46 votes

Karel Bílek avatar

Existe-t-il une solution DRM à code source ouvert ?

Demandé el 4 de Mai, 2009
Quand la question a-t-elle été
20418 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Existe-t-il un cadre/une bibliothèque DRM ouvert(e), bien documenté(e) et utilisé(e) ?

Je veux écrire un cadre pour l'achat et la vente de matériel numérique, où je veux implémenter, d'une manière ou d'une autre, pour le vendeur d'avoir la possibilité de verrouiller les fichiers avec une sorte de DRM, où seuls les ordinateurs autorisés seraient en mesure de l'ouvrir (quelque chose comme iTunes FairPlay).

Cela peut, et doit probablement, impliquer de contacter mon serveur avec des identifiants de connexion.

D'un autre côté, je veux que le client soit open-sourcé, et probablement le serveur aussi ... est-ce même possible ? La sécurité par l'obscurité ne fonctionne pas, mais les DRM ne sont pas exactement de la "sécurité"...

Tout ce que j'ai pu trouver, c'est cette discussion sur slashdot avec exactement le même problème mais il s'est terminé par "DRM IS BAD", et le projet DReaM de Sun, mais je n'ai aucune idée de la façon d'accéder à la page d'accueil. code réel/utilisation du framework sur leur site .

Si vous pensez que les DRM à source ouverte ne sont pas possibles, dites-le moi.

Demandé el 4 de Mai, 2009 par Karel Bílek

Réponses

Trop de publicités?

25voto

Steve Jessop avatar
Steve Jessop Points 166970

Il s'agit d'une implémentation open source de l'OMA DRM2. Je suppose qu'elle contient les composants logiciels nécessaires pour construire le serveur et le client, laissant le matériel comme un exercice pour le lecteur :

http://sourceforge.net/projects/openipmp

La licence est MPL, qui est une licence FOSS non compatible avec la GPL.

Je n'ai aucune expérience de cette mise en œuvre, mais un peu de l'OMA DRM, et il m'a semblé à l'époque qu'il s'agissait d'un système DRM viable, comme tout système DRM est viable. La norme OMA DRM est bien documentée et est (ou du moins a été) largement utilisée par l'industrie de la téléphonie mobile.

Le problème fondamental des DRM à code source ouvert est que, bien que tous les algorithmes et le code source puissent être publiés sans nuire au système, l'émetteur des droits doit faire "confiance" aux dispositifs clients pour respecter les droits, c'est-à-dire ne rien faire d'interdit. Cette situation est incompatible avec les logiciels libres, selon lesquels l'utilisateur d'un appareil doit avoir le contrôle total de ce qu'il fait.

La sécurité par l'obscurité ne fonctionne pas, mais les DRM ne sont pas exactement de la "sécurité".

La sécurité par l'obscurité d'algorithmes est généralement faible. La sécurité par le secret d'information est le seul moyen de faire de la cryptographie, de la signature, etc. La DRM n'exige pas l'obscurité des algorithmes (c'est pourquoi la DRM de l'OMA est une norme publiée, et comment se fait-il que la source d'une implémentation puisse être publiée et librement utilisable), mais elle exige que le dispositif de lecture ait accès à des informations (une sorte de clé) que l'utilisateur du dispositif n'a pas, et qui ne font pas partie de l'algorithme/source.

Normalement, la sécurité protège le propriétaire/utilisateur d'un appareil contre un modèle de menace d'attaquants externes. Dans le modèle de menace DRM, le propriétaire/utilisateur de l'appareil est l'attaquant, et le titulaire des droits est défendu. Si l'utilisateur de l'appareil en a le contrôle total, il est clair qu'en principe, la partie est terminée.

Dans la pratique, ce n'est peut-être pas aussi immédiat, mais dans le cas du logiciel libre, permettre aux gens d'écrire leurs propres clients DRM qui les empêchent de copier vos données protégées par des droits serait leur demander d'être étonnamment honnêtes.

Les utilisateurs peuvent parfois être persuadés de respecter la loi, auquel cas la GDN a pour rôle de leur rappeler que s'ils font des pieds et des mains pour contourner les restrictions, ils enfreignent peut-être la loi.

Répondu el 5 de Mai, 2009 par Steve Jessop (166970 Points )

22voto

bdonlan avatar
bdonlan Points 90068

Le DRM à code source ouvert est pratiquement impossible.

Le but des DRM est d'empêcher un utilisateur de décrypter certaines données, tout en l'autorisant à le faire dans certaines circonstances. Le cadre théorique du cryptage rend cela absurde : comment l'utilisateur peut-il disposer de la clé pour décrypter certaines données uniquement s'il les utilise à des fins autorisées ?

La solution adoptée par les systèmes DRM existants consiste à se donner un mal fou pour cacher la clé - un exemple parfait de sécurité par l'obscurité - mais si le code source est disponible, il est trivial de modifier simplement le code pour remettre la clé à l'utilisateur. À ce stade, peu importe la qualité de votre cryptage, l'utilisateur dispose de tout ce dont il a besoin pour le casser.

Une solution à tout cela est d'utiliser le Module de plateforme sécurisée sur certaines machines pour vérifier l'image binaire de tous les logiciels qui pourraient être capables d'accéder à la clé, et s'assurer que la clé elle-même est inaccessible (cryptée par une clé dérivée d'une valeur secrète gravée dans le matériel). Cependant, je ne suis pas sûr que les MTP soient très répandus, et de plus, cela va à l'encontre de l'intérêt de l'open-sourcing du logiciel, puisque vous ne pourriez pas le modifier sans perdre l'accès aux clés DRM.

Enfin, d'un point de vue plus pratique, les DRM semblent de toute façon être en voie de disparition - par exemple, iTunes s'est entièrement débarrassé des DRM, et l'industrie cinématographique semble également aller dans cette direction...

Répondu el 4 de Mai, 2009 par bdonlan (90068 Points )

11voto

User avatar
User Points 13983

Pour une solution DRM open-source, il y aura probablement un crack open-source.

De nombreuses solutions DRM fonctionnent en fait selon le principe de la "sécurité par l'obscurité". Cela signifie que certaines d'entre elles ne sont pas encore cassées parce que leurs modèles sont gardés secrets. Même cela n'empêche pas les principaux systèmes DRM de se briser.

Répondu el 4 de Mai, 2009 par User (13983 Points )

5voto

webreac avatar
webreac Points 1

Les DRM ne fonctionnent pas car ils reposent sur le principe de la "sécurité par l'obscurité".

Il existe d'autres solutions, comme le filigrane.
Lorsque vous vendez quelque chose à un client, vous le mettez en filigrane avec le nom du client. Si vous trouvez ce filigrane sur un réseau de partage, vous saurez où se trouve la fuite. Si le client sait qu'il y a un filigrane (je pense qu'il est plus honnête de le prévenir), il ne partagera probablement pas.

Répondu el 30 de Juin, 2010 par webreac (1 Points )

5voto

Brianorca avatar
Brianorca Points 41

Je suis généralement anti-DRM. Cependant, j'ai vu une mise en œuvre de la GDN que je pourrais soutenir, et elle utilisait les informations de la carte de crédit de l'utilisateur comme clé de décryptage. Bien qu'elle ne soit pas infaillible, elle a au moins l'avantage d'utiliser des informations que l'utilisateur VEUT garder privées. (Du moins en théorie.) Il était toujours portable entre mes propres appareils. Cependant, avec une clé aussi visible et un lecteur open source, il est possible qu'un utilisateur puisse stocker et copier les données décryptées, ce qui rendrait le DRM inutile.

Répondu el 19 de Octobre, 2012 par Brianorca (41 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X