ESEMPIO

 

La versione iniziale del TC prevedeva che il chip Fritz supervisionasse il processo di avvio, in modo che il pc sarebbe stato avviato in uno stato conforme con hardware e software conosciuti.

La versione corrente vede Fritz come un componente passivo che memorizza il numero univoco (id) della macchina calcolato allo start up. Questo numero unico viene calcolato in funzione delle chiavi di sicurezza degli elementi hardware (scheda audio, scheda video, etc) e software (sistema operativo, driver, etc) installati nel pc. Se la macchina termina l'avvio in uno stato approvato, Fritz abilita il pc all'accesso ai dati e alle applicazioni TC. Se, invece, termina in uno stato non conforme allora Fritz nega l'accesso. La macchina sarà ancora in grado di eseguire applicazioni non TC ed accedere a dati non TC ma il materiale protetto resterà inaccessibile.

Il funzionamento del sistema TCPA/Palladium può essere suddiviso in passi successivi.

  1. Durante la fase di start up il pc calcola il proprio id in funzione delle chiavi di sicurezza degli elementi hardware e software installati al proprio interno.

  2. L'id calcolato dal computer viene inviato al chip Fritz.

  3. Fritz confronta l'id ricevuto con l'id memorizzato.

  4. Fritz abilita la macchina all'accesso ai dati e alle applicazioni TC se i valori confrontati sono uguali (il pc è in uno stato sicuro), altrimenti l'accesso viene negato (il pc è in uno stato non sicuro).

 

Osservazione 1

Se si sostituiscono gli elementi hardware TC presenti nel pc all’atto dell’acquisto con nuovi elementi TC l’identificativo calcolato all’avvio risulterà essere sempre diverso dall’identificativo memorizzato nel chip Fritz.

Per ovviare a ciò il calcolatore deve essere dotato di un nuovo identificativo mediante l'esecuzione di una procedura che può essere suddivisa come segue.

  1. Si stabilisce una connessione tra il server di sicurezza Microsoft ed il pc.

  2. Il server valuta i nuovi elementi hardware TC presenti all'interno del pc.

  3. Il server genera un nuovo id per il computer in funzione dei dispostivi hardware valutati.

Il nuovo id viene memorizzato dal chip Fritz e calcolato dal pc ad ogni successivo avvio.

Si esegue la medesima procedura anche nel caso in cui una periferica TC dovesse smettere di funzionare.

 

Esecuzione di un'applicazione TCPA/Palladium

Posto di aver avviato il pc in uno stato sicuro, è possibile supporre di voler eseguire un'applicazione TC. Per eseguire un programma fidato occorre la corrispondente chiave privata la quale è nota esclusivamente a Microsoft. Pertanto occorre stabilire un collegamento tra il pc ed il server. Anche in questo frangente è possibile suddividere la procedura in step successivi.

  1. Il pc si collega al server di sicurezza di Microsoft.

  2. Il server di sicurezza verifica che il pc sia stato avviato in uno stato sicuro accedendo alla cassaforte virtuale mediante l'impiego del Trusted Agent. Il Trusted Agent si avvale del meccanismo di Attestation.

Se il pc non è in uno stato sicuro il collegamento viene interrotto. Altrimenti:

  1. Il pc invia al server la chiave pubblica corrispondente al proprio hardware congiuntamente alla chiave pubblica relativa al software che si intende eseguire.

  2. Il server trasmette al pc la somma tra le chiavi private corrispondenti alle chiavi pubbliche ricevute.

  3. Il pc ricava la chiave privata dell'applicazione TC eseguendo la differenza tra la somma ricevuta dal server e la chiave privata corrispondente al proprio hardware.

E' ora possibile eseguire l'applicazione fidata.

 

Osservazione 2

La protezione del software è ottenuta collocando la chiave pubblica di sicurezza in settori del supporto ottico (cd/dvd) su cui il software risiede non accessibili ai normali masterizzatori.

Va detto che i supporti ottici professionali adoperati dalle software house per distribuire le proprie applicazioni sono ben diversi da quelli generici destinati al mercato consumer e reperibili presso qualsiasi negozio di informatica: i cd/dvd generici, a differenza di quelli professionali, contengono delle informazioni relative al produttore in alcuni settori collocati all'inizio del disco.

La chiave pubblica di sicurezza è scritta proprio in quei settori del disco che nei supporti generici sono occupati dalle informazioni relative al produttore e che pertanto non risultano essere registrabili.

Non è possibile pensare di aggirare la procedura che permette al pc di ottenere dal server di sicurezza Microsoft la chiave privata relativa all'applicazione che si intende eseguire modificando l'architettura di una piattaforma TCPA/Palladium mediante l'introduzione di mod chip. Tali dispositivi non saranno mai licenziati da Microsoft e pertanto non risulteranno essere utilizzabili da computer TCPA/Palladium.

Il discorso precedentemente illustrato vale solo per il software (o qualunque altro bene digitale protetto da diritti d'autore) TCPA/Palladium che è riconosciuto come tale all'atto dell'esecuzione mediante la valutazione di un identificatore.

Le piattaforme TCPA/Palladium potranno accedere senza alcun problema al materiale non protetto da diritti d'autore che risiede su cd e dvd masterizzati dall'utente.

Il sistema TCPA/Palladium assesterà un duro colpo al mercato della pirateria. Si pone però il problema riguardo l'impossibilità da parte dell'utente di fare copie di backu up funzionanti del proprio software. Relativamente a ciò sono attualmente allo studio presso microsoft possibili soluzioni al problema.

 

Osservazione 3

Le procedure precedentemente descritte che si eseguono nell'economia di un sistema TCPA/Palladium risultano essere sicure per le seguenti ragioni.

  1. Il valore id memorizzato all'interno di Fritz è unico e differisce da un calcolatore all'altro.

  2. Le chiavi private relative ai componenti hardware di un pc sono uniche e variano da un calcolatore all’altro.

  3. Id memorizzato nel chip Fritz e chiavi private relative ai componenti hardware del pc non sono mai rivelate all'utente.

 

Scenario

Ad esempio Fritz potrà eseguire un protocollo di autenticazione con Microsoft per garantire che la macchina è un “contenitore” sicuro per Media Player: ciò significa che l'NCA dell'applicazione TC deve essere correttamente caricato e difeso dalla memoria separata contro debugger ed altri strumenti che potrebbero essere adoperati per copiarlo illegalmente. Il server spedirà una chiave che Fritz utilizzerà per eseguire Media Player. Fritz renderà disponibile la chiave solo all'applicazione autorizzata e solo fino a quando l'ambiente resti trusworthy (fidato). Per questo motivo lo stato di trustworthy è definito in base alle politiche di sicurezza scaricate dal server sotto il controllo del proprietario dell'applicazione. Ad esempio il software TC potrebbe essere soggetto a delle restrizioni quali limitazioni relativamente all'hardware su cui è possibile eseguire un programma TC.