English [en]   العربية [ar]   български [bg]   Česky [cs]   Deutsch [de]   español [es]   فارسی [fa]   français [fr]   עברית [he]   italiano [it]   한국어 [ko]   Nederlands [nl]   polski [pl]   русский [ru]   தமிழ் [ta]   Türkçe [tr]   简体中文 [zh-cn]   繁體中文 [zh-tw]  

Dit is een vertaling van een Engelse pagina.

Kun je je Computer Vertrouwen?

door Richard Stallman

Naar wie zou je computer moeten luisteren? De meeste mensen vinden dat computers naar hen moeten luisteren en niet naar anderen. Grote mediabedrijven (ook filmmaatschappijen en muziekuitgevers), samen met computerondernemingen als Microsoft en Intel, hebben het plan, getiteld “trusted computing”, opgevat om te zorgen dat jou computer naar hun luistert en niet meer naar jou. (Bij Microsoft staat dit plan bekend als Palladium). Private programma's hebben al eerder kwaadwillende functies bevat maar met dit plan zou het algemeen worden ingevoerd.

Een privaat programma houdt vooral in dat je geen controle hebt over wat het doet: je kunt de broncode niet bekijken, noch veranderen. Het hoeft je niet te verbazen dat geslepen zakenmensen die controle zullen gebruiken om jou in een nadelige positie te manoeuvreren. Microsoft heeft dit meerdere malen gedaan: een bepaalde versie van Windows was zo ontworpen dat het terug rapporteerde aan Microsoft welke software je allemaal op je schijf had staan; een recente “ beveiligings”-update in Windows Media Player vereiste dat de gebruiker akkoord ging met nieuwe beperkende maatregelen. Maar niet alleen Microsoft doet dit: KaZaa, het programma om muziek te delen, is dusdanig ontworpen dat KaZaa de computercapaciteit van zijn gebruikers kan verhuren aan zakelijke klanten. Dit soort kwaadwillende functies zijn vaak geheim maar zelfs al weet je er van, dan nog zijn ze moeilijk te verwijderen omdat je de broncode niet hebt.

Dit kwam sporadisch voor in het verleden. Met “Trusted computing” zou het gemeengoed worden. “Treacherous computing” is hier meer op zijn plaats omdat dit plan er voor zorgt dat je systeem systematisch niet naar je zal luisteren. Het is feitelijk ontworpen om ervoor te zorgen dat je computer geen algemeen bruikbaar apparaat meer is. Iedere functie die je uit wilt voeren zou expliciete toestemming nodig kunnen hebben.

Technisch betekent het dat je computer wordt uitgevoerd met een digitaal apparaatje wat kan versleutelen en handtekeningen herkennen, waarbij de sleutels voor jou geheim blijven. Private programma's zullen dit apparaatje gebruiken om te bepalen welke programma's je mag draaien, welke brieven en andere gegevens je mag benaderen en aan welke programma's je die door mag geven. Deze programma's zullen continu nieuwe autorisatieregels van het Internet inladen en deze automatisch toepassen op jouw werk. Wanneer je die programma's een tijdje blokkeert van het Internet zullen bepaalde functies automatisch worden uitgeschakeld.

Uiteraard zullen Hollywood en de muziekindustrie dit gaan gebruiken voor Digital Restrictions Management (DRM - digitaal toegangsbeheer) zodat verstuurde video's en muziek maar op één bepaalde computer af kunnen worden gespeeld. Delen met anderen zal volledig onmogelijk worden gemaakt met de bestanden die je van die bedrijven betrekt. Jij, het publiek, zou de vrijheid en mogelijkheid moeten hebben om dit te delen met anderen. (Ik verwacht dat individuen ongetwijfeld een manier zullen vinden om dit te kraken om zo onbeveiligde versies te kunnen delen, waar DRM dus niet zal werken, maar dat is nog geen rechtvaardiging voor het systeem).

Het onmogelijk maken dingen te delen is al erg genoeg maar het wordt nog erger. Men wil ook email en documenten hieraan onderwerpen—met als resultaat emails die na twee weken verdwijnen, of documenten die alleen kunnen worden gelezen door computers in één bedrijf.

Stel je voor dat je een email krijgt van je baas die je vraagt iets -wellicht- riskants te doen; een maand later, als alles uitkomt, sta je met lege handen omdat de email die bewijst dat het een beslissing van je baas was, is verdwenen. Iets “zwart op wit” krijgen is weinig waard wanneer het verdwijninkt is.

Stel dat je een email krijgt van je baas waarin beleid wordt voorgeschreven wat illegaal is of moreel verwerpelijk, bijvoorbeeld het vernietigen van boekhoudkundige gegevens of een oogje toeknijpen bij zaken die een bedreiging voor je land vormen. In de huidige situatie kun je dergelijk gedrag aan de kaak stellen door de gegevens door te sturen naar een journalist en de zaak aan de grote klok te hangen. Met “treacherous computing” zou de journalist niet in staat zijn de gegevens te lezen; de computer zal niet gehoorzamen aan de opdrachten van de journalist. “Treacherous computing” wordt een paradijs voor corruptie.

Tekstverwerkers als Microsoft Word zouden “treacherous computing” kunnen gebruiken bij het opslaan van documenten, om zich ervan te verzekeren dat een concurrerende tekstverwerker ze niet kan lezen. Op dit moment moeten we het formaat van deze documenten achterhalen via geduldig zoekwerk om ze te kunnen lezen in vrije tekstverwerkers. Wanneer Word voortaan via “treacherous computing” alles opslaat zal de vrije software gemeenschap helemaal geen kans meer hebben deze documenten via vrije tekstverwerkers in te lezen—en zelfs wanneer we dit wel zouden kunnen zou het verboden worden door de “Digital Millennium Copyright Act”.

Programma;s die gebruikmaken van “treacherous computing” zullen voortdurend nieuwe regels inladen via Internet en deze automatisch toepassen op je werk. Wanneer het Microsoft, of de regering, niet aanstaat wat je schrijft in een document, kunnen ze nieuwe regels uitvaardigen die computers instrueren dit document niet te openen. Iedere computer die deze nieuwe instructies inlaadt zou hieraan gehoorzamen. En aldus zou je document, op Orwelliaanse manier met terugwerkende kracht verdwijnen. Je zou het zelfs zelf niet meer kunnen lezen.

Wellicht denk je dat je erachter kunt komen wat een toepassing met “treacherous computing” doet, onderzoeken hoe schadelijk dit is en vervolgens een beslissing nemen of je de gevolgen acceptabel vindt of niet. Het zou dom en kortzichtig zijn ze te accepteren omdat wat jij denkt te accepteren in deze transactie zal veranderen. Op een gegeven moment zul je afhankelijk worden van die toepassing in je werk en dat weten ze; dan veranderen ze de spelregels. Sommige toepassingen zullen automatisch updates inladen die iets anders doen—en je zult hierbij geen keuze hebben.

Op dit moment kun je de beperkingen van private software omzeilen door deze niet te gebruiken. Wanneer je GNU/Linux gebruikt, of een ander vrij besturingssysteem en het vermijdt om daarop private toepassingen te installeren dan heb je volledige zeggenschap over je systeem. Wanneer je vrije programma een kwaadwillende functie bevat zullen andere ontwikkelaars in de gemeenschap deze eruit halen en kun je de gewijzigde versie gebruiken. Je kunt ook vrije toepassingen draaien op private besturingssystemen; dit geeft je niet je volledige vrijheid terug maar veel gebruikers doen dit.

“Treacherous computing” vormt een gevaar voor vrije programma's en besturingssystemen omdat je ze wellicht niet eens kunt draaien. Sommige versies van “treacherous computing” zouden vereisen dat een besturingssysteem alleen op apparatuur kan draaien wanneer daarvoor toestemming is verkregen van een bepaald bedrijf. Vrije besturingssystemen zouden daar niet op kunnen worden geïnstalleerd. Sommige versies van “treacherous computing” zouden vereisen dat er alleen toepassingen op het besturingssysteem kunnen draaien die de toestemming hebben van de ontwikkelaar van het besturingssysteem. Je zou daar geen vrije toepassingen op kunnen draaien. En als je toch een manier vindt om dat te doen, en je dit anderen verteld, zou dat een misdaad zijn.

Er zijn al Amerikaanse wetsvoorstellen die vereisen dat alle computers “treacherous computing” ondersteunen en het verbieden oude computers op het Internet aan te sluiten. De CBDTPA (wij noemen dit de “Consume But Don't Try Programming Act”) is daar één van. Maar ook al zullen ze je niet dwingen om over te schakelen op “treacherous computing”, dan nog zal de druk enorm zijn. Tegenwoordig gebruiken veel mensen het Word formaat voor hun communicatie ook al brengt dit allerlei problemen met zich mee (zie “We kunnen een einde maken aan Word bijlagen”). Als alleen een computer, uitgerust met “treacherous computing” nog Word documenten kan lezen zullen velen dit accepteren voor hun individuele behoeften (slikken of stikken). Om echte weerstand te geven aan “treacherous computing” zullen we ons met zijn allen sterk moeten maken en het probleem moeten benaderen als een gemeenschappelijke keuze.

Voor meer informatie over “treacherous computing”, zie http://www.cl.cam.ac.uk/users/rja14/tcpa-faq.html.

We hebben veel mensen in georganiseerd verband nodig om de verspreiding van verraderlijke software tegen te gaan. We hebben je steun nodig! Steun de FSF campagne Defective by Design, tegen Digital Restrictions Management.

Naschrift

  1. Beveiligingsexperts gebruiken de term “trusted computing” voor iets anders—verwar beide betekenissen niet.

  2. Het GNU project distribueert het programma GNU Privacy Guard. Een programma dat kan versleutelen met publieke sleutels en digitale handtekeningen ondersteund, zodat je beveiligde en privé email kunt versturen. Het is nuttig om te zien hoe dit programma verschilt van “treacherous computing” en wat het één nuttig maakt en het ander gevaarlijk.

    Wanneer iemand GPG gebruikt om je een versleuteld dokument te sturen en jij dit op je beurt gebruikt om het weer te decoderen dan heb je weer het originele document wat je kunt lezen, doorsturen, kopiëren of wederom versleutelen om het veilig naar iemand anders te versturen. Een “treacherous computing ” toepassing zou het je op je scherm laten lezen maar je niet toestaan het als gedecodeerd document op andere wijze te gebruiken. GPG, een vrij programma, stelt beveiligingsfuncties ter beschikking aan de gebruiker; ze gebruiken het. “Treacherous computing” is ontworpen om gebruikers in hun vrijheid te beperken, het gebruikt de gebruikers.

  3. Voorstanders van “treacherous computing” wijzen vaak op de nuttige toepassingen. Wat ze daarbij opnoemen is vaak wel juist maar niet belangrijk.

    Net als alle hardware kan ook hardware met “treacherous computing” erin gebruikt worden voor onschuldige doeleinden. Maar deze toepassingen kunnen ook met andere middelen, zonder deze hardware. Het belangrijkste verschil zit hem in de nare gevolgen: je computer zodanig optuigen dat hij tegen je gebruikt kan worden.

    Wat zij zeggen is waar en wat ik zeg is waar. Combineer dat en wat krijg je dan? “Treacherous computing” is een plan om ons onze vrijheid te ontnemen overgoten met een sausje van wat nuttige toepassingen om ons af te leiden van wat we zullen verliezen.

  4. Microsoft stelt Palladium voor als een beveiligingsmaatregel en beweerd dat het zal beschermen tegen computervirussen maar dit is niet waar. Een presentatie van Microsoft Research in oktober 2002 stelde dat een onderdeel van de Palladium-specificaties is dat bestaande besturingssystemen en toepassingen kunnen blijven draaien; en dus dat ook de virussen kunnen blijven doen wat ze nu al doen.

    Wanneer werknemers van Microsoft het hebben over “beveiliging” in verband met Palladium dan hebben ze het niet over het beveiligen van je machine zodat wordt voorkomen dat die iets doet wat je niet wilt. Ze hebben het dan over het beveiligen van kopieën van data op jouw machine waarvan ze niet willen dat jij die op een andere manier benaderd. Eén slide van die presentatie bevatte een lijst van geheimen die Palladium zou kunnen bewaren, met daarin “geheimen van derden” maar ook “gebruikersgeheimen” maar dan tussen aanhalingstekens, hiermee aangevend dat dit een absurde gedachte was in de context van Palladium.

    De hele presentatie was doorspekt met beveiligings-termen die hier iets anders betekenden dat het algemeen geaccepteerde. Woorden als “aanval”, niet bedoeld als iemand die je probeert pijn te doen maar iemand die probeert muziek te kopiëren. “Kwaadaardige code” is hier code die jij installeert om iets te doen wat anderen niet willen dat je doet. “Spoofing ” (bedriegen, je voordoen als een andere computer) betekent hier niet je als iemand anders voordoen maar dat jij Palladium bedriegt. Enzovoorts.

  5. Een eerdere uitspraak van de ontwikkelaars van Palladium veronderstelde dat degene die informatie ontwikkeld of vergaart daar totale zeggenschap over hoort te hebben. Dit zou een revolutionaire omkering zijn van de huidig gangbare ethiek en het rechtssysteem en zou een ongeëvenaard systeem van toezicht creëren. De specifieke problemen met dit soort systemen zijn geen toeval; ze zijn het resultaat van een fout uitgangspunt. We moeten het uitgangspunt verwerpen.

Dit artikel is gepubliceerd in Free Software, Free Society: The Selected Essays of Richard M. Stallman.

[FSF logo]“Our mission is to preserve, protect and promote the freedom to use, study, copy, modify, and redistribute computer software, and to defend the rights of Free Software users.”

The Free Software Foundation is the principal organizational sponsor of the GNU Operating System. Support GNU and the FSF by buying manuals and gear, joining the FSF as an associate member, or making a donation, either directly to the FSF or via Flattr.

naar begin