mode должны быть авторизованы OMAC-метками.
Чтобы предотвратить активные атаки, драйверы должны обращаться к железу с опросами каждые 30 мс. Помимо этого, делаются дополнительные опросы, например, Vista обращается к видеоустройству при показе каждого кадра, чтобы проверить, что «подрывные рычажки» (“tilt bits”) находятся там, где им положено находиться.
Вывод
Анализ системы защиты контента в операционной системе ясно показывает, что вся конструкция Windows Vista создана вокруг этой базовой идеи. Один характерный пример: блоки охраняемого «контента люкс» в памяти помечены специальным битом защиты и зашифрованы, чтобы эту информацию нельзя было скопировать на жесткий диск. Однако Vista не предписывает никакого другого шифрования памяти, и с довольным видом оставит открытыми ваши банковские пароли, данные счетов и кредитных карт, личные данные и т.д. Механизм защиты, встроенный «Майкрософтом», ясно дает понять: то, что в их глазах является «материалом люкс», стоит гораздо больше, чем банковские пароли пользователя.
Зачем Microsoft идет на такие беспрецедентные сложности? Здесь может быть только одно логичное объяснение. Если Microsoft удастся сделать систему Vista стандартной ОС, то корпорация получит монопольный контроль над каналами распространения защищенной цифровой информации. «Результатом станет технологически исполненная монополия, по сравнению с которой сегодняшняя де-факто монополия Windows покажется эпохой рая на земле», — говорит Питер Гутман.