Met digital rights management (drm) is op beveiligingsgebied veel mogelijk. Het fenomeen groeit bovendien nog steeds explosief. Toch bestaat er nog veel scepsis over het nut en de voordelen ervan. Sommigen zien drm zelfs als “een van de grootste vergissingen van deze tijd”.
Digital rights management (drm) is vooral bekend van de beperkingen op het kopiëren en downloaden van muziek en film. Er zijn echter meer gebruiksmogelijkheden weggelegd voor drm, zoals het tegengaan van softwarepiraterij of het beveiligen van documenten. Nu al is er een dozijn technologieën die drm afdwingbaar maken. Softwarepiraterij kan worden tegengegaan met auto-activering via het internet, of met usb-dongles die nagaan of de software wel geïnstalleerd is op de computer waarop dat bedoeld is. Softwareleveranciers willen vooral dat drm een succes wordt omdat ze dan totale controle denken te krijgen over de distributie van de producten en dus de licentiepolitiek die ze kunnen voeren. Het mag anderzijds ook niet te veel kosten om het te implementeren, getuige de voorlopige mislukking van de mobiele drm-initiatieven. Vooral is het een illusie te denken dat welke beveiliging ook waterdicht is. Naar verluidt slaagt een beetje hacker er nog altijd in om de beveiliging van een dvd of een muziek-cd te kraken. Het is onzin te denken dat dit niet zal kunnen met drm voor bedrijfstoepassingen. Desondanks is drm momenteel bezig aan een groeispurt.
Softwarematige drm
Voor het beveiligen van software moeten gebruikers de komende jaren steeds meer rekening houden met auto-activering van software. Dit houdt in dat de gebruiker een softwarepakket installeert, waarbij hij aan het einde van de installatie de optie krijgt voor het gebruik van het pakket te betalen. Hij heeft dan de keuze om een demonstratieperiode op te starten of de software met onbeperkte functionaliteit te installeren (als hij aangeeft te willen betalen). Het is belangrijk te weten dat de gebruiker in beide gevallen betaald heeft voor de drager en de handboeken. Met drm wordt het met andere woorden mogelijk het juridische probleem van het verschil tussen de software (waarvoor alleen een licentie mogelijk is) en de drager ervan (waarvan nu duidelijk wordt dat de gebruiker die koopt) scherp te stellen.
Heeft de gebruiker gekozen voor het aanschaffen van een licentie, dan kan hij de software activeren met de meegeleverde registratiecode. Dat kan doorgaans via internet, of als er geen verbinding mogelijk is, met de telefoon. In beide gevallen zal de gebruiker het MAC-adres van zijn machine moeten doorspelen aan de leverancier (bij activeren via internet gebeurt dit automatisch) waarna het licentiesysteem een code berekent die de software aan de machine verbindt. Wilt de gebruiker tijdens de looptijd van de licentie de software installeren op een andere machine, dan dient hij eerst de activatiecode ongedaan te maken (meestal met behulp van een menu-selectie) en vervolgens de software op de nieuwe machine opnieuw te activeren (licentietransfer).
Softwareleveranciers als Adobe, Microsoft en Macromedia beweren dat auto-activering de kans op piraterij uitsluit. Analist Butler is voorzichtiger; die spreekt van “het risico verkleinen”. Er circuleert inderdaad nogal wat software op het internet waarvan het auto-activeringssysteem is uitgeschakeld. Desalniettemin is dit systeem voor de leverancier één van de meest bedrijfszekere manieren om piraterij te voorkomen, met name omdat de niet-geactiveerde software versleuteld is.
Een gelijkwaardig systeem bestaat met usb-dongles. Hierbij krijgt de koper een dongle mee die met een firmwarelader een code krijgt waarin de encryptiesleutel van het pakket verbonden wordt aan het MAC-adres van de computer. Als de dongle niet in de juiste machine wordt geïnstalleerd, start de software niet op. Het verschil met gewone dongles zit hem in de koppeling met een specifieke machine. Het koppelen van informatie aan één welbepaalde “ontvanger” is wat drm onderscheidt van een gewone dongle. Met die laatste kan alleen bewerkstelligd worden dat één kopie van de software op één machine tegelijk wordt gebruikt.
DRM voor documenten
In het geval van softwarematige drm gaat het in eerste instantie om het voorkomen van piraterij. De wens om specifieke informatie te kunnen bestemmen voor een specifieke ontvanger bestaat echter ook en vooral op het niveau van documentenbeheer. E-mailberichten bijvoorbeeld kunnen voor dat doel versleuteld worden, maar de versleuteling zelf kan niet verhinderen dat andere personen dan de bedoelde het bericht ook te lezen krijgen. Dat kan met drm wel. Volgens Forrester Research zijn er in deze markt twee grote spelers: SealedMedia en Authentica. De leveranciers van drm voor documentbeveiliging leveren onder meer transaction logging, een auditmogelijkheid, de mogelijkheid een document een beperkte levensduur mee te geven en controle over wat er met het document gebeurt.
Een cruciale technologie in dit domein is XrML (Extended rights Markup Language) dat aan de basis ligt van MPEG REL. MPEG REL schopte het in 2004 tot ISO-norm (ISO/IEC 21000-5:2004). Deze ISO-norm wordt gebruikt voor alle vormen van drm, inbegrepen de beveiliging van muziek, film en documenten. XrML ligt ook ten grondslag aan Microsofts Office 2003. Dat gebruikt Windows Rights Management Services dat volgens Forrester een sleutelproduct is in Microsofts aanbod voor het beschermen van zakelijke inhoud. Adobe heeft zijn eigen drm voor het creëren en verzenden van pdf-documenten. Voor de fijnmazige controle over documenten (zoals vervaldata, online en offline toegang, enzovoort) ontwikkelde het bedrijf zijn eigen policy server. Bij Adobe is drm echter ook onderdeel van Acrobat, het programma waarmee pdf-documenten gemaakt worden. Het drm tot een onderdeel maken van de creatiesoftware ziet Forrester als een trend die zich in 2007 volledig moet hebben doorgezet. Gartner denkt dat de markt vooral gestuurd zal worden door standaarden als XrML en XACML (Extensible Access Control Markup Language).
Vooralsnog zijn er in de markt van drm voor documenten vooral de twee genoemde spelers SealedMedia en Authentica. SealedMedia levert een systeem dat werkt met drie componenten: een Sealer, Unsealer en een License Server. De eindgebruiker die het document wilt verzegelen gebruikt de Sealer. De licentie voor het gebruik van het document wordt door de Sealer opgeslagen op de License Server. Die laatste houdt ook bij hoe het document gebruikt wordt (audit trail) en waakt erover dat het document conform de licentie gebruikt wordt. De Unsealer is een apart programma waarmee documenten geopend kunnen worden. Het kijkt voor elk document op de License Server wat ermee mag en niet mag. Het systeem werkt transparant samen met Documentums eRoom.
Authentica’s platform Active Rights Management doet hetzelfde als SealedMedia’s systeem, maar gebruikt een ander concept. Authentica is ook beperkter in zijn mogelijkheden. Zo beschermt het bijvoorbeeld wel Office- en pdf-documenten, maar daar houdt het dan ook bij op, terwijl SealedMedia ook foto’s en zelfs filmpjes beschermt. Dat laatste mag vreemd lijken voor een bedrijfstoepassing, maar is het niet: een trainingsfilmpje kan ook bescherming behoeven.
Overigens werkt Authentica net als SealedMedia’s systeem met een centrale server, die gebaseerd is op Microsoft SQL Server of Oracle, en die bestaande beschermingssystemen als het ware versterkt. Zelfs dan lijkt het Forrester dat drm als een aparte oplossing een kort leven beschoren is.
Kritiek
Sommigen denken helemaal anders over drm. PGP Corporations cto en cso Jon Callas is een scepticus wat het hele drm-verhaal betreft. Hoewel hij benadrukt dat alle PGP-producten naadloos samenwerken met Microsofts oplossingen, stelt hij vraagtekens bij de hoerastemming die heerst onder de leveranciers die drm implementeren.
Zo vraagt Callas zich af wat er gaat gebeuren met mensen die drm-documenten botweg zullen weigeren. Hij is ervan overtuigd dat de groep die zich geërgerd voelt door de beperkingen die worden opgelegd, gestaag groeit. Van groter belang lijkt zijn opmerking dat een vervallen document wel eens tot heel vervelende gevolgen zou kunnen leiden, bijvoorbeeld als de SEC of een andere controle-instantie vraagt naar de inhoud van zo’n document, die niet langer reproduceerbaar is. Nog een belangrijk probleem vormen documenten die door een rechter worden gevorderd, maar waarvan de “policy” stelt dat ze niet buiten een beperkte kring worden verspreid. Zal dat leiden tot juridische twisten? Vast wel. Ten slotte stelt Callas dat mobiele telefoons nu al gebruikt worden om kwalitatief hoogstaande foto’s te nemen van computerschermen, een fenomeen dat volgens hem alleen nog toe zal nemen als drm wordt toegepast op documenten en e-mail.
Een andere kritische stem is die van de Electronic Frontier Foundation (EFF), een Amerikaanse club die vaak rechtszaken voert in het belang van gebruikers. Meestal komt de EFF in actie als de privé-sfeer wordt bedreigd. De EFF heeft in een nota laten weten dat ze drm niet zien zitten. Hun experts stellen dat drm vooronderstellingen maakt over belangrijke concepten die in bepaalde delen van de wereld helemaal niet gelden. Verder stellen de EFF-experts dat drm altijd anti-omzeilingswetgeving noodzakelijk maakt omdat elk systeem zwakheden vertoont, een waarheid die de organisatie staaft met recente kraken van drm-systemen door wetenschappers die prompt vervolgd werden. De EFF is het meest bezorgd om het feit dat drm al te makkelijk kan gebruikt worden om achteraf regels op te leggen waarover aanvankelijk geen consensus bestond. Hoewel veel van de kritiek van de organisatie betrekking heeft op consumenten-drm zoals muziek- en dvd-filmbeveiliging, zijn even veel aangevoerde argumenten van toepassing op bedrijfsapplicaties. Als we Callas mogen geloven, zal het zo’n vaart niet eens kunnen lopen. De PGP-kopman denkt namelijk dat drm heel snel zal afgevoerd worden als één van de grote vergissingen van onze tijd.