Trolloscope » DRM open source - Page 1

Zeph a souhaité poursuivre une discussion dérivée dans un nouveau sujet. La discussion initiale a eu lieu dans le sujet topics/108059-trolloscope-who-is-the-best/112#post-3348 tandis que la discussion dérivée continue dans le sujet topics/188508-trolloscope-drm-open-source où les messages en rapport ont été copiés.

Comment ça fonctionnerait, un DRM implémenté sur un navigateur open source ?

À travers un plugin propriétaire, c'est comme ça que c'est implémenté dans Firefox.

La seule solution vraiment libre serait de faire comme libdvdcss, mais personne n'ose faire ça avec le DRM web par peur des répercussions légales.

ouais, une api js qui permet de piloter les key exchanges avec des plugins proprio téléchargés selon les besoins.
les plugins sont gérés par les navs de la même manière que les plugins/extensions.

on reste dans un cas ou on est pas OBLIGES d'avoir du DRM si on en veut pas, mais le concept de base et les possibilités du machin les défrisent.

Open Source et DRM ne sont pas incompatible du moment que ce n'es tpas en GPLv3

La crypto peux etre open source, les DRMs ne sont que de la crypto. Connaitre comment marche une DRM ne permet pas forcement de la casser si elle est faite correctement.

Bah c'est un peu la question : perso je ne vois pas comment faire un système dans lequel un code open source qui tourne sur ta machine peut déchiffrer un flux mais rester incassable (ou même difficile à casser). Tu sais comment ça fonctionne ou bien c'est ton avis ?

Pour moi la seule solution revient à ce qu'évoquent Kevin et squalyl, mais du coup on est plus dans un logiciel 100% open source.

Il y a une difference entre un logiciel open source et le contenu. Ce n'est pas parce que tu utilise un lecteur PDF open source que le contenu du PDF t'appartiens.

Ce que je veux dire c'est que les DRMs etant de la crypto, ce n'est pas connaitre l'algorithme de la DRM qui va la rendre caduque mais d'en connaitre les clefs, et le stockages des clefs est un tout autre probleme.

Mais oui du moment que tu as les clefs (et c'est deja le cas avec les DRM non open source) c'est foutut.

Le DRM est une crypto qui doit forcément être déchiffrable pour ton navigateur parce que c'est lui qui affiche le contenu. Dans une implémentation libre, tu peux facilement contourner ces limitations. (C'est d'ailleurs le cas pour les PDFs, Okular a une belle option "respecter les restrictions DRM" décochée par défaut. )

la crypto la plus incassable est open source (les algos DES, AES, etc sont connus en détail).
nxp et mifare sont la pour nous rappeler que crypto cachée = caca

mais a mon avis l'éventuelle opensourcitude de ces modules n'est pas le problème.

le problème est qu'on a officialisé dans le web/html la possibilité de jouer des fichiers chiffrés dont les clés sont récupérées sur les serveurs des ayant droits.

./7 (pas sûr d'avoir compris la réponse) et ./9 : le fait que l'algo soit open source ou non n'est pas un souci, en revanche comme le dit Kevin si le navigateur veut décoder quoi que ce soit à un moment il va lui falloir la clé. À partir de là, en ayant le code source et la clé, je ne vois pas trop ce qu'il reste à protéger.

Je ne vois pas trop le problème. Autrement que penser de TOR et du reste ?

Des plugins Fx comme youtube downloader vont devenir temporairement inutiles: le machin que tu téléchargeras sera chiffré, et ca servira a rien de le sauvegarder, faudra se connecter au serveur pour avoir la clé (que firefox négociera automatiquement). CE concept est déja inacceptable par lui même, dans l'idée.

Bon évidemment, même si on imagine qu'un module closed source pousserait direct ses framebuffers déchiffrés sur la VRAM du GPU, ca pourra être intercepté.
Par contre ca risque de ralentir le développement des outils nécessaires.

Et par conception, la conception de ces techniques de déchiffrement sera illégale et sanctionnée par le DMCA (c'est ce que souhaitait éviter l'EFF) donc il sera super simple de tenter des takedowns des outils de déchiffrement (ils seront probablement pas valides, mais le temps que la justice tranche ca prendra quelques années)

Godzil (./5) :
Open Source et DRM ne sont pas incompatible du moment que ce n'es tpas en GPLv3

Légalement oui, mais s'il n'y a pas une zone noire qui vient du matériel ou du logiciel a un moment, ça sera un jeu d'enfant de contourner, voire même de casser complètement le mécanisme de protection.

squalyl (./9) :
la crypto la plus incassable est open source (les algos DES, AES, etc sont connus en détail).
nxp et mifare sont la pour nous rappeler que crypto cachée = caca

Le problème du DRM Open source n'est pas la crypto en elle même qui peut en effet peut être à la fois Open-Source et très sure, mais de la disponibilité de la clé de décryptage et ce qu'on fait une fois que le contenu est décrypté.

La clé de décryptage du contenu doit être présente sur la machine de l'utilisateur, et si le code de crypo est open-source, elle va être facile à retrouver, ce qui permet de casser tout le système.
De plus, si le code qui gère le contenu entre le moment ou il est décrypté et celui ou il est l'affiché à l'écran est open source, on peut le modifier pour faire tout ce que l'on veut y compris un enregistrement sur le disque sous forme décrypté.

Bref, si on veut un DRM qui protège contre l’enregistrement et qui ne tombe pas en quelques minutes, il faut que la chaine depuis le décryptage jusqu'à l'affichage soit matérielle ou closed-source et bien brouillé.

. Les DRMs sont déjà une absurdité en soi : on cherche à rendre simultanément accessible et inaccessible un contenu à la même personne, sur du matériel qui est sous le contrôle de cette personne. Si en plus la personne peut facilement regarder et bricoler à l'intérieur du système de protection, autant se contenter de coller un post-it "soyez sympa, ne piratez pas" ; c'est plus simple, moins cher, et à peu près aussi efficace

Y'avait des programmeurs qui mettaient ça dans leurs jeux il y a quelques dizaines d'années, les pirates tombaient dessus quand ils avaient atteint un certain niveau de reverse engineering dans le programme

C'est vrai ^^