Di seguito l'intervista rilasciata da Daniele Masini al sito web di Scarichiamoli! il 11 Novembre 2005.
D: Che cos'è il Trusted Computing?
R: Il Trusted Computing è una tecnologia hardware e software, proposta per il miglioramento della sicurezza dei sistemi digitali. Le specifiche sono state ereditate dal TCPA (Trusted Computing Platform Alliance) e portate avanti dal Trusted Computing Group, un'organizzazione no-profit di cui fanno parte praticamente tutte le multinazionali informatiche (AMD, hp, IBM, Intel, Microsoft, Sun... ).
Le caratteristiche principali del Trusted Computing sono essenzialmente quelle seguenti:
- I/O sicuro: le informazioni che transitano all'interno del computer sono cifrate, in maniera tale che nessun processo possa carpire le informazioni gestite dagli altri.
- Separazione della memoria: l'accesso alle informazioni contenute all'interno di determinate aree di memoria è consentito soltanto ai processi a cui esse appartengono. Ogni processo può accedere soltanto ai propri dati, non a quelli degli altri.
- Memoria sigillata: l'accesso alle informazioni è consentito soltanto quando il sistema si trova in un determinato stato, che dipende dall'applicazione e dall'hardware. I dati possono essere acceduti solo dall'utente autorizzato che utilizza il software opportuno su una determinata macchina.
- Attestazione remota: un meccanismo di notifica dello stato di integrità del sistema verso gli altri sistemi collegati ad esso in rete. Un sistema può richiedere delle informazioni ad un altro computer che si collega ad esso, per poterlo identificare.
Il TC si basa sul Trusted Platform Module (TPM), un chip, identificato univocamente da una coppia di chiavi asimmetriche (l'Endorsement Key), in grado di effettuare i meccanismi di cifratura delle informazioni. Le specifiche del TCG, comunque, rimangono tali, lasciando l'implementazione del TC direttamente a carico dei produttori dell'hardware e del software.
D: Che cos'è il DRM e qual'è il rapporto tra DRM e Trusted Computing?
R: Il DRM (Digital Rights Management) è un termine che indica genericamente i vari meccanismi utilizzati nei sistemi digitali per effetuare un controllo sulla fruizione dei contenuti. Il DRM in genere riguarda la musica, i film, ma anche l'arte digitale in genere ed i videogiochi. Le major del settore indicano le tecnologie DRM come necessarie per ridurre la perdita di introiti dovuta alla duplicazione illecita dei contenuti digitali. Il problema è che la tecnologia in sé non può, per principio, essere in grado di stabilire ed applicare le restrizioni previste da uno specifico Paese, tenendo conto del contesto di utilizzo del contenuto digitale e dell'utilizzatore.
Non c'è un legame ufficiale tra DRM e TC, ma le caratteristiche del TC sembrano fatte praticamente su misura per l'attuazione di meccanismi di DRM. Ad esempio, il caso del rootkit riportato da Russinovich (Sony, Rootkits and Digital Rights Management Gone Too Far), ha messo in luce quanto un'azienda come Sony sia intenzionata ad attuare meccanismi di DRM a qualsiasi costo, addirittura installando un software per la lettura dei CD, in maniera silente, e volutamente tenuto nascosto all'utente come fosse un virus; ma fortunatamente qualcuno l'ha scoperto. Immaginiamoci cosa sarebbe potuto accadere con un sistema dotato di TC: in tal caso, Sony, che fa parte del TCG, avrebbe avuto la possibilità di installare praticamente ciò che voleva sul sistema, facendo addirittura in modo che l'utente non ne venisse mai a conoscenza, poiché il suo software sarebbe risultato "trusted".
D: Quali pericoli possono derivare dal Trusted Computing?
R: Tecnicamente è possibile utilizzare il Trusted Computing per controllare il comportamento delle macchine e poiché praticamente tutti i computer sono ormai connessi ad Internet, il controllo da remoto si estende a tutti i computer. Da quanto risulta anche dall'analisi effettuata da esperti nel settore informatico come Anderson, Schneier, Schoen e Stallman, i produttori hardware o software, che implementano la tecnologia TC, potrebbero utilizzare questo sistema di controllo per realizzare
- censura dei contenuti digitali: siti web con contenuti "non graditi" ai produttori, potrebbero non essere più visibili dai browser degli utenti; addirittura, documenti "scomodi" potrebbero essere non più accessibili neanche da parte dello stesso autore;
- comportamento anti-competitivo dei produttori: il funzionamento di alcuni software potrebbe essere privilegiato rispetto ad altri (concorrenti);
- fidelizzazione forzata dell'utente: il software potrebbe continuare a funzionare correttamente soltanto se si scaricano costantemente (magari a pagamento) aggiornamenti da Internet;
- attuazione dei meccanismi di DRM: l'utente potrebbe non essere più in grado di fruire di contenuti digitali legittimi come fa adesso; i contenuti digitali potrebbero non essere, ad esempio, visualizzabili o copiabili più di un determinato numero di volte.
Inoltre, chi ci assicura che i produttori hardware e software realizzino i loro prodotti in maniera da rispettare in toto le specifiche del TCG, senza inserire delle backdoor al loro interno? Il controllo del sistema passerà dal legittimo proprietario ai produttori che utilizzeranno la tecnologia TC e l'utente verrà considerato alla stregua di un "virus" dal quale il sistema deve difendersi.
D: Quali conseguenze potrebbe avere il Trusted Computing sul mondo open?
R: In teoria, stando alle specifiche del TCG, il software che funziona sulle macchine odierne (non TC) dovrebbe poter funzionare anche su quelle dotate di tecnologia TC, poiché il TC dovrebbe poter essere disattivabile dal proprietario della macchina. In realtà, nelle FAQ relative a NGSCB [n.d.r.: Next-Generation Secure Computing Base] (un'implementazione software di TC), Microsoft asserisce che il software che effettua particolari accessi a basso livello sul sistema potrebbe non funzionare.
In particolare, il TC è tecnicamente in grado di permettere l'attuazione di meccanismi di controllo sul software tali da consentire al sistema l'esecuzione di alcuni software e negare quella di altri. Infatti, il TC viene proposto come la tecnologia in grado di proteggere l'utente da virus, spyware, spam... impedendo al malware di perturbare lo stato di integrità del sistema. Ma come può il sistema distinguere il malware dalle operazioni dell'utente che vuole cancellare determinati files (con comportamento analogo a quello di un virus)? Chi stabilisce quali sono i software che possono essere eseguiti e quelli che, invece, non possono essere eseguiti? L'implementazione delle specifiche delineate dal TCG è lasciata ai produttori, che quindi determineranno il meccanismo di riconoscimento del software. In riferimento alle aziende aderenti al TCG, i produttori di software potrebbero addirittura fare in modo di attuare un meccanismo di controllo del software di tipo anti-competitivo, in maniera da agevolare il proprio software rispetto a quello dei concorrenti, e i produttori di hardware potrebbero agevolare il software delle aziende che fanno parte del TCG rispetto al software delle altre aziende. Il software libero, o open source, potrebbe risultarne danneggiato al punto che potrebbe non essere possibile utilizzarlo sui sistemi TC. Questo dipende molto dall'implementazione hardware e software delle specifiche del TCG.
D: Cosa fare per scongiurare i pericoli derivanti dal Trusted Computing?
R: La cosa più importante è sensibilizzare gli utenti di tutti i dispositivi digitali (non solo di computer, ma anche di palmari, di cellulari, di lettori DVD... ) al problema, informandoli di come stanno le cose e di quali sono le potenzialità del TC, prima che sia troppo tardi, poiché presto il mercato sarà invaso da dispositivi con tecnologia TC (praticamente tutte le industrie informatiche fanno parte del TCG). L'utente finale non avrà più la libertà di scegliere se acquistare un prodotto con tecnologia TC o senza tecnologia TC: la scelta diverrà obbligata. Più persone saranno informate sull'argomento, più persone potranno farsi un'idea degli scopi del TCG e delle aziende che vi aderiscono, più persone potranno agire di conseguenza.
È possibile contattare associazioni o gruppi come, ad esempio, no1984.org o Against-TCPA, che, analizzando l'impatto che il TC potrebbe avere sugli utenti che utilizzano dispositivi elettronici, si propongono di fare una seria informazione a riguardo.
L'intervista è pubblicata anche sul sito web di Daniele Masini.