Відповіді

• 2006.12.25 | Soft

  Технологический Шантаж!(л)

  http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.txt
  
  Executive Summary
  
  МСфт Виста сильно меняет ключевые элементы Опееерационной системы чтобы обеспечить "зашиту" так называемых "материалов класса люкс " (premium content"), т.е. данных с Blu-Ray или от HD-DVD. Осуществление этих защит вызовет значительные затраты и ухудшения системных показателей, стабильности системы, технических затрат на поддержку и трат на железо и программы. Эти пункты затронут не только пользователей Висты, но и поразят всю индустрию ПиСи, посколькоу эффекты распространятся на все устройства и программы, которые когда-либо моглибы придти в контакт с Вистой, даже когда они не используются прямо в этой ОС (например, железо в Макинтоше или Линукс-сервере). Этот документ проводит анализ затрат и "сопутствующих разрушений" (collateral damage), которые это вызовет в компьютерной индустрии.
  
  Executive Executive Summary
  
  Система защиты встроиенная в Висту возможно представляет из себя самую длинную предсмертную записку известную в человеческой истории
  
  Introduction
  
  (......) (Нехарактерно для технической спецификации, язык МС документа призывает производителей "добровольно" применять еще более строгие механизмы, чем предписаны документом)
  
  Disabling of Functionality — Отключение функциональности
  
  Механизм защиты материалов пропускает лишь защищенные материалы через интерфейсы, в которые также встроены защиты. Сегодня чаще всего употребляемый интерфейс для вывода звука - S/PDIF (Sony/Philips Digital Interface Format). Большинство новых аудиокарт имеют TOSlink, оптический цифровой вывод высококачественного звука, и даже последнее поколение материснких плат включают в себя как минимум коаксиальный (а часто и оптический) выход. Поскольку S/PDIF не имеет встроенных защит, Виста требует, чтобы интерфейс был отключен если проигрываются защищенные материалы. Другими словами, если вы вложили кучу денег в аудио, которое берет сигнал из цифрового потока, вы не сможете его использовать с защищенными материалами.
  
  Подобным же образом видео YPbPr окажется отключенным механизмами защиты Висты.
  
  Indirect Disabling of Functionality — Непрямое отключение функциональности
  
  .. например, голосовые коммуникации через ПиСи зависят от автоматического уничтожения эхо (AEC). AEC для работы требует подмешивания сигнала через обратную связь в поток основного сигнала, но защиты Висты это не дозволяют, поскольку в механизме есть опасность (неавторизованного) доступа к материалам класса люкс. Виста позволяет лишь обратную связь сильно разрушенного, ухудшенного сигнала, которая возможно как-то будет полезна для минимального исполнения функции уничтожения эхо.
  
  Требование отключить видео и аудио приводит к хаосу в стандартных системных операциях, т.к. использованная политика безопасности оказывается политикой "по высшей метке": общий уровень чувствительности выставляется по уровню самой охраняемой информации в вашей системе. Так что в момент, когда аудио "класса люкс" появляется на вашей системе, возникнет принудительное ухудшение сигнала и отключение вывода.
  
  Что делает механизм вдвойне занятным - тот факт, что ухудшение/отключение делается динамически, так что если материалы люкс непостоянны, либо замирают/нарастают. либо включаются/выключаются, различные выводы системы и качество вывода будет нарастать/замирать, включаться/выключаться синхронно.
  Обычно такое поведение вызывает переустановку драйверов или даже возврат по гарантии, но в случае новой Майкрософтовской ОС оно лишь указывает на то, что все функционирует как надо.
  
  Decreased Playback Quality — снижение качества выхода.
  
  Помимо действий "все - или ничего", Виста требует, чтобы каждый интерфейс, обслуживающий люкс-потоки портил качество пропускаемого сигнала. Это делается через "сужающую систему" (constrictor), который ухудшает сигнал до гораздо более низкого уровня, затем снова раздувая его до первоначальных размеров, но со значительным понижением качества. Т.е. если вы смотрите на дорогом жидкокристаллическом дисплее сигнал с DVI высокого качества через свою видеокарту и если присутствует защищаемый класс люкс, вы увидите картинку, которая, как это выражено в спецификации, "слегка размыта", что-то вроде изображения на 10-летнем электронно-лучевом, который вы подобрали за $2 на распродаже.
  
  ... Единственное, что прямо разрешено - лишь ТВ-выход очень низкого качества, и после применения к ннему Macrovision-обработки
  
  То же самое относится кзвуку, который ухудшается до (фраза из спецификации) "размытого с меньшим числом деталей")
  
  Совершенно замечательно, документы Висты утверждают, что различать собственные продукты по степени (принудительно испорченного) сигнала должны будут сами производители. Это звучит примерно как "перебить ноги олимпийским бегунам и составлять таблицу результатов по времени их финиша на костылях".
  
  Помимо очевидных последствий намеренно саботированного качества выхода, подобные средства могут иметь серьезные последствия для применений в областях, где высокое качество репродукции строго необходимо для результата. Например, в медицинской обработке изображений запращают или сильно не рекомендуют применять сжатие с потерями, т.к. внесенные артефакты могут приводить к неверной диагностике или даже в крайних случаях угрожать жизни пациента.(...)
  
  Elimination of Open-source Hardware Support — уничтожение поддержки железа Открытым Программированием
  
  Дабы предотвратить создание эмуляторов устройств с зашитой, Виста требует Скан Функциональности Компонентов (Hardware Functionality Scan, HFS), который бы получал уникальные "отпечатки" устройств чтобы гарантировать, что они настоящие. Для этого ПиСи осуществляет операцию, которая уникальна для устройства данного типа.
  
  Чтобы это работало, спецификация требует, чтобы операционные детали работы устройств оставались конфидециальны. Очевидно, любой программист, имеющий доступ к протоколу и способный написать для него драйвер, знает достаточно, чтобы симитировать HFS-отклик. Единственным способом защитить сканы "отпчатков" - не выпускать никаких технических деталей для карточек за исклюением минимума необходимого для рекламного сравнения с другими продуктами
  
  Elimination of Unified Drivers — уничтожение унифицированных драйверов
  
  Еще один расход, убыток связанных с HFS-сканами: большинство приозводителей (к счастью) несколько лет назад перешли к "объединенной" или "унифицированной" модели драйверов. Поскольку HFS требует уникального отклика для снятия "отпечатка" (например, для каждого графического чипа), .. более не станет возможным сохранять унифицированные
  драйверы (как сегодня для Catalyst/Detonator/ForceWare). ...
  
  Если графический чип интегрирован в материнскую плату, и к нему нет легкого доступа с шины, то стандарт не требует шифрования сигнала (см. ниже). Поскольку нагрузка на процессор при шифровании значительна, вполне вероятно, что это означает, что такие интегрированные чипы неожиданно стану очень популярны после выпуска Висты. Однако, это ведет к проблеме: (... придется вводить искусственные различия и несовместимость для различения чипов на карточке и на материнской плате для успеха скана HFS)
  
  Дополнительные проблемы возникают с аудио драйверами. Для системы HDMI audio выглядит точно так же как и S/PDIF, намеренное инженерное решение для упрощения драйверов. Для Висты придется вводить искусственные различия, также понижая уровень поддержки драверов и увеличивая стоимость разработки
  
  Denial-of-Service via Driver Revocation - DoS (саботаж системы) путем манипуляций с драйверами
  
  Как только в конкретном драйвере или карточке найдена уязвимость, его подпись-идентификация отзывается Майкрософтом, что означает, что он перестает работать (детали здесь раьплывчаты, возможно, минимальная функциональност вроде экрана 640ь480 будет позовлена чтобы система смогла загрузиться). Т.е. сообщение о баге в каком-либо драйвере или в карточке приведет к тому, что по всему миру поддержка его будет отключена до появления заплаты. Если это не самая последняя модель, и производителю не интересно переписывать драйверы (..), все устройства этого типа по всему миру становятся навечно неупотребимыми
  
  Угроза отзыва драйвера - атомная бомба, щелчок комиссарского револьвера, напоминающий пастве об их Долге (см. примеч. Б). Точные детали кувалды, которой будут бить по производителям запрятаны в конфиденциальных лицензионных соглашениях, но я слышал упоминания о многомиллионных штрафах и эмбарго на будущие версии вдобавок к угрозе отзыва разрешения на работу устройства, описанную выше.
  
  Decreased System Reliability — ухудшение надежности системы
  
  Виста требует, чтобы устройства писали так называемые "tilt bits", если они заметят что-нибудь необычное. Например, если наблюдаются необычные флуктуации напряжения, сбои сигналов на шинах, слегка порченные return codes (возвращаемый статус об успещности операции) после вызова функции, система устанавливает "tilt bit".
  
  Подобные случаи не так необычны (автор приводит пару примеров). Ранее это не составляло проблемы - системы разработаны с некоторым запасом прочности, и это не сбивало их работу. Степень устойчивости может сильно разниться (...) - один очевидный пример - перепад напряжения в сети. Разные ПиСи могут реагировать от crash'а либо не заметить перепада вообще, в ответ на одинаковый внешний стимул.
  
  Со введением tilt bits вся эта устойчивость идет в мусор. Любое обычно незаметный колебание неожиданно важно потому что оно может быть знаком атаки на охраняемые материалы. Эффект, который это будет иметь на надежность систем не требует дальнейших разъяснений.
  
  "Функции защиты" вроде tilt bits несут зловещие возможности по саботажу систем (DoS). ... Любая недружественная программа, учитывая количество количество рычажков для подрыва, которые услужливо вставила Виста, решившая потянуть за некоторые из них, причинит значительные повреждения. Последствия с точки зрения компьютерной безопасности весьма серьезны, поскольку крошечная, легко скрываемая программка будет достаточна чтобы остановить машину, и сама суть, натура "защиты материалов" в Висте сделает почти невозможным определить почему происходит Denial of Service. Более того, авторы враждебных программ, пользующихся "функциями защиты" будут защищены актом DMCA против попыток реверс-инженеринга для нейтрализации тех "функций", которые они используют
  
  Даже без учета таких программ, последствия самой возможности внешнего агента выключить вашу инфраструктуру в ответ на утечку из потока данных, обнаруженную в каком-либо чипсете, огромны с точки зрения безопасности.
  
  Правительства вне США уже нервничают в вопросах использования американских Операционных Систем даже без встроенной возможности удаленного саботажа. И как и в примере с ухудшением медицинских изображений, вы его не обнаружите, пока не станет слишком поздно, что превращает Виста ПиСи в тикающую бомбу с часовым механизмом.
  
  Increased Hardware Costs — увеличение стоимости железа
  
  Increased Cost due to Requirement to License Unnecessary Third-party IP - увеличение расходов на лицензирование.
  Защита таких удивительно ценных "материалов класса люкс" требует дополнительной технологии поддержки. К сожалению б`ольшая часть её принадлежит другим фирмам и требует долопнительного лицензирования
  (далее автор приводит примеры)
  
  Unnecessary CPU Resource Consumption — расточительность ненужной нагрузки на процессор
  
  Чтобы предотвратить вмешательство во внутренние коммуникации системы, все сообщения должны быть шифрованы и авторизованы. Например, поток на видеокарту должен быть шифрован кодом AES-128. Требования к криптографии простираются за шифрование данных и охватывают команды и управление между компонентами программ. Например, коммуникации между user-mode и kernel-mode должны буть авторизованы OMAC-метками, со значительной нагрузкой на вычисления на обоих концах канала.
  
  Чтобны предотвратить активные атаки, драйвера должны обращаться к железу с опросами каждые 30 миллисекунд. Что означает, что даже когда в системе не происходит ничего, они должны просыпаться 30 раз в секунду чтобы в системе могло и далее ничего не происходить.
  
  Помимо этого, делаются дополнительные опросы, например, Виста обращается к видео устройства при показе каждого кадра дабы проверить, что подрывные рычажки (tilt bits) там, где им положено находиться
  
  Встроенная графика создает дополнительные проблемы в том, что блоки драгоценного охраняемого "материала люкс" хранятся в памяти, откуда они могут быть paged на диск. Чтобы этого избежать, Виста помечает такие страницы специальным битом защиты, который значит, что они должны быть зашифрованы прежде чем быть скопированы на диск и дешифрованы после попадания в память.
  Однако Виста не предписывает никакого другого шифрования памяти, и с довольным видом оставит открытыми ваши банковские пароли, данные счетов и кредитных карт, личные данные и т.е. Механизм защиты, встроенный Майкрософтом ясно дает понять, что в их глазах является "материалом люкс" и стоит гораздо больше, чем .. банковские пароли пользователя
  (........)
  
  Unnecessary Device Resource Consumption — Расточительность шифрования и т.д.
  (..........)
  
  Final Thoughts — заключение
  
  "Никакая координация не будет успешной если она не создана с мыслью об удобстве для потребителя. Майкрософт верит, что хорошее впечатление - требование для успеха систем.
  Майкрософт
  
  В конце концов остается вопрос - почему МС несмотря на трудности продвигает этот проект? Если спросить больщинство, что они понимают под "premium media player", они ответят "PVR" или "DVD player", но не "Windows PC". Зачем с такими стараниями превращать PC в то, чем он не является?
  
  В Июле 2006 Cory Doctorow опубликовал анализ анти-конкурентной натуры ограничения копирования в Аппловский iTunes (Information Week, 31 July 2006). Единственная причина, которую я вижу, по которой МС вынуждает своих клиентов, программистов, производителей плат и т.е. через столь болезненную процедуру, в том, что по её окончании Майкрософт полностью завладеет каналом распространения (distribution channel) "материалов люкс"
  
  (...) Он не только исключит всех конкурентов, но и поскольку он будет единственным каналом, сможет приказывать тем, кто поставляет программы, так, как Аппл сегодня приказывает музыкальной индустрии. Результатом станет технологически исполненная монополия, по сравнению с которой сегодняшняя де-факто монополия Уиндоуз покажется эпохой рая на земле.
  
  В целом Виста .. выглядит как удивительно близорукий инженерный проект, концентрирующийся целиком на защите материалов и не берущий в расчет огромные последствия применяемых решений. Это компьютерный эквивалент европейского (и спешно отмененного) предложения впечатывать RFID в банкноты с большим номиналом как меру против фальшивомонетчиков, полностью игнорируя тот факт, что главными пользователями этой технологии станли бы преступники чтобы на расстоянии определять наиболее подходящие для ограбления жертвы.
  
  Хуже всего то, что выхода нет. Изготовители железа будут вынуждены работать с Вистой: "подпись лицензии о защите материалов не требуется, но без лицензии никакий охраняемые материалы не будут пропускаться к драйверу".
  
  Какую бы систему вы не использовали, Висту, Уиндоуз, Линукс, ФриБиЭсДи, Соларис на x86 - майкрософтовская защита сделает ваш компьютер более дорогим, менее надежным, более трудным для программирования и поддержки, более подверженным враждебным программам и с большим числом проблем совместимости.
  (...)
  
  Acknowledgements
  
  Этот документ был составлен из разных источников, включая те, которые я должен был преписать своими словами чтобы сохранить их анонимность (...)