Cos’è Palladium?
Palladium è il “vecchio” nome in codice (ormai abbandonato da Microsoft ma ancora largamente usato nella pratica vista la sua amichevole semplicità), del sistema Next-Generation Secure Computing Base (NGSCB).
Da chi è stato ideato?
Il progetto nasce da un’alleanza tra le principali case informatiche (Microsoft , Amd , Hp , Ibm , Infineon, Intel e Sun), con il supporto delle più grandi società produttrici di componenti, software e contenuti multimediali. Insieme costituiscono il Trusted Computing Group (www.trustedcomputinggroup.org).
Qual è lo scopo del progetto?
Palladium è strutturato su una particolare architettura che unisce software ed hardware allo scopo di realizzare, attraverso una nuova generazione di macchine, uno standard di sicurezza più performante (il cosiddetto trusted computing – letteralmente “informatica fidata”).
Se avessi un euro per tutte le volte in cui ho sentito parlare di sistemi “sicuri” potrei fare concorrenza al caro Bill Gates. Cosa dovrebbe cambiare rispetto al passato?
Ciò che rende Palladium differente rispetto ai sistemi tradizionali è la chiave attraverso cui avviene la protezione del sistema, perfettamente integrata all’interno dell’hardware già al momento della fabbricazione.
L’ennesima chiave hardware?
Non proprio. Alla base del nuovo sistema c’è il cosiddetto TPM (Trusted Platform Module), o modulo per la sicurezza del componente, che custodisce internamente una chiave crittografica formata da una coppia di chiavi asimettriche inaccessibili dall’esterno. Attualmente il TPM viene saldato sulla scheda madre, ma è prevista l’integrazione all’interno delle CPU.
Non mi sembra un’idea particolarmente innovativa…
Il concetto primordiale del TC era già previsto nei primi Pc, in cui la ROM era nel BIOS e dove non era presente un hard-disk in cui un virus poteva annidarsi. Un tentativo più “evoluto” e concreto si ebbe parecchi anni dopo con l’inserimento, nei Pentium 3, di un numero seriale identificativo. Le reazioni pubbliche, decisamente negative, causarono una pausa nello sviluppo del progetto. Tutto questo fino alla costituzione del TCG.
Come funziona il nuovo sistema?
Ogni informazione che viaggia tra i componenti del PC viene criptata dalla chiave. In questo modo non solo viene controllata la circolazione dell’intero flusso dati all’interno del PC ma, al tempo stesso, l’hardware viene letteralmente “marcato” in maniera univoca, senza alcuna possibilità di alterazione. Il TPM, inoltre, è stato progettato in maniera tale da rendere difficile il recupero della chiave persino al suo proprietario. Hardware e software potranno funzionare solo se conformi alle specifiche del produttore e regolarmente certificati.
Questi i concetti generali. Ma nello specifico, quali saranno le caratteristiche del nuovo sistema?
Attraverso l’uso dei meccanismi di cifratura (secure I/O) è impossibile capire – sia a livello software che hardware – quali informazioni vengono scambiate tra la tastiera ed un’applicazione e tra l’applicazione e lo schermo. Ciò potrebbe rendere la vita difficile ai keylogger e screen-grabber (software che permettono la registrazione dei tasti premuti o di ciò che appare sullo schermo). Il memory curtaining (separazione della memoria) impedisce ad ogni programma – a livello hardware – la lettura e la scrittura delle zone di memoria utilizzate dagli altri applicativi in esecuzione. Nemmeno il sistema operativo è in grado di accedere a tali zone di memoria, quindi le informazioni sarebbero potenzialmente al sicuro anche nel caso in cui un intruso riuscisse a prendere possesso del sistema. Il sealed storage (unità di memorizzazione digitalmente controllata) protegge le informazioni usando una chiave cifrata generata da una combinazione tra il software utilizzato e l’hardware su cui esso è in esecuzione. Una volta cifrati, i documenti presenti su una macchina possono essere fruibili solo con la stessa combinazione di software ed hardware. Salta subito all’occhio il fatto che una qualunque modifica “non certificata” del software di gestione potrebbe rendere tali documenti inaccessibili persino al suo stesso proprietario.
Altra caratteristica fondamentale del nuovo sistema è la cosiddetta remote attestation (attestazione remota), meccanismo bastato su un certificato digitale – generato a livello hardware – che consente all’utente di rilevare lo stato del sistema e le sue variazioni. In questo modo sarebbe possibile evitare che informazioni riservate transitino attraverso macchine non sicure, o che da queste vengano inviati comandi “pericolosi”. L’attestazione remota è di solito effettuata per mezzo di cifratura a chiave pubblica, in modo tale che le informazioni scambiate possano essere lette soltanto dai programmi coinvolti nell’attestazione.
Un momento! Ho capito bene? Tutti i pc saranno blindati a livello hardware?! E se volessi aggiornare il processore o montare una nuova scheda grafica?
Hai capito benissimo. I Pc della generazione Palladium nascono per essere delle vere e proprie casseforti all’interno delle quali nessuno può entrare, neanche l’utente. Se da un lato verrà limitato fortemente (se non addirittura azzerato) l’uso di modchip o programmi non autorizzati e ridotti anche i frequenti problemi di incompatibilità tra periferiche, dall’altro potrebbero venire influenzate fortemente le scelte commerciali dell’utente nel momento in cui decida di upgradare il proprio pc.
In che modo?
Potrebbero ad esempio essere implementate solo periferiche di marca e certificate (con tanti saluti alle più economiche versioni bulk) o, nell’ipotesi peggiore, “programmate” per avere una durata limitata, costringendo l’utente a cambiare l’intera macchina per adeguarsi ai nuovi standard di volta in volta imposti dai produttori.
Ma insomma! Ho speso i miei sudatissimi risparmi per un pc nuovo e non posso neanche aprirlo o potenziarlo come più mi pare?
Devi partire dal presupposto che la stragrande maggioranza dei pc da casa sono rivolti al cosiddetto ”utente medio”. Basta vedere i settaggi e le “protezioni” di una qualsiasi versione Home di Windows XP per capire come l’utente medio sia considerato spesso un incapace per il quale vale il motto “meno sai, meno roba tocchi, meno danni fai”. In fondo da sempre Microsoft, dietro il comodo paravento dello user friendly, ha orientato la propria filosofia verso la limitazione del controllo della macchina da parte dell’utente.
Devo proprio dire addio ai modchip?
Se da un punto di vista tecnico il futuro non si prospetta roseo, da un punto di vista legale le cose, una volta tanto, sono a favore dell’utente.
Sarebbe la prima volta! Se volessi fare delle modifiche hardware sarei tutelato o mi ritroverei l’FBI sotto casa il giorno dopo?
I principali detrattori di Palladium accusano il nuovo sistema di privare l’utente della proprietà del pc, che passerebbe così sotto il controllo dei produttori di questo. Se così fosse verrebbe leso un noto principio civilistico, garantito dalla legge italiana, secondo cui il proprietario di un bene ha diritto di goderne nel modo più ampio ed esclusivo.
Cioè?
In parole povere, una volta acquistata la macchina e consapevole che qualunque alterazione di essa produrrà la decadenza della garanzia, puoi legittimamente farci ciò che ti pare. Questo principio è stato scolpito recentemente in una storica sentenza del Tribunale di Bolzano (www.interlex.it/testi/giurisprudenza/b2051220.htm), che ha sancito la perfetta legittimità dei famigerati modchip.
Possibile!? E tutto quello che ho sentito in passato sull’illegalità dei modchip?
Il problema “modifiche” non è certamente nuovo. Senza scomodare le annose diatribe sulle Playstation modificate, basterà ricordare le infinite discussioni sul famoso hacking della X-Box (nella quale è presente, tra l’altro, una versione “embrionale” di Palladium) e la possibilità di sfruttare appositi add-on per sbloccarla e trasformarla in un pc a basso costo.
Cosa è cambiato adesso?
I giudici bolzanesi – chiamati originariamente a valutare se l’integrazione di un modchip in una PS2 costituisse reato – hanno stabilito che colui che acquista una consolle o un personal computer ha il pieno diritto, in quanto proprietario, di fare tutte le modifiche che desidera al fine di ampliarne le potenzialità.
Quindi posso modificare il mio pc liberamente e senza limiti?
Non proprio. I giudici hanno sostenuto che il modchip, in sé e per sé, non può essere considerato illegale. Ciò però non significa che possa essere utilizzato indiscriminatamente per violare la normativa a tutela del diritto d’autore nonché quella a protezione dei brevetti e delle opere dell’ingegno in generale.
La modifica può essere considerata perfettamente legale a patto che consenta all’acquirente la possibilità di potenziare l’hardware permettendogli l’implementazione di funzioni legittime, quali l’accesso al sistema da parte del proprietario dell’hardware (nel rispetto del diritto d’autore), l’uso di software legalmente acquistato all’estero (sempre nel pieno rispetto della legge sul diritto d’autore), la lettura di software liberamente sviluppato da programmatori di tutto il mondo e messo a disposizione gratuitamente, l’esecuzione di una copia di sicurezza del supporto esercitando una facoltà prevista dalla legge.
Questo da un punto di vista hardware. E il software? Cosa accadrà con l’implementazione di Palladium?
La questione è spinosa. Fra le potenzialità del sistema TC quella che ha creato maggiore scalpore nella comunità informatica è sicuramente la possibilità di controllare il comportamento dei sistemi anche da ambiente remoto. Ciò consentirebbe di implementare, nelle prossime versioni di Windows, un sistema di gestione dei diritti di copyright, meglio noto come DRM (Digital Right Management), allo scopo di evitare che gli utenti condividano e utilizzino, senza autorizzazione, file coperti da copyright o privati.
Ci risiamo…una nuova crociata anti-pirateria?
Chiariamo subito che combattere la pirateria software, musicale e cinematografica è una pretesa assolutamente legittima, anche se dettata esclusivamente da precise logiche commerciali: un sistema sicuro consentirebbe alle major di offrire e diffondere attraverso la rete, in tutta sicurezza, i loro prodotti (a pagamento, of course). Benché il successo planetario di I-pod abbia abbondantemente dimostrato che tale risultato è raggiungibile senza bisogno di arrivare a simili eccessi (e che il mondo non è composto solo da pirati) non sembra che le grandi case abbiano abbandonato il progetto.
Possibile che nessuno dica niente?
Molti gruppi, tra cui l’agguerrito no1984 (dal celebre romanzo di Orwell premonitore del concetto di “Grande Fratello” e raggiungibile sul sito www.no1984.org), hanno fermamente condannato l’uso di tale sistema in quanto profondamente sbilanciato a favore delle grandi case produttrici e completamente lesivo dei diritti dell’utente. Quest’ultimo, paradossalmente, non potrebbe neanche creare delle copie di backup dei propri dati se privi di “autorizzazione”. Tutti i software di lettura di contenuti multimediali (Windows Media Player in testa) potrebbero essere scritti in modo da riconoscere se un file video o audio sia autorizzato e bloccarne così l’esecuzione.
Beh, poco male…io ODIO il Windows Media Player! Non posso usare un altro software?
Tieni conto che il nuovo sistema potrebbe benissimo bloccare l’esecuzione di un file su software non autorizzati. Attenzione: “non autorizzato” non vuol dire necessariamente “illegale” ma può significare anche free. Quindi niente WinAmp o Bsplayer, ma solo software “affidabile” (secondo loro).
Devo dire addio alle mie collezioni di mp3?
Microsoft ha affermato che Palladium non farà cessare il funzionamento dei file da un giorno all’altro. Tuttavia un recente aggiornamento a Windows Media Player ha causato notevoli perplessità dovute al fatto che spingerebbe gli utenti ad accettare future (e non meglio definite) misure anti-pirateria.
Il nuovo DRM verrebbe utilizzato solo per i file multimediali o potrebbe essere applicato anche a tutto il software in generale?
Se vogliamo, le conseguenze sul software potrebbero essere ancor più drammatiche. Ad esempio, nulla vieterebbe a Microsoft, magari in concomitanza con l’uscita della nuova versione di Office, di bloccare agevolmente l’uso della precedente versione (anche se perfettamente funzionante) o rendere illeggibili i documenti non autorizzati dalla nuova release anche se realizzati sempre con Word! Sarebbe poi possibile cifrare i documenti con chiavi riconosciute solo dai software della grande M. Ciò vorrebbe dire che sarebbe possibile leggerli soltanto con prodotti Microsoft e non con un qualsiasi programma di elaborazione di testi della concorrenza, col risultato di scatenare una nuova “guerra dei formati”.
E se decidessi di mollare Office e passare ad un software open source?
Con il nuovo sistema a regime sarebbe già difficile utilizzare gli stessi software Microsoft, figuriamoci OpenOffice! Che con palladium si volesse mettere una bella pietra tombale sullo sviluppo dell’odiatissimo software open source e limitare l’uso casalingo di Linux era un “leggerissimo” sospetto che aleggiava da un po’ di tempo, pur non potendolo affermare con certezza matematica. E’ naturale chiedersi per quale motivo le grandi case informatiche dovrebbero autorizzare l’uso di software concorrenti e per di più gratuiti.
Ma in questo modo non si rischia di compromettere lo sviluppo informatico?
Secondo l’opinione del noto crittografo di Cambridge Ross Anderson il TC avrebbe tutte le carte in regola per supportare la censura da remoto. I rischi sono notevoli, a partire dai fortissimi limiti all’uso (ed allo sviluppo) di software libero. Per Anderson “il maggior beneficio per Microsoft è che il sistema TC aumenterà notevolmente i costi di passaggio da un prodotto Microsoft (come Office) ad uno concorrente (come OpenOffice). Per esempio, uno studio legale che volesse passare da Office ad OpenOffice, ora come ora, dovrebbe solo installare il nuovo software, istruire i dipendenti e convertire i propri documenti. In un arco di cinque anni, una volta che loro abbiano ricevuto documenti protetti con il TC da magari un migliaio di clienti diversi, dovrebbero ottenere il permesso (sotto forma di certificato digitale firmato) da ognuno di quei clienti per poter rendere leggibili i file dal nuovo software. Per motivi pratici lo studio legale non farà mai una cosa del genere, così che sarà ancora più legato al produttore del software che utilizza (Office), e ciò darà a Microsoft la possibilità di alzare i prezzi dei propri prodotti”.
E la privacy?
Il problema non rimane solo limitato all’uso del software ma rischia di estendersi ad un punto tale da ledere la riservatezza dell’utente sino a determinare un vera e propria compressione della libertà d’espressione e di opinione. Il controllo sull’accesso a documenti confidenziali è presente già sotto Windows Server 2003, con il nome di `Enterprise rights management’ (Gestione dei diritti aziendali). Con Palladium i confini tracciati potrebbero essere tranquillamente valicati. Basti pensare – continua Anderson – all’ipotesi di un documento, presente su una macchina locale, ritenuto diffamatorio a seguito di sentenza di un tribunale. L’utente potrebbe essere obbligato a censurarlo e, nel caso in cui questi si rifiutasse, la corte potrebbe imporre la cancellazione del documento all’azienda produttrice del software con cui è stato scritto. Il punto fondamentale è che “chiunque controlli l’infrastruttura TC acquisirà un enorme potere. Avere il controllo di questo è come far sì che tutti usino la stessa banca, o lo stesso provider, o lo stesso avvocato. Ci sono molti modi con cui è possibile abusare di questo potere”.
Quindi qualunque autorità giudiziaria potrebbe entrare tranquillamente nel mio pc per “indagare”?
Non esattamente. Una simile procedura necessiterebbe dell’intervento del produttore quale intermediario per l’accesso ai dati, con tutti i problemi concreti del caso. La polizia del Regno Unito si è detta preoccupata di non poter accedere direttamente ai dati conservati negli hard disk degli indagati, tanto che il governo britannico è attualmente in trattativa con Microsoft per risolvere il delicato problema.
Il progetto Palladium è proprio così rigido? Sono state proposte delle soluzioni tecniche per ridurre questi rischi?
Sulla carta è stata garantita la possibilità di disabilitare alcune delle funzioni TC. Ciò, tuttavia, potrebbe provocare grossi problemi di compatibilità con altri sistemi trusted. La soluzione più semplice ed immediata sarebbe quella di restituire al proprietario almeno una parte dei controlli della macchina. E’ stata proposta l’implementazione, nelle specifiche TCPA, di un’operazione denominata Owner Override (controllo da parte del proprietario), attualmente non prevista a causa delle resistenze del TC Group. Con l’attivazione di tale funzione, l’elaboratore utilizzerebbe il percorso sicuro di I/O per assicurarsi che ci sia fisicamente una persona presente e che tale persona sia il proprietario dell’elaboratore, in modo da poter aggirare le protezioni. In caso contrario la procedura d’attestazione remota avviserebbe quando il software è stato cambiato senza il permesso del proprietario.
Per quale motivo non si vuole inserire questa funzione?
Secondo il TC Group con questa nuova feature verrebbero sì garantiti tutti i benefici di sicurezza e di esecuzione sulla propria macchina, ma così facendo Palladium perderebbe tutta la capacità di accertare che un altro proprietario non abbia modificato le regole o le restrizioni sul suo elaboratore.
Tutto questo gran parlare di sicurezza, ma in concreto Palladiun è efficace?
Originariamente Microsoft sosteneva che con Palladium sarebbe aumentata la sicurezza e salvaguardata la privacy degli utenti, difendendoli da virus, spam e altro malware in generale. In realtà sono già molte le voci critiche levate anche su questo versante poiché, a fronte di notevoli limitazioni della libertà d’uso del pc, non sembrerebbe garantita tutta questa sbandierata solidità.
Ci si chiede come possa un sistema del genere salvaguardare la privacy dell’utente visto che non solo rende totalmente controllabile la macchina a livello remoto ma, identificando ogni sistema in maniera univoca attraverso un’apposita chiave, lo rende riconoscibile in rete.
E’ in grado almeno di proteggere da virus ed intrusioni varie?
Palladium potrebbe essere un ottimo sistema di autenticazione della macchina, ma sicuramente mostra tutti i suoi limiti contro worm o semplici pagine Web contenenti script che sfruttano i bachi del sistema operativo.
Di questo sembra essersi accorta anche Microsoft la quale, dopo le entusiastiche dichiarazioni iniziali di rito, non si è più pronunciata con tanta enfasi, rinunciando a spiegare in che modo Palladium aiuterebbe o difenderebbe gli utenti da virus ed altre amenità.
Sicuramente non proteggerà dai furti dei codici delle carte di credito, che usano meccanismi su cui il TCPA non ha efficacia. Non potrà fare granchè contro i crash delle applicazioni visto che un programma, pur essendo certificato, non viene certamente garantito contro i malfunzionamenti.
In conclusione, dobbiamo già prepararci al peggio?
Non ancora. Le specifiche del TCPA sono aperte, nel senso che possono essere liberamente modificate e ampliate dai membri del consorzio. Un simile sistema richiede poi che tutti i produttori implementino alla lettera le specifiche pubblicate dal TCG per garantire la piena compatibilità tra i vari sistemi, mentre allo stadio attuale ci sono i “soliti” problemi di incompatibilità tra i vari standard proposti. L’implementazione a livello hardware presuppone poi l’esistenza di un sistema operativo in grado di poterlo gestire. Quando l’esistenza di Palladium è stata resa nota al grande pubblico, tutto faceva supporre la sua integrazione in Vista, il sistema operativo erede di XP e già noto con il nome in codice di Longhorn. Nel maggio 2004, a sorpresa, la Microsoft ha accantonato il progetto, senza tuttavia abbandonarlo e con la ferma intenzione di riprenderlo. Attualmente non si sa se e quando Palladium sarà implementato nei SO Windows. Con ogni probabilità, non sarà comunque inserito in service pack o aggiornamenti di XP e quindi non vedrà la luce prima di Windows Vista. Sarà anche interessante notare come la rivoluzione di Palladium (se e quando entrerà a regime) si scontrerà, nella pratica, con i sacrosanti diritti garantiti agli utenti a livello legislativo. Sicuramente ne vedremo delle belle.
Un’ultima curiosità: perché proprio “Palladium”?
Palladium è il nome della storica statua della dea Atena cui era affidato il compito di proteggere la città di Troia. Viene sicuramente da sorridere pensando a come quella che era considerata la roccaforte per eccellenza sia stata espugnata, alla fine, proprio grazie ad un “trojan horse”. Infausto presagio?
Una risposta su “faq su palladium”
[…] un interessante post nel blog personale di Tiziano Solignani riguardante Palladium. Posted by ubuntista Filed in […]