Getal of niet

Degene die diensten verricht of inrichtingen, producten of onderdelen vervaardigt, invoert, distribueert, verkoopt, verhuurt, adverteert of voor commerciële doeleinden bezit die:

a) aangeboden, aangeprezen of in de handel gebracht worden met het doel om de beschermende werking van doeltreffende technische voorzieningen te omzeilen, of
b) slechts een commercieel beperkt doel of nut hebben anders dan het omzeilen van de beschermende werking van doeltreffende technische voorzieningen, of
c) vooral ontworpen, vervaardigd of aangepast worden met het doel het omzeilen van de doeltreffende technische voorzieningen mogelijk of gemakkelijker te maken,

handelt onrechtmatig.

Er is naar mijn mening nog een punt dat ter discussie staat in dit artikel ten aanzien van het publiceren van deze sleutel, maar ik ben geen jurist, dus schiet mij maar lek.

Is het systeem, zoals dat wordt gebruikt door AACS, doeltreffend?
Is een encryptiesysteem doeltreffend wanneer alle benodigde sleutels erbij worden geleverd? Nee. In de echte wereld is security through obscurity de meest slechte en meest eenvoudig te breken manier van beveiligen. Geen enkele ter zake kundige zal AACS een 'doeltreffende methode' noemen.
In de memorie van toelichting heeft de minister echter gezegd dat 'doeltreffend' moet worden opgevat als iets dat handelingen vereist die door de meeste mensen niet kunnen worden uitgevoerd.
Hiermee wordt iets juridisch doeltreffend gemaakt wat het in werkelijkheid niet zo is. Om een vergelijking te trekken met een ander beveiligingsmechanisme: "Er zit een gat in de dijk, maar juridisch gezien is de dijk doeltreffend, dus er komt geen water door, en het is verboden om kennis over dit gat - wat geen gat is - te verspreiden." Het juridische verhaal, dat de dijk doeltreffend is en dat het verboden is om informatie over gaten in de dijk te verspreiden zal het water dat door het gat stroomt niet tegenhouden. De juridische definitie verandert niets aan de realiteit. Dat het gat niet door iedereen gevonden kan worden maakt het niet minder een gat.
AACS is (net als CSS, for that matter) flawed by design. Daar doet een juridische definitie niets aan.

Bovendien valt het afspelen van een (hd-)dvd helemaal niet onder de auteurswet. Iemand die een dvd wil afspelen mag dat, ook al heeft de rechthebbende er een beperking op gezet. Het omzeilen van deze beperking is per slot van rekening alleen relevant voor handelingen die onder de auteurswet vallen. De minister heeft gezegd dat technische voorzieningen alleen onder de bepaling vallen als zij 'ertoe strekken […] auteursrechtelijk relevante exploitatiehandelingen te reguleren en te controleren. […] Het verlenen van toegang is niet een kwestie die onder het auteursrecht valt.’

hamsteg schreef op woensdag 02 mei 2007 @ 23:21:
... doeltreffende technische voorzieningen ...

Yep. Als je met 'doeltreffend' bedoelt dat ik het nergens (minus net dat ene DVD spelertje) kan afspelen, of backups kan maken (waartoe ik gerechtigd ben). Ik heb al een aantal keren gehoord dat producenten mensen niet de mogelijkheid hoeven te geven hun media op ALLE apparaten te kunnen afspelen. Als ik die lijn doortrek, hoeft de consument de producent niet de mogelijkheid te geven hem te limiteren in het afspelen van diens media.

De string is een string, niets meer en niets minder. Of ik die nu hexadecimaal, decimaal, binair, octaal of in base-57 opschrijf/publiceer/etc. mag niets uitmaken. Dat daarmee een beveiliging omzeild kan worden, da's dan erg ongelukkig gekozen door de makers van AACS van het type 'hadden ze maar een andere string/methode moeten kiezen'

Even serieus: als je business-model van een 256-bit sleutel afhangt, is er toch ergens een grove denkfout gemaakt. Zelfs een aap kan voorspellen dat er vroeg of laat iemand die string te pakken heeft. Hoeveel miljoen is er in die beveiliging gestopt?

Zyppora schreef op donderdag 03 mei 2007 @ 09:58:
[...]
Even serieus: als je business-model van een 256-bit sleutel afhangt, is er toch ergens een grove denkfout gemaakt. Zelfs een aap kan voorspellen dat er vroeg of laat iemand die string te pakken heeft. Hoeveel miljoen is er in die beveiliging gestopt?

Precies, dat is het probleem met doeltreffendheid wanneer je zit met untrusted clients, en dat is ook het verschil tussen de praktische / technische definitie, en de juridische. De juridische definitie (van de minister, niet van de rechter) zegt "Omdát je moet zoeken naar de sleutel, en niet iedereen dat kan, is de methode doeltreffend". De technische definitie zegt "Omdat je de sleutel áltijd kunt vinden simpelweg door te zoeken, is de methode niet doeltreffend". Bovendien is één persoon die de sleutel vindt al voldoende om het hele systeem om zeep te helpen. Wanneer je dat wilt voorkomen moet je rigoreus iedereen die ook maar in de buurt komt van een hd-dvd(-speler) volledig in de gaten gaan houden.

Zyppora schreef op donderdag 03 mei 2007 @ 09:58:
[...]Even serieus: als je business-model van een 256-bit sleutel afhangt, is er toch ergens een grove denkfout gemaakt. Zelfs een aap kan voorspellen dat er vroeg of laat iemand die string te pakken heeft. Hoeveel miljoen is er in die beveiliging gestopt?

Dat zo'n bedrijf niet handig bezig is ben ik met je eens maar doet niets af aan de legaliteit.

De realiteit is niet gelijk aan de inhoud van de wet. Als ik mijn huisdeur maar met één slot beveilig weet ik dat er vast wel inbrekers zijn die deze kunnen kraken. Zoals de naam al suggereerd, is en blijft de persoon een in-breker. Als vele huishoudens hierdoor getroffen worden is het niet ineens legaal om in te breken! Door internet zijn digitale beveiligingen snel digitaal te communiceren en te kraken (coputers zijn nu eenmaal ietsie sneller als mensen), je hebt geen fysieke tools nodig. Dat deze mogelijkheid er is maakt het kraken niet ineens legaal.

De auteursregels voor afdoende beveiliging zijn redelijk vaag en het is aan de rechter (is er al jurispudentie m.b.t. keys?) om dit te beoordelen. Ga er maar wel van uit dat iemand met IT achtergrond niet meteen gezien wordt als Jan Normaal en dat een rechter toch kijkt of Jan Normaal het voor elkaar had kunnen krijgen om die sleutel te krijgen zonder specifieke tools. Dat de oplossing technisch/mechanisch te kraken is doet daar niets aan af.

Een digitale-kluis is ook te kraken, mag daarom iedereen er maar met de inhoud vandoor? (dan wil ik graag als eerste bij de Nederlandse Bank zijn voor wat staafjes goud )

BTW, ik ben absoluut geen voorstander van DRM mocht je dat denken, alleen om daarom illigaliteit te accepteren gaat mij een stap te ver.

[ Voor 3% gewijzigd door hamsteg op 03-05-2007 10:53 ]

hamsteg schreef op donderdag 03 mei 2007 @ 10:43:
[..]
Dat zo'n bedrijf niet handig bezig is ben ik met je eens maar doet niets af aan de legaliteit.

De realiteit is niet gelijk aan de inhoud van de wet. Als ik mijn huisdeur maar met één slot beveilig weet ik dat er vast wel inbrekers zijn die deze kunnen kraken.

Dat is geen goede vergelijking, want jij hebt het over anderen die in jouw huis inbreken, terwijl het in het geval van DRM gaat of jijzelf die in jouw eigen bezit 'inbreekt', om de mogelijkheden ervan te vergroten. Mogelijkheden die de fabrikant middels een niet afdoende technologische maatregel probeert te voorkomen. Ze hebben geen recht op het jou ontnemen van gebruiksmogelijkheden van het produkt dat je koopt. Wat krijgen we straks: extra straf als je iemand met een hamer de hersens inslaat, omdat je de gebruiksvoorwaarden van de hamer hebt overtreden? Dat je voor iedere soort spijker een andere hamer moet kopen?

Confusion schreef op donderdag 03 mei 2007 @ 11:13:
[...]
Dat is geen goede vergelijking, want jij hebt het over anderen die in jouw huis inbreken, terwijl het in het geval van DRM gaat of jijzelf die in jouw eigen bezit 'inbreekt', om de mogelijkheden ervan te vergroten.

De wet maakt geen onderscheid naar het doel van het verbreken van de beveiliging, dus is de vergelijking wel degelijk gerechtvaardigd (ik weet niet of er bij inbraak vs. insluiping sprake is van een definitie van 'afdoende' beveiliging).
Ik ben het wel met je eens dat de wet hiermee moreel onrechtvaardig geacht kan worden, maar ik weet niet of dat een rechvaardigheidsgrond is voor de overtreding van de wet.

Voor wat betreft de effectiviteit van de beveiliging: an sich lijkt me die doeltreffend, want je moet een redelijke programmeur/electrotechnicus zijn om hem te breken.
Alleen is het in de tijd van internet zo dat als een willlekeurig hacker een handig programmaatje schrijft, elke ongeschoolde idioot zonder problemen de beveiliging zou kunnen omzeilen.
Ik kan met dan dus ook voorstellen dat je argumenteert dat voorgenoemde idioot de wet niet meer overtreedt als de hacker dat eenmaal gedaan heeft

Vaudtje schreef op donderdag 03 mei 2007 @ 11:40:
De wet maakt geen onderscheid naar het doel van het verbreken van de beveiliging,

Ik mag toch inbreken in mijn eigen huis als ik mijn sleutel vergeten ben?

Ik kan met dan dus ook voorstellen dat je argumenteert dat voorgenoemde idioot de wet niet meer overtreedt als de hacker dat eenmaal gedaan heeft

Dus als iemand anders met een breekijzer mijn voordeur opent, dan zou de ander die naar binnen loopt niet strafbaar moeten zijn?

Verwijderd schreef op donderdag 03 mei 2007 @ 12:55:Maar dan is het toch geen effectieve beveiliging? Er hoeft maar één 'willlekeurig hacker' te zijn op 6 miljard mensen. Die kans is 1.

Even doorgetrokken is volgens jouw redenering elke illegale (in)braak activiteit alsnog legaal omdat je daarna een handleiding of programma aan iedereen door kunt geven en deze dit kan kopiëren.

De wet is nog steeds van toepassing; dat met behulp van computers overtredingen sneller en door verspreiding ook een stukje gemakkelijker kunnen plaatsvinden doet daar niets aan af.

hamsteg schreef op donderdag 03 mei 2007 @ 13:31:
[...]
Even doorgetrokken is volgens jouw redenering elke illegale (in)braak activiteit alsnog legaal omdat je daarna een handleiding of programma aan iedereen door kunt geven en deze dit kan kopiëren.

De wet is nog steeds van toepassing; dat met behulp van computers overtredingen sneller en door verspreiding ook een stukje gemakkelijker kunnen plaatsvinden doet daar niets aan af.

Nee, de wet is niet van toepassing, omdat hij gaat over doeltreffende methodes. De handeling van kopiëren zélf is niet verboden, de aanwezigheid van een doeltreffende methode die dat voorkómt bepaalt of het wel of niet mag. Maar wanneer de kans 1 is dat de methode doorbroken wordt is hij niet doeltreffend. En bekijken mag sowieso, dus daarvoor mag ik de beveiliging omzeilen.

Een inbraak mag niet omdat de handeling van inbraak zélf verboden is (huisvredebreuk ofzo), ongeacht of er een al dan niet doeltreffend slot op de deur zit.

[ Voor 8% gewijzigd door Verwijderd op 03-05-2007 13:45 ]

Confusion schreef op donderdag 03 mei 2007 @ 12:22:
[...]
Ik mag toch inbreken in mijn eigen huis als ik mijn sleutel vergeten ben?

Om de analogie nog wat verder op te rekken:
Het is je eigen huis niet, het huis is van de contentprovider.
Je mag in het huis komen kijken en alles aanraken, zolang je maar een HD-DVD speler bij je hebt.

[...]
Dus als iemand anders met een breekijzer mijn voordeur opent, dan zou de ander die naar binnen loopt niet strafbaar moeten zijn?

Wel strafbaar, niet schuldig aan inbraak. Dat heet namelijk insluiping
In het geval van de auteurswet is dus alleen degene die de breekijzer gebruikt strafbaar (en degene die breekijzers levert of informatie over het gebruik van breekijzers verspreidt ).
Dat is wat ik eerder bedoelde. De hacker is wel stout, maar imho is zodra de hacktools vrij verkrijgbaar zijn effectief de beveiliging niet meer effectief en gaat de idioot vrijuit.

Vaudtje schreef op donderdag 03 mei 2007 @ 13:59:
Om de analogie nog wat verder op te rekken:
Het is je eigen huis niet, het huis is van de contentprovider.
Je mag in het huis komen kijken en alles aanraken, zolang je maar een HD-DVD speler bij je hebt.

Nee, het bekijken van de content valt buiten het auteursrecht, het is geen exclusief aan de rechthebbende voorbehouden exploitatierecht. De content bekijken mag dus ook zonder dat je beschikt over gelicenseerde decoderingsapparatuur of -programmatuur.

In het geval van de auteurswet is dus alleen degene die de breekijzer gebruikt strafbaar (en degene die breekijzers levert of informatie over het gebruik van breekijzers verspreidt ).
Dat is wat ik eerder bedoelde. De hacker is wel stout, maar imho is zodra de hacktools vrij verkrijgbaar zijn effectief de beveiliging niet meer effectief en gaat de idioot vrijuit.

Ik vind het ook nog de vraag of de hacker verkeerd bezig is. Zoals ik hierboven ook al zei, het bekijken mag sowieso, dus daarvoor is de omzeilingsbeperking (en alle aanverwante leukigheden zoals het verspreiden / publiceren van keys e.d.) niet van toepassing.

Vaudtje schreef op donderdag 03 mei 2007 @ 13:59:
[...]

Om de analogie nog wat verder op te rekken:
Het is je eigen huis niet, het huis is van de contentprovider.
Je mag in het huis komen kijken en alles aanraken, zolang je maar een HD-DVD speler bij je hebt.

[...]

Nee, je mag in het huis komen kijken zolang je maar een sleutel bij je hebt. Er staat nergens vermeld dat die sleutel in de vorm van een HD-DVD speler moet zijn. Daarnaast moet je de sleutel kopen in een winkel. Is deze sleutel daarna jouw eigendom? Als-ie de vorm van een HD-DVD speler heeft wel. Waarom dan niet zonder het loopwerk en de blauwe LED?

Zyppora schreef op donderdag 03 mei 2007 @ 14:33:
[...]


Nee, je mag in het huis komen kijken zolang je maar een sleutel bij je hebt. Er staat nergens vermeld dat die sleutel in de vorm van een HD-DVD speler moet zijn. Daarnaast moet je de sleutel kopen in een winkel. Is deze sleutel daarna jouw eigendom? Als-ie de vorm van een HD-DVD speler heeft wel. Waarom dan niet zonder het loopwerk en de blauwe LED?

Bijna, je mag in het huis komen (om te kijken) als je door de deur kunt komen. Als de deur openstaat (je hebt de geripte film zonder AACS gedownload) hoef je niet over een sleutel te beschikken. Als de deur dichtzit (een film die wel AACS bevat) hoef je ook geen sleutel te hebben, maar dat is wel makkelijker.
Maar dit geldt alleen voor het bekijken van (hd-)dvd's.

Zyppora schreef op donderdag 03 mei 2007 @ 09:58:
Even serieus: als je business-model van een 256-bit sleutel afhangt, is er toch ergens een grove denkfout gemaakt. Zelfs een aap kan voorspellen dat er vroeg of laat iemand die string te pakken heeft. Hoeveel miljoen is er in die beveiliging gestopt?

Mwah, zo heel vreemd is dat niet hoor. Je kunt rustig je complete beveiliging van een dergelijke sleutel af laten hangen terwijl het toch enorm veilig is. Heel SSL werkt bijvoorbeeld zo. Kijk enkel eens hoeveel moeite DPC heeft om 1 van dergelijke sleutels te kunnen vinden.

De grote designflaw in deze is niet die sleutel zelf, maar het feit dat de consument de sleutel nodig heeft om de beelden te kunnen bekijken. De sleutel die je geheim wilt houden moet je dus wel aan de gebruiker geven en dan maar hopen dat hij hem alleen bij het bekijken gebruikt en niet bij het kopieren. Dat is juist de grote designflaw van heel DRM. Je probeert security af te dwingen op een untrusted device (vandaar ook dat de industrie graag heeft dat de apparaten bij de consument trusted worden midels tcpa en andere dingen)

Janoz schreef op donderdag 03 mei 2007 @ 14:50:
[...]

Mwah, zo heel vreemd is dat niet hoor. Je kunt rustig je complete beveiliging van een dergelijke sleutel af laten hangen terwijl het toch enorm veilig is. Heel SSL werkt bijvoorbeeld zo. Kijk enkel eens hoeveel moeite DPC heeft om 1 van dergelijke sleutels te kunnen vinden.

De grote designflaw in deze is niet die sleutel zelf, maar het feit dat de consument de sleutel nodig heeft om de beelden te kunnen bekijken. De sleutel die je geheim wilt houden moet je dus wel aan de gebruiker geven en dan maar hopen dat hij hem alleen bij het bekijken gebruikt en niet bij het kopieren. Dat is juist de grote designflaw van heel DRM. Je probeert security af te dwingen op een untrusted device (vandaar ook dat de industrie graag heeft dat de apparaten bij de consument trusted worden midels tcpa en andere dingen)

SSL werkt dan ook niet steeds met dezelfde key De wiki is bijvoorbeeld niet echt zuinig met het woord 'random'. Daarnaast ben ik het met je eens dat DRM flawed-by-design is. Het is alleen heel jammer dat de voorstanders van DRM het blootstellen van de gaten via juridische wegen onmogelijk/strafbaar maakt.

De authenticatie werkt wel met dezelfde key (zie eerste punt onder het kopje security). Hierbij wordt middels de bekende public key gekeken of de afzender wel de echte afzender is. De afzender kan alleen de afzender zijn omdat deze de private key weet, maar die hoeft nooit uitgedeeld of bekend gemaakt te wordente worden (itt DRM).

Da's maar een van de meerdere 'keys' (als je dat zo wilt noemen) die gebruikt worden. Hashes en andere random meuk die gebruikt wordt telt ook mee.

Puntje twee:

The client verifies that the issuing Certificate Authority (CA) is on its list of trusted CAs.

Puntje vier:

To protect against Man-in-the-Middle attacks, the client compares the actual DNS name of the server to the DNS name on the certificate.

Nu weet ik niet hoe makkelijk of moeilijk het is zoiets te spoofen (of anderzijds te omzeilen), maar dat lijkt me toch behoorlijk secure allemaal. Then again, I'm not a cryptologist.

Then again, I'm not a cryptologist

Dat blijkt /flauw

Het punt is dat je hier niet te maken hebt met een Man in the Middle attack, maar dat de attacker juist dezelfde persoon is als de ontvanger. Zelfs het (volgens onze huidige kijk op de natuurwetten) onkraakbare quantum-encryptie is dan onveilig. De ontvanger moet het bericht hoe dan ook decoderen en daar heeft hij een sleutel voor nodig. Als de ontvanger vervolgens verkiest om met het bericht vervolgens andere dingen te doen dan waar het voor bedoeld is dan heb je gewoon pech. Vandaar ook Janoz opmerking over trusted devices - de key moet op hardwareniveau zijn opgeslagen en de media kan alleen op specifieke gecontroleerde hardware afgespeeld worden, dan pas is DRM effectief.

[ Voor 21% gewijzigd door .oisyn op 04-05-2007 12:12 ]

Niet alleen ik noem het een key, zo heet dat in het algemeen

TLS/SSL have a variety of security measures:

* The client uses the CA's public key to validate the CA's digital signature on the server certificate. If the digital signature can be verified, the client accepts the server certificate as a valid certificate issued by a trusted CA.

Dit is het specifieke deel waar ik op doel.

cpwins schreef op woensdag 02 mei 2007 @ 23:30:
Waarom wordt op dit forum de key weggemodereerd, terwijl hij duidelijk op de Frontpage te lezen valt?

De key wordt niet weggemod. De key werd weggemod en jij hebt twee berichten met blauwe tekst van Opi in dit topic gemist.