Peter Gutmann, pgut001@cs.auckland.ac.nz
http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.txt
Riassunto e traduzione italiana a cura di Leonardo Serni

Riassunto
———

Windows Vista include una estesa rielaborazione di elementi chiave del S.O. allo
scopo di fornire protezione dei contenuti per il cosiddetto “contenuto premium”,
tipicamente dati in alta risoluzione da sorgenti BluRay o HD-DVD. Fornire questa
protezione incorre in costi considerevoli in termini di prestazioni del sistema,
stabilita’ del sistema, sovraccosto del supporto tecnico, e costi per hardware e
software. Questi problemi riguarderanno non solo gli utenti di Vista ma l’intera
comunita’ informatica, visto che l’effetto delle misure di protezione si estende
a tutto l’hardware e software che verra’ mai in contatto con Vista, anche se non
sara’ usato direttamente con Vista (per esempio, l’hardware in un Macintosh o su
un server Linux). Questo documento analizza i costi causati dalla protezione dei
contenuti di Vista, e i danni collaterali che questo causera’ all’intero mercato
informatico.

Riassunto del Riassunto
—————————

La specifica di Protezione dei Contenuti di Vista potrebbero benissimo essere la
piu’ lunga nota d’addio di suicida della storia.

Introduzione
————

Questo documento esamina soltanto il costo delle parti tecniche della protezione
dei contenuti di Vista. I problemi politici (alla voce DRM) sono stati esaminati
in esauriente dettaglio altrove e non saranno commentati oltre, a meno che siano
rilevanti per l’analisi dei costi. Comunque, un punto importante che deve essere
tenuto in mente nel leggere questo documento e’ che per funzionare la protezione
dei contenuti di Vista dev’essere in grado di violare le leggi fisiche, qualcosa
che e’ improbabile succeda non importa quanto l’industria dei contenuti desideri
che sia possibile. Questo dilemma e’ mostrato piu’ e piu’ volte nelle specifiche
della protezione dei contenuti di Windows, dove i fabbricanti non si vedono dare
delle linee guida semplici e chiare ma al contrario vengono informati che devono
mostrare la maggior dedizione possibile alla linea di partito. La documentazione
pullula di frasi come:


“It is recommended that a graphics manufacturer go beyond the strict letter
of the specification and provide additional content-protection features,
because this demonstrates their strong intent to protect premium content”.

“Si raccomanda che un fabbricante di hardware grafico vada al di la’ della
stretta lettera delle specifiche, e fornisca ulteriori caratteristiche per
la protezione dei contenuti, perche’ questo dimostra il loro forte intento
di proteggere il contenuto premium”.

Questa e’ una maniera estremamente strana di scrivere specifiche tecniche, ma e’
resa obbligata dal fatto che quello che le specifiche tentano di ottenere non e’
fondamentalmente possibile. I lettori dovrebbero tenere a mente questa richiesta
di mostrare appropriati livelli di dedizione, mentre leggono l’analisi sotto [v.
nota A].

Disattivazione di Funzionalita’
——————————-

Il meccanismo di protezione dei contenuti di Vista permette l’invio di contenuto
protetto solo attraverso interfacce anch’esse dotate di sistemi di protezione di
contenuti.
Attualmente, la piu’ comune interfaccia di uscita audio di fascia alta e’ S/PDIF
(Sony-Philips Digital Interface Format). Quasi tutte le schede audio piu’ nuove,
ad esempio, sono dotate di uscita ottica digitale TOSlink per riproduzione audio
di alta qualita’, e anche l’ultima “mandata” di schede madri con audio integrato
forniscono come minimo una uscita digitale coassiale (e spesso ottica). Dato che
S/PDIF non fornisce la minima protezione del contenuto Vista richiede che questa
interfaccia sia disattivata durante la riproduzione di contenuto protetto. O, in
altre parole: se avete investito un mucchio di quattrini per un sistema audio di
fascia alta, con ingressi di qualita’ digitale, non potrete usarlo per ascoltare
contenuto protetto. Allo stesso modo il video separato (YPbPr) sara’ disattivato
dalla protezione dei contenuti di Vista, per cui lo stesso discorso si applica a
un sistema video di fascia alta pilotato da un ingresso video separato.

Disattivazione indiretta di funzionalita’
—————————————–

Oltre alla disattivazione esplicita di funzionalita’, c’e’ una disattivazione di
funzionalita’ di tipo occulto. Per esempio, le comunicazioni a voce via PC hanno
bisogno della cancellazione automatica dell’eco (AEC) per funzionare. L’AEC, per
operare, richiede in ingresso un campionamento del mix audio nel sottosistema di
cancellazione dell’eco, e con la protezione dei contenuti di Vista questo non e’
piu’ permesso perche’ potrebbe consentire accesso non autorizzato a contenuto di
tipo “premium”.

Quello che e’ consentito e’ un feedback altamente degradato che potrebbe, forse,
in un certo senso, essere piu’ o meno sufficiente ad un qualche tipo di supporto
minimale di pseudo cancellazione dell’eco.

La richiesta di disattivare l’output audio e video provoca sfracelli per tutti i
compiti standard del sistema, perche’ la politica di sicurezza e’ una cosiddetta
“system high”: il livello di suscettibilita’ totale e’ quello dei dati a maggior
suscettibilita’ presenti nel sistema. Cosi’, non appena qualsiasi audio derivato
da contenuto premium appare in qualche punto del sistema, iniziera’ il degrado e
la disattivazione di segnali in tutto il sistema. Quello che rende la cosa molto
divertente e’ vhe l’effetto e’ dinamico, cioe’ se il segnale a contenuto premium
e’ intermittente o varia (come una musica che svanisca nel sottofondo), anche la
qualita’ di vari ingressi e uscite avra’ lo stesso andamento altalenante. Questo
normalmente sarebbe motivo per reinstallare i device driver, o perfino ritornare
l’apparecchio difettoso per una sostituzione in garanzia; ma, in questo caso, e’
un indice del fatto che tutto sta funzionando nel modo previsto.

Diminuita qualita’ di playback
——————————

Accanto all’approccio tutto-o-niente del disattivare le uscite, Vista richiede a
ogni interfaccia che fornisce output di alta qualita’ di degradare il segnale in
transito. Questo e’ effettuato mediante un “costrittore”, che degrada il segnale
rendendolo di qualita’ molto inferiore, poi lo riporta alle specifiche originali
teoriche con una significativa perdita di qualita’. Percio’, se state usando uno
schermo LCD nuovo e costoso, alimentato da un segnale DVI ad alta qualita’ dalla
vostra scheda video, e c’e’ contenuto protetto presente, vedrete un’immagine che
sara’, per usare le parole delle specifiche, “leggermente sfuocata”, un po’ come
quella del monitor CRT che avete recuperato a due euro al mercatino delle pulci.
In effetti, le specifiche consentono ancora i vecchi output analogici VGA, ma e’
solo perche’ eliminarli interferirebbe con troppi attuali proprietari di monitor
analogici. In futuro probabilmente anche l’uscita VGA analogica sara’ eliminata.
L’unica cosa che sembra esplicitamente consentita e’ il TV-out, con una qualita’
estremamente bassa, e a patto che sia protetto con Macrovision.

La stessa deliberata degradazione della qualita’ della riproduzione e’ applicata
all’audio, con l’audio che viene degradato in suono (di nuovo, dalle specifiche)
“offuscato, con meno dettagli”.

E’ divertente che i documenti sulla protezione dei contenuti di Vista dicano che
stara’ ai fabbricanti di chip grafici differenziare i propri prodotti, basandosi
sulla (deliberatamente degradata) qualita’ video. Sembra un po’ come spezzare le
gambine agli atleti olimpici e poi classificarli in base a quanto in fretta sono
in grado di arrancare sulle stampelle.

A parte le ovvie implicazioni sulla qualita’ di riproduzione di un output che e’
stato deliberatamente degradato, questa tecnica puo’ avere serie ripercussioni a
carico di applicazioni dove avere la riproduzione di alta qualita’ e’ vitale. Ad
esempio il campo delle immagini medicali esclude esplicitamente, o disapprova in
modo molto deciso, ogni forma di compressione con perdite, perche’ gli artefatti
prodotti dal processo di compressione possono causare errori diagnostici che, in
casi estremi, possono mettere in pericolo delle vite. Immaginiamoci un operatore
medico che sta usando un PC di imaging medicale, mentre ascolta una riproduzione
dal computer (i lettori di CDROM installati nei posti di lavoro, inevitabilmente
passano la maggior parte della loro vita attiva riproducendo CD audio o MP3, per
escludere il rumore di fondo del posto di lavoro). Se c’e’ del contenuto premium
su quel CD l’immagine verra’ sottilmente alterata dalla protezione dei contenuti
di Vista, creando potenzialmente proprio quella situazione di rischio vitale che
l’industria medicale ha messo cosi’ tanto impegno per evitare. Ma la cosa che fa
paura e’ che non c’e’ nessun modo semplice di evitarlo: Vista modifichera’ senza
avvertire i contenuti mostrati sul video, sotto condizioni (quasi impossibili da
prevedere!) individuate solo dal sistema di protezione dei contenuti incorporato
in Vista.

Eliminazione del supporto ad hardware Open Source
————————————————-

Allo scopo di impedire la creazione di emulatori dell’hardware di dispositivi di
riproduzione di contenuto protetto, Vista richiede un Controllo di Funzionalita’
Hardware (Hardware Functionality Scan HFS) che puo’ essere usato per riconoscere
in modo univoco un dispositivo hardware, per assicurarsi che sia (probabilmente)
genuino.

Per fare questo, il driver sul PC ospitante effettua un’operazione sull’hardware
(per esempio, renderizzare un contenuto 3D su una scheda grafica) che produce un
risultato che e’ univoco per quel tipo di dispositivo.

Perche’ questo sistema funzioni, la specifica esige che i dettagli operativi del
dispositivo siano mantenuti confidenziali. E’ logico che chiunque conosca quanto
basta, del funzionamento di un dispositivo, da scrivere un driver di terze parti
(per esempio uno per un S.O. open source, o, in generale, qualsiasi S.O. diverso
da Windows), ne sapra’ anche abbastanza per falsificare il processo dell’HFS. L’
unico modo per proteggere il processo HFS quindi diventa il non rilasciare alcun
dettaglio tecnico sul dispositivo, a parte l’assoluto minimo richiesto per avere
un giudizio in merito sui vari siti web, e per il confronto con altri prodotti.

Eliminazione dei Driver Unificati
———————————

Il processo HFS implica anche un altro costo. La maggior parte dei produttori di
hardware si sono decisi (grazie al cielo) ad adottare modelli di driver uniformi
anziche’ il pullulare dei driver individuali che imperversavano qualche anno fa.
Dato che l’HFS richiede una identificazione ed un controllo univoci, non solo di
ogni tipo di dispositivo (per esempio ogni chip grafico), ma di ogni variante di
ciascun tipo (per esempio ogni stepping di ogni chip grafico), per poter gestire
la situazione in cui si verifichi un problema con una fra le varianti di questo,
non sara’ piu’ possibile scrivere dei driver “universali” per un’intera famiglia
di dispositivi come gli attuali driver Catalyst/Detonator/ForceWare. Ogni minima
variazione di ogni tipo di dispositivo esistente dovrebbe corrispondere a codice
specifico scritto ad hoc, perche’ il processo HFS sia pienamente efficace.

Ora se un chip grafico e’ integrato nella scheda madre, e non c’e’ modo di avere
semplicemente accesso al bus del dispositivo, allora il requisito che il bus sia
crittografato viene a cadere (vedi “Superfluo Consumo di Risorse di CPU” sotto).
Dato che questo requisito di crittografia e’ tanto oneroso e’ piu’ che possibile
che questo sistema per fornire capacita’ grafiche diventi piu’ popolare, dopo il
rilascio di Vista. Ma questo porta ad un problema: non si puo’ determinare se un
chip grafico e’ situato nel cuore della scheda madre o su una scheda esterna, in
quanto per quel che riguarda il sistema, sono entrambi semplicemente dispositivi
connessi al bus AGP/PCI. La soluzione a questo problema e’ di rendere i due tipi
di dispositivi deliberatamente incompatibili, cosi’ che un HFS possa distinguere
fra un dispositivo connesso alla scheda madre ed uno su una interfaccia esterna.
Di nuovo, questo non fa altro che aumentare costi e complessita’ dei driver.

Problemi ulteriori nasceranno con i driver audio. Per il sistema, l’audio HDMI e
il S/PDIF appaiono identici, una scelta di design deliberata per semplificare la
gestione dei driver. Ma per fornire la capacita’ di disattivare l’output diventa
necessario rendere i codec HDMI deliberatamente incompatibili con quelli S/PDIF,
ad onta del fatto che erano stati progettati specificamente per sembrare uguali,
in modo da semplificare il supporto driver e ridurre i costi di sviluppo.

Denial-of-Service mediante Revoca dei Driver
——————————————–

Una volta che una falla e’ stata individuata in un dato driver o dispositivo, il
medesimo vede la propria “firma” revocata da Microsoft, il che significa che non
funzionera’ piu’ (i dettagli su questo processo sono un po’ vaghi; si presume di
poter mantenere una qualche minima funzionalita’, come il supporto generico VGA,
640×480, perche’ il sistema possa avviarsi). Questo significa che una notizia di
una compromissione di un driver o dispositivo fara’ si’ che tutto il supporto di
quel dispositivo, sull’intero pianeta, sia disattivato, in attesa di un rimedio.
Di nuovo, i dettagli sono scarsi, ma se e’ un problema di dispositivo si presume
che il dispositivo una volta revocato si trasformi in un fermacarte. Se siamo di
fronte ad un vecchio modello per cui il produttore non e’ interessato a ricreare
i driver (e nell’attuale mercato hardware, in rapido movimento, la maggior parte
dei dispositivi entrano nella fase di “obsoleto” entro uno o due anni dalla data
di immissione sul mercato dei modelli piu’ nuovi), tutti i dispositivi di quella
specie, su tutto il pianeta, diventeranno permanentemente inutilizzabili.

La minaccia della revoca dei driver e’ l’opzione termonucleare globale, lo sparo
della pistola dei Commissari che ricorda ai fedeli il proprio dovere [Nota B]. I
dettagli specifici del martello da cui i produttori saranno colpiti sono sepolti
in accordi di licenza confidenziali, ma ho sentito parlare di multe milionarie e
di embarghi su future forniture di dispositivi, accanto alla revoca sopra detta.

Diminuzione dell’Affidabilita’ del Sistema
——————————————

Il sistema di protezione dei contenuti di Vista richiede che un dispositivo (sia
software che hardware) setti dei cosiddetti “bit di tilt”, se notano qualcosa di
strano. Per esempio se vi sono strane fluttuazioni di tensione, forse un tremito
sui segnali del bus, una funzione che ritorna un codice insolito, un registro di
dispositivo che non contiene esattamente il valore atteso, o cose simili, un bit
di tilt viene impostato. Questi eventi non sono troppo rari, in un computer (per
esempio, avviare od inserire un dispositivo alimentato via bus puo’ produrre una
fluttuazione nei voltaggi del sistema, o un driver potrebbe non gestire lo stato
di un dispositivo cosi’ precisamente come pensa. In precedenza questo non era un
problema: i sistemi erano costruiti con una certa resilienza, e tutto funzionava
normalmente. In altre parole piccole variazioni di performance erano considerate
una parte del funzionamento normale del sistema. E il grado di questa variazione
puo’ variare molto da sistema a sistema, con alcuni capaci di gestire variazioni
ampie nei parametri di sistema, e altri capaci di reggere solo cambiamenti molto
piccoli. Un modo molto semplice di rendersene conto e’ di vedere cosa succede ad
un gruppo di PC quando la corrente s’interrompe per pochi millisecondi (es., per
un fulmine caduto nelle vicinanze). Gli effetti varieranno da uno spegnimento, a
vari tipi di crash di sistema, a nessun effetto avverso; tutto in risposta ad un
medesimo evento esterno.

Con l’introduzione dei bit di tilt tutta questa resilienza progettuale sparisce.
Ogni piccolo sbalzo normalmente inavvertibile e’ immediatamente portato in primo
piano perche’ potrebbe essere l’indizio di un attacco di hacker. E l’effetto che
questo puo’ avere sull’affidabilita’ del sistema, non dovrebbe richiedere grandi
spiegazioni.

Tali “feature” di protezione del contenuto come i bit di tilt hanno implicazioni
preoccupanti dal punto di vista del diniego di servizio (DoS). Probabilmente, e’
una buona cosa che il malware attuale sia scritto da programmatori con obiettivi
commerciali di phishing e spam, piuttosto che creare il massimo disastro che sia
possibile. Visto il numero e la facilita’ di accesso ai detonatori forniti dalla
protezione dei contenuti di Vista, qualsiasi malware che decida di attivarne uno
o piu’ potrebbe produrre danni consistenti. Le implicazioni per la sicurezza del
paese sembrano piuttosto serie, se un pezzetto di codice maligno piccolo e molto
facile da nascondere diventa sufficiente per rendere inutilizzabile una macchina
e la stessa natura della protezione dei contenuti di Vista ne rende praticamente
impossibile scoprire il funzionamento. Addirittura, gli autori di un malware che
sfruttasse la protezione dei contenuti per operare, verrebbero protetti dal DMCA
contro tentativi di reingegnerizzare o disattivare le “feature” di protezione di
contenuto di cui stanno abusando.

Anche senza considerare un abuso deliberato da parte di malware, le implicazioni
per la sicurezza di un paese della capacita’ di un agente esterno di disattivare
un’infrastruttura IT in risposta ad una falla scoperta in qualche chipset di cui
fortuitamente si faccia uso, e’ una seria preoccupazione per i potenziali utenti
di Vista. Fuori dagli U.S., i governi sono gia’ abbastanza nervosi nell’usare un
sistema operativo fornito dagli U.S. senza che ci venga incorporata la capacita’
di un DoS da remoto. E come per il problema del degrado di immagini medicali, e’
qualcosa di cui non ci si puo’ rendere conto finche’ non e’ troppo tardi, il che
trasforma i PC con Vista in ticchettanti bombe ad orologeria se la funzionalita’
di revoca sara’ mai utilizzata.

Aumento dei Costi Hardware
————————–

Vista include requisiti di “robustezza”, con le quali l’industria dei contenuti,
tramite delle “regole di robustezza hardware”, detta i requisiti dei progetti ai
fabbricanti di hardware. Ad esempio, solo certe disposizioni di componenti sulle
schede sono permesse, tali da rendere piu’ difficile per degli estranei arrivare
a certe componenti. Forse per la prima volta in assoluto, la progettazione di un
computer non segue le regole della progettazione elettronica, o requisiti fisici
per la disposizione dei componenti, o considerazioni di dissipazione termica, ma
i desiderata dell’industria dei contenuti. A parte il massiccio mal di testa per
i fabbricanti, questo significa imporre un costo addizionale al di la’ di quello
causato dal progettare schede secondo un design meno che ottimale. Tipicamente i
fabbricanti di schede video producono un design del tipo “va bene con tutto” che
e’ spesso una versione quasi inalterata del design di riferimento del produttore
del chipset, e poi “popolano” differenti classi e livelli di prezzo di schede in
modo differente. Una scheda di fascia bassa avra’ modulatori TV, circuiti DVI, i
RAMDAC ecc. realizzati con componenti di poco prezzo, ridotti al minimo, o anche
non tutti presenti; altri componenti opzionali distingueranno le schede video di
tipo economico da quelle di fascia alta. Questo si nota facilmente, sulle schede
economiche, osservando le “piazzette” lasciate vuote sui circuiti, e i giocatori
evoluti hanno familiarita’ con le “modifiche” realizzate tagliando una traccia o
ripristinando un resistore.
I requisiti di protezione dei contenuti di Vista elimineranno questo approccio a
“va bene con tutto”, mettendo al bando l’uso di modulatori TV separati, circuiti
DVI, RAMDAC e altri componenti opzionali. Tutto dovra’ essere progettato in tipo
unico, e disposto in modo che non ci siano collegamenti segnale raggiungibili su
una scheda. E questo significa che una scheda economica non sara’ piu’ un design
di fascia alta con qualche componente omesso, o semplificato, come una scheda di
fascia alta non sara’ una scheda di fascia bassa supplementata di componenti; ma
ciascuna dovra’ essere progettata in modo del tutto indipendente per assicurarsi
che nessun segnale sulla scheda sia accessibile.

Ma questo si estende dalla semplice progettazione giu’ giu’ fino al progetto del
chip: anziche’ aggiungere un chip DVI esterno il DVI adesso dev’essere integrato
nel chip grafico, insieme a ogni altra funzionalita’ fornita di norma da un chip
esterno. Cosi’, anziche’ variare il costo di una scheda video basandosi su certi
componenti esterni, i fabbricanti dovranno integrare tutto in un unico chip, che
conterra’ tutte le caratteristiche di fascia alta e altissima, anche se l’utente
vorrebbe solo una scheda a poco prezzo per il PC dei bambini.

Aumento di costo dovuto al requisito di acquisire una licenza non necessaria per
elementi di proprieta’ intellettuale di terze parti
——————————————————————————–

Proteggere tutto questo tesssoro di contenuti premium richiede una quantita’ non
indifferente di tecnologia addizionale. Per esempio l’HDCP di HDMI e’ proprieta’
di Intel, cosi’ che per mandare un segnale attraverso HDMI in pratica occorrera’
pagare il pedaggio alla Intel, anche se sarebbe possibile inviare esattamente lo
stesso segnale gratis via DVI. Allo stesso modo, dato che persino AES-128 su una
CPU moderna non e’ abbastanza veloce per criptare un contenuto a larga banda, le
ditte dovranno acquistare una licenza per il Cascaded Cipher, una trasformazione
di AES-128 di proprieta’ di Intel, che e’ studiata per fornire un livello piu’ o
meno simile di sicurezza ma con minori costi di elaborazione.

Questo bisogno di ottenere licenze di tecnologie non necessarie si estende anche
al di la’ dell’hardware di base. Per dimostrare la propria dedizione alla causa,
Microsoft ha raccomandato come parte delle “regole di robustezza” che gli autori
ottengano una licenza per strumenti di offuscamento del codice di terze parti in
grado di fornire capacita’ “stealth” simil-virali ai loro drivers di periferica,
in modo da rendere piu’ difficile interferire con il loro funzionamento, o farne
una reingegnerizzazione. Case di software, come Cloakware e Arxan, hanno persino
aggiunto pagine sulle “soluzioni per la robustezza” ai propri siti in previsione
di questo nuovo, lucroso mercato. Questo dev’essere un incubo per i venditori di
dispositivi, per i quali gia’ e’ abbastanza ostico riuscire a distribuire driver
pienamente funzionali, senza dover gestire l’aggiunta di tecnologie derivate dai
virus stealth sopra le funzionalita’ di base dei driver medesimi.

Superfluo consumo di Risorse di CPU
———————————–

Per impedire una manipolazione delle comunicazioni intra-sistema, tutti i flussi
di comunicazione devono essere criptati e/o autenticati. Per esempio i contenuti
inviati alle schede video dovranno essere criptati con AES-128. Questa richiesta
di crittografia si estende oltre a una basilare crittografia dei contenuti, fino
ad abbracciare non solo il flusso di dati sui vari bus, ma anche dati di comando
e controllo fra le componenti del software. Per esempio, le comunicazioni fra le
componenti di livello kernel e di livello utente sono autenticate a mezzo tag di
autenticazione OMAC, con un costo considerevole ad entrambi i capi del filo.

E per impedire attacchi attivi, si richiede che i driver di dispositivo facciano
una analisi dell’hardware sottostante, ogni 30 millisecondi, per assicurarsi che
tutto sia a posto. Questo significa che, anche se non sta succedendo nient’altro
nel sistema, una folla di driver assortiti si deve svegliare per trenta volte al
secondo, solo per assicurarsi che… continui a non succedere niente. E, oltre a
questo campionamento, ci sono ulteriori campionamenti specifici dei dispositivi:
ad esempio, Vista interroga i dispositivi video a ogni frame per assicurarsi che
i vari detonatori (i bit di tilt) non siano stati innescati.

Le schede grafiche poi creano un ulteriore problema, perche’ blocchi di prezioso
contenuto potrebbero finire archiviati in memoria centrale, da cui si potrebbero
trovare paginati sul disco. Per evitare questo Vista etichetta quelle pagine con
uno speciale bit di protezione, per indicare che devono essere crittografate nel
momento in cui sono scritte sul disco, e decrittografate in rilettura. Vista non
applica nessuna altra crittografia del file di page, e scrivera’ allegramente in
chiaro i vostri codici di Bancomat, i dettagli della carta di credito, ogni tipo
di informazione privata e personale, eccetera. Le richieste della protezione dei
contenuti mostrano chiaramente che, agli occhi di Microsoft, un singolo frame di
contenuto premium vale piu’ di, diciamo, i dati medici dell’utente, o il PIN del
suo home banking.

In aggiunta ai costi di CPU, il desiderio di rendere i dati inaccessibili a ogni
livello significa che la decompressione video non puo’ piu’ essere svolta dentro
la CPU, perche’ non c’e’ sufficiente potenza di CPU disponibile per decomprimere
il video e crittografarne il flusso di dati risultanti verso la scheda video. Di
conseguenza, la maggior parte della decompressione dev’essere integrata nel chip
grafico. Come minimo questo comprende l’IDCT, la compensazione di movimento MPEG
e il codec Windows Media VC-1. Come corollario al problema “Incremento dei Costi
Hardware” visto sopra, cio’ significa che non e’ piu’ possibile commercializzare
una scheda video di fascia bassa senza aggiungervi un supporto per codec video.

Un’incapacita’ di effetuare la decodifica software significa anche che qualsiasi
schema di compressione di contenuto premium che non sia supportato dall’hardware
non puo’ essere implementato. Se mai qualcosa come il codec video OGG nascera’ e
verra’ usato, sara’ bene che usi qualcosa come Windows Media VC-1, oppure non si
stacchera’ neanche dal blocco di partenza con Vista o hardware Vista-ready.

Questo e’ particolarmente inquietante per il cinema digitale di alta qualita’, o
D-Cinema, la cui specifica utilizza il MotionJPEG2000 (MJ2K) perche’ lo standard
MPEG e i suoi equivalenti non forniscono una sufficiente qualita’ dell’immagine.
Dato che JPEG2000 e i suoi equivalenti usano la compressione basata sui wavelet,
e non quella basata sulla DCT (trasformata discreta di coseni) del MPEG, e visto
che la compressione wavelet non e’ sulla lista dei codec hardware, non si potra’
riprodurre contenuto premium D-Cinema. Dato che *tutto* il contenuto D-Cinema e’
presumibilmente contenuto premium, il risultato e’ nessuna riproduzione, finche’
il supporto hardware comparira’ nei PC, in qualche sconosciuto punto del futuro.

Confrontate questa situazione con quella del MPEG Video, dove i primi codec soft
come XingMPEG de/codificatore praticamente hanno *creato* il mercato per i video
su PC. Oggi, grazie alla protezione dei contenuti con Vista, l’apertura di nuovi
mercati in questo modo sarebbe impossibile.

Il mercato di fascia alta per la grafica e l’audio e’ dominato interamente dagli
appassionati di videogames, che farebbero qualsiasi cosa per guadagnare anche il
piu’ piccolo extra di performance, come comprare una scheda di rete “Killer NIC”
della Bigfoot Networks per 250 dollari, nella speranza che li aiuti a ridurre la
loro latenza di rete di pochi millisecondi. E queste sono persone che acquistano
schede grafiche e sonore da 500 – 1000 dollari, per le quali una singola vendita
porta ai fabbricanti piu’ di quei pochi centesimi che ottengono dalla sezione di
audio e video di una stanza piena di PC con grafica e audio integrati. Mi chiedo
come reagira’ questo segmento di mercato nello scoprire che il loro hardware top
della linea viene azzoppato da tutte le “feature” di protezione dei contenuti di
cui lo imbottirebbe Vista.

Superfluo consumo di risorse di periferica
——————————————

Come parte dello schema di protezione del bus, i dispositivi devono implementare
la crittografia AES-128 per poter ricevere contenuti da Vista. Questo dev’essere
fatto tramite un motore di decrittazione hardware sul chip grafico, che con ogni
probabilita’ verra’ implementato eliminando una o due pipeline del rendering per
fare spazio al motore AES.

Stabilire una chiave AES con l’hardware del dispositivo richiede ulteriore costi
di crittografia, in questo caso uno scambio di chiavi Diffie-Hellman a 2048 bit.
Nei dispositivi programmabili questo puo’ esser fatto (con considerevole sforzo)
nel dispositivo (per esempio nell’hardware programmabile per l’ombreggiatura), o
piu’ semplicemente buttando via qualche altra pipeline e implementando un motore
di crittografia a chiave pubblica nello spazio risparmiato.

E’ inutile dire che le necessita’ di sviluppo, collaudo e integrazione di motori
di criptazione in dispositivi audio/video gravera’ sul loro costo, come visto in
“Incremento dei Costi dei Dispositivi” piu’ sopra, ed il fatto che si perderanno
preziose capacita’ di performance per contentare le necessita’ di protezione dei
contenuti di Vista non rendera’ molto felici gli appassionati di videogiochi.

Considerazioni finali
———————

“Nessun coordinamento avra’ successo, a meno che venga progettato con in mente i
bisogni del cliente. Microsoft crede che una esperienza gradevole da parte dell’
utente sia un requisito per l’adozione” — Microsoft

Alla fine di tutto questo, rimane una domanda: perche’ Microsoft si prende tutto
questo impegno? Chiedete alla maggior parte della gente cosa pensa, quando usate
il termine: “riproduttore di contenuto premium”, e vi risponderanno: “un PVR”, o
“un riproduttore DVD”, ma non: “Un PC con Windows”. E allora, perche’ fare tutto
questo sforzo per trasformare un PC in qualcosa che non e’?

Nel luglio 2006, Cory Doctorow scrisse una analisi della natura anti-competitiva
del sistema di protezione anticopia di iTunes di Apple (”Apple’s Copy Protection
Isn’t Just Bad For Consumers, It’s Bad For Business”, Cory Doctorow, Information
Week, 31 Luglio 2006). L’unica ragione che riesco a immaginare perche’ Microsoft
faccia passare ai propri programmatori, ai produttori, agli sviluppatori esterni
e infine ai propri clienti, tutti qusti guai, e’ perche’ una volta che un simile
schema di protezione fosse generalizzato, Microsoft possiedera’ completamente il
canale di distribuzione. Nello stesso modo in cui Apple e’ riuscita ad acquisire
una stretta monopolistica sul loro canale di distribuzione di musica (un esempio
e’ il fiasco di Motorola ROKR, talmente impastoiato dalle restrizioni imposte da
Apple, che praticamente mori’ non appena dato alla luce), cosi’ Microsoft potra’
controllare totalmente il canale di distribuzione di contenuti premium. Non solo
potra’ tagliare fuori qualsiasi concorrente, ma, dato che rappresentera’ l’unico
canale di distribuzione disponibile, sara’ in grado di dettare legge agli stessi
creatori di contenuti i cui bisogni in teoria dovrebbe servire, allo stesso modo
in cui Apple ha gia’ dettato le condizioni all’industria musicale: obbedite alle
nostre regole, o noi non trasporteremo i vostri contenuti. Il risultato sara’ un
monopolio imposto con la tecnologia in confronto al quale l’attuale monopolio de
facto di Windows sembrera’ il guanto di velluto.

Tutto sommato, la funzionalita’ di protezione dei contenuti di Vista sembrerebbe
un’opera di ingegneria straordinariamente miope, concentrandosi totalmente sulla
protezione dei contenuti senza alcuna considerazione per le enormi ripercussioni
che le misure impiegate avranno. E’ un po’ come l’equivalente PC della proposta,
prontamente abbandonata, nata in Europa per inserire chip a radioidentificazione
nelle banconote di grosso taglio, come misura anti-contraffazione; ignorando nel
modo piu’ completo il fatto che i maggiori utenti di questa tecnologia sarebbero
stati i criminali, che sarebbero stati in grado di individuare a distanza i piu’
succulenti obiettivi per una rapina.

La cosa peggiore di tutto questo e’ che non c’e’ nessuna speranza. I fabbricanti
hardware dovranno mandare giu’ l’amaro kool-aid [Nota C], per poter lavorare con
Vista: “Non e’ obbligatorio di firmare la licenza [di protezione dei contenuti];
ma, senza un certificato, nessun contenuto premium verra’ inviato al driver”. E’
ovvio che ogni fabbricante hardware sara’ liberissimo di chiamarsene fuori… se
non gli da’ fastidio che i propri dispositivi mostrino solo video offuscato, con
disturbi, a bassa qualita’, e lo stesso accada all’audio, non appena e’ presente
contenuto premium nel sistema; mentre la concorrenza non ha questi (deliberati!)
problemi.

Come utente, non c’e’ nulla da fare. Che usiate Windows Vista, XP, Win95, Linux,
FreeBSD, OS X, Solaris (su x86), o (quasi) qualsiasi altro OS, la protezione dei
contenuti di Windows rendera’ il vostro hardware: piu’ costoso, meno affidabile,
piu’ difficile da programmare, piu’ difficile da supportare, piu’ vulnerabile ai
programmi maligni, e con piu’ problemi di compatibilita’.

Ecco un’offerta a Microsoft: se noi consumatori promettiamo di non comprare mai,
mai, mai, un solo disco HD-DVD o Blu-Ray con sopra del contenuto premium, voi in
cambio terrete questo veleno lontano dall’industria informatica? Per favore?

Ringraziamenti
————–

Questo documento e’ stato messo insieme con contributi di diverse fonti, incluse
alcune che hanno chiesto che io mantenessi il loro contributo anonimo. In alcuni
casi ho semplificato o riscritto alcuni dettagli per essere sicuro che la scelta
di parole originale, potenzialmente tracciabile, dei documenti di specifiche non
pubblici, non fosse mantenuta. Dato che non e’ stato sempre possibile risalire a
fonti originali e verificare l’esattezza dei dettagli, e’ possibile che vi siano
delle inaccuratezze presenti, di cui penso saro’ informato molto in fretta. E di
sicuro, Microsoft (che non vorra’ che l’idea di un Vista progettato zoppo prenda
piede) fornira’ la propria interpretazione dei dettagli.

Oltre al materiale qui presente sono interessato ad avere informazioni ulteriori
sia dal personale Microsoft, coinvolto nella implementazione delle misure per la
protezione dei contenuti, sia dai fabbricanti di dispositivi, che sono coinvolti
nell’implementazione delle misure hardware e software. So da fonti Microsoft che
hanno contribuito, che a molti di loro sta molto a cuore il fornire l’esperienza
video ed audio migliore possibile agli utenti di Vista, e sono molto turbati dal
dovere impiegare del tempo per implementare vaste moli di anti-funzionalita’; e’
gia’ abbastanza difficile fare in modo che le cose vadano lisce senza azzopparle
apposta. Sono sempre disponibile a ricevere nuove informazioni, e manterro’ ogni
contributo confidenziale a meno che mi diate il permesso di ripetere qualcosa.

Se volete inviarmi materiale criptato, la mia chiave PGP pubblica e’ indicata in
calce alla mia home page http://www.cs.auckland.ac.nz/~pgut001 .

Note
—-

Nota A: a questo punto, faro’ una predizione: che, dato che sta tentando di fare
l’impossibile, la protezione dei contenuti di Vista non ci mettera’ piu’
di un giorno per essere aggirata, se il meccanismo e’ qualcosa di simile
al bug di un driver o una falla di sicurezza in un solo punto del codice
(che puo’ quindi essere rapidamente corretto), e meno di una settimana a
venire completamente aggirata in modo indipendente da driver e hardware.
Questo non vuol dire che verra’ violata entro un giorno od una settimana
dalla comparsa, ma che una volta che un attaccante abbastanza esperto si
trovera’ motivato a violarla, ci riuscira’ in meno di un giorno o di una
settimana.

Nota B: vedo dei processi ‘class action’ impressionanti, se questo meccanismo di
revoca sara’ mai applicato. Forse Microsoft o i produttori dei contenuti
compreranno, a chiunque possegga un dispositivo che accidentalmente ceda
contenuto e venga quindi disattivato dal processo di revoca, un ricambio
gratuito. Alcuni contributori hanno commentato che non pensano che sara’
mai utilizzato, perche’ il processo di revoca causerebbe un subbuglio di
dimensioni intollerabili fra i consumatori; tuttavia pure le conseguenze
del “non” impiegarlo potrebbero essere altrettanto estreme. Per chiunque
abbia letto “Cannoni d’Agosto”, la situazione sembra simile all’Europa a
poco tempo dalla prima guerra mondiale, con gente seduta al passo uno di
piani di battaglia enormemente complessi, che, una volta intrapresi, non
c’era mezzo di fermare, non importa quanto fosse ovvio che andare avanti
fosse una cattiva idea. La revoca dei driver e’ una situazione di totale
perdita per Microsoft, che avra’ seri dolori sia che la intraprenda, sia
che non la intraprenda… quando si sono lasciati intrappolare in questo
particolare angolo, gli avvocati di Microsoft dovevano stare dormendo.

Nota C: il riferimento al “kool-aid” potrebbe non essere familiare per i lettori
non statunitensi; si riferisce al suicidio di massa del 1978 a Jonestown
in cui i seguaci di Jim Jones bevvero del Flavor Aid avvelenato, per far
vedere la loro dedizione alla causa. Nell’uso popolare, si sostituisce a
“Flavor Aid” il termine “kool-aid” perche’ e’ un marchio piu’ noto.

Nota D: Se mai volessi riprodurre del contenuto premium, aspettero’ qualche anno
e poi comprero’ un riproduttore da tavolo cinese da 50 dollari, e non un
PC Windows da 1000 dollari. E’ un po’ bizzarro che io debba rivolgermi a
un paese comunista per trovare fabbricanti che capiscano i bisogni di un
consumatore.

Technorati : sicurezza informatica, windows vista

Condividi