Es waren einmal ein Skorpion und ein Frosch
- Slides: 35
Es waren einmal ein Skorpion und ein Frosch, die wurden von einem großen Unwetter überrascht. Ehe sich versahen, waren sie auf einer kleinen Insel gefangen, umspült von reißenden Regenbächen. . . © 2003 by Thilo Stadelmann
Digital Rights Management – Technik die begeistert? Eine kritische Würdigung (nicht nur) unter dem Aspekt der Systemsicherheit Seminarvortrag von Thilo Stadelmann, 6. Semester (Schwerpunkt: TWA) © 2003 by Thilo Stadelmann
Agenda • Themenabgrenzung und Begriffsdefinition • Nichttechnische Aspekte (wirtschaftliche, politische, juristische, gesellschaftliche) • Die Technik hinter DRM (. . . ) • Fazit & Ausblick (Technologie-Folgen-Abschätzung, Bewertung, LWDRM®) © 2003 by Thilo Stadelmann
Definition (1) „Digital rights management (DRM) can be viewed as an attempt to provide ‘remote control’ of digital content. The required level of protection goes beyond simply delivering the digital content restrictions on the use of the content must be maintained after it has been delivered. In other words, DRM requires ‘persistent protection’, i. e. , protection that stays with the content. “ Mark Stamp => 1. Generation © 2003 by Thilo Stadelmann
Definition (2) „Digital Rights Management (DRM) involves the description, identification, trading, protection, monitoring and tracking of all forms of rights usages over both tangible and intangible assets – both in physical and digital form – including management of Rights Holders relationships. “ Renato Iannella => 2. Generation © 2003 by Thilo Stadelmann
Themenabgrenzung • Beschreibung der Funktionalität moderner DRMSysteme in allgemeiner Form, weitgehend losgelöst von realen Implementierungen • Fokus auf dem Aspekt der Systemsicherheit • Davon ausgehend Entwurf eines allgemeinen Schemas zur Erläuterung der verwendeten Kerntechnologien • Zuerst jedoch: Das nichttechnische Umfeld © 2003 by Thilo Stadelmann
Von wirtschaftlicher Notwendigkeit. . . • Zunehmende tertiärisierung der Wirtschaft (Arbeit, Kapital, Boden <-> Wissen) • Wissen als nichtstoffliches Gut muss entsprechend seiner Relevanz den anderen Produktionsfaktoren gleichgestellt werden (Rappaport‘s „shareholder value“) (Eigenschaften: Eigentum, Verknappung) • Frühere Tendenzen: Urheberrecht, Patentrecht • Jedoch: Der Hoffnungsträger schwächelt, die Branche ist deprimiert. Warum? © 2003 by Thilo Stadelmann
Von wirtschaftlicher Notwendigkeit. . . (2) • Verlustfreie digitale Kopie • Weltweiter kostenloser Echtzeittransfer über das Internet => Firmenkapital steht nackt am Pranger des globalen Marktplatzes • DRM tritt an, es hübsch eingekleidet in einer Vitrine aus Panzerglas feilzubieten © 2003 by Thilo Stadelmann
Über differierende politische Ansichten. . . • Jede Raubkopie ein verlorener Kunde? • Geistiges Eigentum <-> physisches Eigentum (Stallman: Kein Vollständiger Erwerb, kein Wertverlust durch Kopie) • Public Domain <-> private Vermarktungsinteressen (Litman: PD Grundlage schöpferischen Handelns Bundesregierung: IP als Anreiz für Erstellung neuer Inhalte Kahin: Wertschöpfung durch mehr Service) • Ungerichtetes Aufbegehren der Konsumenten • Kontrolle durch Technik -> Orwell‘sche Vision? © 2003 by Thilo Stadelmann
Durch die Kraft des Gesetzes. . . • Rechtliche Grundlage: Urheberrecht • Wegen globalem „Problem“ Internet weltweite Harmonisierung nötig • TRIPS-Abkommen der WTO (1994), WIPO (1996) -> DMCA in den Vereinigten Staaten -> Urheberrechtsnovelle in der EU -> Urheberrecht in der Informationsgesellschaft (BRD) • Kernpunkt: Schutz für den Kopierschutz © 2003 by Thilo Stadelmann
Durch die Kraft des Gesetzes. . . (2) • Recht auf Privatkopie: § 52 a-53 Urh. G • Pflicht zu deren Ermöglichung: § 95 b Urh. G • Recht auf Kopierschutz: § 95 a Urh. G • Kopierschutzumgehung unter Strafe: § 108 b Urh. G (Gewerblich: Strafrecht; Privat: Zivilrecht) => Widerspruch, der nicht gelöst wird. => Rechte und Pflichten im Urheberrecht gestört © 2003 by Thilo Stadelmann
Zu einer Veränderung der Gesellschaft? • Rheingold: Technik prägt ihre Umwelt • W 3 C: Motivation und getätigte Schritte überdenken • 2 Ebenen der Einflussnahme: • Handel mit Unterhaltungsmedien im Consumer-Bereich: Wird unbequemer, teurer, aber faktisch kaum aufzuhalten • Handel mit Information/Wissen/Nachrichten in Bereichen, die „wirklich wichtig“ sind (Staat-Staat, Saat-Bürger, . . . ): Informationskontrolle, Überwachung, . . . • Was davon ist Fiktion, was Realität? => ein Blick unter die Haube © 2003 by Thilo Stadelmann
Die Technik hinter DRM • Vom „honor system“ zu technischwissenschaftlichen Ansätzen • Hardware vs. Software • Sicherheits-Ansatz nur eine unter vielen Herangehensweisen an die Thematik => Der High-Level-Ansatz nach Iannella © 2003 by Thilo Stadelmann
DRM auf hoher Abstraktionsebene (High-Level) © 2003 by Thilo Stadelmann
DRM unter dem Sicherheits-Aspekt (Low-Level) © 2003 by Thilo Stadelmann
Das Verbindungs-Subsystem • Fungiert als Schnittstelle zwischen Anbieter/Kunde • Hängt stark vom Geschäftsmodell des Anbieters ab (Micropayment-System? Kommerziell oder firmenintern? ) • Wohl-beschrieben in der Fachliteratur, breit diskutiert in der Öffentlichkeit • Tethered vs. Untethered (Usage Data Dilemma, Komfort oder Sicherheit? ) © 2003 by Thilo Stadelmann
Kerntechnologie 1: Authentikation • Kelley: Sichere Identifizierung des Benutzers ist Grundlage des e. Busines (Beispiel-Usecase: DRM zum sichern firmeninterner Daten/Kommunikation) • Multiple Techniken: Etwas, was der Benutzer. . . ist, . . . tut, . . . besitzt, . . . weiß (single factor <-> multi factor) • Standardisierung („single sign on“) besonders wichtig (-> Microsoft Passport. NET) • Schlüsselmanagement, Caching im Programm? © 2003 by Thilo Stadelmann
Kerntechnologie 2: Rights Management Languages • Markup-Sprache zum festhalten von Beschränkungen • Standardisierungsbemühungen laufen (ISO/MPEG) • Kandidat 1: ODRL – Open Digital Rights Language (offen, erweiterbar, schlank, universell, standardisiert) • Kandidat 2: Xr. ML – e. Xtensible rights Markup Language (s. o. , zusätzlich weit verbreitet) © 2003 by Thilo Stadelmann
Xr. ML – ein Beispiel <license> <grant> <key. Holder> <info> . . . RSA-Schlüssel. . . </info> </key. Holder> <cx: print/> <cx: digital. Work> <cx: locator> <non. Secure. Indirect URI="http: //www. xrml. org/reference"/> </cx: locator> </cx: digital. Work> </grant> </license> © 2003 by Thilo Stadelmann
Das Verarbeitungs-Subsystem • Empfangene Daten werden zur Wiedergabe aufbereitet (Datencontainer -> Lizenz, entschlüsselter Inhalt) © 2003 by Thilo Stadelmann
Kerntechnologie 1: Kryptographie • Besterforschter Teilbereich, entstammt der Mathematik • Symmetrische Verschlüsselung („private keys“) (schnell, sicher, braucht abgesicherten Kanal zum Schlüsseltransfer) • Asymmetrische Verschlüsselung („public keys“) (1000 x langsamer, aber über unsicheren Kanal möglich => Austausch der „session keys“ asym. , Daten symmetrisch) • Digitale Signaturen mittels PKI © 2003 by Thilo Stadelmann
Kerntechnologie 2: Propritäres Scrambling • Methoden ähnlich/gleich denen der Kryptographie • Methoden bleiben jedoch unbekannt => Genügt daher nicht dem „Kerckhoff‘schen Gesetz“ • Ziel ist das Erschweren des Reverse Engineerings (Wert der Information hängt zumindest teilweise von deren Alter ab, daher ist dieser Ansatz hier legitim) © 2003 by Thilo Stadelmann
Das Sicherungs-Subsystem • Die Inhalte liegen nun in unverschlüsselter, digitaler Form auf dem Zielsystem des Anwenders vor => DRM-System einzige Hürde zur „freien Wildbahn“ => Techniken nötig, die das Reverse Engineering erschweren • Anti-Debugging-Maßnahmen, am Beispiel eines PCSoftware-DRM-Systems • Schema jedoch allgemeingültig, mit diversen Anpassungen sogar auf Hardware-Systeme © 2003 by Thilo Stadelmann
Kerntechnologie 1: Code Encryption • Programmcode liegt in blockweise verschlüsselter Form vor • Nur der aktuell zur Ausführung anstehende Block ist entschlüsselt • Wahl der richtigen Blockgröße essentiell (Sicherheit <-> Laufzeit) © 2003 by Thilo Stadelmann
Kerntechnologie 2: Polymorpher Code • Programmteile sollen immer unterschiedlich aussehen • Größtenteils lösbar durch Code Encryption mit multiplen Schlüsseln • Problem: Statischer Decryptor • Lösung: Mehr Dynamik durch. . . • Mehrere Crypt-Komponenten, aus denen eine ausgewählt wird • Mehrere Anweisungen innerhalb dieser Komponenten • Bilden von beliebigen Permutationen © 2003 by Thilo Stadelmann
Kerntechnologie 3: Code Obfuscation • Quellcode soll so geschrieben werden, dass Betrachter nicht auf dessen Funktion schließen können • Methode: Quelltext-Transformationen (Lexikalisch, Strukturell, Datenorientiert) • Kritik: „Security by Obscurity“ • Jedoch: Solide wissenschaftliche Theorie (Collberg&Thomborson, Wroblewski, . . . ) • Andere Anwendung: Kunst. . . © 2003 by Thilo Stadelmann
Code Obfuscation – Ein Beispiel #!/usr/bin/perl # Len - http: //www. perlmonks. org/index. pl? node_id=176043 $_=' $q =" 47"; wh ile ($ ; = $z += . 5 ){ %c= $r=0; $/ =""; whi le(2 0+ $z>($; +=. 05)){$c{int$ _+ 2 6+ 2*($ r+=. 0 2) * s in$ ; }{1 -$_ +1 0+ int $r*c o s $ ; } =1 for(0. . 1) }$ t =r ever se; $ /. =` c le ar `. " #! / usr /bi n/ pe rl n $_ =$q n" ; fo r$y (1. . 20){$c{$_} { $ y }? $ /. =chop$t : ($/ . =" 4 0") for(0. . 53) ; $/. ="n"}pri nt "$/$ q; s; ". chr(9 2). "s; ; g; evaln "} '; s; s; ; g; eval © 2003 by Thilo Stadelmann
Kerntechnologie 4: Software Unique-ification • Sicherheit der Gesamtheit eines Systems soll unabhängig davon sein, ob eine einzelne Instanz „geknackt“ wurde => Jede Instanz muss zu gewissem Grade einziartig sein! • Externe Einzigartigkeit <-> Interne Einzigartigkeit (höchste Sicherheit <-> Kompatibilität) • Methoden ähneln denen des Codepolymorphismus (Unterschied: Hier soll sich jede Kopie von allen anderen weltweit unterscheiden, dort soll jede gestartete Instanz einer Kopie etwas besonderes sein -> unterschiedlicher „Scope“) © 2003 by Thilo Stadelmann
Kerntechnologie 5: Tamper Checking/Fragilization • Prüft Code auf Unversehrtheit • Kleinste Manipulation führt zu (nicht zurückverfolgbarer) kompletter Fehlfunktion • Methoden: • Strukturvergleich mittels Hashwerte (z. B. MD 5) • Vergleich von Zwischenergebnissen (Program/Result-Checking) • Achtung: Funktionalität räumlich und zeitlich gut im Code verteilen! © 2003 by Thilo Stadelmann
Das Wiedergabe-Subsystem • Ausdehnung von Schutz und Überwachung auch über das Verlassen des Wiedergabegerätes hinaus • Dilemma: Mediengabe <-> persistenter Schutz © 2003 by Thilo Stadelmann
Kerntechnologie 1: „Plugging the analog hole“ • Fiktion: „Intelligente“ A/D-Wandler • Realität: Anti-Screen-Capture und weitere hardware -nahe Herangehensweisen © 2003 by Thilo Stadelmann
Kerntechnologie 2: Watermarking/Fingerprinting • Einbringen von unsichtbarer Metainformationen in den Inhalt • Art und Verwendung der Metainformationen: • Angaben über Rechteinhaber zur Klärung der Urheberschaft -> Watermarking • Angaben über Besitzer der Kopie zur Strafverfolgung bei Auftreten von Urheberrechtsverletzungen -> Fingerprinting • Methode (am Beispiel Bild/Ton) • Darstellung im Frequenzraum => LSB nicht mehr wahrnehmbar • Codierung der Metainformationen im LSB) © 2003 by Thilo Stadelmann
Fazit • DRM ist mehr als die Summe seiner Technologien • Diese an sich können hinreichenden Schutz bieten • Als ganzes wirft jedoch der totalitäre Ansatz Bedenken auf • Nichtsdestotrotz bleibt der Bedarf an einer Lösung => Inhalte müssen wertgeschätzt werden, sonst entgleist die Zugmaschine des digitalen Zeitalters © 2003 by Thilo Stadelmann
Ausblick • LWDRM ® by Fraunhofer IIS • Rechteverwaltung in Analogie zu Printmedien (Kopienerstellung und –Weitergabe nach Signatur möglich) • Hierzu drei Stufen: • Maschinengebundenes, geschütztes Format • Zusätzlich Erstellung möglich • Weitergabe möglich (Zertifikat einer CA erforderlich) © 2003 by Thilo Stadelmann
Danke. © 2003 by Thilo Stadelmann
- Es waren einmal eine mama und ein papa
- Kryptografie
- Es war einmal ein hase
- Es war einmal ein altes schloss
- Es war einmal ein mann lied
- Es war einmal ein schloss
- Ein volk ein reich ein führer
- Budowa skorpiona
- Steppenwolf goethe traum
- Dr karl heinz frosch
- Wohin geht der frosch
- Kriechtiere körperbedeckung
- Mazeration duftstoffe
- Metapher frosch heißes wasser
- Ich ging einmal spazieren nanu nanu nanu
- Es war einmal eine alte chinesische frau
- Besser zweimal fragen als einmal irre gehen
- Gedicht nicht immer haben engel flügel
- Ein hund ist ein herz auf vier pfoten
- Ein neuer tag und ein neuer morgen
- Ein geschäftsmann sendet ein fax an seine frau
- Wann ist ein mann ein mann text
- Ist ein drache ein trapez
- Ein mann wie ein baum sie nannten ihn bonsai
- Sah ein knab ein röslein stehn metrum
- Ein tag der sagts dem anderen mein leben sei ein wandern
- Stromkreismodell
- Jeden tag ist ein neuer tag
- Waren und hatten
- Wir sind nicht mehr was wir mal waren
- Wie waren deine ferien auf englisch
- Wären hätten würden
- Wenn haifische menschen wären text
- Welke zuilen waren er in nederland
- Wenn die haifische menschen wären interpretation
- Lachen partizip 1