關於本報

自由軟體鑄造場電子報
報主:中央研究院資創中心
創刊日期:2004-06-03
發報頻率:雙週刊
訂閱人數:3,349
官網:

近期電子報


訂閱便利貼


將貼紙語法置入您的網站或部落格當中, 訪客可以輸入mail取得認證信,並按下確認連結後, 快速訂閱您的報紙。
預覽圖
訂閱自由軟體鑄造場電子報報
自由軟體鑄造場電子報
-----------------------------------------------------------------------------------------------------
Plurk FaceBook Twitter 收進你的MyShare個人書籤 MyShare
  顯示內嵌語法

自由軟體鑄造場電子報
發報時間: 2009-11-10 16:00:00 / 報主:OSSF
[公益聯播]『愛分享實物銀行』─ 弱勢家庭物資轉贈計畫
本期目錄
[招兵買馬] 電子報專欄作家 廣徵各方英雄好漢
[名家專欄] 見不得人的 DRM 演算法
[招兵買馬] 電子報專欄作家 廣徵各方英雄好漢
李貞臻/文 2009/10/22

自由軟體的熱浪正以排山倒海之姿衝擊由來已久的商業軟體市場,因應如此銳不可擋的趨勢,自由軟體鑄造場電子報秉持開放、自由、分享的精神,自即日起公開文章徵稿,希望以此廣納更多自由軟體相關新知於本報中。

即日起,您若有任何與自由軟體相關的主題,不論是嵌入式、資安、雲端運算等領域的技術分享;文書、多媒體、美工排版等一般應用軟體介紹;授權法律、自由軟體政策、市場趨勢觀察等(但不特別限定以上題目),請不吝投稿給本報與其他讀者分享。
 

每篇文章投稿字數以不超過 3,000 字為限,並請您附上個人背景資料,包含筆名、本名、聯絡方式(e-mail & 電話)、部落格。收到稿件後,我們會儘快進行內部審閱,審閱過程中如有任何問題,會依照您提供的聯絡方式跟您聯繫討論。

稿件一經錄用,將以刊登字數為基準,依照中研院的標準給予稿酬,刊登的文章切勿一稿兩投(個人部落格不在此限)。未錄用的文章,則不再另行聯絡。

[名家專欄] 見不得人的 DRM 演算法
洪朝貴/文 2009/11/05

Digltal Rights Management「遙控數位枷鎖」有別於正常的資訊安全系統。它作了一個極不合常理的假設,所以註定面臨正常資安系統所沒有的致命缺陷。從學術的角度來看,見不得人的 DRM 演算法,跟江湖郎中所吹噓的成份不可公開的獨門密方有幾分相像。

在正常的資安系統裡面,資訊從 A 傳送到 B 的過程當中,假設傳送途中可能被竊聽,所以必須先加密之後再傳送。簡化來講,一個正常的資安系統包含「加解密演算法」及「密碼」兩部分。只有「密碼」是秘密的,除了 A 與 B 之外,沒有其他人知道。一個好的加解密演算法,必須假設竊聽者知道「加解密演算法」及「加密過的資訊」。如果在這樣的前提下,竊聽者還是無法破解,這才算是一個好的、安全的加密演算法。這個原則叫做 Kerckhoffs’ principle。好的加解密演算法,不能僅靠兩三位資安專家提出,還需要透過發表論文解釋其數學原理,讓全世界的資安專家共同嘗試破解。把演算法攤在陽光下,經過眾多專家的嘗試,仍然無法破解,才有資格成為一個安全的演算法,商業界才敢大量使用。

但是在 DRM 系統的模型裡面,只有兩方,沒有第三方:接受資訊的消費者,就是竊聽者!DRM 廠商的預設模型就是:「你是賊!我要防範的,不是別人,就是你,消費者!」這個模型所引發的道德爭議姑且不談;我們這裡只談它所造成的技術死巷。DRM 系統的原則是:「只有我的軟體可以解密並播放數位內容;絕不允許消費者將解密完畢的資料儲存/寄送/或進行其他處理。」可是「播放」行為必須發生在消費者的電腦上,所以密碼必然也在消費者--也就是廠商心目中的竊聽者--的手中。要避免竊聽者(不透過我的軟體)自行解密的唯一方法,就是不讓她看懂加解密演算法。這個策略稱為 Security by Obscurity。這正好是 Kerckhoffs' principle 所不贊許的策略。簡單地說:「Security by obscurity is no security.」

從學術的角度來看,DRM 演算法無法經過同儕評審 peer review,它的學術價值及可信度是存疑的。我在網路上所能找到的人氣最高 DRM 技術論文,也只能欲言又止地解釋其策略,而不能給一個精確的演算法。順帶一提,就連該文作者也在另一文章裡談到:軟體 DRM 是不可能的任務。至於誠實面對技術問題的資安專家與程式高手,則一致認為 DRM 的 Security by Obscurity 策略不可行:

但是「學術上站不住腳」對於 DRM 系統來講,只是困境的起點,而不是它必須面對的唯一問題。「演算法不可公開」所衍生的後果極其深遠。它將會把所有相信江湖郎中的人帶入極大的風險之中--權益受傷害的將不只是消費者的隱私與人權。把智財商品賭注於見光死的 DRM 的投資人,也將會是受害者。如果放任利益團體以不安全的技術騙取法律及公權力的支持,到最後連路人甲的言論自由都會喪失;而公權力也將受到極大的折損。這些問題另文再討論。

※ 本文已徵得洪朝貴老師同意轉載,原文請見其部落格

推薦訂閱
【ACTION! 走讀社區開麥拉】 屏東社區深度旅遊體驗暨短片徵選活動開鑼了!@【藍色東港溪保育協會網路通訊】
介紹一個免費資訊與網路新知網站@【網頁研習室【網頁製作系列報導】】
自由軟體鑄造場電子報
轉寄『第 138 期 見不得人的 DRM 演算法』這期電子報

寄信人暱稱  寄信人email
收信人暱稱  收信人email

  • 社群留言
  • 留言報主