Trusted Computing (Parte II)
Trusted Computing (Parte II)
Guida a cura a di: Marco Sprocatti
Critiche al TC e Rischi derivanti dalla sua adozione
Molti analisti hanno fatto notare che esiste un serio problema di terminologia in tutta la documentazione che riguarda il TC. Ad esempio: un sistema Trusted Computing (Elaborazione Fidata) per chi è fidato? Chi è l'utente del sistema, nella accezione usata dai documenti ufficiali sul TC? Chi è il proprietario dei dati che vengono protetti dal TC? Ecco come descrive questo problema di linguaggio Catherine Flick nella sua tesi di laurea:
Il linguaggio usato dalle aziende coinvolte nel progetto Trusted Computing è spesso ambiguo, in netto contrasto con il linguaggio, molto chiaro, solitamente usato nei documenti tecnici di questo tipo. Nella maggior parte dei casi, simili ambiguità servono a confondere od a depistare il lettore o sono la conseguenza di definizioni iniziali non adeguate.
Esaminiamo una ad una queste ambiguità :
Chi é l'utente del sistema?
Nella documentazione tecnica, di solito l'utente è la persona che accede al sistema (direttamente dal proprio pc o attraverso una rete) per ottenere un servizio. Nel caso di un computer personale (desktop o portatile) si tratta quasi sempre del proprietario o comunque della persona che ha in affidamento il computer, ad esempio un dipendente dell'azienda che lo ha comprato. Nel caso di un server, è la persona che vi accede dalla rete per ottenere il servizio.
Nella documentazione ufficiale sul TC non sempre l'utente è la persona che ha in affidamento il computer o la persona che accede ad esso per ottenere un servizio. A volte, con il termine "utente" si intende l'utente dei servizi messi a disposizione dalla piattaforma TC, non l'utente del computer e nemmeno l'utente dei servizi forniti dal server.
L'utente dei servizi messi a disposizione dalla piattaforma TC è una persona od una azienda che utilizza questi servizi per mantenere uno stretto controllo su un programma o su un file di dati dopo aver trasferito questo file sul computer di qualcun'altro. Ad esempio, se acquistate un brano musicale da iTunes usando un computer TC, l'utente del sistema TC che risiede sul vostro computer è iTunes, non voi. Infatti, è iTunes che usa i servizi messi a disposizione dal vostro computer per difendere i propri diritti sul file digitale che avete acquistato ed assicurarsi che non ne facciate copie abusive.
Chi é il proprietario dei dati?
Nella documentazione tecnica, il proprietario dei dati è di solito la persona che possiede (od ha in affidamento) il computer sul quale risiedono i dati. I vostri dati sono quelli che risiedono sul vostro disco rigido.
Nella terminologia usata dalla documentazione ufficiale del TC, il proprietario dei dati è la persona che ha creato quei dati o che può vantare su di esso dei diritti di proprietà (ad esempio il diritto d'autore), anche quando questi dati non risiedono più su un computer di proprietà di questa persona. In altri termini, se Michael Jackson decide di rilasciare su internet un suo brano musicale, il proprietario di quel file (cioè di tutte le innumerevoli copie esistenti di quel file) è sempre Michael Jackson, anche se il file risiede sul vostro disco rigido. Il sistema TC continuerà fedelmente a difendere i diritti del proprietario Michael Jackson qualunque cosa voi ne pensiate.
A chi si garantisce l'affidabilità dell'intero sistema? Per chi è affidabile il sistema? A chi viene garantita la sicurezza?
Normalmente, tutte le preoccupazioni degli specialisti di sicurezza sono rivolte a rendere il sistema affidabile e sicuro per la persona che ha acquistato il sistema stesso e/o lo usa abitualmente.
Nel caso della tecnologia TC, molte delle preoccupazioni dei progettisti sono invece rivolte a rendere il sistema sicuro ed affidabile per chi entra in contatto con esso sulla rete ed intrattiene relazioni commerciali con il suo proprietario. In altri termini, se acquistate un brano musicale su Internet da iTunes, il sistema TC del vostro computer si preoccupa di rendere il vostro sistema sicuro ed affidabile per iTunes, non per voi (od almeno non solo per voi).
Ma la sicurezza dei PC non è una buona cosa? La domanda sorge spontanea : la sicurezza per chi?
Visto in questi termini il TC non fornisce la stessa sicurezza all'utente e al venditore di PC, al fornitore di software e all'industria dei contenuti. Non aggiunge valore per l'utente, anzi lo distrugge. Il TC limita ciò che un utente può fare sul proprio PC per poter disporre di applicazioni e servizi che estraggono più denaro all'utente. Questa è la definizione classica di cartello monopolistico: un accordo industriale che modifica i termini del commercio per diminuire il surplus per il consumatore.
Praticamente tutti gli analisti che si sono occupati del Trusted Computing sono concordi nell'affermare che un computer che usa questa tecnologia è da considerarsi sicuro per il produttore dell'hardware, del software e dei contenuti multimediali presenti su di esso, ma non per l'utente che ha comprato e pagato questo oggetto.
Cosa significa fidato e cosa significa affidabile?
Nella documentazione tecnica del TC viene fatta una sottile distinzione tra trusted (fidato) e trustworthy (affidabile).
Un sistema è trusted (fidato) quando contiene informazioni cruciali e quindi si dipende da esso.
Un sistema è trustworthy (affidabile) quando si può fare affidamento su di esso perché è sicuro.
Un sistema che contiene delle informazioni da cui dipende la vostra sicurezza ma non è protetto in alcun modo è un sistema trusted ma non non trustworthy. Un sistema assolutamente impenetrabile ma vuoto è un sistema trustworthy ma non trusted. Naturalmente, l'obiettivo che tutti si pongono è quello di avere sistemi trusted e trustworthy.
Esaminando la documentazione del TC si ha spesso l'impressione che il sistema sia trusted per l'utente, nel senso che l'utente dipende da esso per alcuni aspetti cruciali, ma trustworthy per qualcun'altro (di solito il detentore dei diritti su qualche prodotto digitale).
In che senso una funzionalità é opzionale?
Molte delle funzionalità del TC vengono definite opzionali ma lo sono veramente? Catherine Flick nella sua tesi di laurea è molto esplicita su questo punto:
"Questa sequenza di piccoli passi verso una posizione di potere si riflette nella caratteristica, molto pubblicizzata, secondo la quale l'uso del TC è opzionale. Fornire all'utente la possibilità di accendere o meno il TC sembra uno sforzo razionale nella direzione di mantenere il TC sotto il controllo dell'utente ma, nella realtà, se il TC diventerà onnipresente come molti si aspettano, il semplice fatto di dover portare a termine il lavoro quotidiano ne imporrà l'uso dato che l'accesso ai dati crittografati ed ai server di rete sarebbe impossibile in caso contrario."
Anche Ross Anderson è d'accordo su questa valutazione dei fatti:
[Q]: Ma non posso semplicemente disattivare il TC?
[A]: Si, a meno che il tuo amministratore di sistema abbia configurato la macchina in modo che il TC sia vincolante , è sempre possibile disattivarlo. E' possibile utilizzare il PC con i privilegi di amministratore ed utilizzare applicazioni non sicure. Comunque resta un piccolo problema. Se disabiliti il TC, il chip Fritz non rilascerà le chiavi necessarie per decriptare i tuoi file ed accedere al tuo conto corrente. Le tue applicazioni TC-conformi non funzioneranno bene o per niente. Sarà come passare da Windows a Linux oggigiorno; puoi avere maggiore libertà, ma questo comporta avere meno scelta. Se le applicazioni TC saranno più attraenti per la maggior parte delle persone, o saranno più profittevoli per i venditori di applicazioni, semplicemente non potrai utilizzarle, esattamente come molte persone devono utilizzare Microsoft Word semplicemente perchè tutti i loro colleghi ed amici gli spediscono documenti in Microsoft Word. Entro il 2008 è possibile che i costi per disattivare le funzioni TC siano semplicemente intollerabili.
Praticamente tutti gli osservatori indipendenti sono d'accordo sul fatto che entro pochi anni ci sarà ben poco di opzionale nel'uso del TC. Questo pericolo è talmente chiaro che Intel ed il TCG sono corse ai ripari pubblicando un esplicito anatema contro queste forzture all'interno dei loro rispettivi documenti di autoregolamentazione.
In che senso il TC è neutrale?
Alcuni dei documenti pubblicati a difesa del TC sostengono che questa tecnologia sia neutrale. Con questo termine si intende dire che il TC in sè non è né buono né cattivo e si limita a servire gli scopi del suo utilizzatore.
Catherine Flick è particolarmente lucida nell'esaminare questo punto:
Affermare che il TC è neutrale è un modo per negare con facilità qualunque responsabilità per le applicazioni che saranno sviluppate grazie ad esso. Le aziende coinvolte sembrano rendersi conto della natura di lama a doppio taglio del TC, cioè del fatto che il TC può essere usato per applicazioni illegali ed antisociali nello stesso modo in cui può essere usato per applicazioni che queste aziende vorrebbero vedere associate al loro nome. Microsoft, nel dichiarare la sua neutralità, scrive:
"NGSCB offre dei meccanismi di costrizione che possono essere di beneficio per molte parti ma la scelta di usare queste funzionalità rimane nelle mani dell'utente. Che l'utente usi queste funzionalità insieme a sistemi anticopia (DRM) o meno, queste funzionalità permettono all'utente di mantenere la riservatezza sui propri dati, di controllare la condivisione di documenti, di collaborare online con amici e colleghi e di controllare lo svolgimento di operazioni delicate sul sistema."
In questo modo Microsoft rimanda ogni responsabilità sull'uso di NGSCB all'applicazione che ne fa uso. Questo è una modo facile per sottrarsi a qualunque critica per le strategie d'uso che emergeranno come standard de facto, come l'uso di particolari elementi software che ridurranno l'interoperabilità e favoriranno il lock-in (il lock-in è una situazione nella quale in utente dipende dal venditore per prodotti e servizi e non può cambiare ad un altro venditore senza costi reali o percepiti).
Un sistema inutile
La prima contestazione che viene mossa al Trusted Computing è quella di essere un sistema dichiaratamente inutile per l'utente finale. Questa contestazione è l'effetto, tra l'altro, di alcune dichiarazioni contenute nella documentazione ufficiale di Microsoft.
Ad esempio, all'interno delle FAQ relative a NGSCB, Microsoft afferma:
[Utente]: NGSCB potrà fermare gli spammer o prevenire le infezioni da virus?
[Microsoft]: No. A dispetto di qualche esagerazione della stampa, l'introduzione di NGSCB, in sé e per sé, non fermerà gli spammer e non contribuirà ad arginare le infezioni. Tuttavia, usando NGSCB come base, è possibile costruire una varietà di infrastrutture e di modelli di sicurezza che possono aiutare a combattere lo spam ed i virus in modi nuovi e molto efficaci.
In realtà, come spiegano gli autori di queste FAQ, NGSCB può essere efficacemente usato come base tecnologica per costruire dei sistemi di difesa molto robusti, anche se, in sé stessa, questa tecnologia non fornisce nessuno strumento utile a questo scopo.
Tuttavia NGSCB ed il Trusted Computing restano una tecnologia di utilità discutibile. Gran parte delle funzionalità che questa tecnologia dovrebbe fornire sono già ampiamente disponibili da tempo. Per difendere i sistemi attuali da virus, worm, programmi spia e hacker è sufficiente usare i firewall e gli antivirus già esistenti. Non c'è motivo di sostituire tutto l'hardware esistente. Inoltre, come è stato detto, gran parte dei problemi di sicurezza descritti dagli ideatori del Trusted Computing affliggono quasi solo l'ambiente Windows. Virus, worm, cavalli di troia, programmi spia, adware e molti altri flagelli digitali sono praticamente sconosciuti nel mondo Apple Macintosh ed in quello Unix/Linux. Questa situazione è certamente destinata a cambiare in futuro, quando un maggior numero di hacker comincerà a dedicare la propria attenzione agli altri sistemi, ma il concetto di base resta valido: i sistemi informatici possono, e dovrebbero, essere difesi con strumenti meno invasivi del Trusted Computing, a partire da una progettazione e da una implementazione attenta ai problemi della sicurezza.
In effetti, nell'architettura del Trusted Computing sono presenti degli elementi che hanno poco o niente a che fare con la sicurezza dell'utente e sono invece chiaramente destinati a proteggere gli interessi dei fornitori di software e di contenuti.
Il primo di questi elementi (da criticare) è l'attestazione remota.
Come abbiamo visto in precedenza, con questo termine si definisce la procedura con cui un computer (od un altro dispositivo) si identifica quando contatta un server remoto o quando tenta di accedere ad una risorsa protetta (che può essere, ad esempio, un file crittografato). In pratica, si tratta della stessa procedura con cui l'utente si identifica quando si collega ad un sito web protetto, come un sito di Home Banking. In questo caso, tuttavia, è il computer ad identificarsi, senza che l'utente debba (o possa) intervenire. Inoltre, il computer invia un identificatore digitale che descrive la sua identità e la struttura del suo sistema. Se l'utente cambia un dispositivo od un programma, questo identificativo cambia a sua volta. Grazie a questa funzionalità, la controparte remota può sapere se il sistema è cambiato rispetto a quando è stato “certificato” (ad esempio, può scoprire se è stato installato software in grado di bypassare le protezioni).
E' molto difficile pensare che questo meccanismo sia utile all'utente. Qualunque altro meccanismo di autenticazione, come le normali password, è più che sufficiente per le necessità dell'utente e delle aziende. Né le aziende né gli utenti individuali hanno realmente la necessità di sapere cosa c'è installato sul computer della persona con cui stanno parlando. Questa è una esigenza che può avere piuttosto chi vende software e contenuti multimediali ed è quindi esposto al rischio di copie abusive.
Il secondo elemento che lascia perplessi è la protezione crittografica dei canali di comunicazione tra i vari componenti del computer.
Dato che l'utente ha legittimamente comprato tutti questi elementi e può vantare su di essi una lunga serie di diritti, per quale motivo le comunicazioni tra questi componenti devono essere precluse alla sua analisi? Secondo gli ideatori del Trusted Computing, questa funzionalità serve a proteggere i dati in transito dall'azione di programmi spia. In realtà, la protezione contro questi programmi spia è già disponibile da anni, sotto forma di antivirus generici e di programmi di rilevamento più specifici. La vera ragione che ha spinto gli ideatori di NGSCB e LaGrande a volere questa funzionalità può essere facilmente dedotta leggendo il rebuttal di David Safford nel quale si afferma che il Fritz Chip proposto dal Trusted Computing Group, e prodotto da IBM, è semplicissimo da aggirare: basta sfilarlo dalla sua slot sulla scheda madre.
Proprio per questo motivo l'architettura di Intel (LaGrande) e quella di Microsoft (NGSCB, ex-Palladium) hanno aggiunto alle specifiche del Trusted Computing Group due elementi che non erano originariamente previsti: l'implementazione della tecnologia Trusted Computing all'interno delle CPU e la protezione crittografica delle comunicazioni tra questi elementi. In questo modo, l'utente non ha più modo di disabilitare queste funzionalità e non può nemmeno intercettare i flussi di dati tra un elemento e l'altro. L'utente è stato efficacemente tagliato fuori dal computer che ha comprato e regolarmente pagato. In pratica, l'utente viene trattato alla stregua di un avversario o, peggio, di un virus.
L'ultimo elemento, forse il più inquietante, che fa ritenere che il Trusted Computing sia una tecnologia che protegge il venditore più che l'acquirente, è la possibilità di veto e di interferenza che un server remoto può avere sul dispositivo dell'utente. La documentazione di Intel LaGrande afferma che innanzi tutto l'utente (il suo dispositivo) debba lasciarsi identificare e che successivamente il server remoto deciderà se e cosa l'utente potrà fare basandosi su una "lista" non meglio definita. Questo, in pratica, equivale a dire che chi gestisce il server può decidere di fornire o meno un servizio od un prodotto sulla base dell'identità del dispositivo (cioè dell'utente) e della sua configurazione (del software installato). Se il programma che usate per ascoltare la radio via internet finisce sulla lista nera del fornitore, allora niente radio.
Questa caratteristica di veto diventa ancora più pericolosa se la si vede unita alle caratteristiche di gestione remota dei sistemi Trusted Computing. Inoltre le implementazioni di Intel e di Microsoft rendono possibile la creazione di un canale protetto preferenziale per gli amministratori di sistema. Questo vuol dire che se il server remoto o l'amministratore di rete trova sul vostro computer qualcosa che non gradisce, teoricamente (e forse anche praticamente) lo può rimuovere d'autorità, può installare un aggiornamento od un programma sostitutivo senza nemmeno dirvelo. Questa caratteristica è esplicitamente supportata da Microsoft già da molto tempo, sotto forma degli aggiornamenti automatici del sistema di Windows Update. In teoria questo sistema sarebbe in grado di inviare una lettera di denuncia alla Polizia nel caso trovasse sul computer dei file protetti da copyright provenienti da fonti sospette. Secondo Anderson, una tecnologia di questo tipo, chiamata "Traitor Tracement" è stata effettivamente studiata da Microsoft per diversi anni. Anche in questo caso, è veramente difficile ipotizzare una applicazione sensata di queste funzionalità se non per proteggere i diritti dei fornitori di software, contenuti multimediali e servizi su Internet.
Usi ed Abusi del Trusted Computing
Una delle più gravi critiche che viene mossa al TC è che questa tecnologia si presta incredibilmente bene ad abusi di vario genere da parte delle aziende, dei governi e dei produttori di hardware, di software e di contenuti. Molti specialisti hanno fatto notare che c'è molta differenza tra quello che si può tecnicamente fare con il Trusted Computing e ciò che è effettivamente previsto dai progetti di Intel, AMD, Microsoft e degli altri produttori. Questo fa nascere il sospetto che mentre le aziende dichiarano di avere degli scopi del tutto legittimi e sostanzialmente limitati, le reali applicazioni a cui stanno pensando siano ben altre. Naturalmente le aziende respingono in modo deciso questi sospetti.
Ma quali sono gli abusi a cui si prestano questi sistemi? Tra le cose che si possono teoricamente fare con questa tecnologia, ma che non sono ufficialmente previste nella documentazione dei produttori, gli analisti ne hanno identificate alcune davvero inquietanti. Le analizziamo qui di seguito:
Identificazione degli utenti
Grazie al TC si potrebbero identificare con certezza i dispositivi digitali ed i loro utenti sulle reti (Internet, Wireless e qualunque altra rete). Anche se il TCG sostiene che questo non sia possibile, grazie alla disponibilità di infiniti alias crittografici, questa garanzia è completamente basata sulla buona fede di chi scrive il software. Chiunque può creare software che utilizza le chiavi crittografiche del TPM per identificare in modo certo l'utente in rete. Non c'è nulla che gli impedisca di farlo, a parte i buoni propositi del TCG. Obbligare l'utente ad usare del software così concepito, ed a lasciarsi identificare, è semplice: basta negargli l'accesso a qualche risorsa particolarmente appetibile se non lo fa.
DRM
Il TC permetterebbe di imporre a viva forza il rispetto dei diritti dell'autore e del distributore di contenuti multimediali, in modo molto più rozzo ed aggressivo di quanto sia attualmente previsto dalle legislazioni americane ed europee. Come è stato ampiamente esposto, il DRM è praticamente la faccia nascosta del TC, al punto che gran parte delle sue funzionalità sembrano concepite apposta per questo scopo.
Traitor Tracking
Il TC permetterebbe di denunciare automaticamente i trasgressori. Più esattamente, il TC fornirebbe le funzionalità di base necessarie a questo scopo, come l'identificazione dell'utente e le funzionalità per “misurare” il software e l'hardware che egli usa. Scrivere il software che implementa le funzionalità di secondo livello necessarie per completare l'opera, e costringere l'utente ad accettarlo, non sarebbe certo un problema per colossi come Microsoft e Intel. Come abbiamo già visto, sono già stati fatti degli studi su una tecnologia che agisce proprio in questo modo.
Intercettazioni
Il TC potrebbe rendere possibile intercettare le comunicazioni tra gli utenti. Questa è una conseguenza della posizione privilegiata di cui gode chi controlla il TC (azienda, governo, fornitore, etc.) rispetto all'utente del computer. Grazie a TC, una azienda potrebbe facilmente imporre ai suoi dipendenti l'uso di programmi di sua scelta e dotati di backdoor e/o di funzionalità di spionaggio. Questo potrebbe essere fatto anche da un fornitore hardware/software nei confronti dei suoi clienti. In ogni caso, l'utente e/o proprietario del sistema si troverebbe nella impossibilità di reagire proprio a causa delle protezioni messe in atto dal TC.
Interferenze
Il TC potrebbe mettere i governi, le aziende ed i produttori di hardware, software e di contenuti nella posizione di poter interferire attivamente nelle comunicazioni tra gli utenti e nel loro lavoro quotidiano. Anche questo sarebbe possibile grazie alla posizione privilegiata di cui gode il sistema TC nei confronti dell'utente e, di conseguenza, del potere di cui dispone chi è in grado di controllare il sistema TC. Non è difficile immaginare programmi che reagiscono attivamente a determinate azioni “sgradite” dell'utente, ad esempio reinstallando software che l'utente ha disinstallato o inviando messaggi all'esterno. Non è nemmeno difficile immaginare programmi che cancellano o modificano comunicazioni in corso tra gli utenti (e-mail e web ma anche audio/video) sulla base di criteri imposti da un fornitore o da un ente esterno (polizia, governo, azienda, etc.). Queste funzionalità potrebbero dare vita ad una nuova forma, estremamente temibile, di censura e di controllo. Tutte queste applicazioni sono esplicitamente vietate dai documenti del TCG e dei principali sviluppatori di sistemi TC ma, secondo alcuni osservatori, resta comunque possibile realizzarle.
Concorrenza Sleale
Il TC potrebbe essere usato da chi controlla il sistema TC per disabilitare o rimuovere software sgradito dal computer dell'utente o per impedirgli di funzionare. Nonostante tutte le assicurazioni delle aziende del TC, creare questo tipo di applicazione rimane possibile. Occorre soltanto scrivere il software necessario. Obbligare l'utente ad usarlo non sarebbe un problema per colossi come i membri del TCG e per le grandi aziende loro clienti.
In realtà, questo tipo di concorrenza sleale, o di vendor-lock, è già insito nel fatto che i programmi utilizzino la memorizzazione sigillata per proteggere i documenti da essi creati.
Installazione ed aggiornamento automatico senza tenere conto del volere dell'utente
Il TC potrebbe rendere possibile installare automaticamente del software sul sistema, od aggiornare quello esistente, senza che l'utente venga avvisato. A dire il vero, questo è già parzialmente vero per chi usa Windows e Windows Update.
Censura
Il TC potrebbe permettere di creare e mettere in atto delle liste di programmi, contenuti e forse persino utenti che si desidera emarginare. Anche questo è tecnicamente possibile. Il livello di privilegio di cui gode TC sul sistema è tale da impedire all'utente di aggirare simili liste.
Come si può vedere, i rischi di abuso sono decisamente gravi. Rimane tuttavia una domanda a cui è necessario dare una risposta: anche ammesso che queste applicazioni siano tecnicamente possibili, i produttori sono realmente intenzionati ad implementarle?
Purtroppo, su questo punto non è possibile farsi molte illusioni: queste cose sono tecnicamente possibili e verranno implementate quasi certamente da uno o dall'altro dei produttori. Le ragioni di questo pessimismo estremo sono molte. La prima è che i produttori coinvolti nel progetto Trusted Computing sono oltre un centinaio. Statisticamente è molto probabile che qualcuno di loro, presto o tardi, si faccia tentare da queste possibilità. La seconda ragione è che esiste una fortissima pressione da parte delle software house e delle aziende del recording per adottare queste soluzioni. Non è un mistero, ad esempio, che la RIAA (Recording Industry Association of America) abbia sempre fatto pressioni in questo senso presso il Congresso USA. Il terzo motivo è che non c'è nessuno in questo momento in grado di opporsi. L'adozione di queste tecnologie è soggetta solo alla accettazione (più o meno forzata) da parte dei clienti. Non esistono leggi, né in USA né in Europa né altrove, che regolino l'adozione di queste tecnologie o le disciplinino in qualunque modo. Infine, ci sono gli inquietanti precedenti di molte aziende coinvolte nel progetto Trusted Computing.
Chi controlla il Trusted Computing?
Come abbiamo appena visto, il Trusted Computing è una tecnologia che può essere facilmente utilizzata per molte applicazioni ufficialmente non previste dai suoi ideatori, molte delle quali decisamente sfavorevoli per il legittimo proprietario del dispositivo e forse pericolose per la libertà di espressione. A questo punto, sorge spontanea una domanda: chi controlla che questa tecnologia sia usata soltanto per fini legittimi? Incredibilmente nessuno. In questo momento, non esiste nessun ente di sorveglianza su questa tecnologia. L'uso di questa tecnologia è regolato solamente dalla natura del contratto d'acquisto sottoscritto (di solito implicitamente) tra il produttore/venditore e l'utente/acquirente. Non c'è nessuno che vigili sui contenuti di questo contratto e non c'è nessuno che vigili sul fatto che l'acquirente sia realmente informato e realmente consenziente nel momento in cui lo sottoscrive. Si tratta chiaramente di una situazione in cui le aziende (soprattutto se consorziate, come nel caso del TCG) possono far valere in modo quasi illimitato il loro maggiore peso contrattuale ed in cui all'utente, spesso ignaro, non resta che subire passivamente una pesante vessazione.
Per capire come si sia arrivati a questa allucinante asimmetria di diritti tra produttori e consumatori, bisogna tornare molto indietro negli anni, all'origine del concetto di DRM. Nell'Aprile del 1941, in piena Seconda Guerra Mondiale e sotto la dittatura fascista di Benito Mussolini, il Governo Italiano ha emanato una legge per la tutela del diritti d'autore, la legge N° 633. Il testo di questa legge prevede tra l'altro una norma che autorizza il produttore a fare uso di dispositivi tecnologici a difesa del diritto d'autore:
Art. 102-quater (della legge n° 633)
1. I titolari di diritti d'autore e di diritti connessi nonché del diritto di cui all'art. 102-bis, comma 3, possono apporre sulle opere o sui materiali protetti misure tecnologiche di protezione efficaci che comprendono tutte le tecnologie, i dispositivi o i componenti che, nel normale corso del loro funzionamento, sono destinati a impedire o limitare atti non autorizzati dai titolari dei diritti.
Questo diritto del produttore è stato poi riconosciuto anche dalla legislazione americana con una legge emanata nel 2001 e diventata subito famosa: il Digital Millenium Copyright Act (DMCA). Nel 2003 l'Unione Europea, senza nessuna discussione democratica degna di nota, ha fatto proprie queste norme ed ha emanato una direttiva nota come European Union Copyright Directive (EUCD). Con un insolito zelo, il Governo Berlusconi ha immediatamente provveduto ad emettere vari decreti e varie leggi di attuazione per ribadire i principi del DMCA/EUCD e rinforzare ulteriormente i principi della Legge 633 del 1941, tra cui la famosa Legge Urbani.
Grazie a queste leggi, in questo momento, in tutto il mondo occidentale è illegale sia mettere fuori uso i dispositivi di protezione che tentare di esaminare il loro funzionamento. In altri termini, da un lato viene riconosciuto il diritto dei produttori di utilizzare questi sistemi di protezione e di decidere, senza alcun controllo e senza alcun confronto con l'utente, come questi dispositivi debbano funzionare. Dall'altro, viene vietato all'utente di prendere qualunque iniziativa per difendersi. Questo precedente, che riguardava solo i DRM, ha aperto la strada all'uso di sistemi di protezione dal significato più ampio, come sono appunto i sistemi di Trusted Computing. Grazie a questa vastissima ed inusuale coperatura legislativa, varata quasi all'insaputa della popolazione, i produttori sono quindi liberi di fare quasi tutto quello che desiderano. In particolare, possono decidere di inserire quello che vogliono nei prodotti che commercializzano e non devono rendere conto a nessuno della natura e del funzionamento dei dispositivi utilizzati. All'acquirente/utente viene lasciato solo il diritto di astenersi dall'acquisto, se gli è possibile, o di rivolgersi ad altri prodotti, se disponibili. Questa situazione è così chiaramente vessatoria che persino le aziende produttrici sono state costrette a riconoscerlo.
Questo ha comportato la costituzione del TCG che si è dato una regolamentazione sull'utilizzo delle tecnologia Trusted Computing al fine di limitare le condizioni vessatorie per l'utente finale.
Il TCG non è stato il solo a correre ai ripari per difendersi da questo tipo di critiche. Negli ultimi anni, quasi tutte le aziende coinvolte nel progetto TC si sono dotate di apposite "linee guida" sull'uso "moralmente accettabile" di queste tecnologie. Il TCG ha pubblicato le sue norme nel Maggio del 2005, sotto forma di Best Practices. Questo documento ha ottenuto una accoglienza largamente favorevole, ma lo stesso documento a pagina 13 afferma: "Il TCG riconosce che le forze del mercato, i comportamenti coercitivi ed una carente implementazione possono fare molto per indebolire questi principi e che c'è poco che il TCG possa fare per impedire ad un produttore o ad un progettista di sovvertire questi obiettivi di riservatezza e di controllo, se queste persone sono determinate a farlo".
Questo porta alla conclusione che, mentre il TCG spende molte buone parole riguardo ai problemi di implementazione del TC, non offre nessun meccanismo sanzionatorio per prevenire questo tipo di problemi. Piuttosto, il TCG si affida alle forze del mercato, alla autoregolazione, alle parole ed ed alle buone intenzioni dei progettisti.
Possibili Vie di Uscita
La via maestra ad un mondo privo di Trusted Computing sarebbe quello di produrre, distribuire ed usare hardware privo di questa tecnologia. Purtroppo, però, quasi tutti i produttori mondiali di hardware (e buona parte dei produttori di software e di contenuti) hanno già adottato, almeno sulla carta, il Trusted Computing. Molti di loro stanno già producendo dispositivi dotati di questa tecnologia.
Come se non bastasse, questo è solo uno dei problemi da risolvere per arrivare a produrre hardware "Trusted Computing free". Anche ammesso di trovare un produttore disponibile ad inimicarsi il resto del mondo, rimarrebbe da risolvere il problema dei brevetti. La tecnologia dei microchip è stata letteralmente creata tra gli anni '60 e '70 da Intel, Motorola e Texas Instruments, tutte aziende che fanno parte del TCG. Al giorno d'oggi è praticamente impossibile produrre un qualunque microchip senza fare uso di almeno uno dei loro brevetti. Questi brevetti scadranno solo tra decine di anni e fino a quel momento è francamente difficile credere che queste aziende siano disposte a cedere i diritti per il loro impiego ad aziende che farebbero loro una concorrenza spietata sul mercato.
Si tenga presente, infatti, che questi prodotti "alternativi "sarebbero molto più appetibili degli originali proprio perché privi delle limitazioni imposte dal Trusted Computing. Gli unici produttori che sembrano essere in grado di sottrarsi a questa regola sono i cinesi e, forse, i russi. Una azienda cinese, la BLX IC Design, in collaborazione con l'Institute of Computing Technology cinese, ha già sviluppato autonomamente diversi processori sui quali sembra che le aziende americane non potranno vantare diritti legali, tra cui il famoso Dogson V ("Dragon V"). Sebbene questi processori siano ancora molto più lenti e molto meno interessanti dei chip prodotti da Intel ed AMD, potrebbero diventare estremamente appetibili sul mercato mondiale proprio grazie all'assenza di tecnologie TC. Il presidente venezuelano Hugo Chavez ha addirittura avviato una joint venture tra industrie venezuelane e cinesi proprio con l'intento di arrivare a produrre computer non basati su tecnologia americana.
Dal punto di vista tecnico, anche alcuni altri produttori di secondo piano sarebbero in grado di seguire le orme delle aziende cinesi ma se sarà effettivamente questa la strada che decideranno di seguire è tutto da vedere. Anche le aziende cinesi potrebbero facilmente cambiare idea sull'opportunità di aprire una vera guerra industriale e commerciale con l'occidente su questo argomento.
L'altra principale possibilità di lotta contro la diffusione del Trusted Computing è rappresentato dalle iniziative legali. Come abbiamo sottolineato più volte, il Trusted Computing fornisce le basi per una nuova generazione di sistemi DRM ed ERM molto aggressivi ed invasivi. Sulla base di questa constatazione, è possibile che il Trusted Computing venga trascinato in tribunale da individui ed associazioni che già si oppongono all'uso di sistemi DRM.
Contro l'uso incontrollato di sistemi DRM si sono già espresse sia la Corte Suprema Australiana che la Corte d'Appello di Parigi. Si tratta quasi sempre di sentenze che non mettono in discussione il diritto del produttore di usare sistemi DRM ma piuttosto l'implementazione di questi sistemi. Tuttavia, queste sentenze sembrano aprire finalmente la strada ad una discussione democratica ed approfondita sull'uso di queste tecnologie di controllo. Se i sistemi DRM si dimostreranno sempre più vulnerabili a contestazioni legali è molto probabile che i sistemi Trusted Computing vengano presto attaccati nello stesso modo.
Owner Override
Seth Schoen presenta un'idea di modifica nota come Owner Override nel suo articolo "Trusted Computing Promise and Risk".
La mancanza di controllo da parte del proprietario del PC sul contenuto dell'attestazione è il problema centrale della proposta corrente di tecnologia TC. Si tratta di un difetto di progetto molto grave ed inaccettabile che dovrà essere risolto prima che il TC, come sistema, possa diventare uno strumento benefico per il proprietario del PC.
Una semplice misura, che noi chiamiamo “Owner Override” potrebbe risolvere questo problema semplicemente ristabilendo l'impossibilità per altre persone di sapere che cosa l'utente stia usando, a meno che l'utente stesso non decida che sia meglio lasciarglielo sapere. L'Owner Override modifica in modo sottile la natura dei benefici di sicurezza portati dall'attestazione. Attualmente, l'attestazione dice ad altre persone se il vostro software è stato modificato. Nel nostro schema (Attestazione + Owner Override), l'attestazione permetterebbe alla terza parte solo di sapere se il software è stato cambiato a vostra insaputa. Di conseguenza, il rilevamento di attività illecite sarebbe comunque possibile ma, se decidete di apportare deliberatamente delle modifiche al vostro sistema, potreste mantenere nascoste queste modifiche, esattamente come potete fare oggi, per impedire alla controparte di usare le vostre scelte per discriminarvi.
Catehrine Flick, nella sua tesi di laurea esamina la proposta di Seth Schoen nel seguente modo:
"Sebbene l'Owner Override possa migliorare alcuni aspetti del TC, è anche possibile che abbia delle serie controindicazioni:
- l'Owner Override potrebbe degradare la sicurezza complessiva del sistema rendendolo più complesso e quindi più difficile da gestire. ad esempio, la possibilità di inviare informazioni false ad una terza parte potrebbe non essere di grande utilità se la generazione di queste informazioni non fosse automatizzata, almeno in parte, e questo potrebbe introdurre dei seri problemi di sicurezza.
- l'Owner Override potrebbe instillare nell'utente un falso senso di sicurezza
- l'Owner Override potrebbe rendere la maggior parte dei sistemi DRM inefficaci, per buoni i cattivi che siano.
Nel complesso, l'Owner Override è un buon punto di partenza per la discussione ma non dovrebbe essere visto come la soluzione definitiva ai problemi del TC, soprattutto perché, a causa delle ragioni appena menzionate, difficilmente Microsoft o qualunque altra azienda del TC produrrà mai un sistema che incorpori questa idea di Seth Schoen."
Come è facilmente comprensibile, non sembra che sia possibile "domare la belva" attraverso qualche emendamento delle specifiche. Catherine Flick è molto esplicita su questo punto:
"Non c'è nulla che possa essere aggiunto alle specifiche correnti del TC che lo possa trasformare in un compromesso accettabile per tutte le parti. Concedere all'utente l'accesso alle chiavi crittografiche vorrebbe dire rendere inefficaci i sistemi DRM. Permettere all'utente di modificare i valori usati per l'attestazione vorrebbe dire creare problemi durante le attestazioni e ritrovarci in una situazione non migliore di quella attuale".
Il TC, sebbene sia un buon punto di inizio per una seria discussione sulla sicurezza dei computer in rete, non sia destinato a fornire la risposta giusta alle varie parti coinvolte, ed in particolare all'utente finale. Tuttavia, il DRM potrebbe non essere considerato una parte indispensabile del sistema complessivo e, in questo caso, dare all'utente le chiavi del sistema, e consentirgli di decifrare le informazioni memorizzate su di esso, non dovrebbe rappresentare un problema. Questo consentirebbe di mantenere i vantaggi che il TC offre sul piano della sicurezza.
Fonti:
The Need for TCPA : David Safford
Documentazione sul progetto NGSCB della Microsoft
LaGrande Technology Overview
Catherine Flick tesi di Laurea: The Controversy over Trusted Computing
Ross Anderson : FAQ sul Trusted Computing
David Safford Rebuttal
LaGrande Technology Architectural Overview
Trusted Computing Group: Design, Implementation, and Usage Principles for TPM-Based Platforms Version 1.0
Trusted Computing: Promise and Risk
Articolo scritto da Peppons per P2P Forum Italia
Commenta l'articolo sul nostro FORUM
|
|