Из Википедии, бесплатной энциклопедии
  (Перенаправлено с ограниченного оборудования )
Перейти к навигации Перейти к поиску

Ограничение аппаратных средств (иногда называемые аппаратные DRM ) [1] является защита контента в жизнь электронных компонентов . Схема аппаратного ограничения может дополнять систему управления цифровыми правами, реализованную в программном обеспечении . Некоторые примеры информационных устройств , ограничивающих аппаратное обеспечение игровые приставки , смартфоны , [2] планшетные компьютеры , компьютеры Macintosh [3] и персональные компьютеры , которые реализуют безопасную загрузку .

Случаи аппаратного ограничения [ править ]

Обновляемые процессоры [ править ]

Некоторые процессоры Intel продаются с «заблокированными» функциями, которые впоследствии можно будет разблокировать после оплаты. [4] [5]

Обратите внимание, что это не уникальное свойство Intel. Некоторые модели IBM «s System / 370 ЭВМ имели дополнительное оборудование включено, что если клиент заплатил дополнительную плату, IBM пришлет сервисный инженер , чтобы включить его, как правило , путем отрезания резистора в машине.

Надежная среда выполнения [ править ]

Основная статья: Надежная среда выполнения

Поставщик использует свое привилегированное положение как производителя устройств и встраивает в устройство неизвлекаемый закрытый ключ, связанный с открытым ключом в собственной базе данных и хеш-кодом собственного открытого ключа. Производитель также добавляет устройству привилегированный режим, который может защитить обрабатываемые в нем данные (включая программный код) от ОС и оборудования с помощью шифрования памяти. Поставщик добавляет дополнительный привилегированный режим, позволяющий программному обеспечению работать в этом режиме для управления доступом другого программного обеспечения к этому режиму и секретам, хранящимся в нем, и ограничивает этот режим только программным обеспечением, подписанным собственным открытым ключом.Поставщик реализует программное обеспечение, контролирующее доступ к этому режиму только для сторон, подписавших деловое соглашение с поставщиком, и контролируя доступ к данным, создавая доказательство того, что программное обеспечение не повреждено, используя тот факт, что ключ, встроенный в оборудование, не может быть доступен по разумной цене для кого-либо. кроме производителя. Затем производитель продает доступ к использованию этого режима в устройствах потребителей сторонам, заинтересованным в лишении владельцев устройств права собственности. Эти стороны реализуют собственное программное обеспечение в виде 2 (или более) модулей и отправляют его на машины пользователей. Универсальный модуль загружает доверенный модуль и вызывает программное обеспечение доверенного привилегированного поставщика для активации защиты и создания криптографического доказательства того, что программное обеспечение разработчика находится в том состоянии, в котором оно должно быть, а не заменено каким-либо другим программным обеспечением.Универсальный модуль отправляет это доказательство по сети своему разработчику, разработчик проверяет доказательство. Иногда это можно сделать через интернет-сервис поставщика. Затем разработчик либо отправляет данные, которые он хочет, чтобы владельцы компьютеров не имели доступа к ним. Сам поставщик оборудования может иметь доступ к данным, выпуская модифицированную версию привилегированного программного обеспечения, контролирующего доступ, позволяя ему создавать поддельные доказательства, или, если проверки доказательств выполняются с использованием интернет-сервиса, изменяя сервис, чтобы ложно утверждать, что доказательство является действительный. Доступ к данным в TEE также можно получить с использованием различных побочных каналов или путем обратного проектирования конкретного чипа и извлечения из него ключа, если это возможно, но стоит дорого. Таким образом, данные, обработанные таким образом, должны иметь достаточно низкую ценность, например вредоносное ПО и проприетарный контент.Поскольку некоторые поставщики отключают TEE, если микропрограмма системы подделана (иногда безвозвратно повреждая микросхему из-за перегорания предохранителя), использование TEE-доказательств может использоваться поставщиками программного обеспечения и услуг для предотвращения обратного проектирования своего программного обеспечения и / или доступа к их службам из подделки устройство, даже если само программное обеспечение не использует TEE для хранения каких-либо секретов.

Intel Insider [ править ]

Основная статья: Intel HD Graphics § Intel Insider

Intel Insider , технология, которая обеспечивает «защищенный путь» для цифрового контента [6], может рассматриваться как форма DRM. [7] [8] [9]

Подтвержденная / надежная / безопасная загрузка [ править ]

См. Также: Единый расширяемый интерфейс микропрограмм § Безопасная загрузка

Некоторые устройства реализуют функцию, называемую «проверенная загрузка», «надежная загрузка» или «безопасная загрузка», которая позволяет запускать на устройстве только подписанное программное обеспечение, обычно от производителя устройства. Это считается ограничением, если только пользователи не имеют возможности отключить его или подписать программное обеспечение.

Устройства Android [ править ]

Многие современные Android устройства, такие как Huawei 's [10] и Nokia ' s [11] пришел с загрузчиком заблокирован.

Устройства Apple [ править ]

Смотрите также: SHSH блоб , IOS джейлбрейка и Cydia § IOS "подпись" особенность

Устройства Apple iOS ( iPhone , iPad , iPod Touch и Apple TV ) требуют подписей для установки прошивки , предназначенной для проверки того, что на эти устройства можно установить только последнюю официальную прошивку. Официальная прошивка позволяет устанавливать стороннее ПО только из App Store .

Компьютеры Mac, оснащенные микросхемой безопасности T2, также оснащены функцией безопасной загрузки, что гарантирует запуск только надежных версий операционных систем MacOS от Apple и Microsoft Windows , поддерживающих безопасную загрузку.

TiVo [ править ]

Основная статья: Тивоизация

Если на устройстве работает только программное обеспечение, одобренное поставщиком оборудования, и на устройстве разрешено запускать только определенную версию бесплатного программного обеспечения , пользователь не может воспользоваться правами, которые у него теоретически есть, поскольку он не может устанавливать модифицированные версии.

OLPC [ править ]

Другой случай надежной загрузки - это ноутбук XO « Один ноутбук на ребенка», который будет загружаться только с программного обеспечения, подписанного частным криптографическим ключом, известным только некоммерческой организации OLPC и соответствующим органам управления, например министерствам образования. Ноутбуки, распространяемые непосредственно организацией OLPC, позволяют отключить ограничения, запросив " ключ разработчика ", уникальный для этого ноутбука, через Интернет, ожидая 24 часа, чтобы получить его, установив его и запустив команду микропрограммы "disable-security" ". Однако некоторые развертывания, такие как Уругвай [12]отклонять запросы на такие ключи. Заявленная цель - предотвратить массовую кражу ноутбуков у детей или через каналы распространения, заставляя ноутбуки отказываться загружаться, затрудняя их перепрограммирование, чтобы они загружались, и задерживая выдачу ключей разработчика, чтобы дать время проверить, действительно ли ключ -запрашивающий ноутбук был украден.

Безопасная загрузка [ править ]

См. Также: Безопасность в Windows 8

Сертифицированное оборудование Windows 8 требует безопасной загрузки. Вскоре после того, как в сентябре 2011 года было объявлено об этой функции, это вызвало всеобщие опасения, что она заблокирует альтернативные операционные системы. [13] [14] [15] [16] В январе 2012, Microsoft подтвердила , что она будет требовать от производителей аппаратного обеспечения для обеспечения безопасной загрузки на Windows 8 устройств, и что x86 / 64 устройство должно обеспечивать возможность отключить его в то время как ARM -О устройства не должны обеспечивать возможность его выключения. [17] По словам Глина Муди из ComputerWorld, этот «подход, похоже, затрудняет, если не делает невозможным установку Linux на аппаратные системы, сертифицированные дляWindows 8 ». [17]

Подтвержденная загрузка Solaris [ править ]

Oracle Solaris 11.2 имеет функцию проверенной загрузки, которая проверяет подписи загрузочного блока и модулей ядра. По умолчанию он отключен. Если он включен, он может быть установлен в режим «предупреждения», когда при ошибках подписи регистрируется только предупреждающее сообщение, или в режим «принудительного применения», когда модуль не загружен. Команда Solaris elfsign (1) вставляет подпись в модули ядра. Все модули ядра, распространяемые Oracle, имеют подпись. Допускаются сторонние модули ядра при условии, что сертификат открытого ключа установлен во встроенном ПО (для установления корня доверия ). [18]

См. Также [ править ]

  • Бесплатное оборудование
  • Homebrew (видеоигры)
  • Привязка к поставщику
  • Crippleware
  • Запланированное устаревание

Ссылки [ править ]

  1. ^ http://www.hpl.hp.com/techreports//2003/HPL-2003-110.pdf Архивировано 24 сентября 2015 г. в Wayback Machine HP Laboratories
  2. ^ Стросс, Рэндалл. «Хотите iPhone? Остерегайтесь iHandcuffs» . nytimes.com . Архивировано 1 ноября 2016 года . Проверено 22 февраля 2017 .
  3. ^ «Apple приносит HDCP в новый алюминиевый MacBook рядом с вами» . arstechnica.com .
  4. ^ «Intel хочет взимать 50 долларов, чтобы разблокировать то, что уже умеет делать ваш процессор» . engadget.com . Архивировано 21 июля 2017 года . Проверено 29 августа 2017 .
  5. ^ «Intel + DRM: урезанный процессор, за разблокировку которого нужно доплачивать / Boing Boing» . boingboing.net . Архивировано 25 августа 2011 года . Проверено 12 июля 2011 .
  6. ^ Шах, Агам. «Intel: Insider Sandy Bridge - это не DRM» . computerworld.com . Архивировано 4 декабря 2011 года . Проверено 12 июля 2011 .
  7. ^ «Intel утверждает, что чип DRM - это не DRM, это просто защита от копирования» . techdirt.com . Архивировано 25 декабря 2011 года . Проверено 12 июля 2011 .
  8. ^ "Есть ли код Intel Insider для DRM в Sandy Bridge?" . pcmag.com . Архивировано 10 февраля 2017 года . Проверено 29 августа 2017 .
  9. ^ "Intel Sandy Bridge засасывает Голливуд с DRM - TheINQUIRER" . theinquirer.net . Архивировано 15 июня 2011 года . Проверено 12 июля 2011 .
  10. ^ «Huawei перестанет предоставлять разблокировку загрузчика для всех новых устройств» . xda-developers . 2018-05-24 . Проверено 20 марта 2020 .
  11. ^ «Августовское обновление безопасности на телефонах Nokia блокирует методы разблокировки загрузчика» . xda-developers . 2018-08-22 . Проверено 20 марта 2020 .
  12. ^ "[Sugar-devel] Проект Ceibal нарушает Стандартную общественную лицензию GNU?" . lists.sugarlabs.org . Архивировано 3 марта 2016 года . Проверено 24 сентября 2016 .
  13. ^ Взлом; Безопасность; Киберпреступность; Уязвимость; Вредоносное ПО; Lacoon, Check Point закупает оборудование мобильной безопасности; пользователи, сайт Fake Pirate Bay подталкивает банковского трояна к WordPress; Ливан, тайная «взрывная» кибершпионская кампания восходит к. «Безопасная загрузка Windows 8 исключает Linux» . Архивировано 11 июля 2016 года . Проверено 24 сентября 2016 .
  14. ^ «Безопасная загрузка Windows 8 может усложнить установку Linux» . arstechnica.com . Архивировано 01 мая 2012 года . Проверено 14 июня 2017 .
  15. ^ «Безопасная загрузка Windows 8 для блокировки Linux» . ZDNet . Архивировано из оригинала на 2011-09-23 . Проверено 28 сентября 2011 .
  16. ^ Персонал, OSNews. «Windows 8 требует безопасной загрузки, может мешать работе другого программного обеспечения» . www.osnews.com . Архивировано 27 сентября 2016 года . Проверено 24 сентября 2016 .
  17. ^ a b Блокирует ли Microsoft загрузку Linux на оборудовании ARM? - Open Enterprise, архивировано 9 марта 2012 г. на Wayback Machine.
  18. ^ Андерсон, Дэн. «Подтвержденная загрузка Solaris» . oracle.com . Архивировано 2 мая 2014 года . Проверено 1 мая 2014 .

Внешние ссылки [ править ]

  • Введение в тивоизацию от Linux Information Project (LINFO)