<< Предыдущая

стр. 29
(из 39 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

Действительно, прямоугольники, перекрывающие изображение, легко удалить
при помощи инструмента TouchUp Object Tool, входящего в коммерческую про-
грамму Adobe Acrobat. И полный текст письма "Вашингтонского снайпера" чуть
ли не в тот же день можно было найти в Интернете.


Письмо "Вашингтонского снайпера" оказалось не первым случаем, когда
журналисты раскрывали чужие секреты, не позаботившись об их правиль-
ном уничтожении. Так в середине апреля 2000 года на сайте NYTimes.com,
принадлежащем одноименной газете, появилась публикация "Secrets of
History: The C.I.A. in Iran" ("Секреты истории: ЦРУ в Иране"), в рамках ко-
торой было выложено несколько документов, ранее считавшихся секретны-
ми. Документы были отсканированы и сохранены в формате PDF. Публи-
кация вызвала интерес, и в середине июня "The New York Times" выложила
в Интернет еще несколько документов в виде PDF-файлов.
Чтобы не подвергать опасности людей, чьи имена упоминались в докумен-
тах, некоторые фрагменты оказались закрыты черными прямоугольниками.
Но заплатки оказались просто наложены поверх текста и могли быть очень
легко удалены. Таким образом, "The New York Times" невольно раскрыла
имена нескольких агентов ЦРУ.
Однако, похоже, мало кто учится на чужих ошибках. В конце октября 2003
года в Интернете был опубликован отчет министерства юстиции США под
названием "Support for the Department in Conducting an Analysis of Diversity in
the Attorney Workforce" ("Помощь министерству в проведении анализа раз-
личных работников прокуратуры"). Однако ключевые фрагменты отчета,
включая все выводы и рекомендации, были вымараны перед публикацией —
правке подверглось более половины страниц.
Но, несмотря на то, что еще в ноябре 2002 года министерство юстиции при-
обрело корпоративную лицензию на программу Appligent Redax 3.0, предна-
значенную для полного удаления информации из PDF-документов, Redax
не был использован и все фрагменты, скрытые в упомянутом выше отчете,
можно без труда восстановить.
Как видно из приведенных примеров, далеко не у всех есть под рукой инст-
рументы, позволяющие качественно выполнять уничтожение информации,
а те, кому инструменты доступны, не всегда заботятся об их применении.
И происходит это, скорее всего, от элементарного непонимания важности
правильного уничтожения данных.
Глава 16

Особенности
реализации DRM
С развитием высокоскоростных каналов передачи информации все актуаль-
нее становятся вопросы обеспечения управления цифровыми правами
(Digital Rights Management, DRM).


16.1. Что такое DRM
Основная идея DRM заключается в том, чтобы предоставить владельцу ав-
торских прав на некоторое произведение (музыку, книгу, видеофильм) воз-
можность решать, кто и на каких условиях должен получать доступ к этому
произведению, и закрепить это решение с помощью технических средств.
Так, например, если шгаделец прав (издатель) принимает решение, что
книгу можно читать с экрана компьютера, но нельзя печатать, то у конеч-
ного пользователя, купившего электронную версию книги, не должно быть
технической возможности получить бумажную копию.
Кроме таких очевидных вещей, как возможность печати, существуют и бо-
лее сложные варианты прав. Ту же печать можно ограничивать в терминах
"к страниц в п дней", т. е. в течение любых п дней разрешено напечатать не
более к страниц.
Также иногда требуется ограничить число прослушиваний музыкальной
композиции или число просмотров ознакомительной версии фильма.
Можно ограничивать и период времени, в течение которого разрешен дос-
туп. Причем ограничение может накладываться как сверху (произведение
доступно в течение трех дней), так и снизу (доступ будет разрешен только
после определенной даты). Второй тип имеет смысл, когда информация
доставляется заранее, но ее использование разрешается одновременно во
всем мире.
Для таких произведений, как электронные книги, можно задавать, сколько
раз можно передавать книгу другому лицу и на каких условиях ее можно
сдавать в аренду. Это позволяет организовывать электронные библиотеки,
I
198 Часть IV. Основные аспекты защиты данных


функционирующие максимально похоже на обычные библиотеки с бумаж-
ными книгами.
На базе DRM может строиться и защищенный документооборот, в рамках
которого определяются правила использования каждого документа, цирку-
лирующего внутри компании.
Но при любой комбинации прав доступа всегда запрещается такая опера-
ция, как получение незащищенной электронной копии произведения. Ведь
если такая копия может быть получена, все остальные ограничения пере-
стают работать.


16.2. Возникновение DRM
Происхождение идеи DRM объясняется очень просто.
Когда-то для записи музыки и фильмов использовались только аналоговые
форматы: и виниловая пластинка, и обыкновенный кассетный магнитофон,
и видеомагнитофон формата VHS. А для аналоговых устройств свойственна j
потеря качества при перезаписи — и воспроизводящий, и записывающий {
тракты не идеальны, да и носитель информации (винил или магнитная лен- •
та) подвержен различным воздействиям, ухудшающим качество записи.
В любом случае, копия всегда получается чуть хуже оригин&га, а оригинал со
временем изнашивается. И это сильно затрудняет нелегальное тиражирование
записей. Правда, в свое время гиганты киноиндустрии пытались запретить
продажу бытовых видеомагнитофонов, предрекая, в противном случае, разо-
рение большинства кинокомпаний. Однако по прошествии нескольких деся-
тилетий можно с уверенностью сказать, что обещанных ужасов так и не слу-
чилось, хотя видеомагнитофон сейчас есть почти в каждом доме.
С развитием технологий и удешевлением производства сложной электрони-
ки цифровые носители информации стали постепенно перебираться из
профессиональной сферы в жизнь обыкновенных людей. Одним из первых
цифровых носителей, получивших широкое распространение, оказался зву-
ковой компакт-диск. Но бытовые музыкальные центры позволяли только
воспроизводить диски, а для записи звука все равно приходилось использо-
вать аналоговый носитель.
Когда появились бытовые цифровые аудиомагнитофоны, получить точную
цифровую копию все равно было невозможно. Музыка продавалась на
компакт-дисках, записанная с частотой дискретизации 44,1 КГц, а частота
дискретизации цифровых магнитофонов сознательно была выбрана равной
48 КГц. И при записи с компакт-диска на магнитофон сначала приходилось
преобразовывать цифровую информацию в аналоговый сигнал, а потом
выполнять обратное преобразование, но уже с другой частотой.
Глава 16. Особенности реализации DRM 199

Только когда появились сравнительно недорогие приводы для записи
компакт-дисков, идеальная копия, наконец, стала реальностью. Примерно
в то же время производительность персональных компьютеров стала доста-
точной для того, чтобы обрабатывать (по крайней мере, воспроизводить)
в реальном времени аудио- и видеоинформацию, обработанную сложными
алгоритмами сжатия. И, вдобавок, в распоряжении простых пользователей
оказался высокоскоростной (по сравнению с модемом) доступ в Интернет.
Все это вместе привело к тому, что почти любой пользователь мог создать,
например, высококачественную цифровую копию музыкального диска и
быстро передать ее на другой конец света.
Разумеется, продавцы контента не захотели мириться даже с теоретической
возможностью такого распространения информации, защищенной автор-
скими правами, и стали разрабатывать и внедрять всевозможные средства
контроля над использованием продаваемой ими продукции. Законодатель-
ные пути привели к законам типа DMCA (Digital Millenium Copyright Act),
а усилия в технической области как раз и воплотились в идею DRM.
Одним словом, DRM потребовался для того, чтобы предотвратить возмож-
ность свободного создания и распространения незащищенных и неконтро-
лируемых копий различных произведений и документов.


16.3. Очевидное препятствие
При реализации DRM сразу становится очевидной одна проблема. В отли-
чие от задачи обеспечения секретности, где достаточно было зашифровать
все данные и сохранить ключ в тайне, для обеспечения DRM методов крип-
тографии уже не хватает.
Разумеется, криптография все равно в той или иной форме применяется для
защиты контента. Но если пользователь имеет возможность доступа к со-
держимому произведения (например может читать книгу или слушать музы-
ку), значит, все ключи шифрования уже присутствуют в системе и для полу-
чения незащищенной копии остается только найти эти ключи и с их
помощью получить копию документа, не содержащую ограничений.
Следовательно, для обеспечения DRM приходится использовать и методы
защиты, не имеющие математического обоснования стойкости. Или, други-
ми словами, система DRM должна всеми доступными средствами препятст-
вовать как пассивному (исследование), так и активному (модификация)
вмешательству в ее функционирование.
Если в системе DRM присутствует аппаратная составляющая (как было, на-
пример, до тех пор, пока не появились программные проигрыватели DVD),
ч
200 Часть IV. Основные аспекты защиты данных


обеспечение защиты и контроль прав может выполняться вне персонального
компьютера. Но как только происходит переход к чисто программным сис-
темам, гарантированно защититься от обхода DRM становится невозможно.
Защищать информацию от одного типа доступа, не препятствуя при этом
доступу другого типа, в условиях, когда противник имеет полный контроль
над процессами, происходящими в вычислительной системе, крайне сложно.
Однако разработчики средств защиты с разной степенью успеха пытаются при-
менять самые разнообразные способы для того, чтобы создать инфраструктуру,
в которой станет возможно использовать защищенные электронные произведе-
ния, никогда полностью не выходящие из-под контроля издателя.


16.4. Защита электронных книг
Устоявшихся и хорошо себя зарекомендовавших DRM-решений, пожалуй,
нет ни для одного вида цифровых произведений. Существуют эффективные
методы и для обхода шифрования, применяемого для защиты содержимого
DVD-дисков, и для создания незащищенных копий музыкальных компози-
ций, распространяемых в формате WMA (Windows Media Audio) с защитой
DRM версии 2.
Но рассматривать основные аспекты DRM можно на любом примере, в том
числе и на примере электронных книг.


16.4.1. Adobe PDF Merchant (Adobe.WebBuy)
Как уже говорилось, в Acrobat Reader 4.0.5 появилась поддержка модуля за-
щиты, предназначенного для работы с электронными книгами, продавае-
мыми через Интернет. P D F Merchant был первым модулем защиты для
PDF, позволяющим работать с ключами шифрования, длина которых пре-
вышает 40 бит.
При попытке открытия защищенного документа модуль защиты выполнял
следующие действия. На сервер, отвечающий за упраатение правами, отсыла-
лась информация о покупке документа, к которому запрашивался доступ, и
один или несколько идентификаторов вычислительной среды, таких как ID
компьютера или процессора, серийный номер диска или имя пользователя.
Сервер проверял, разрешен ли доступ к документу (была ли действительно на
него куплена лицензия), и если все было правильно, генерировал и присылал
RMF-файл. Скорее всего, RMF является аббревиатурой от Rights Management
Format, во всяком случае, RMF-файл представлял собой XML-документ,
в котором хранилась такая DRM-информация, как замаскированный ключ
шифрования PDF-документа, перечень разрешенных операций (например
печать) и сертификат для проверки подлинности лицензии.
Глава 16. Особенности реализации DRM 201

В проверке подлинности лицензии были задействованы два 1024-битовых
открытых ключа RSA. Один из этих ключей, вероятно, принадлежат издате-
лю и использовался для проверки цифровой подписи лицензии. А второй
ключ, скорее всего, принадлежащий Adobe, применялся для заверения под-
линности открытого ключа издателя.
В RMF-файле присутствовало не менее одной записи, описывающей про-
верки, при успешном прохождении которых должен был открываться доступ
к документу. Каждая запись содержала тестовое условие (равно, не равно,
больше), имя проверяемого компонента (CPU, USERID, UTC), требуемое
значение (идентификатор процессора или пользователя или дату, до наступ-
ления которой разрешалась работа с документом) и замаскированное значе-
ние ключа шифрования документа.
Несколько условий могли быть скомбинированы с помощью логических
операций AND И OR. ЕСЛИ все необходимые проверки выполнялись успешно,
то замаскированное значение ключа шифрования документа одной из запи-
сей превращалось в ключ шифрования, который и использовался для рас-
шифровки содержимого документа.
В целом, шифрование применялось таким образом, что создать RMF-файл
без участия Adobe было практически невозможно. Но зато наличие RMF,
соответствующего определенному документу, позволяло вычислить ключ
шифрования без физического доступа к компьютеру, для которого был ли-
цензирован этот документ, — проверка условий выполнялась логически
(возвращалось состояние истина/ложь), но характеристики компьютера яв-
но не участвовали в вычислении ключа шифрования. К тому же, если не-
сколько проверок объединялись оператором AND, КЛЮЧ шифрования можно
было извлечь из записи, соответствующей любой из проверок, не обязатель-
но было выполнять их все.
Можно считать, что стойкость DRM, реализуемая в PDF Merchant, основы-
валась, в основном, на некоторой сложности выполняемых для получения
ключа действий. Однако для построения надежного решения DRM этого
явно недостаточно.


16.4.2. Adobe DRM (EBXJHANDLER)
Еще одно решение в области DRM для электронных книг, продвигаемое
в настоящее время компанией Adobe, как уже упоминалось ранее, было из-
начально разработано для программы GlassBook Reader.
GlassBook Reader реализовывал управление правами доступа в соответствии
со спецификацией протокола обмена электронными книгами (Electronic
Book Exchange, ЕВХ), разрабатываемым организацией ЕВХ Workgroup.
202 Часть IV. Основные аспекты защиты данных


Основная идея протокола заключается в том, что при активации программы
GlassBook Reader генерируется пара ключей асимметричного криптографи-
ческого алгоритма и открытый ключ регистрируется на сервере, а секретный
сохраняется на компьютере пользователя. В процессе приобретения лицен-
зии на книгу, Reader получает так называемый ваучер — XML-файл, содер-
жащий ключ документа, зашифрованный на открытом ключе пользователя,
список прав доступа к документу и вспомогательную информацию для про-
верки подлинности ваучера.
Таким образом, для получения ключа шифрования документа необходим
секретный ключ пользователя. Несмотря на то, что секретный ключ счита-
ется принадлежащим пользователю, сам пользователь не имеет к нему дос-
тупа — только Reader знает, как этот ключ может быть извлечен.
В GlassBook Reader существовало два пути доступа к секретному ключу
пользователя. Один из путей требовал вычисления значения хэш-функции
от некоторых параметров компьютера, таких как ID процессора и серийный
номер диска. Разумеется, при смене оборудования результат хэш-функции
изменялся и доступ к ключу становился невозможен.
Для того чтобы пользователь не потерял доступ ко всем приобретенным
книгам при смене оборудования, вероятно, и был предусмотрен второй спо-
соб доступа к секретному ключу, никак не завязанный на характеристики
компьютера. Используя этот способ, очень легко было вычислить секретный
ключ пользователя, а значит, и получить неограниченный доступ ко всем
легально приобретенным документам.
Надежность модели DRM, реализуемой GlassBook Reader, основывалась не
только на сложности получения доступа к секретному ключу пользователя.

<< Предыдущая

стр. 29
(из 39 стр.)

ОГЛАВЛЕНИЕ

Следующая >>