星期日, 7月 31, 2005

陰魂不散之Broadcast flag

http://www.corante.com/importance/archives/cat_broadcast_flag.php

看到這篇文章,原來Broadcast flag如此陰魂不散啊....

什麼是Broadcast flag?去參照官方說法,就會看到「Broadcast flag是為了防止影音檔案在網際網路毫無限制的散播....」或是「Broadcast flag是在數位節目訊號前的一小段訊號,配備有Broadcast flag功能(編按:這叫功能?)的機器會對複製的行為進行限制...」。其實不用那麼複雜,Broadcast flag就是要求所有可以收HDTV裝置的設備都要安裝接收Broadcast flag的功能,裝了以後,只要內容提供商在發送節目的時候送出「可以複製一次」的訊號,消費者買的機器就會限制消費者只能複製一次(比如把訊號從電視送到錄影機)。如果內容提供商送出「禁止複製」的訊號,那麼消費者就算砸爛了機器,機器也會板起臉孔曰:「為了保護智慧財產權,本影片禁止複製」。簡而言之,就是以後電視,PCHDTV這些東西都要安裝特殊設備讓內容提供商可以遠端遙控(好方便啊)。

美國FCC曾經下令所有可以收HDTV裝置的設備都要安裝接收Broadcast flag的功能,還好美國法院判決FCC權限不符,命令無效。我想起FCC的一句話:「過去本會每次行動都有先經過國會同意,不代表沒有國會同意不能行 動」還有該案審查法官的:「現在你們控制電視,接下來是不是要控制洗衣機?」。

內容提供商對於訊號會在被複製到網路上供人下載的恐懼我可以諒解,我也認為非法散佈節目訊號是不道德的行為,但是我不會允許內容提供商把黑手伸進我家的電視。 全文連結

DRM大賽

http://www.publish.com/article2/0,1895,1841433,00.asp

看到這個,我的腦中就浮現出可怕的畫面:消費者被綁在手術台上,周圍的「醫生」們(微軟,Intel,Sony,Apple.....)一起研究要在消費者身上裝什麼控制裝置.....

DMCA 這種法律在世界上的許多地方通過,實再是一大福音,因為從此以後著作權人不管使用任何手段,只要目的是為了防拷,使用者就不得破解。所以以後你買到的電腦 不是你的,是智慧財產權所有人的,裡面的軟體只會聽命於微軟和唱片公司,而不會聽命於你,你的記憶體會阻擋你存取,你的顯示卡會防止你偷窺,資料從作業系 統送到音效卡會加密,什麼?破解作業系統?別傻了,這樣就不能通過TPM的信賴檢查,作業系統就拿不到金鑰了耶。

講到DMCA,我很好奇,C.Brain病毒要是在DMCA通過以後出生,防毒公司可能都要倒了。因為C.Brain當初是為了防止盜拷所產生的病毒,也算是保護智產權的手段之一,所以防毒公司刪除此病毒可能會被視為破解防拷措施

DRM這種齷齰的東西也可以形成產業。Open computing的時代要過去了...... 全文連結

星期六, 7月 30, 2005

星期五, 7月 29, 2005

略談信賴運算(三)

信賴運算的靈魂就是Trusted Platform Module,它可以是軟體,也可以是鑲嵌在主機板上的晶片,不過為了安全性考量,應該是採用硬體製作。每個TPM都會內建一對獨一無二的公共密碼學金鑰,稱為Endorsement keyEK)。

信賴運算中有五種主要的憑證:

  • Endorsement Credential
    • 記載了TPM的製造商廠名,Part model number、版本號以及該TPM的公開金鑰、類似每個TPM的身份證。
  • Conformance Credential
    • 記載了檢驗者名稱,平台製造者名稱、平台Model number平台版本、TPM的製造商廠名,Part model number、版本號。 Conformance Credential 類似由具公信力單位所發出的TPM血統證明書。
  • Platform Credential
    • 內含平台的製造者名稱、model number、版本號以及所含TPMEndorsement CredentialConformance Credential
  • Validation credential
    • 各個元件(螢幕、軟體、鍵盤、音效卡、顯示卡....)的憑證,上面會有製造者的電子簽章。本憑證主要是讓信賴運算機制判定裝置是否遭到竄改(比如程式碼被破解)。
  • Identity or AIK credential
    • 以密碼學來說,TPM在實際運作的時候不會直接拿EK來用,因為同一把鑰匙用越多次越不安全。所以TPM會產生attestation identity keyAIK)並且向具公信力的第三方CA註冊該金鑰。但是別人要如何知道某把AIK是不是某TPM所有呢?這時候AIK credential就會派上用場。AIK credential會由具有公正力的第三方CA簽名證明某AIK是由某TPM擁有。AIK credential會記載某特定TPMAIK公開金鑰、TPM型號以及製造者名稱,平台類別以及製造者名稱以及最重要的:平台及TPMConformance Credential

現在進行實況演練,假設某具備信賴運算之電腦要播放某受到DRM保護的迪士尼公司的動畫。現在播放軟體已經向迪士尼公司的伺服器提出金鑰請求了。首先迪士尼公司會使用信賴運算的遠方確認(Remote Attestation)功能確定本地電腦的TPM是否值得迪士尼公司的信賴,本地電腦會給迪士尼公司自己的AIK公開金鑰,然後迪士尼公司會去網路上搜尋和該AIK對應的AIK credential,然後會檢查裡面的平台 Conformance Credential TPM Conformance Credential。如果正常的話迪士尼公司才會利用AIK把金鑰寄過來。

世界上任何人都可以生產TPM或平台,但不代表所生產的TPM或平台會被他人「信任」。任何人生產TPM或平台以後都必須將自己的TPM或平台交給審議委員會測試其安全性,在確認該TPM或平台足以抵擋使用者的破解且對智慧財產權絕對效忠以後(不會搞一些像是偷偷把不能讓使用者知道的秘密金鑰給使用者的事情),該TPM或平台就可以領到光榮的「血統證明書」-Conformance Credential 。有了 Conformance Credential 以後才能得到別人的「信賴」,別人才會放心的把DRM金鑰交出來。

至於TPM收到金鑰以後如何妥善的保護他,就會牽涉到Transitive trust、隔離記憶體等問題,下次再說。

全文連結

略談信賴運算(二)

開始介紹一些信賴運算的概念,其實信賴運算的精髓我也還沒完全弄通,只是知道大概的架構,我自己也是還在看文件。信賴運算除了拿來增強數位版權管理外其實也有他用,不過目前先針對這個方面討論

傳統DRM的原理大概就是將受到保護的檔案(音樂、影片)用金鑰加密,並且把這把金鑰存在遠端伺服器中,使用者想要播放檔案的時候再由播放程式去向伺服器要金鑰並播放 之,而播放程式也會根據遠端伺服器的要求以及檔案本身內部記載的資訊去限制使用者的行為。(比如只能播三次,不可以轉檔等)。而該檔案因為受到加密保護, 所以除了官方認可的播放程式以外,其他播放程式根本不能讀取。而官方播放程式雖能讀取該檔案,卻會配合DRM政策運作,而達到保護效果。

但是上一段我所說的軟體DRM卻有幾個根本性的問題:

  • 其他的程式設計師可以利用封包監聽的方式推出官方播放軟體與遠端伺服器的通訊協定,進而讓自己的程式模仿該通訊協定而可以向遠端伺服器取得金鑰。有了金鑰就萬事OK,甚至可以直接用該金鑰逕行解碼解除檔案的保護。
  • 即使官方播放軟體使用加密而無法解開通訊協定,在現行電腦架構下,任何程式都會被載入記憶體執行,而這些記憶體都是可以由其他程式自由存取的。所以「意圖不軌者」可以利用debugger研究播放程式的程式碼,甚或寫個程式直接讀取播放程式的緩衝區直接取得被解碼的內容,最後還是破解
  • 直接埋伏在系統到周邊裝置之間的必經道路,然後把流經的訊號錄下來。
所以內容供應商就跳腳了,他們怎麼會容許自己的高品質影音內容在這種「危險」的設備上播放?電腦大廠才聯合推出信賴運算。

全文連結

不要什麼都只會怪P2P公司!

http://news.com.com/Congress+threatens+P2P+networks+on+porn/2100-1028_3-5809223.html?tag=nefd.top

各位先生,各位女士,帽子又來了。

我想美國國會的人沒有搞清楚一個重點:P2P軟體只是中性傳輸工具。P2P軟體上會出現盜版和色情有其他結構性原因。我很想問一個問題:十年後網路變的超快,可能連email軟體和即時通訊軟體都會有一大堆色情和盜版,是不是那時候email軟體設計者和網路伺服器公司都要修改軟體安裝所謂的filter 啊? 全文連結

星期四, 7月 28, 2005

練氣小心得

站樁的時候突然發現,放的太鬆站的太高固然沒氣。馬步太低竟然也是一樣,推出一個結論:繃的太緊好像反而不容易讓氣功生效,站完後反而口很乾膝蓋很痛,氣功還是需要適度放鬆。有多少功力就努力多少,硬蹲反而沒用。

希望氣功可以醫好我的氣喘和過敏。 全文連結

略談信賴運算(一)

微軟延宕多年的秘密武器:現在正式定名為Windows Vista的Longhorn帶有許多的新功能,比如完全重新設計過的檔案搜尋功能,全新的使用者介面Aero,疑似要搶奪pdf市場的metro等等。 但是其實未來Windows系列中微軟最重視的功能應該是對於信賴運算的支援。

話說為什麼微軟要重視信賴運算呢?信賴運算又是什麼?要解開這些謎題就必須探討現在個人電腦市場的狀況。最近一段時間,個人電腦的銷售量雖然還是有所成長,但是整體而言已經趨近飽和,這對微軟,英代爾,Ati, Nvidia等廠商都不是好事。大家不買新電腦,那這些廠商要吃什麼呢?於是乎,這些邪惡的大廠就想要把電腦拱成家庭多媒體娛樂的中心(也就是可以聽音樂,看影片,玩遊戲…等等)以刺激其銷售。要電腦成為多媒體娛樂中心,就必須設法讓那些內容提供商願意提供內容(音樂,影片….)給電腦使用。這時內容供應商就開口了(鐵獅玉玲瓏音效:噹噹噹噹噹~):「要我們提供內容給電腦可以,但是電腦這種東西,實在是罪惡的淵藪,墮落的根源,盜版的情況是在太過嚴重,如果無法確保我們傳送到電腦的高品質多媒體內容不會被使用者竊取,那麼一切都免談」。

這時微軟,英代爾這些電腦巨頭就開始不眠不休的研究,後來他們想出一個絕招:信賴運算。信賴運算的確可以讓電腦更安全,但是這額外的「安全」是對內容提供商而言,不是對使用者而言。為什麼傳統軟體 DRM不能徹底防止使用者「竊取」內容呢?那是因為不論內容經過如何嚴密的防範,內容一定是儲存在使用者的電腦裡面且由使用者的電腦存取,而使用者的電腦又完全由使用者控制。所以要防止使用者竊取內容的最好方式,就是把電腦的關鍵部位控制權從使用者身上奪走,讓使用者只能控制電腦的非關鍵部份,而內容的儲存、管理、播放交給只受「可信賴第三方」控制的關鍵部份處理(使用者無法控制)。

信賴運算將會逐步入侵新電腦還有作業系統,就算微軟的Wronghorn不完全支援,在BlackTomb也應該會支援的更完整。信賴運算的運作細節可在Trusted Computing Group找到。下次再來簡略介紹。

自己呸自己:上一段Wronghorn應為Longhorn,BlackTomb應為BlackComb 全文連結

用P2P的人會買比較多的音樂?

http://slyck.com/news.php?story=870

有研究報告指出,使用P2P的人在音樂上花的金錢是不使用P2P的人的4.5倍。有許多P2P支持者會逕自設下「P2P會創造購買」的結論。但我認為這份 研究還有疑義:這份報告無法證明「P2P使用」和「音樂購買」之間的因果關係,的確有可能是因為P2P的使用會導致銷售增長才有這種結果,但也有可能是因 為重度購買者比較愛用P2P,而不是因為使用P2P變成重度購買者。要解決這個疑義,研究報告必須探討這些重度購買者使用P2P前和使用P2P後的購買數 量差距,然後將這些差距對照那些不使用P2P者的購買行為變化,這樣的研究才會周延點。 全文連結

星期三, 7月 27, 2005

贊成教育部開放髮禁

(本文我曾試圖投給聯合報...)

普羅大眾一般來說只聽過人會「喜新厭舊」,卻很少聽過人會「喜舊厭新」。其實「喜舊厭 新」是非常普遍的現象,特別是牽涉到道德價值觀變遷時。一般來說,人總是會先防守自己遵守許久的價值觀,而對新的價值觀激烈反對,特別是那些平常不遺餘力 捍衛舊價值觀者(比如反對解放纏腳者往往是纏腳多年的婦女)。這在許多風俗(如纏腳,綁辮子....)的變遷中都可以看的出來。


今天社會上有許多教育者強烈反對教育部開放髮禁,將開放髮禁和「鼓勵學生耍酷,耍帥」畫上等號,也質疑教育部務不務實。但是筆者觀察,大部分是內心深層對於自己舊有價值觀的捍衛反應,我也認為這是必然的現象,比如當年大清帝國被西洋船堅炮利轟穿鎖國門戶後將多批學生送到西洋,回國後他們把辮子解開踢足球被大清百姓看到,道德帽子馬上就過去(「數典忘祖」,「大逆不道」,「不知禮儀」...。今天反對解放髮禁者,其實就和當初看到學生披頭散髮踢足球就抓狂的大清百姓一樣。今天假如回首百年前覺得可笑,百年後後人看我們髮禁,恐怕也會覺得可笑。


有人把髮禁和道德拉在一起,但是西洋學生沒有髮禁,他們的學 術成就卻高於我們,進入職場以後,也都非常的認真負責,沒有聽過西方學生有因為缺少髮禁而導致道德低落的。中國古代的道德者-孔子,周公這些公認的道德高 超者,誰又主張髮禁?又如果髮禁可以提升道德,是否假釋出獄者接受髮禁後就能減低犯案?如果可以,乾脆台灣所有人都髮禁,以提升台灣的道德。君不見台灣物 欲橫流,詐騙橫行,言而無信,為達目的不擇手段,能做到「服從」「謙遜」「尊重」的人日漸稀少,實有運用髮禁大力保護之必要。


反對髮禁者在意的其實不是那幾公分頭髮的問題,而是自主權、 自由的問題。偷一塊錢也是偷錢,髮禁雖然只影響幾公分的頭髮,仍然是侵害身體自主權。強制髮禁也會妨害對於民主自由的學習。如果一個人從小到大自由都不被 尊重,這個人長大以後也必然不會尊重別人的自由。怎麼能說這是小事呢?筆者認為,一個民主國家必須教導其國民尊重別人的自由,而要教導國民尊重別人的自 由,必須先由我們尊重他們的自由開始。


筆者覺得髮禁其實只是一種陋規,就和纏足一樣,本質其實都是高階級者對低階級者的控制慾,都是古代帝王提倡的假儒家學說遺留的毒害,根本和道德沒什麼關係,那些反對解開髮禁者何不把心胸放大一點呢?解個髮禁,有那麼嚴重嗎?



全文連結

星期二, 7月 26, 2005

星期一, 7月 25, 2005

部落格越寫越有勁 !順便講講Windows Vista

怎麼覺得po文的遣詞用字好像越來越像微軟的廣告?余光中說這叫做西式中文還是什麼的。不過部落格這個東西好像一寫就開始有點停不下來,妙筆靈感有如長江大河般滔滔不絕洶湧而來啊!(咳咳咳咳咳咳咳咳咳咳咳!)

據News.com的報導,微軟的Longhorn正式定名為Windows Vista。講到Vista,「Vista」不但在拉多維亞語中代表「母雞」的意思,而且Vista也可以代表微軟視窗的五大特色:Virus, Infection,Spyware,Trojan,Adware。Vista同時也是一種古老汽車的名字,象徵緩慢而且錯誤百出的運作狀況。

Vista的推出有哪些重大意義?以後再說^^ 全文連結

星期日, 7月 24, 2005

星期日, 7月 17, 2005

ezpeer勝訴萬歲!

最近台灣地方法院判決ezpeer勝訴,筆者看了大大的鬆了一口氣,深深覺得法官非常的明理,而且能夠正確洞察點對點軟體的本質。


點對點軟體最近鬧的滿城風雨,甚至被外界誤以為該科技是「盜版專用科技」,這實在是天大的冤枉。其實點對點科技的功能,和一般的伺服器軟體(比如Apache,微軟的IISFTP軟體)其實是完全一模一樣的。


那 麼點對點網路和一般網路有什麼不同?第一,傳統伺服器軟體需要花很多工夫(比如寫很多程式)才能把要提供的內容放到網路上供大家存取,而點對點軟體只需要 把想提供的內容放到分享資料夾去就可以了(大家都會的複製貼上)。第二,點對點軟體允許大規模的搜尋,而在傳統伺服器軟體所形成的網路之下,使用者必須將 網站一個一個拜訪才有可能取得所要的東西,而在點對點軟體架構之下,使用者可以一次自動搜尋好幾百萬台電腦,也可以同時從好幾百萬台電腦一起下載,這是傳 統網路做不到的。第三,傳統伺服器軟體所形成的網路下只有伺服器擔任提供者的角色。但是在點對點網路下,一個人下載完檔案以後,也會同時成為檔案的提供 者,協助原本的伺服器散佈檔案,甚至原始資料提供者消失,檔案也可以繼續存在。結果就是點對點網路比傳統網路優越許多。


結果就是在傳統網路底下,因為提供檔案的成本高(要支付龐大的寬頻費用,要有錢買很貴的伺服器,要會寫程式,架網頁....), 所以只有少數人能夠提供檔案。而且傳統網路架構脆弱,只要原始的檔案提供者消失,檔案通常也會不見。所以傳統網路上提供非法的檔案相對困難,而且被發現以 後要清除很容易。但是在點對點網路下,提供非法檔案變的很容易,要清除卻很難。因為在點對點網路提供資訊的門檻低,而且其網路架構可以確保資訊不容易因為 外來的攻擊而消失(包括天災和法律),結果就是被大家拿來進行盜版活動。如果說點對點網路有什麼原罪,那就是他太優秀了。


再來針對常見的錯誤觀點一一回應。首先,提供點對點軟體者不需要取得任何人的授權,因為該提供者提供的只是中性科技,必須取得授權者,是那些破解遊戲、從商業組織中竊取電影screener、破解CD上 那些幾百萬美金研發而成的高科技防考措施,並且把這些東西放到點對點網路上的程式高手或是內部間諜,點對點軟體提供者何罪之有?如果以「點對點軟體上流通 的檔案大部分都是侵權檔案」為理由就可以要求取得授權,那麼請問:未來假如網路傳輸技術、音樂壓縮進步而導致即時通訊軟體和email軟體都可以快速傳送音樂檔案,導致即時通訊軟體和email軟體都被大規模拿來傳送盜版音樂,是不是以後即時通訊軟體和email軟 體都必須取得唱片業者的授權才能推出?又或是點對點軟體早二十年推出,那時候沒有寬頻、壓縮技術和大容量硬碟這些東西,絕對不會有大規模音樂盜版,是不是 那個時候推出和現在完全一模一樣的點對點軟體就不必取得授權?如果推出「太過進步而導致盜版」的軟體需要授權,是不是以後科學家要發明嶄新的音樂壓縮技術 和全新的高速網路都要唱片公司授權?


唱片業者也要求點對點軟體必須安裝所謂的「過濾器」,還說安裝過濾器多麼簡單容易。問題是:分散式點對點軟體下,「過濾器」是安裝在每個人的電腦中,而不是安裝在類似Napster的中央伺服器中。前者是大規模監聽幾百萬台電腦,後者只是管制一個大家都可以存取的公共廠所,兩者根本無法類比。而且是否以後萬一科技進步,email軟體和即時通訊軟體都要安裝過濾器?如果商業理由可以構成監聽的條件,是不是以後電腦犯罪越來越多,政府也可以用國家安全作為理由要求通訊軟體和加密軟體安裝監聽器或過濾器?


唱片公司又指控說點對點軟體公司的資金大部分來自使用者盜版所得,Grokster一個月進帳2.6億美金如何如何,所以點對點軟體公司有罪。但是請問,CD DVD燒錄機,MP3隨身聽....哪 些不是這樣?哪些唱片公司沒有告過?問題的關鍵是那些公司是否有刻意鼓勵使用者進行盜版,如果沒有,那些公司就沒有罪。一個候選人不能因為支持者大部分是 黑道就把那個候選人抓去關,必須證明該候選人有違法行為才能把它抓去關。如果唱片公司想要證明點對點軟體公司有罪,應該就該公司是否有用廣告刻意鼓勵消費 者進行盜版,或是該公司是否自己有充當「神秘大戶」提供盜版檔案這兩點著手。


基於這些理由,應該為點對點軟體盜版而負責者,是那些玷污點對點科技的原始盜版檔案提供者和那些白聽音樂,不尊重智慧財產權的使用者,而不是點對點軟體公司。而我也希望台灣法院能夠正確洞察點對點軟體的本質。而不要像檢察官或是IFPI要求的使用「著作權法的積極解釋」或是「只要心中存有不良意圖(有沒有施行不考慮),推出能協助盜版的產品就是有罪」(心中期望黑道火拼多多發生以促進西瓜刀銷售量的西瓜刀販賣者,必須為黑道火拼負責)這種可能會導致科技停滯不前,引發文字獄的標準。

全文連結