Există o soluție DRM open-source? [închis] (Programare, Drm)

Karel Bílek a intrebat.

Există o bibliotecă/un cadru DRM cu sursă deschisă, bine documentată și utilizată?

Vreau să scriu un cadru pentru cumpărarea și vânzarea de materiale digitale, în care vreau să implementez cumva posibilitatea ca vânzătorul să aibă posibilitatea de a bloca fișierele cu un fel de DRM, pe care doar computerele autorizate să le poată deschide (ceva de genul iTunes FairPlay).

Acest lucru poate, și probabil că trebuie, să implice contactarea serverului meu cu niște credențiale de autentificare.

Pe de altă parte, vreau ca clientul să fie open-source și, probabil, și serverul… este posibil? Securitatea prin obscuritate nu funcționează, dar DRM nu este tocmai „securitate”…

Tot ce am reușit să găsesc este această discuție pe slashdot cu exact aceeași problemă, dar s-a încheiat cu „DRM IS BAD”, și proiectul DReaM de la Sun, dar nu am nici o idee cum să ajung la codul real/utilizarea cadrului pe site-ul lor..

Dacă credeți că DRM-ul Open Sourced nu este posibil, spuneți-mi acest lucru.

Comentarii

    21

  • Ca o notă secundară, iTunes a renunțat la DRM-ul său. Cei 0,02 dolari ai mei – DRM nu funcționează. Nu voi mai cumpăra niciodată nimic cu DRM. Nu pot reda mii de melodii pe care le-am cumpărat legal, pe banii mei, din cauza DRM-ului și a actualizărilor computerului. Pe de altă parte, pot asculta fără probleme mii de alte melodii pe care le-am descărcat ilegal. Voi plăti cu plăcere pentru muzică bună, dar aș prefera să mă spânzur decât să mai am de-a face cu DRM în orice altceva. –  > Por Chris Lutz.
  • nu chiar – serviciul lor de închiriere/cumpărare de materiale video de pe iTunes este plin de DRM. –  > Por Karel Bílek.
  • @Karel – Serios? Am pierdut parola contului meu de la magazinul iTunes (ceea ce explică faptul că mi-am pierdut toată muzica) și nu m-am mai obosit să încerc să cumpăr nimic de ani de zile, așa că nu aș putea ști despre videoclipurile lor. Cu toate acestea, oricum nu aș cumpăra niciun videoclip de la ei. Pot închiria un DVD de la un magazin video local la fel de ieftin (sau mai ieftin). –  > Por Chris Lutz.
  • Știu că este puțin off topic, dar nu au „reamintire de parolă” sau ceva de genul ăsta? –  > Por Karel Bílek.
  • @Karel din nou – Am încercat. Mă întreabă care este băutura mea preferată dintotdeauna (asta a fost întrebarea mea de securitate). Am încercat toate variantele de „Dr. Pepper” la care mă pot gândi. Nici un zar. –  > Por Chris Lutz.
6 răspunsuri
Steve Jessop

Acest lucru pretinde a fi o implementare open source a OMA DRM2. Presupun că conține componentele software necesare pentru a construi serverul și clientul, lăsând hardware-ul ca un exercițiu pentru cititor:

http://sourceforge.net/projects/openipmp

Licența este MPL, care este o licență FOSS necompatibilă cu GPL.

Nu am nicio experiență cu această implementare, dar am avut puțină experiență cu OMA DRM, iar la momentul respectiv mi s-a părut a fi o schemă DRM viabilă, așa cum orice schemă DRM este viabilă. Standardul OMA DRM este bine documentat și este (sau cel puțin a fost) utilizat pe scară largă de industria telefoanelor mobile.

Problema fundamentală a DRM cu sursă deschisă este că, deși toți algoritmii și codul sursă pot fi publicate fără a afecta sistemul, dispozitivele client trebuie să fie „de încredere” pentru ca emitentul drepturilor să respecte drepturile, adică să nu facă nimic interzis. Acest lucru este incompatibil cu FOSS, care spune că utilizatorul unui dispozitiv ar trebui să aibă control deplin asupra a ceea ce face acesta.

Securitatea prin obscuritate nu funcționează, dar DRM nu este tocmai „securitate”.

Securitate prin obscuritate a algoritmilor este de obicei slabă. Securitatea prin secretizare a informațiilor este singura modalitate de a face criptografiere, semnare etc. DRM nu necesită obscuritatea algoritmilor (acesta este motivul pentru care OMA DRM este un standard publicat și cum se face că sursa unei implementări poate fi publicată și poate fi utilizată în mod liber), dar necesită ca dispozitivul de redare să aibă acces la informații (un fel de cheie) pe care utilizatorul dispozitivului nu le are și care nu fac parte din algoritm/sursă.

În mod normal, securitatea îl protejează pe proprietarul/utilizatorul unui dispozitiv de un model de amenințare al atacatorilor externi. În modelul de amenințare DRM, proprietarul/utilizatorul dispozitivului este atacatorul, iar proprietarul drepturilor este apărat. Dacă utilizatorul dispozitivului deține controlul deplin asupra acestuia, atunci, în mod clar, în principiu, este vorba de sfârșitul jocului.

În practică, s-ar putea să nu fie atât de imediat, dar în cazul sursei deschise, permițându-le oamenilor să își scrie proprii clienți DRM care să îi împiedice să copieze datele protejate de drepturi ar însemna să le ceară acestora să fie uimitor de sinceri.

Uneori, utilizatorii pot fi convinși să respecte legea, caz în care DRM are rolul de a le reaminti că, dacă fac tot felul de eforturi pentru a ocoli restricțiile, atunci este posibil să încalce legea.

Comentarii

  • openipmp a fost actualizat ultima dată în 2006 – mă întrebam dacă rulează cu adevărat pe Android și dacă cineva l-a implementat deja cu succes pe acesta. –  > Por Mathias Conradt.
  • pentru cineva care dorește să obțină rapid o soluție funcțională și să o pună în funcțiune, utilizând bibliotecile open source cât mai mult posibil, dar în același timp să reducă timpul de producție, vă rugăm să aruncați o privire la acest – aameer.github.io/articles/digital-rights-management-multi-drm –  > Por Aameer.
bdonlan

DRM-ul open-source este practic imposibil.

Scopul DRM este de a împiedica un utilizator să decripteze anumite date, permițându-i în același timp să facă acest lucru în anumite circumstanțe. Cadrul teoretic al criptării face ca acest lucru să fie absurd – cum ar putea utilizatorul să aibă cheia de decriptare a unor date doar dacă le folosește în scopuri aprobate?

Soluția adoptată de sistemele DRM existente este de a face eforturi ridicole pentru a ascunde cheia – un exemplu perfect de securitate prin obscuritate – dar, dacă codul sursă este disponibil, este banal să se modifice pur și simplu codul pentru a oferi cheia utilizatorului. În acest moment, nu mai contează cât de bună este criptarea, utilizatorul are tot ce-i trebuie pentru a o sparge.

O soluție la toate acestea este utilizarea Modulul de platformă de încredere pe unele mașini pentru a verifica imaginea binară a tuturor programelor care ar putea avea acces la cheie și pentru a se asigura că cheia însăși este inaccesibilă (criptată cu o cheie derivată dintr-o valoare secretă arsă în hardware). Cu toate acestea, nu sunt sigur cât de comune sunt TPM-urile și, în plus, acest lucru ar contrazice în mare măsură ideea de a crea software-ul în regim de sursă deschisă, deoarece nu ați putea să îl modificați în niciun fel fără a pierde accesul la cheile DRM.

În cele din urmă, într-o notă mai practică, DRM-ul pare să fie oricum pe cale de dispariție – de exemplu, iTunes a renunțat complet la DRM, iar industria cinematografică pare să se îndrepte și ea în această direcție…

Comentarii

  • „dacă codul sursă este disponibil, este banal să modifici pur și simplu codul pentru a înmâna cheia utilizatorului” – presupunând că poți încărca codul pe dispozitiv, motiv pentru care DRM tinde să funcționeze mai bine pe telefoanele mobile decât pe PC-uri și pentru care GPL3 include acea clauză anti-tivo. –  > Por Steve Jessop.
  • Da, TPM ar avea rolul de a împiedica încărcarea de cod în cazul PC-urilor. Cu toate acestea, dacă nu se poate încărca niciun fel de cod, atunci crearea DRM este destul de banală, deoarece nu trebuie să ascundeți cheia foarte bine. –  > Por bdonlan.
  • „dacă nu se poate încărca niciun fel de cod, atunci realizarea DRM este destul de banală”. În practică, abordarea pe Symbian, de exemplu, este că utilizatorul poate încărca cod, dar acest cod este împiedicat de kernel să acceseze API-urile DRM. Așadar, nu este vorba de faptul că „nu poți încărca deloc cod”, ci doar că nu poți încărca deloc cod legat de DRM. Faptul că acest lucru este „trivial” depinde probabil de faptul că tu ești cel care trebuie să implementezi kernel-ul Symbian. –  > Por Steve Jessop.
  • Oh, iar cheia este ascunsă de limitele proceselor. Așadar, seamănă puțin cu un TPM în unele privințe, dar are o abordare diferită în altele. –  > Por Steve Jessop.
  • 2009 ani în urmă – „industria cinematografică pare să se îndrepte și ea în această direcție”. 2015 – industria cinematografică a impus module DRM proprietare, DRM-ul este ferm pe youtube/netflix/…, este preinstalat pe Chrome și, probabil, pe Firefox și pe toate dispozitivele mobile moderne, etc. etc. Lucrurile nu se schimbă niciodată. –  > Por Karel Bílek.
Utilizator

Pentru o soluție DRM open-source va exista probabil o fisură open-source.

Multe dintre soluțiile DRM funcționează, de fapt, pe baza principiului „security-by-obscurity”. Ceea ce înseamnă că unele dintre ele nu sunt încă sparte pentru că modelele lor sunt ținute secrete. Chiar și acest lucru nu împiedică spargerea sistemelor DRM majore.

Comentarii

  • De acord. Sistemele DRM proprietare se strică foarte, foarte repede. Nu aș fi optimist în privința puterii unei soluții open source. Bineînțeles, DRM-ul este semnificativ de defectuos de la bun început. Nu contează dacă DRM-ul este suficient de bun pentru a împiedica 99,999% dintre utilizatori să facă o copie sau să folosească un program. Dacă o singură persoană află cum să o spargă, DRM-ul dvs. nu mai are nicio valoare. Fișierul este partajat, programul are un crack disponibil etc. Pentru a „reuși” aveți nevoie de o soluție hardware și chiar și atunci nu este un lucru sigur. –  > Por Steven Richards.
  • Ei bine … M-am gândit că există algoritmi de criptare foarte puternici și practic imposibil de spart, atât simetrici, cât și asimetrici … deci, poate exista un sistem DRM care să funcționeze (poate construit într-un mod la care nu m-am gândit) și care să fie de neînvins prin natura sa. Dar, probabil că nu –  > Por Karel Bílek.
  • Ei bine, chestia este că… playerul tău va avea nevoie de conținutul original pentru a-l putea reda. Deci, la un moment dat, fișierul este decriptat. Apoi, scrierea crack-ului ar însemna, de fapt, actualizarea algoritmului pentru a decripta conținutul offine, mai degrabă decât în modul de streaming live. –  > Por Utilizator.
  • Acesta este doar un gând… DRM-ul generic complet, în forma actuală, s-ar putea să nu fie posibil… Dar este posibil să se creeze o schemă în care conținutul este creat pe de o parte cu un program încorporat care, la rândul său, continuă să modifice criptarea conținutului înainte de a-l reproduce în timp… Jucătorul sau privitorul acestui conținut poate executa doar acest algoritm care se află în conținutul însuși… –  > Por Atul Dravid – White Pvt. Ltd..

DRM-ul este stricat deoarece se bazează pe principiul „securitate prin obscuritate”.

Există și alte soluții, cum ar fi filigranarea.
Atunci când vindeți ceva unui client, marcați cu filigranul cu numele clientului. Dacă găsiți această filigrană în rețeaua de partajare, veți ști unde este scurgerea. Dacă clientul știe că există o filigranare (cred că este mai cinstit să îl avertizezi), probabil că nu va mai partaja.

Comentarii

  • „probabil că nu va partaja” – sau va elimina filigranul înainte de a face acest lucru. Ceea ce este necesar nu este recuperarea fișierului original, ci deteriorarea filigranului până la punctul în care acesta nu se mai poate distinge de orice alt filigran plasat prin aceeași schemă. –  > Por Steve Jessop.
Brianorca

În general, sunt anti-DRM. Cu toate acestea, am văzut o singură implementare a DRM pe care aș putea să o susțin, și care folosea informațiile cardului de credit al utilizatorului ca cheie de decriptare. Deși nu este infailibilă, are cel puțin avantajul de a folosi informații pe care utilizatorul DOREȘTE să le păstreze private. (Cel puțin în teorie.)Era încă portabilă între dispozitivele mele. Cu toate acestea, cu o astfel de cheie vizibilă, plus un cititor cu sursă deschisă, există posibilitatea ca un utilizator să poată stoca și copia datele decriptate, ceea ce ar face ca DRM-ul să devină inutil.

Tomas Vinter

Merită să menționăm că depinde de conținutul pe care doriți să îl protejați. Dacă doriți să protejați conținutul pe care îl dețineți dumneavoastră, iar daunele în cazul în care conținutul se scurge nu sunt devastatoare, atunci ați putea, de exemplu, să vă uitați la Open IPMP, menționat anterior. Proiectul Suns DReaM este încă disponibil online, însă merită menționat faptul că proiectul este închis din cauza inactivității. O problemă apare atunci când doriți să protejați conținutul pe care nu îl dețineți. Este foarte posibil ca proprietarii conținutului să nu permită ca acesta să fie protejat de o soluție DRM cu sursă deschisă. Proprietarii de conținut au tendința de a opta pentru soluții proprietare precum Microsoft WMDRM/PlayReady, Marlin sau Helix. Așadar, dacă cadrul dvs. va fi folosit pentru a vinde, de exemplu, conținut de la Hollywood, nu v-aș recomanda să investiți timp într-o soluție drm open source.

Tags: