Untrusted/ Backup e copie sui PC blindati

Untrusted/ Backup e copie sui PC blindati

di Alessandro Bottoni - No, non sarà facile garantire la sopravvivenza dei propri dati: breve guida agli scenari che si aprono con il trusted computing su alcune delle più comuni operazioni informatiche. Mano ai portafogli
di Alessandro Bottoni - No, non sarà facile garantire la sopravvivenza dei propri dati: breve guida agli scenari che si aprono con il trusted computing su alcune delle più comuni operazioni informatiche. Mano ai portafogli

Roma – Come si fanno i backup in un mondo che, come quello TC, non ammette la creazione di copie? Come si sopravvive alla perdita di una motherboard? Come si sposta un programma da un PC all’altro? Come si gestisce la vendita o l’acquisto di un PC usato nel mondo blindato del Trusted Computing?

Queste sono alcune delle domande sul Trusted Computing che ricorrono più di frequente e, in un certo senso, sono una diretta testimonianza dell’ansia che questa tecnologia riesce ad indurre negli utenti. In alcuni casi quest’ansia è giustificata; in altri è solo una conseguenza della inevitabile impreparazione dell’utente di fronte ad un prodotto del tutto nuovo. Vediamo insieme se e come sia possibile affrontare questi problemi in modo razionale.

Il concetto di proprietà in crittografia
L’intero universo del Trusted Computing diventa molto più comprensibile se si tiene presente cosa significa “essere proprietari di qualcosa” in crittografia. Tutta la tecnologia TC, infatti, serve solo a stabilire un rigoroso criterio di proprietà sui dati ed a fornire gli strumenti per amministrare questa proprietà.

In crittografia, si è proprietari di un insieme di dati se si dispone della chiave di cifra necessaria per decifrare quei dati e renderli disponibili (a se stessi o a terze persone) per il “consumo” (cioè per la lettura, la visione, l’ascolto od altro).

Di conseguenza, una persona che non sia il proprietario dei dati può ugualmente creare tutte le copie che vuole di quei dati, le può trasferire su CD e le può mettere a disposizione di altre persone. Tuttavia, questa persona non sarà mai in grado di decifrare questi dati e renderli fruibili a se stesso o ad altre persone.

A volte, questo livello di accesso “limitato” ai dati è sufficiente. Ad esempio, l’amministratore di sistema può creare delle copie di backup dei documenti dei suoi utenti senza per questo avere necessità di aprire e “consumare” quei documenti. In altri casi, è invece necessario avere un accesso ai dati come “proprietario”, cioè un accesso di tipo “illimitato”. Ad esempio, se i dati sono stati cifrati usando le funzionalità di sealed storage del Trusted Computing, è necessario decifrarli e ri-cifrarli con una diversa chiave prima di spostarli su un’altra macchina. Questo perchè il sealed storage lega l’insieme dei dati alla piattaforma (al PC) usata per l’operazione di cifra. Non è quindi possibile decifrare quei dati su una macchina diversa da quella usata per la cifratura senza prima averli convertiti in un “formato” che sia crittograficamente indipendente dalla piattaforma.

Backup&Restore
Una volta chiarito il concetto di proprietà sui dati, dovrebbe essere abbastanza facile capire come si debbano effettuare i backup ed i restore su macchine dotate di tecnologia Trusted Computing. In pratica, si possono verificare quattro casi:

1. I dati non sono stati cifrati
2. I dati sono stati cifrati senza usare le funzionalità di sealed storage
3. I dati sono stati cifrati in modo sealed storage e voi non siete il loro proprietario
4. I dati sono stati cifrati in modo sealed storage e voi siete il loro proprietario

I dati non cifrati si potranno sempre copiare su CD, chiavetta USB e altri supporti, spostare su altre macchine e consumare liberamente, esattamente come avviene ora per qualunque documento non cifrato. La presenza del TPM (Fritz Chip) non avrà assolutamente nessun effetto su di essi. Questo è ciò che avverrà per quasi tutto il materiale creato prima dell’avvento del TC .

I dati cifrati in modo tradizionale, cioè senza fare uso delle funzionalità di sealed storage, sono protetti da una chiave di cifra che non dipende dalla specifica macchina usata per eseguire l’operazione di cifratura. Quando richiesta, questa chiave può essere fornita dall’utente, può essere scaricata da un apposito server di rete oppure può essere reperita dal programma di lettura in altro modo. Una volta fornita la chiave, l’operazione di decifrazione è possibile su qualunque macchina.

Ad esempio, i documenti di MS Word “protetti da password” dipendono appunto da una password che l’utente può facilmente memorizzare. Una volta fornita la password a Word, il documento viene decifrato senza altre complicazioni su qualunque macchina. Alcuni programmi multimediali che usano al loro interno un sistema DRM, come Apple iTunes, possono invece scaricare le chiavi di autorizzazione da un apposito server di Internet.
Nel caso di sistemi DRM meno raffinati, la chiave di decifrazione può essere una sola, buona per tutti gli usi, e può essere memorizzata in modo stabile all’interno del programma. In tutti questi casi, il file cifrato può essere liberamente copiato e spostato da una macchina all’altra. L’unica limitazione è che, al momento in cui si cercherà di aprirlo, si dovrà fornire in un modo o nell’altro la chiave di decifrazione necessaria. Di conseguenza, la gestione di questo tipo di file non risentirà in alcun modo dell’avvento del Trusted Computing. I backup ed i restore si potranno eseguire nello stesso modo in cui vengono eseguiti adesso. La presenza del TPM non avrà nessun effetto su di essi.

La situazione è molto diversa per i file che vengono cifrati (dall’utente o da un sistema DRM) usando le funzionalità di sealed storage. In questo caso, è possibile decifrare il file e consumarlo solo se si usano la stessa macchina e la stessa dotazione di software , configurata nello stesso modo, che sono state usate al momento della cifratura. Di conseguenza, chiunque, anche l’amministratore della rete aziendale, può copiare i file su un supporto esterno ma nessuno può aprire e consumare questi file al di fuori del loro proprietario e, soprattutto, persino il loro proprietario li può aprire solo a condizione che venga usata la stessa macchina usata per la cifra. Questo meccanismo crea un serio problema di sicurezza: se la macchina usata per la cifra si rompe o viene rubata i dati sono persi per sempre, in modo irrimediabile.

Per far fronte a questo rischio, è necessario che il proprietario dei file provveda a decifrarli, cifrarli nuovamente in un altro modo ed a salvarli su un CD o su un hard disk di rete. I dati possono essere ri-cifrati usando le modalità tradizionali, non di tipo sealed storage, in modo che siano leggibili su qualunque macchina. In alternativa, è possibile ri-cifrare i dati in modo sealed storage sulla macchina di destinazione, in modo che siano leggibili solo da essa. In questo secondo caso, il proprietario dei dati deve essere un utente autorizzato di entrambe le macchine coinvolte nell’operazione.

A dire il vero, le specifiche del TCG prevedono anche una procedura, nota come “migrazione delle chiavi” (“Key Migration”), grazie alla quale è possibile copiare le chiavi di cifra (solo le “Attestation Key”, non le “Endorsement Key”) da un TPM ad un’altro, in modo da poter leggere i dati cifrati con il primo TPM sulla macchina che ospita il secondo.

Questa procedura è ovviamente soggetta ad una lunga serie di pesanti restrizioni per impedire che venga usata come sistema di “key escrow” con il quale bypassare la protezione offerta dalla tecnologia DRM. Inoltre, l’implementazione di questa funzionalità può essere molto diversa da un produttore ad un altro, a seconda della procedura di autorizzazione che il produttore decide di adottare. Per questi motivi, questa procedura non dovrebbe essere considerata come il surrogato di un sistema di backup ma piuttosto come una procedura particolare da usarsi, con cognizione di causa, solo nei casi per cui è stata concepita.

Dopo aver letto questo capitolo dovrebbe essere chiaro un fatto: su una macchina TC non sarà più così facile “recuperare” i dati con Norton Undelete o con altri programmi di “file recovery”. I file saranno quasi sempre cifrati e per decifrarli sarà quasi sempre necessario avere accesso al TPM usato per l’operazione di cifra. Il vecchio vizio che hanno molti utenti di non fare i backup, affidandosi alla potenza dei programmi di recovery per le emergenze, sarà molto, molto più pericoloso di quanto lo sia mai stato in precedenza. Chi non prenderà la sana abitudine di fare dei backup regolari e collaudati, rischierà veramente di mettersi a piangere di fronte ad un PC “rotto”.

Disk Imaging
Si potrebbe pensare che, in un mondo che vieta la creazione di copie “non autorizzate” di programmi e contenuti multimediali, come quello del Trusted Computing, sia impossibile creare ed utilizzare delle “copie immagine” di un hard disk. In realtà, non è così.

Ricordiamo ai distratti che la “copia immagine” (“image copy”) o “raw copy” di un hard disk o di un CD/DVD è una copia effettuata bit per bit, senza preoccuparsi di cosa rappresentino i singoli bit. Questa tecnica di copia permette, tra le altre cose, di copiare un CD od un DVD protetto da molti dei sistemi anticopia esistenti e di utilizzare la copia esattamente come se fosse l’originale.

Per quanto possa sembrare sorprendente, il mondo del Trusted Computing non ha nessuna ragione per opporsi a questo tipo di copia. I contenuti “sensibili” da proteggere, come il software ed i contenuti multimediali, possono sempre essere vincolati al TPM dell’utente usando la modalità di cifra “sealed storage” o facendo riferimento all’identificatore univoco rappresentato dalla Endorsement Key del TPM. Di conseguenza, non c’è nessuna ragione di impedire all’utente di creare tutte le copie che vuole dei suoi CD o del suo disco fisso. Questi materiali rimarranno comunque utilizzabili solo sulla sua specifica macchina, la sola autorizzata ad accedervi.

Gli amministratori di sistema saranno felici di sapere che, con ogni probabilità, potranno continuare ad usare Norton Ghost o Ghost4Unix per creare dischi di installazione personalizzati con cui installare, con un solo click, il sistema operativo ed il software applicativo su tutte le macchine di una rete. Questa è una procedura molto comune per attrezzare, ad esempio, un’aula informatica o per creare un cluster. Dopo l’avvento del TC questa procedura sarà ancora possibile.
L’unica differenza è che, nel caso di prodotti commerciali, potrebbe essere necessario procedere alla “autorizzazione” di ogni singola installazione in qualche modo, ad esempio attraverso una procedura di product activation come quella di Windows XP oppure grazie ad un apposito “key server” raggiungibile via Internet. Naturalmente i sistemi operativi “free”, come Linux e FreeBSD, ed il software “open source”, come OpenOffice, non avranno bisogno di nessuna autorizzazione.

Con l’avvento del TC, spostare il proprio software da un PC all’altro potrebbe diventare molto più complicato di quanto lo sia oggi. Ci si potrebbe trovare nella stessa situazione in cui si sono trovati per decenni gli ingegneri che usavano sistemi CAD (Computer Aided Design) per la progettazione meccanica o elettronica.

Chi ha frequentato il mondo delle workstation Unix usate per il CAD sa che i processori usati da queste macchine (POWER di IBM, SPARC di Sun, MIPS di MIPS Technologies e altri) sono quasi sempre dotati di un numero di serie interno che rende possibile identificare la workstation su cui gira un programma. In pratica, su queste workstation è presente, da sempre, un numero di serie identico a quello che la Intel aveva inserito nei Pentium III e per il quale era stata contestata dalla comunità mondiale di utenti e sviluppatori così violentemente da dover abbandonare questa feature nei modelli successivi.

Nel mondo del CAD, un tempo era considerato abbastanza normale dover pagare un odioso balzello, a volte chiamato “change hardware”, al produttore del software per poter spostare il programma da un workstation ad un’altra, magari solo per poter aggiornare l’hardware. Grazie all’avvento del Trusted Computing, anche il normale utente di PC (e di molti altri dispositivi) potrà finalmente sentirsi un vero “power user” e condividere con gli ingegneri delle stazioni CAD il privilegio di dover mettere mano al portafogli per poter spostare il proprio programma di videoscrittura dal vecchio al nuovo PC . Viene spontaneo domandarsi come abbiamo potuto vivere senza questa adorabile feature per tutti questi anni.

Il TPM, infatti, dispone di una copia di chiavi RSA a 2048 bit, le famose “Endorsement Key”, che svolgono lo stesso ruolo del numero di serie presente sul Pentium III e sulle CPU delle workstation, con la differenza che questa copia di chiavi è sostanzialmente “non crackabile”. Il numero di serie di una CPU, invece, può facilmente essere letto e riutilizzato da un emulatore software della CPU in questione, scavalcando la protezione anticopia.

Di conseguenza, nel mondo “all-trusted” che ci aspetta, potrebbe diventare una cosa abituale dover pagare per poter spostare il proprio software od i contenuti multimediali da una macchina all’altra, anche solo per poter avere un PC più moderno e potente. Tutto questo indipendentemente dal fatto che il software ed i contenuti siano già stati regolarmente acquistati e pagati. In ogni caso, sarà sempre necessario ottenere una autorizzazione dal titolare dei diritti di copia per poter effettuare questa operazione, anche nel caso che l’autorizzazione fosse gratuita. Questa autorizzazione può essere concessa in molti modi ma è probabile che avrà più o meno la stessa forma che ha ora la procedura di “product activation” di Windows XP. La principale differenza è che mentre Windows XP calcola un “hash” (una “fotografia”) dell’hardware dell’utente con una procedura software, nel mondo Trusted Computing questo hash sarà rappresentato dalla “Endorsement Key” del TPM o da un certificato digitale generato dallo stesso Fritz Chip.

Inutile dire che se sul PC avete 100 programmi protetti da questo sistema, e magari 1000 contenuti multimediali, sarà necessario ripetere (a mano!) la procedura di “change hardware” almeno una volta per ogni fornitore e magari una volta per ogni prodotto installato. Non è difficile immaginare con quale entusiasmo l’utente medio continuerà a cambiare il proprio PC una volta ogni due anni come ha fatto, in media, dal 1980 ad oggi, sapendo di dover ripetere ogni volta questa procedura.

Per fortuna, i sistemi operativi ed i programmi applicativi di tipo FLOSS (Free & Open Source Software), come Linux, FreeBSD, Mozilla ed OpenOffice, non saranno mai soggetti a queste politiche commerciali vessatorie e potranno quindi essere installati e spostati da una macchina all’altra senza problemi. Questo è possibile grazie alla loro particolare licenza di distribuzione (GPL, MIT o BSD). Sembra logico aspettarsi che anche molti produttori di software commerciale preferiscano non sfruttare questa possibilità offerta dal Trusted Computing, per evidenti ragioni di accettazione da parte degli utenti.

Bargain PC
Vendere un PC usato, dotato di sistema Trusted Computing, non sarà una cosa facile. Prima di cedere il PC al nuovo proprietario, sarà necessario spostare il software ed i contenuti multimediali su una nuova macchina usando la procedura di “Change hardware” in tutti i casi in cui questo sarà richiesto.

Sarà anche necessario creare dei backup funzionanti dei propri documenti. Come abbiamo visto, l’utente che si dimenticasse di decifrare i propri documenti e di ri-cifrarli con la chiave della macchina di destinazione, si troverebbe solo con una pila di CD inutilizzabili. Bisognerà anche tenere presente che, spostando le chiavi di autorizzazione del software, ed in particolare quelle del sistema operativo, sulla nuova macchina, la copia del software presente sulla vecchia macchina smetterà di funzionare, rendendo inaccessibili i relativi materiali o persino l’intera macchina. Di conseguenza, sarà necessario pianificare le operazioni con cura. Inutile dire che molti utenti preferiranno delegare questa operazione a qualche tecnico, anche a costo di sborsare parecchie decine di euro (e di incorrere in qualche brutta sorpresa sul piano della sicurezza).

Anche acquistare un PC usato potrebbe essere meno semplice del previsto. Se il vecchio proprietario, per ragioni che non ci riguardano, dovesse lasciare sulla macchina il suo software, potrebbe essere impossibile rimuoverlo senza conoscere le sue password. Questo potrebbe rendere impossibile installare il nuovo software (ad esempio, installare Linux su una macchina che aveva già Windows).

Sono sicuro che a questo punto avrete già capito per quale motivo molti osservatori, tra cui il nostro Marco Calamari, hanno deciso di acquistare il loro ultimo PC in questo periodo . Una volta che la tecnologia Trusted Computing avrà invaso il mercato, per molti di noi inizierà una attesa che potrebbe durare anni o persino decenni. Il tempo necessario per veder passare nelle acque del fiume il cadavere di questa follia tecnologica.

Alessandro Bottoni
http://www.laspinanelfianco.it/

Le precedenti release della rubrica Untrusted sono qui

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
2 mag 2006
Link copiato negli appunti