Гигабайты власти. Информационные технологии между свободой и тоталитаризмом - Берд Киви

Что и как делает Trusted Computing? Если воспользоваться разъяснениями Росса Андерсона, уже знакомого нам профессора Кембриджа и весьма известного в мире компьютерной безопасности эксперта, то «ДоверяйКо» обеспечивает такую компьютерную платформу, в условиях которой вы уже не можете вмешиваться в работу программных приложений, а приложения эти, в свою очередь, способны в защищенном режиме самостоятельно связываться со своими авторами или друг с другом. Исходный мотив для разработки такой архитектуры был задан требованиями Digital Rights Management (DRM) - «управления цифровыми правами» на контент. Фирмы звукозаписи и кинокомпании желают продавать свои диски и файлы так, чтобы их было нельзя бесконтрольно в компьютере скопировать, перекодировать или выложить в Интернет. Одновременно «ДоверяйКо» предоставляет возможности очень сильно затруднить работу нелицензированного ПО, т.е. в потенциале является серьезным инструментом для борьбы с пиратскими программами.

Достигаются все эти цели сочетанием специальных аппаратных и программных средств, следящих и докладывающих «компетентным инстанциям» о том, что делается в компьютере. Важная роль здесь отводится запаиваемой в системную плату микросхеме Trusted Platform Module, кратко ТРМ. Этот модуль быстро получил в народе звучное имя «фриц-чип» в честь спонсируемого компанией Disney американского сенатора Фрица Холлингза, пытавшегося добиться обязательного встраивания таких микросхем в каждый выпускаемый компьютер. В целом же спецификациями TCG в версии 1.1 (2003 г.) предусмотрено пять взаимно увязанных элементов: (а) фриц-чип, (б) «экранирование памяти» внутри процессора, (в) программное ядро безопасности внутри операционной системы (в Microsoft это именуют Nexus), (г) ядро безопасности в каждом ТС-совместимом приложении (в терминологии Microsoft - NCA), (д) плюс поддерживающая все это дело специальная онлайновая инфраструктура из серверов безопасности, с помощью которых фирмы-изготовители намерены управлять правильной и согласованной работой всех компонент [LG02].

В своем идеальном (намеченном изначально) варианте ТС подразумевает, что компоненты компьютера должны при установке автоматически проходить «проверку благонадежности» с применением криптографических протоколов, а индивидуальные параметры «железа» (плат, накопителей) и ПО (ОС, драйверы и прочее) в хешированном, т.е. сжатом и шифрованном виде прописаны в модуле ТРМ. Вся информация хранится и пересылается между доверяемыми компонентами в зашифрованном виде. Фриц-чип надзирает за процессом загрузки, дабы ПК после включения вышел в предсказуемую рабочую точку, когда уже известны и одобрены все компоненты «железа» и ПО. Если машина загружается в «правильное состояние», то фриц предоставляет операционной системе хранимые в нем криптографические ключи для расшифровки нужных в работе приложений и их данных. Ядро безопасности в операционной системе (Nexus) обеспечивает взаимодействие между фриц-чипом и компонентами безопасности (NCA) в приложениях. Кроме того, Nexus работает совместно с «экранированной памятью» в новых процессорах, чтобы не позволить одним ТС-приложениям работать с данными (считывание/запись) других ТС-приложений. Эта новая особенность процессоров у разных изготовителей именуется по-разному: у Intel - технология LaGrande, а у ARM, к примеру, TrustZone.

Если же загрузка вывела ПК в «неправильное состояние», когда новый хеш не совпал с хранящимся в ТРМ, то модуль не выдаст криптоключи, а значит на машине (в лучшем случае) можно будет запускать лишь «левые» приложения и данные, не имеющие сертификата на ТС-совместимость. Поскольку на будущее мыслится, что весь достойный контент и все достойные его обрабатывать программы непременно станут ТС-совместимыми, то судьба конечного пользователя легко предсказуема - делать лишь то, что дозволят компании-правообладатели.

Понятно, что даже в столь кратком изложении описанная архитектура не сулит владельцу будущего компьютера ничего хорошего. И сегодня склонить людей к покупке оборудования и программ, реализующих эту технологию - вещь, казалось бы, совершенно нереальная. Но это смотря как ее подать.

В военном деле, как известно, существуют две базовые модели боевых действий - в наступлении и в обороне. Но мудрые китайцы когда-то изобрели еще одну, весьма эффективную модель «войны без боя» - просачивание. Суть ее в том, чтобы многочисленными, но внешне неприметными и разрозненными группками проникнуть за линию фронта, распределиться в тылу противника, а уже затем согласованно ударить изнутри по ключевым точкам. Пусть на это потребуется не один год, однако эффективность решающего удара может быть очень высокой, поскольку «просочившихся» почти никто в лагере противника не воспринимает как реальную угрозу.

Совершенно очевидно, что индустрия развлекательного контента рассматривает пользователей ПК в качестве своих «противников» и ищет разные - оборонительные, наступательные, какие угодно - средства для борьбы с ними. Столь же очевидно, что флагманы компьютерной промышленности, долгое время пытавшиеся сохранять в этой борьбе нейтралитет ради интересов собственных прибылей, уже сделали свой выбор. Вполне ясны и мотивы, подтолкнувшие их к «закручиванию гаек». Упор на развлекательный контент ныне видится главным залогом успешных продаж ПК, а компьютер может стать «центром домашних развлечений» в домах будущего лишь при том условии, что будет устраивать индустрию контента. В противном случае весь куш достанется фирмам бытовой электроники, предлагающим свою версию «центра» на основе продвинутых ресиверов, игровых приставок или чего-то еще, отличного от «не в меру гибкого» компьютера.

В результате рождается альянс Trusted Computing и соответствующие спецификации на новую архитектуру. А параллельно идут аккуратные прощупывания потребителя на предмет того, в каком виде он готов все это заглотить («массовый заглот» необходим непременно - по грубым оценкам, для экономически оправданного разворачивания всей нужной инфраструктуры ТС требуется набрать «критическую массу» примерно в 100 миллионов устройств - ПК, карманных компьютеров, сотовых телефонов). За первые годы «просачивания» Trusted Computing уже отмечены и анекдотические казусы, и примеры элегантного маневрирования.

Главный анекдот - это то, как в Microsoft из года в год упорно настаивают, что разработка Palladium/NGSCB абсолютно никакого отношения не имела к борьбе с нелегальным копированием Windows. Когда на одной из конференций компетентный представитель Microsoft в очередной раз озвучил эту мысль, заявив даже, что корпорации вообще «неведомо, каким образом эту технологию можно применять против пиратского копирования», один из присутствовавших хакеров [Хакер в исходном, не криминальном смысле, т.е. весьма сведущий в своем компьютерном деле человек.] - Лаки Грин, в миру более известный как Марк Брисено, возмутился настолько, что решил пойти на крайние меры. Он подал на оформление сразу две патентные заявки, описывающие методы применения NGSCB для борьбы с копированием программ. Оформление патентов - процедура долгая, но если дело выгорит, то Microsoft придется либо официально доказывать, что у них имеется в этой области приоритет (а значит, они откровенно лгали), либо просить у Лаки Грина лицензию (заведомо зная, что Грин ее ни за что не даст). Либо, наконец, продемонстрировать миру свою кристальную чистоту и никогда даже не пытаться связывать NGSCB с защитой ПО от копирования [PR02].

В корпорации Intel маневрирование ведется более тонко. Технология LaGrande впервые была представлена публике осенью 2002 года, в рамках форума разработчиков ПЖ Поначалу было объявлено, что LaGrande будет встраиваться во все грядущие процессоры фирмы. Однако публика, несмотря на посулы большей безопасности, среагировала на эту новость скорее негативно, чем положительно. В 1999 году у Intel уже был крайне неприятный опыт, когда корпорация начала добавлять в процессоры Pentium III уникальный серийный номер, позволявший индивидуально отслеживать с Сети каждую машину. Последовавшая буря протестов, призывы к бойкоту и общий ущерб репутации явно произвели на корпорацию впечатление. Поэтому теперь планы относительно LaGrande скорректированы с учетом начальной реакции публики. Осенью 2003 года объявлено, что новая технология не будет внедряться тотально и ориентирована в основном на корпоративный, а не на потребительский рынок. Обещано, что пользователь сам будет выбирать, нужен ему чип с LaGrande или же без этой системы [MR03].

Но как бы ни проходили все эти маневры, суть их остается одна. Спецификации Trusted Computing постепенно усовершенствуются и реализуются в рыночных товарах, а в продажу понемногу выводятся настольные системы (Hewlett-Packard), ноутбуки (IBМ) и материнские платы (Intel) с запаянным в схему фриц-чипом ТРМ. Пока что изготовители заверяют, что эта микросхема не имеет никакого отношения к управлению цифровыми правами на контент, а просто служит надежным «сейфом» для хранения криптографических ключей пользователя. Но вполне очевидно, что это - технология «двойного назначения», как принято говорить в военно-промышленном комплексе.