Зияющие вершины

В текущих новостях 2015 г. явно обозначился очередной виток нескончаемой борьбы с так называемым «пиратством». В частности, стало известно, что в новой ОС Microsoft Windows 10 защита «высококачественного контента» от нелегального копирования будет возложена не на программные (как обычно), а на аппаратные криптографические средства компьютера… Имеет смысл вспомнить, как это все начиналось.

(Январь 2004)

Babel-T-escher

Начиная с весны прошлого (2003) года, почти каждый месяц приносит какое-нибудь новое известие о все более отчетливой и конкретной материализации инициативы под завлекательным, на первый взгляд, названием Trusted Computing (TC).

На русский доходчивее всего это можно перевести как “ДоверяйКо” (от Доверяемый Компьютер). Ныне многим уже, вероятно, известно, что несколько лет назад несколько ведущих фирм-изготовителей компьютерной индустрии — Intel, IBM, AMD, HP Compaq и Microsoft — объединились в консорциум, чтобы “более широко внедрять доверие и безопасность в разнообразные компьютерные платформы и устройства — от ПК и серверов до карманных компьютеров и цифровых телефонов”.

Поначалу альянс назывался TCPA, а с апреля 2003 года все затеянные работы по внедрению доверия ведутся под эгидой специально созданной ради этого “открытой промышленной группы” Trusted Computing Group, она же TCG (www.trustedcomputinggroup.org). К настоящему времени членами TCG являются свыше 200 компаний самого разного профиля и масштаба.

Платформе партии — доверяем… Или нет?

Итак, цель, поставленная альянсом, звучит очень благородно — “создание архитектурной платформы для более безопасного компьютера”. Вот только позиции, с которых в TCG определяют “безопасность”, вызывают сильные возражения у очень многих независимых и авторитетных экспертов в области защиты информации.

Потому что машины, создаваемые по спецификациям Trusted Computing, будут более “доверяемыми” с точки зрения корпораций, создающих программное обеспечение, и индустрии развлекательного контента. А вот с точки зрения самих владельцев новых компьютеров доверия к машинам станет значительно меньше.

Потому что совершенно очевидно — в конечном счете спецификации “ДоверяйКо” перемещают весь контроль за работой ПК от владельца к тем, кто изготовил программы и создал файлы по лицензии TCG.

Примерно с лета 2002 года, когда публика впервые узнала о секретном до того проекте Microsoft под названием Palladium (составная часть инициативы TCPA), происходит непрерывная чехарда со сменой условных наименований и аббревиатур.

Проект Palladium, в целом вызвавший отчетливо негативную реакцию общественности, вскоре сменил свое звучное имя на спотыкучее NGSCB (читается как “энскюб”, а расшифровывается как Next-Generation Secure Computing Base, т.е. “безопасная вычислительная база следующего поколения”).

Консорциум TCPA по каким-то, даже не разъясненным рядовым участникам, причинам стал называться TCG. В корпорации Intel всю инициативу предпочитают называть Safer Computing, т.е. “более безопасный компьютинг”.

Короче, поскольку за всем этим мельтешением продолжают оставаться те же самые центральные игроки с прежними целями, у многих создается сильное подозрение, что это своего рода дымовая завеса. Или как бы маневры, призванные отвлечь внимание публики от того, что же в действительности делает “ДоверяйКо”.

(Хотя, с другой стороны, длинные и мудреные аббревиатуры — это хорошо известная, застарелая болезнь бюрократии. Достаточно вспомнить знаменитую историю с технологией PC-card, которую создатели поначалу долго именовали PCMCIA, а острословы расшифровывали как People Cannot Memorize Computer Industry Abbreviations — “люди не могут запомнить сокращения компьютерной индустрии”.)

Что и как делает Trusted Computing?

Если воспользоваться разъяснениями Росса Андерсона, профессора Кембриджа и весьма известного в мире компьютерной безопасности эксперта, система “ДоверяйКо” обеспечивает такую компьютерную платформу, в условиях которой вы уже не можете вмешиваться ни в работу программных приложений, ни в то, где эти приложения в защищенном режиме самостоятельно связываются со своими авторами или друг с другом.

Исходный мотив для проектирования всего этого хозяйства был задан требованиями Digital Rights Management (DRM) — “управления цифровыми правами” на контент. Фирмы звукозаписи и кинокомпании хотят продавать свои диски и файлы так, чтобы их было нельзя бесконтрольно в компьютере скопировать, перекомпрессировать или выложить в Интернет. Одновременно TC предоставляет возможности очень сильно затруднить работу нелицензированного программного обеспечения, т.е. в потенциале является серьезным инструментом для борьбы с пиратскими программами.

Достигаются все эти цели с помощью комбинации специальных аппаратных и программных средств, следящих и докладывающих “в компетентные инстанции” о том, что делается в компьютере. Важная роль здесь отводится запаиваемой в системную плату микросхеме Trusted Platform Module, кратко TPM, быстро получившей звучное имя “фриц-чип” в честь американского сенатора Фрица Холлингза. Под давлением индустрии развлечений этот сенатор, когда возглавлял в Конгрессе США Комитет по торговле, настаивал на обязательном встраивании таких чипов в каждый выпускаемый компьютер.

В целом же текущей версией (1.1) спецификаций TCG на 2003 год предусмотрено пять взаимно увязанных элементов: (а) фриц-чип, (б) “экранирование памяти” внутри процессора, (в) программное ядро безопасности внутри операционной системы (в Microsoft это именуют Nexus), (г) ядро безопасности в каждом TC-совместимом приложении (в терминологии Microsoft — NCA), (д) плюс поддерживающая все это дело специальная онлайновая инфраструктура из серверов безопасности, с помощью которых фирмы-изготовители намерены управлять правильной и согласованной работой всех компонентов.

В своем идеальном (намеченном изначально) варианте TC подразумевает, что все компоненты компьютера должны при установке автоматически проходить “проверку благонадежности” с применением криптографических протоколов, а индивидуальные параметры “железа” (звуковой карты, видеоплаты, накопителей) и ПО (ОС, драйверы и т.д.) в хешированном, т.е. сжатом и шифрованном, виде хранятся в модуле TPM. Вся информация хранится и пересылается между доверяемыми компонентами в зашифрованном виде.

Фриц-чип надзирает за процессом загрузки, дабы ПК после включения вышел в предсказуемую рабочую точку, когда уже известны и одобрены все компоненты “железа” и ПО. Если машина загружается в “правильное состояние”, то фриц предоставляет операционной системе хранимые в нем криптографические ключи для расшифровки нужных в работе приложений и их данных.

Ядро безопасности в операционной системе (Nexus) обеспечивает взаимодействие между фриц-чипом и компонентами безопасности (NCA) в приложениях. Кроме того, Nexus работает совместно с “экранированной памятью” в новых процессорах, чтобы не позволить одним TC-приложениям работать с данными (считывание / запись) других TC-приложений. Эта новая особенность процессоров у разных изготовителей именуется по-разному: у Intel — технология LaGrande, а у ARM, к примеру, TrustZone.

Если же загрузка вывела ПК в “неправильное состояние”, когда новый хеш не совпал с хранимым в TPM, то модуль не выдаст криптоключи, а значит на машине (в лучшем случае) можно будет запускать лишь “левые” приложения и данные, не имеющие сертификата на TC-совместимость. Ну, а поскольку на будущее мыслится, что весь достойный контент и все достойные его обрабатывать программы непременно станут TC-совместимыми, то судьба конечного пользователя легко предсказуема — делать лишь то, что разрешат компании-правообладатели.

Скорее всего, это выльется в небольшую, но постоянную плату за каждые просмотр/прослушивание, а также в постоянные отчисления “арендной платы” изготовителям ПО (им тоже надо кушать, а коль скоро появляется возможность, программы гораздо приятней не продавать в бессрочное пользование, а выдавать как бы напрокат).

Как только арендная плата перестает поступать, программа может, скажем, не только прекратить функционирование, но и сделать более недоступными все созданные с ее помощью документы или файлы. Это лишь один из возможных вариантов, которых на базе новой “доверяемой” платформы можно наизобретать сколько угодно.

Китайская тактика просачивания

Понятно, что даже в столь кратком изложении описанная архитектура не сулит владельцу будущего компьютера ничего хорошего. И сегодня склонить людей к покупке железа и программ, опирающихся на технологию “ДоверяйКо” — вещь, казалось бы, совершенно нереальная. Однако, инструменты манипулирования сознанием масс на сегодняшний день уже столь мощно развиты, что (как говаривал Борис Абрамович Березовский) даже обезьяну можно протащить в премьер-министры. Что уж тут говорить о какой-то непопулярной технологии.

В военном деле, как известно, существуют две базовые модели боевых действий — в наступлении и в обороне. Но мудрые китайцы когда-то изобрели еще одну, весьма эффективную модель “войны без боя” — под названием просачивание.

Суть просачивания в том, чтобы многочисленными, но внешне неприметными и разрозненными группками проникнуть за линию фронта, распределиться в тылу противника, а уже затем согласованно ударить изнутри по ключевым точкам. Пусть на это потребуется не один год, однако эффективность решающего удара может быть очень высокой, поскольку “просочившихся” почти никто в лагере противника не воспринимает как реальную угрозу.

Совершенно очевидно, что индустрия развлекательного контента рассматривает пользователей ПК в качестве своих “противников” и ищет разные — оборонительные, наступательные, какие угодно — средства для борьбы с ними. Столь же очевидно, что флагманы компьютерной промышленности, долгое время пытавшиеся сохранять в этой борьбе нейтралитет ради интересов собственных прибылей, уже сделали свой выбор.

Вполне ясны и мотивы, подтолкнувшие их к “закручиванию гаек”. Упор на развлекательный контент ныне видится главным залогом успешных продаж ПК, а компьютер может стать “центром домашних развлечений” в домах будущего лишь при том условии, что будет устраивать индустрию контента. В противном случае все прибыли достанутся фирмам бытовой электроники, предлагающим свою версию “центра” на основе продвинутых ресиверов, игровых приставок или чего-то еще, отличного от “не в меру гибкого” компьютера.

В результате рождается альянс Trusted Computing и соответствующие спецификации на новую архитектуру, а параллельно идут аккуратные прощупывания потребителя на предмет того, в каком виде он готов все это заглотить (а “массовый заглот” необходим непременно — по грубым оценкам, для экономически оправданного разворачивания всей нужной инфраструктуры TC требуется набрать “критическую массу” примерно в 100 миллионов машин).

За прошедшее время вокруг “ДоверяйКо” уже отмечены и анекдотические казусы, и примеры элегантного маневрирования.

Так, в Microsoft по сию пору упорно настаивают, что разработка Palladium/NGSCB абсолютно никакого отношения не имела к борьбе с нелегальным копированием Windows. Когда на одной из конференций компетентный представитель Microsoft в очередной раз озвучил эту мысль, заявив даже, что корпорации вообще “неведомо, каким образом эту технологию можно применять против пиратского копирования”, один из присутствовавших хакеров (Лаки Грин, в миру более известный как Марк Брисено) возмутился настолько, что решил пойти на крайние меры.

Он подал на оформление сразу две патентные заявки, описывающие методы применения NGSCB для борьбы с копированием программ. Оформление патентов — процедура долгая, но если дело выгорит, то Microsoft придется либо официально доказывать, что у них имеется в этой области приоритет (а значит они откровенно лгали), либо просить у Лаки Грина лицензию (заведомо зная, что Грин ее ни за что не даст). Либо, наконец, продемонстрировать миру свою кристальную чистоту и никогда даже не пытаться связывать NGSCB с защитой ПО от копирования.

В корпорации Intel маневрирование ведется более тонко. Технология LaGrande впервые была представлена публике осенью 2002 года, в рамках форума разработчиков IDF. Поначалу было объявлено, что LaGrande будет встраиваться во все грядущие процессоры фирмы. Однако публика, несмотря на посулы большей безопасности, среагировала на эту новость скорее негативно, чем положительно.

В 1999 году у Intel уже был крайне неприятный опыт, когда корпорация начала добавлять в процессоры Pentium III уникальный серийный номер, позволявший индивидуально отслеживать с Сети каждую машину. Последовавшая буря протестов, призывы к бойкоту и общий ущерб репутации явно произвели на корпорацию впечатление. Поэтому теперь планы относительно LaGrande скорректированы с учетом начальной реакции публики.

Осенью 2003 года объявлено, что новая технология не будет внедряться тотально и ориентирована в основном на корпоративный, а не на потребительский рынок. Обещано, что пользователь сам будет выбирать, нужен ему чип с LaGrande или же без этой системы.

Но как бы ни проходили все эти маневры, суть их остается одна. Спецификации Trusted Computing постепенно усовершенствуются и реализуются в рыночных товарах, а в продажу понемногу выводятся настольные системы (Hewlett-Packard), ноутбуки (IBM) и материнские платы (Intel) с запаянным в схему “фриц-чипом” TPM.

Пока что изготовители заверяют, что эта микросхема не имеет никакого отношения к управлению цифровыми правами на контент, а просто служит надежным “сейфом” для хранения криптографических ключей пользователя. Но вполне очевидно, что это — технология “двойного назначения”, как принято говорить в военно-промышленном комплексе.

По барабану?

То, что принципы Trusted Computing откровенно противоречат интересам общества, наиболее отчетливо видно по реакции практически всех экспертов по инфобезопасности, не связанных с корпорациями. Ни один из них, насколько можно судить по прессе, не выступил с одобрением TC, а вот публичных выступлений с острой критикой — сколько угодно.

Так, весной 2003 года на крупнейшем в мире форуме по инфобезопасности — RSA Conference — по поводу Palladium специально выступали “отцы” криптографии с открытым ключом Уитфилд Диффи и Рональд Райвест. Как подчеркнул Диффи, интеграция схем безопасности в компьютерную архитектуру — вещь, безусловно, неизбежная и нужная. Однако избранный подход к решению этой проблемы в корне порочен, поскольку пытается увести из рук пользователя контроль за его собственной системой.

Детали технологии, просочившиеся в СМИ, свидетельствуют, что главные цели новых инициатив — не столько безопасность, сколько рыночное доминирование ведущих корпораций, изоляция ключевых элементов компьютера и фактически лишение прав пользователя на владение собственной машиной. Однако, подчеркнул Диффи, именно хозяину должны принадлежать ключи от собственного компьютера, а не государству или крупным корпорациям.

Рональд Райвест полностью согласился с мнением коллеги, призвав к широким общественным дебатам относительно действий крупнейших корпораций. Потому что именно общество (а не корпорации) должно определять, какого уровня поддержку своей защиты оно желает.

Достаточно очевидно, что чем больше человек понимает суть “ДоверяйКо”, тем определеннее его несогласие с таким “доверием”. На сегодняшний день главным, пожалуй, форпостом противников Trusted Computing стала специально созданная Россом Андерсоном веб-страница “Часто задаваемые вопросы о Trusted Computing” (www.cl.cam.ac.uk/~rja14/tcpa-faq.html).

Английский текст страницы переведен на немецкий, испанский, французский, иврит, китайский — короче говоря, на полтора (почти) десятка распространенных языков планеты. Бросается в глаза отсутствие арабского и славянских переводов. Про сложное отношение исламского мира к компьютерам и Интернету все более-менее ясно.

Но отсутствие русскоязычного текста, конечно, в глаза бросается. Видимо, россиянам все это дело “а по барабану”.

Или же все-таки нет?

#  #  #