Matthew Garrett, pembangun kernel LinuxMatthew, yang menerima Anugerah Yayasan Perisian Bebas 2013 atas sumbangannya kepada pembangunan perisian percuma, menjelaskan cara kerja teknologi pengurusan hak digital (DRM) moden yang digunakan oleh perkhidmatan video. Penulisan Matthew didorong oleh salah tanggapan umum yang mengaitkan DRM dengan penggunaan pemproses kriptografi (TPM, Modul Platform Dipercayai).
Salah tanggapan tentang hubungan antara DRM dan TPM antara lain disebut dalam kempen "Defective by Design" Yayasan Perisian Bebas terhadap DRM, yang mendakwa bahawa kebanyakan platform penstriman utama menggunakan TPM untuk menyahsulit strim media, dengan sengaja mengalih keluar penyahsulitan daripada kawalan pengguna. Sebagai sokongan untuk tesis ini, dinyatakan bahawa Microsoft menegaskan bahawa hanya perkakasan dengan TPM sahaja yang boleh menjalankan DRM. Windows 11, dan ini dilakukan untuk membantu syarikat penstriman dalam usaha mereka memastikan kandungan hanya dimainkan dalam persekitaran yang sangat terhad.
Matthew Garrett tidak tahu apa sebab sebenar Microsoft mewajibkan TPM dalam... Windows 11, dan saya tidak pasti ia wajar. Walau bagaimanapun, memandangkan kerjanya sekarang melibatkan penulisan kod yang menggunakan TPM, beliau percaya bahawa mempunyai TPM membolehkan beberapa ciri keselamatan yang berguna, dan jika beliau terpaksa memilih, beliau akan memilih komputer dengan TPM. Garrett percaya kenyataan FOSS Foundation adalah 100% palsu, dan beliau tidak tahu tentang satu pun platform penstriman yang menggunakan TPM. Terdapat DRM perkakasan yang digunakan oleh syarikat media untuk menyekat pengguna, tetapi ia tidak dilaksanakan menggunakan TPM, tetapi sebaliknya pada GPU.
Terdapat tiga pelaksanaan DRM utama yang tersedia:
- Widevine - dimiliki oleh Google, digunakan dalam Android, Chromebook dan beberapa peranti lain.
- Fairplay ialah pelaksanaan Apple yang digunakan untuk Mac dan iOS.
- Playready ialah pelaksanaan Microsoft yang digunakan dalam Windows, pada beberapa peranti perkakasan penstriman dan TV.
Biasanya, pelaksanaan ini menyokong beberapa tahap fungsi, bergantung pada keupayaan peranti—daripada pelaksanaan perisian semua fungsi DRM hingga pemprosesan perkakasan. Penyedia penstriman boleh memilih tahap fungsi dan kualiti yang ditawarkan bergantung pada keupayaan DRM yang dilaksanakan pada peranti klien. Untuk kandungan 4K dan HDR, DRM perkakasan biasanya digunakan. Walau apa pun, sistem penstriman menghantar kandungan yang disulitkan kepada klien dan susunan DRM menyahsulitnya sebelum data termampat boleh dinyahkod dan dimainkan.
Dengan pelaksanaan DRM perisian, bahan yang dinyahsulit disimpan dalam kawasan memori yang boleh diakses oleh sistem pengendalian. Ini membolehkan pengguna memintas strim yang dinyahsulit, yang menggagalkan keseluruhan tujuan perlindungan. Penyedia cuba merumitkan perkara ini dengan mengaburkan kod mereka sebanyak mungkin, dan dalam beberapa kes, dengan memindahkan beberapa fungsi ke peringkat kernel. Walau bagaimanapun, ini tidak membantu, dan hampir semua DRM perisian sekurang-kurangnya agak retak, dengan salinan filem dengan cepat tersedia melalui BitTorrent selepas dikeluarkan. Inilah sebabnya mengapa video berkualiti tinggi biasanya hanya tersedia untuk klien yang menyokong DRM perkakasan.
Pelaksanaan DRM perkakasan berbeza-beza. Pada peranti ARM, penyahsulitan berlaku dalam persekitaran pelaksanaan yang dipercayai (TEE), seperti ARM TrustZone. Kod yang dilaksanakan dalam TEE diasingkan sepenuhnya daripada sistem pengendalian. Apabila kod DRM diletakkan dalam TrustZone, operasi kriptografi dilakukan di kawasan memori yang tidak boleh diakses oleh sistem pengendalian, menjadikan penangkapan imej yang diterangkan sebelum ini mustahil.
Pada sistem x86, TEE tidak disatukan (Intel mempromosikan SGX, tetapi ia tidak lagi digunakan dalam peranti pengguna), jadi tugas ini biasanya diwakilkan kepada GPU. Daripada pelaksanaan DRM yang dinyatakan sebelum ini, hanya Playready yang menyediakan mod perkakasan pada sistem x86, dan tiada dokumentasi awam boleh didapati tentang ciri yang mesti disediakan oleh pemacu untuk menyokong DRM perkakasan tersebut.
Secara amnya, DRM perkakasan beroperasi seperti berikut: Semasa rundingan sesi antara klien dan platform penstriman, kunci penyulitan kandungan dijana menggunakan kunci yang disimpan dalam GPU atau TEE dan tidak boleh diakses daripada sistem pengendalian. Selepas penyahsulitan, data dinyahkod dan dipaparkan. Penyahkodan berlaku pada GPU atau TEE. Walaupun dalam pelaksanaan yang menggunakan TEE untuk kriptografi, penyahkodan strim sebenar mungkin berlaku pada GPU.
Perbezaan utama dengan DRM perkakasan ialah bahan video yang dinyahkod masih disimpan dalam RAM, yang tidak boleh diakses oleh sistem pengendalian, dan GPU akan memaparkan bahan video ini ke dalam output akhir. Inilah sebabnya, jika anda mengambil tangkapan skrin pelayar yang memainkan video menggunakan DRM perkakasan, imej tersebut hanya akan menunjukkan tetingkap hitam.
TPM kadangkala dirujuk sebagai TEE, dan dalam erti kata lain, itu benar, kecuali TPM menyediakan fungsi yang ditakrifkan dengan ketat—pengguna tidak boleh menjalankan kod sewenang-wenangnya pada TPM, dan hanya fungsi yang disediakan oleh TPM yang tersedia. Fungsi untuk menyahsulit data menggunakan kekunci yang terikat pada TPM tidak mencukupi, kerana TPM menerima data daripada sistem pengendalian dan tidak boleh berinteraksi secara langsung dengan GPU.
Oleh itu, sistem pengendalian boleh menghantar data yang disulitkan kepada TPM dan menerima kembali versi yang dinyahsulit, tetapi ini sedikit berbeza daripada DRM perisian, kerana tujuan keseluruhan perlindungan perkakasan adalah untuk memastikan versi strim yang dinyahsulit tidak pernah kelihatan oleh sistem pengendalian. Tambahan pula, cip TPM secara semula jadi lambat, dan tidak mungkin terdapat TPM di pasaran yang mampu menyahsulit strim 1080p dalam masa nyata, apatah lagi strim 4K.
Tumpuan Yayasan Perisian Bebas terhadap TPM bukan sahaja salah dari segi teknikal, tetapi juga menunjukkan salah faham tentang apa yang sebenarnya berlaku dalam industri. Walaupun Yayasan Perisian Bebas memberi tumpuan kepada TPM, pengeluar GPU secara senyap-senyap melaksanakan teknologi DRM yang diperlukan tanpa sebarang aduan daripada organisasi tersebut. Microsoft dengan penuh semangat mengambil bahagian dalam penciptaan DRM perkakasan pada Windows, yang telah menjejaskan kebebasan pengguna, tetapi DRM perkakasan berasaskan Playready berfungsi dengan baik pada perkakasan yang tidak dilengkapi TPM dan akan terus berbuat demikian.
Sumber: opennet.ru
