[Discussioni] Palladium

Davide Alberani alberanid a libero.it
Ven 19 Lug 2002 13:11:54 CEST 

Avvertenza: email oltre le 200 righe: non accostarsi in curva. :-)

On Jul 18, Paolo Redaelli <paolo.redaelli a poste.it> wrote:

> Qualcuno ha per caso letto le specifiche di Palladium (
> http://www.trustedcomputing.org/docs/main%20v1_1b.pdf )?

Queste molto di sfuggita.
Pero` ho letto http://cryptome.org/ms-drm-os.htm ,
http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html e svariati altri
articoli/commenti.

I commenti a seguire potrebbero essere _enormi_ cantonate.

> In particolare ci sarebbe da controllare se tutte le grida di
> allarme sono veritiere e se è in effetti impossibile creare ed
> usare sw libero in un apparecchio con Palladium.

Creare ed usare, si`.
La vera questione sarebbe "cosa potrai poi _fare_ con un sw libero"?

Anche sorvolando sul fatto che le funzionalita` di un PC TCPA-enabled
saranno disattivabili (? evil-<g>) sembra chiaro che sara`
possibile ottenere certificazioni da piu` CA (certification authority),
quindi niente vieterebbe la creazione di una CA per i pacchetti
binari prodotti dalle varie distribuzioni, ne` - suppongo - la
creazione di un sistema per certificare in maniera "locale" le
applicazioni compilate a manina.
Cominciare a prendere confidenza con openssl puo` essere una idea. :-)

Non sara` sfuggito al lettore attento che fino ad ora l'unico
risultato ottenuto e` la certificazione indiscriminata (la _mia_ CA
firma _tutto_, indipendentemente da _cosa_/_come_ faccia il dato software)
di programmi in forma binaria.
Inoltre la mancata certificazione non pregiudicherebbe granche`: il
TCPA si limiterebbe a dire che non ha fiducia nel sistema che sta girando.
Capirai il dramma...

Tutto cio` sarebbe anche una cosa bella di suo, peccato che appare
chiaro che l'intera infrastruttura e` un tantino sovradimensionata,
se ci si limita ad usarla per gestire signature di applicazioni, che
possono benissimo stare nei pacchetti delle distribuzioni e di cui,
comunque, non si sente una necessita` impellente.

I problemi sorgono con i - presunti - fornitori di servizi e contenuti:
non aspettarti che la Disney ti trasmetta Biancaneve _sotto_ i nani, se
il tuo PC risponde al loro server che tutto il tuo software e` si`
certificato, ma dalla "Debian Software OpenCA".
Posto che il tuo PC _risponda_: si suppone che saranno necessarie serie
modifiche ai protocolli esistenti (quando non la creazione di protocolli
del tutto nuovi, piu` in stile realaudio che non http, per indenderci) e
nuovi client e server.

Da qui le grida di allarme, terrore & raccapriccio.
Anche giustificate, se vogliamo: _se_ il sistema entrasse a regime
cosi` come lo intende chi ha scritto le specifiche, potrebbe pure
funzionare, in teoria.

Da parte mia pero` ritengo che quel "_se_" si piuttosto grosso e
sollevo obiezioni analoghe a quelle contro passport/hailstorm,
sistemone grandissimo durato - guarda caso - il tempo di un peto...

1. questioni tecniche.
Diciamolo: queste specifiche sono un fottuto casino.
E` gia` difficile scrivere cento righe di codice senza introdurre
quattro o cinque bug e potenziali problemi di sicurezza; qui si
parla di una infrastruttura distribuita di hardware e software.
Immersa, se posso dirlo, in un ambiente un tantino a lei ostile. :-)

hardware: inizialmente il Fritz chip dovrebbe essere un componente
separato sulla motherboard, con il suo bel bus verso il processore.
Immagino di non essere il solo a sentirlo gridare "stuprami adesso!".
Una volta integrato nel processore la cosa si potrebbe complicare, ma
gli interessi in gioco sarebbero tali da rendere plausibile un attacco
in tempi brevi dalla sua uscita.
Prendere un pezzo di silicio che sa fare bene conti di crittografia,
schiaffarlo su una motherboard o nel cuore di un x86 e sperare di
aver ottenuto un sistema _sicuro_ e`, imho, da ingenui.
Vogliono un criptoprocessor sicuro su ogni PC?  Bene, ma si preparino
a dover mettere un modulo IBM 4758 (o qualcosa di meglio, se possibile)
in ogni macchina.  La cosa e` del tutto anti-economica: Intel punta
a vendere _piu`_ processori, non _meno_.
Peraltro se distribuito su larga scala, suppongo che anche il pur
notevolissimo 4758 avrebbe bisogno di miglioramenti... (vedrei bene una
carica esplosiva all'interno, cosi`, tanto per evitare intrusioni
indesiderate... <g>)

software: codice ovunque, che bello!  Codice nella ROM del Fritz chip,
codice nel BIOS, codice del sistema operativo, delle librerie di sistema,
delle applicazioni, delle librerie delle applicazioni, dei client e dei
server.  Gi-e-su`: appena si _ipotizzera`_ una falla in uno qualunque
di questi strati (e saranno migliaia ad ogni livello) piu` o meno
_chiunque_ sappia programmare vi si attachera` con la simpatia di un
micino appeso alle palle di chi ha messo in piedi la baracca. :-)

protocolli: discorso analogo al software.  Magari il sistema - _se_
ben implementato, con gli "scudi alla massima potenza" ed in
ambiente controllato - potrebbe pure funzionare, ma ho il sospetto
che in molti casi si dovra` allentare la presa, se si vuole che
qualcosa faccia _almeno finta_ di funzionare: la rete e` men che
perfetta; ci sono PC dietro a reti che fanno NAT, altri che si
appoggiano a proxy, gli orologi non sono mai perfettamente
sincronizzati e centinaia di altre questioni; i protocolli dovranno
prenderne atto ed adeguarsi.  E nell'adeguarsi, mi pare inevitabile,
abbassare la guardia e scoprire il fianco a nuovi attacchi.

cose_che_nessuno_sa: parte del sistema si basa, mi pare, sulla
sicurezza di chiavi private; se quelle nel Fritz sono un problema
hardware, quelle delle CA saranno protette meglio del NORAD.
Il che pero` non toglie che entrambe saranno appetibili bersagli,
ed il primo errore da parte di chi le gestisce, potrebbe aprire
falle enormi.


2. questioni politiche.
Sembra ragionevole (?) pensare che le CA verranno lasciate piu` o meno
allo stato brado: certificheranno cosa vogliono, e i fornitori di
contenuti decideranno se rivolgersi all'una piuttosto che all'altra.
Diciamo che la Microsoft certifichera` il suo lettore multimediale e la
Warner Bros si fidera` di lei e trasmettera` i suoi film a
quell'applicazione (beh, se anche il resto del sistema e` Micr... errr...
_sicuro_, naturale...)
Supponiamo ora che la Ullala, francese, crei il proprio lettore
multimediale e che lo faccia certificare dalla FranceSoft CA.
Ora, la Microsoft potrebbe chiedere in maniera gentile alla Warner
di fidarsi solo di lei, e non di quei mangia-baguette della FranceSoft CA.
Ecco che il governo francese potrebbe irritarsi, nel vedere la propria
azienda fallire.
E` solo un esempio, ovvio: ci sono centinaia di casi diversi, a seconda
di come realmente il sistema verra` implementato/si evolvera`.
La cosa e` ancora piuttosto oscura, invero.


3. questioni legali.
Non sembra scritto nel marmo che in tutti gli stati del mondo sia
legale che il fornitore di contenuto possa stabilire _come_ io usero`
qualcosa _comprato_ da lui.  Vedere le recenti questioni sulle licenze
Adobe.
E` ragionevole pensare che altre saranno sollevate in futuro.


4. questioni economiche.
E` chiaro che gli interessi a scardinare/aggirare un sistema simile
sarebbero enormi.
E non si parla di un gruppetto di hacker/cracker (che pure e` ragionevole
pensare faranno la loro parte...), ma soprattutto di altre aziende/lobby
con altri interessi.
La MPAA puo` sbraitare quanto vuole che i DVD devono avere i codici
regionali e non si possono copiare, ma diamine, per la HP/Compaq (o chi
per lei) la venditata di masterizzatori DVD e` un _ottimo_ affare.
Ed e` noto che il mercato dell'hardware e` piu` cospicuo di quello
dei contenuti.


5. questioni di distribuzione.
I fornitori di contenuti, e` ovvio, hanno dimostrato grande interesse
verso questi sistemi e ne sono i principali promotori.
D'altro canto si sa che buttare giu` un progetto costa (quasi!) niente;
implementarlo e` un altro paio di maniche.
Il sistema che ne e` risultato e` piuttosto complesso: _davvero_
riterranno conveniente iniziarne il massiccio dispiegamento?
Cominceranno ad attivare i server e a metterli online?
Distribuiranno i nuovi client?
Affiancheranno a questa architettura un (nuovo?) sistema di pagamenti?

E dopo tutto questo: i clienti arriveranno davvero?

Il sistema ad oggi non esiste: metterlo in piedi significhera` prima
di tutto risolvere il problema del gatto che si mangia la coda.
Poca offerta -> pochi clienti -> pochi guadagni -> poca offerta -> ...

Sempre per quanto riguarda la distribuzione: in giro c'e` ancora
tanto vecchio hardware/software e le vendite di PC e nuovo software
non e` che stiano attraversando un periodo brillante.

Come se non bastasse i costi alla produzione dell'hardware salirebbero,
e quindi il costo per l'utente.
Il fatto che i principali produttori hardware facciano parte
dell'inziativa non mi preoccupa piu` di tanto: quando si iniziano
a progettare queste cose e` ovvio che _nessuno_ puo` correre il
rischio di restarne escluso.  Il fatto che poi ne siano davvero
convinti, senza che si veda un sensibile ritorno economico per
loro, beh...


6. questioni sparse.
sociale: non sto neanche ad enumerare tutte le associazioni che per
vari motivi faranno cattiva pubblicita` alla cosa.
L'utente sara` informato e dovra` avere un reale tornaconto per
usare un sistema che gli impedisce di stampare un e-book regolarmente
comprato.  Ah, tra parentesi: che successone la vendita di e-book...
e non mi si dica che e` stato perche` la gente copiava agli amici
cio` che comprava...

mercato: il fornitore che andra` ad utilizzare questo sistema, dovra`
valutarne attentamente il ritorno, come dicevo: un mercato da 10mld
di euro di cui il 30% viene perso per colpa della "pirateria" e`
sempre preferibile ad un mercato da 5mld con zero "pirateria", mi
pare...
Pestare i calli agli utenti, rendergli complicata la vita con
software incasinati, impedirgli qualcosa di banale come
prestare una cosa regolarmente comprata o dargli la sensazione che
qualcun altro abbia in mano i suoi didimi e glieli possa stringere
a piacimento, non mi pare una brillante strategia commerciale, e
di questo _dovranno_ tener conto.

accessori: ehi, magari alla fine mi verrebbe pure voglia di compare
un film on-line dalla Fox, ma si da` il caso che mi connetta ancora
con un modem analogico, e gia` scaricare una canzone in MP3 sarebbe
troppo lungo e costoso, figuriamoci un film...
Mancano ancora, o almeno non sono sufficientemente diffuse, le
strutture a contorno che potrebbero dare un senso a questi
tipi di business.


7. cose da tenere d'occhio.
Sara` importante seguire con attenzione gli aspetti legali di questi
nuovi sistemi e fare attenzione alle "partenze lente": mi pare probabile
che il sistema possa venir dispiegato a piccolissimi passi, vedendo come
regiscono gli utenti ed in qualche modo "assuefacendoli" ad un nuovo
modo di vendere/compare un prodotto in buona misura "immateriale".

Il tutto con attenzione, ma senza enormi patemi d'animo, almeno per
quanto mi riguarda.


Opinioni personalissime.  Tutti i nomi e marchi registrati sono citati a
puro titolo di esempio. :-)
-- 
(=---= alberanid a libero.it =------------= PGP KeyID: 0x465BFD47 =---=)
 )                         Davide Alberani                          (
(=-= http://digilander.libero.it/alberanid/ =-= ICQ UIN: 83641305 =-=)

More information about the discussioni mailing list