DRM für unterwegs

Meist beschränkt sich die Diskussion über Digital Rights Management auf seine Anwendung bei Standard-PCs. In Zukunft dürfte es jedoch auch in Embedded Systems und mobilen Geräten eine Rolle spielen.

Für Standard-PCs haben unter anderem Intel, Microsoft, Infineon, Sony, Apple und HP Digital Rights Management (DRM) Systeme entwickelt; Microsofts Windows Media DRM (www.microsoft.com/windows/windowsmedia/drm) und Apples iTunes sind zwei bekannte Beispiele. Jedoch sind rund 98 Prozent aller heute verkauften Prozessoren in so genannten Embedded Systems (eingebettete Systeme) eingebaut. Sie stecken in Mobiltelefonen, PDAs, Spielkonsolen, Fahrzeugnavigationssystemen, Videorecordern oder Waschmaschinen. All diese Geräte unterliegen einschränkenden Randbedingungen wie möglichst geringem Platz-, Energie- und Speicherverbrauch.

Trotzdem bieten heute schon viele eingebettete Systeme verschiedene Kommunikationsschnittstellen an. Das ermöglicht neue Anwendungen, bei denen DRM eine bedeutende Rolle spielen wird. Beispiele sind der Vertrieb von Multimedia-Dateien (Klingeltöne, Spiele und so weiter) im Mobilfunk oder aktuelle, ortsbezogene Informationen und Online-Routenberechnungen in der Fahrzeugnavigation.

Ein DRM-System (DRMS) für eingebettete Systeme folgt denselben Grundsätzen wie eines für Standard-PCs. Allerdings muss es besondere Anforderungen erfüllen, die wiederum Auswirkungen auf seine Funktionsweise haben. Im Folgenden geht es daher zuerst kurz um die Grundlagen von DRM zusammen mit dem damit eng verbundenen Trusted Computing (TC), bevor die Besonderheiten, Lösungen und einige Beispielanwendungen für den Embedded-Bereich aufgezeigt werden.

DRM-Systeme ermöglichen dem Anbieter digitaler Inhalte die Wahrung seiner Rechte. Sie bieten ihm und dem Kunden damit gleichzeitig eine Vielzahl neuer Geschäftsmodelle, die über die übliche Pauschalvergütung hinausgehen. Neben dem Kopierschutz verfügt DRM über eine fein abgestufte Festlegung von Rechten zur Wiedergabe, Weitergabe und Veränderung digitaler Inhalte. Damit erlaubt es eine faire Abrechnung (zum Beispiel nur die Bezahlung des genutzten Kartenmaterials) ohne die bisher üblichen pauschalen Zwangsabgaben beispielsweise an die Gema. Leider verlangen aber die meisten Anbieter heute überhöhte Preise. Dabei handelt es sich nicht um einen Mangel des DRM-Systems, sondern um seinen Missbrauch.

Hard- und Software vor Manipulationen schützen

Im Wesentlichen besteht jedes DRMS aus drei Komponenten: dem Server für die Inhalte, dem Lizenzserver und einer Clientanwendung (siehe Abbildung). Während der Inhalteserver die zu vermarktenden Daten des Anbieters mit kryptographischen Methoden schützt, erstellt der Lizenzserver die für den Zugriff notwendige Lizenz samt detaillierter Beschreibung der Nutzungsrechte. Der Client wiederum ermöglicht dem Anwender, die Inhalte entsprechend diesen Rechten zu verwenden. Da private Anwender auf ihrem Rechner jedoch sämtliche Hard- und Software (einschließlich Betriebssystem) beliebig manipulieren können, vermögen Clients bisher die durch eine Lizenz bestimmten Nutzungsrechte nicht durchzusetzen.

Um beispielsweise interne kryptographische Schlüssel zu sichern, muss die Clientanwendung Dienste des Betriebssystems verwenden. Da sie dessen Vertrauenswürdigkeit nicht zweifelsfrei ermitteln kann, ist der Anwender stets in der Lage, die Lizenzbestimmungen durch Manipulation der OS-Schnittstellen zu unterlaufen. Erst der Einsatz eines nicht manipulierbaren Hardwarebausteins erlaubt es den ihn verwendenden Betriebssystemen und Anwendungen, Korrektheit und Integrität zu garantieren. Dazu muss der Chip sich gegenüber entsprechenden Anfragen zuverlässig, vertrauenswürdig und jederzeit verifizierbar verhalten.

Die Erstellung vertrauenswürdiger Betriebssysteme und Anwendungen ermöglicht das so genannte Trusted-Computing-Konzept (TC), das mit zusätzlicher vertrauenswürdiger Hardware ein Computersystem nachweislich sicher und vertrauenswürdig machen kann. Ausführliche Beschreibungen zum Thema DRM und TC gibt es bei IBM (siehe Kasten DRM im Web auf der letzten Seite des Artikels).

In eingebetteten Systemen ergeben sich für DRM teilweise deutliche Einschränkungen und besondere Anforderungen. Die Open Mobile Alliance (OMA) hat mit dem OMA-DRM einen offenen Standard für ein interoperables DRMS für mobile Geräte jeglicher Art ausgearbeitet, sodass die Endgeräte nicht auf proprietäre Implementierungen angewiesen sind. Bei Embedded Systems gilt es, weitere Rahmenbedingungen zu beachten.

Standard für mobiles DRM

Dazu gehören die Einschränkungen bei Rechenleistung und Speicher: Der zusätzliche Programmcode muss möglichst klein ausfallen. Durch die DRM-Verfahren dürfen zudem keine spürbaren Verzögerungen im Programmablauf entstehen. Die Erfahrung der Autoren zeigt, dass die notwendigen kryptographischen Verfahren sogar auf heutigen 8-Bit-Prozessoren effizient laufen.

Endgeräte sollen wegen des DRMS nicht wesentlich mehr kosten. Daher dürfte in vielen Fällen keine vollständige TC-Implementierung zum Einsatz kommen, sondern ein Kompromiss aus Hard- und Software. Heute meist verwendete reine Softwareumsetzungen bieten konstruktionsbedingt oft nur kurzzeitig Schutz. Beispiele dafür sind Microsofts Reader für Ebooks [1] und der Kopierschutz von iTunes-Stücken [2] sowie von Windows-Mediadateien: Für diese gibt es bereits Umgehungstechniken.

Lizenz- und Inhalteserver arbeiten zusammen, um der Clientanwendung Inhalte mit Nutzungsrechten zugänglich zu machen.

Während PC-Benutzer ergonomische Ein- und Ausgabegeräte (Großbildschirm, Standardtastatur, Maus, et cetera) verwenden, müssen Anwender mobiler Geräte über Schnittstellen kommunizieren, die nur in begrenztem Maße ergonomisch sind (10er-Tastatur, Kleinbildschirm, Drehknopf). Ein DRMS muss für mobile Geräte mit möglichst wenig Benutzerinteraktion agieren können und zudem über angepasste Zusatzschnittstellen verfügen (zum Beispiel Sprachsteuerung).

Schwerpunkt auf Zuverlässigkeit

Ein besonderes Augenmerk gilt der Zuverlässigkeit, da die meisten eingebetteten und mobilen Geräte in der Regel keine automatisierte Softwareaktualisierung erlauben (manche Mobiltelefone lassen sich nur von ausgewählten Händlern updaten). Auf der anderen Seite muss sichergestellt sein, dass erworbene Lizenzen im Fall eines Geräteverlusts oder -schadens nicht verloren gehen. Beim Einsatz besonderer Chips sind sie den physischen Gegebenheiten anzupassen. Da viele eingebettete Geräte über Jahre hinweg laufen (etwa in Kraftfahrzeugen), muss das System weitgehend wartungsfrei sein und lange halten.

Bisher sind erste Realisierungen von DRMS im Embedded-Bereich vor allem in portablen MP3-Spielern oder Mobiltelefonen zu finden. Diese verwenden vornehmlich die beiden proprietären Implementierungen von Microsoft (Windows Media DRM 10 for Portable Devices) und Apple (Apple Fairplay), um Musikdateien, Klingeltöne oder Java-Spiele zu schützen. Obwohl solche Systeme schon die präzise Vergabe von Nutzungsrechten erlauben und die Hersteller in Bezug auf die Sicherheit nachgearbeitet haben, weisen sie konzeptionelle Schwächen auf, die eine Umgehung des DRMS relativ leicht ermöglichen: ein Katz-und-Maus-Spiel zwischen Hersteller und Angreifern.

Neben den im Folgenden vorgestellten Beispielen verspricht die Zukunft zahlreiche andere Anwendungen für DRMS in eingebetteten Systemen, von der nachträglichen Freischaltung von Funktionen über die Aktualisierung von Daten bis hin zur Kontrolle ihrer Nutzung.

Kraftfahrzeuge entwickeln sich mehr und mehr zu mit zahlreichen Steuergeräten ausgerüsteten fahrenden Computern. Die fortschreitende Standardisierung der Hardware geht inzwischen so weit, dass sich oft nur noch die Software der Steuergeräte zwischen den Modellen unterscheidet. Dies trifft insbesondere für LKW zu. Hier laufen in einigen Modellen mechanisch gleichwertige Motoren, deren Leistung allein die Software bestimmt. Dabei möchte der Hersteller verhindern, dass Kunden das günstige Modell unautorisiert aufrüsten, und will vielleicht ein Upgrade der Motorsteuerung als zusätzlichen Service anbieten - soweit die technischen Rahmenbedingungen (etwa die Bremsanlage) dies zulassen. Ein DRMS kann die Interessen des Herstellers und des Fahrzeugführers bezüglich Sicherheit und Zuverlässigkeit schützen, indem es nur autorisierte Änderungen im Steuerungsprogramm zulässt.

Karten nur zwei Wochen nutzen

Mit dem Automobil eng verbundenen sind Navigationshilfen. Üblicherweise wird mit dem Gerät Kartenmaterial zur unbefristeten Nutzung erworben. Durch diese Pauschalnutzung ist das Anbieten zusätzlicher Informationen, etwa Veranstaltungshinweise und Öffnungszeiten, unattraktiv. Zudem sind die Karten oft schon nach kurzer Zeit veraltet, sodass aktualisierte neu zu kaufen sind.

Ein DRMS verhindert hier einerseits die unerlaubte Vervielfältigung des Kartenmaterials und ermöglicht andererseits speziell angepasste Geschäftsmodelle abseits der gängigen Pauschalvergütung. Denkbar ist beispielsweise die kostenlose (Online-)Bereitstellung aktueller, besonders detaillierter Karten, die zunächst geschützt sind und erst gegen Bezahlung jeweils für einen Bereich oder eine Zeitspanne freigeschaltet werden.

So könnte man beispielsweise für die zwei Wochen Sommerurlaub in Italien günstig aktuelles Kartenmaterial verwenden, ohne gleich die komplette Italien-CD pauschal erwerben zu müssen. In diesem Fall können sowohl Anbieter als auch Endverbraucher von einem DRMS profitieren. Zurzeit dürften Nutzer wohl auf aktuelle detaillierte Kartendaten verzichten und den Anbietern damit zusätzliche Einnahmen entgehen.

Im Mobilfunk kann der Einsatz eines DRMS sinnvoll sein, um einerseits die Firmware eines Telefons vor Manipulationen zu sichern, anderseits jedoch die Installation zusätzlicher Software oder wichtiger Updates zu kontrollieren. Anwendern erlaubt Trusted Computing, gegenüber dem Gerätehersteller, dem Provider sowie potenziellen Kommunikationspartnern die Integrität und Vertrauenswürdigkeit ihres Handys nachzuweisen.

Verbindet man den Nachweis der Integrität mit einem Autorisierungsverfahren, lassen sich beispielsweise mobile Bezahldienste sicher realisieren. Darüber hinaus kann das DRMS eines Handys mittels zeitlich oder mengenmäßig limitierter Übergangslizenzen eine einzelne Lizenz auf zusätzliche Geräte ausweiten, die selbst nur über einfachste Schutzmechanismen verfügen. So lässt sich beispielsweise eine am PC erworbene MP3-Datei mit dem Mobiltelefon im eigenen Autoradio oder auf Geräten von Freunden und Bekannten abspielen.

Betriebssystem vor Manipulation schützen

Zusätzlich möchte der Anbieter es dem Endbenutzer weiterhin erlauben, parallel zur Firmware beliebige Handysoftware zu installieren. TC stellt Mechanismen zur Erkennung von Manipulationen am Betriebssystem bereit. Der Mobilfunkanbieter kann sogar durch eine so genannte Remote Software Attestation die Authentizität und Unversehrtheit der installierten Firmware überprüfen.

Damit sich DRM in eingebetteten Geräten durchsetzt, müssen noch einige Hürden fallen. Dazu gehören unter anderem die Standardprobleme von DRMS (siehe Kasten DRM im Web). Außerdem müssen Methoden zur Sicherung der Lizenzen im Falle eines Geräteschadens oder -verlusts vorhanden sein. Auf der anderen Seite kann ein übergreifender Standard für DRM die Portabilitätsprobleme beseitigen. Die OMA ist dafür ein erster Schritt, allerdings müssen die Beteiligten noch auf einen gemeinsamen Weg einschwenken. (ck)

DRM im Web Grundlagen www.research.ibm.com/gsal/tcpa und www.pc.ibm.com/europe/security/de/index.html European Multilaterally Secure Computing Base www.emscb.de DRM-Schwierigkeiten www.heise.de/newsticker/meldung/55122 Ebook-DRM www.heise.de/newsticker/meldung/38396 iTunes-DRM news.com.com/iTunes+hack...5628616.html Media-Player-DRM www.theregister.com/2005/09/02/dvd_jon_mediaplayer

Literatur

[1] Kopierschutz von Microsofts E-Book-Reader ausgehebelt

[1] Apples iTunes-DRM erneut geknackt

Themenforum Organizer/PDAs
Themenforum Smartphones