你可以相信你的电脑吗?
理查德·斯托曼 著您的电脑应该听从谁的命令?大部份的人认为他们的电脑应该服从他们,而不是其他人。通过一项称为“可信赖计算”的计划,大型的媒体公司(包括电影和录制公司)以及诸如Microsoft和Intel这样的电脑公司,正打算要使您的电脑服从他们而不是您。(这项方案的Microsoft版本称为守护神:Palladium。)专有程序以前就已经包括了一些恶意功能,而这项计划将会使其普遍化。
专有软件在本质上即表示:您无法控制它要做些什么;您不能研究其源代码或是更改它。聪明的商人找出一些方法利用他们对程序的控制来使您处于劣势并不让人感到惊讶。Microsoft已经做过许多次了:有一个版本的Windows会把您硬盘上的所有软件汇报给Microsoft;一个最近的Windows Media Player“安全”升级要求用户同意新的限制条款。但并非只有Microsoft一家这样:KaZaa音乐分享软件使KaZaa的商业伙伴可以将您电脑的使用权出租给他们的客户。这些恶意功能通常是隐密的,但是就算您发现了,也很难将它们移除,因为您并没有源代码。
在过去,这些都是孤立的事件。“可信赖计算”将可能使它变得普遍。“背叛计算”是一个更合适的名称,因为该计划是用来确保您的电脑将会有系统地不服从您。事实上,它的设计是用来使您的电脑无法作为一台通用的计算机来用。每一项操作都会需要明确的许可才行。
支持背叛计算的技术想法是:电脑会带有一个数字加密以及签名装置,而其密钥对您保密。专有程序将会使用该装置来控制您可以执行哪些程序、您可以访问哪些文档或数据以及将数据或文档传递给哪些程序。这些程序将会持续地经由互联网下载新的授权规则,并且自动地将这些规则强加到您的工作之上。如果您不允许您的电脑定期地从互联网取得新规则,那么有些功能将会自动地停止工作。
当然,好莱坞以及录制公司打算将背叛计算应用到数字限制管理(DRM)上,这样一来下载的视频和音乐就只能够在一台指定的电脑上播放。分享将是完全不可能的事,至少使用您从那些公司获得的授权文件是这样的。您,也就是公众,应当同时拥有自由和能力来分享这些事物。(我期望有人能找到一个制作没有加密版本的方法,并且上传和分享它,这样,DRM将不能彻底成功,但是这也不是该系统合理化的借口。
使分享变得不可能已经够糟糕的了,但还有更糟的。他们还计划在电子邮件和文档上使用同样的措施—让电子邮件在两个星期内消失,或者是只能在一个公司内的电脑上阅读文档。
设想如果您从老板那里收到一封电子邮件,要求您去做一件您认为有风险的事;一个月后,风险爆发了,您却无法使用那封电子邮件来展示决定并不是您作出的。当命令是以会消失的墨水撰写时,“白纸黑字地写下来”并不足以保护您。
设想如果您从老板那里收到一封电子邮件,陈述了一个违反了法律或道德的政策,像是将公司的审核文件丢进碎纸机,或是允许一个对国家有严重威胁的事情不受检查地继续进行。今天,您可以将这类事情发送给新闻记者并曝光该活动。但是有了背叛计算之后,记者将无法阅读这份文档,她的电脑将会拒绝服从她。背叛计算将变成腐败的天堂。
诸如Microsoft Word的这样的文档处理工具,可以在储存文档时使用背叛计算,以确保与之竞争的文档处理工具无法阅读这些文档。今天我们必须下大力气来试图了解Word格式的秘密,以制作出可以阅读Word文档的自由文档处理工具。如果Word在储存文档时使用背叛计算,自由软件社区将没有机会开发出可以阅读这些文档的软件—即便我们办得到,这样的程序甚至也会被千禧数字版权法案所禁止。
使用背叛计算的程序会持续地从互联网下载新的授权规则,并且将这些规则自动地强加到您的工作之上。如果Microsoft或是美国政府不喜欢您在某份文档中所说的事,他们可以发出新指令,告诉所有的电脑拒绝让任何人阅读那份文档。每台电脑在下载了新指令后都将遵守该指令。您的著述将会有如小说《一九八四》1中所描述的那样,被追溯既往而有效删去。您有可能自己都无法再阅读它。
您也许会想,您可以研究背叛计算的程序所做的卑鄙事,研究使用它们会付出什么代价,然后再决定是否使用它们。即使您搞懂了,接受它们也是愚蠢的,但是您甚至无法期望该交易可以保持长久。一旦您变得依赖于这些程序,您就被套牢了,而且他们清楚得很;然后他们就可以变更该交易。这些应用程序将会自动升级,而且将变得不同—他们可不会给您是否要升级的选择。
今天您可以不去使用专有软件来避免被它们限制。如果您使用GNU/Linux或是其他自由操作系统,并且如果您避免安装专有应用程序,那么您就掌握了您电脑的所作所为。如果一个自由程序有恶意功能,社区的程序员将会把它除去,然后您就可以使用修正过的版本。您也可以在非自由的操作系统上运行自由的应用程序和工具;虽然这样不足以给您完全的自由,但是有许多用户都在这么做。
背叛计算将自由操作系统和自由应用程序的存续置于危险的境地,因为您或许将根本无法执行它们。一些版本的背叛计算会要求操作系统由指定公司明确授权。自由的操作系统可能将无法安装。一些版本的背叛计算会要求每个程序都要被操作系统的开发者明确授权。您无法在这样的操作系统上运行自由的应用程序。如果您真的了解了如何对付,并且告诉了他人,而那可能是犯罪。
有一些美国的法律提议要求所有的电脑都支持背叛计算,并且禁止将旧电脑连接到互联网。CBDTPA(我们称之为消费就好,不要试著编写程序法案)2就是其中之一。但是即使他们并没有在法律上强制您切换到背叛计算,迫使你接受的压力还是巨大的。今天人们经常使用Word格式的文档来交流,虽然这会造成许多问题。(请见“我们可以终结使用Word附件”)。如果只有背叛计算的机器可以阅读最新的Word文档,许多人将会切换到它,如果他们对此的认识只是个人行为(或者用或者不用)。为了抵制背叛计算,我们必须团结在一起,做出我们集体的选择。
关于背叛计算的更多信息,请见“可信计算”的常见问题。
要阻挡背叛计算将会需要大量的公民组织起来。我们需要您的帮助!请支持缺陷性设计,它是FSF旗下的反对数字限制管理的活动。
后记
计算机安全领域使用“可信计算”这一术语时有不同用法—请了解其两种用法的迷惑性。
GNU工程发布有GNU Privacy Guard(GPG)程序,它是一个实现了公开密钥加密以及数字签名技术的程序,您可以用它来发送安全私密的电子邮件。了解一下GPG与背叛计算的不同是有用的,这样可以看清一个是帮助人的而另一个对人们是如此危险。
当某人使用GPG发送给您一份加密文档,并且您使用GPG来解密,结果是一份您可以阅读、转发、复制甚至再次加密并安全地发送给其他人的解密文档。一个背叛计算应用程序可能会让您在屏幕上阅读这些文字,但是不会让您制作出一份可以用其他方式使用的解密文档。GPG这个自由软件包,让安全功能为用户所用;他们使用它。背叛计算则是设计来限制其用户;它利用他们。
背叛计算的支持者关注于谈论其好处。他们讲的通常是正确的,但是并不重要。
像大多数硬件一样,背叛计算的硬件能够用于无害的目的。但是这些功能使用其他方法也能够实现,并不需要背叛计算的硬件。这中间的差异就是背叛计算带给用户恶劣的后果:它为你的计算机装备背叛你的功能。
他们说的是真的,我说的也是真的。放在一起,你得到什么?背叛计算就是剥夺我们自由的计划,同时用一些微不足道的好处来分散我们对所失去的自由的注意力。
Microsoft提供守护神作为一种安全手段,并且宣称它将能够防病毒,但是证据显示这项宣称是错误的。由Microsoft Research在2002年10月所作的演示曾经描述了守护神的一项规格是:现有的操作系统及其应用程序还会继续运行;那么,病毒软件也能够继续地做它们今天能做的所有事情。
当Microsoft的员工在谈论与守护神相关的“安全”时,他们指的并不是我们通常用来表示的安全的意思:保护您的机器免受您不想要的事物的侵扰。他们指的是保护在您机器上的数据拷贝不被您以他人不希望的方式进行访问。演示中的一张幻灯片列出了数个守护神保守的秘密类型,包括“第三方秘密”和“用户秘密”—但是它将“用户秘密”打了引号,似乎意识到在守护神的框架里这个有点荒谬。
演示中频繁地使用当我们谈到安全时经常会使用到的其他字眼,像是“攻击”、“恶意代码”、“欺骗”以及“可信赖的”。它们之中没有一个指的是我们通常用来表示的意思。“攻击”并不是指某人试图要伤害您,而是指您试图要复制音乐;“恶意代码”指的是由您自己所安装的代码,而这代码会做有人不希望您去做的事;“欺骗”并不是指某人欺骗了您,而指的是您玩弄了守护神。以及其他。
守护神开发者前面的声明阐述了这样的假设:谁开发或收集了信息,谁就应该对您如何使用该信息具有完全的控制权。这是对过去的伦理和法律体系观念的一种革命性的推翻,并且创造了一种前所未见的控制体系。该系统的特定问题并非出于偶然;它们来自基本目标。而这个目标正是我们必须拒绝的。
在 2015 年,发布拷贝的主要方法还是通过互联网,尤其是通过网络。现在,向世界强加 DRM 的公司想要通过向服务器请求拷贝的程序实施 DRM。这意味着他们要控制你的浏览器乃至你的操作系统。他们的方法是 “远程认证”——这是一种你的电脑向服务器 “认证” 自己在运行何种软件的应用,而且你无法伪装。需要认证的程序包括浏览器(证明它带有 DRM 并且你无法导出非加密数据)、内核(证明它没有给当前浏览器打补丁)、启动软件(证明它没有给当前内核打补丁)以及其他保证这些公司安全使用 DRM 对你进行统治的软件。
在这种邪恶帝国中,你唯一可以减少其有效权力的方法就是隐藏或伪装自己行动。换句话说,你需要对这些帝国秘密警察说谎。“远程认证” 就是一个企图,它让你的电脑向这些公司的服务器坦白:我是自由的。
到2015年,背叛计算在个人电脑上以“可信平台模块”的形式被实现;然而,由于实际操作的原因,TPM作为提供远程验证数字限制管理的平台被证明全面失败。因此,许多公司使用其他方法实现DRM。目前,“可信平台模块”完全没有用于DRM,而且有理由认为它不可能用于DRM。具有讽刺意义的是,这意味着“可信平台模块”目前的唯一用处是它无害的次要功能—例如,用它来验证有没有人暗中修改了电脑的系统。
所以,我们得出的结论是在 2015 年电脑的 “可信平台模块” 并不危险,而且没有直接的理由不安装或者不在系统软件中支持它。
这并不意味着一切太平。还有其他阻止电脑所有者更改电脑软件的硬件系统,它们用在ARM电脑以及移动电话、汽车、TV等设备的处理器中,而且这些系统正如我们所想的那样起着完全的坏作用。
这也不意味着远程验证是无害的。如果一旦有设备实现了这个功能,那将是用户自由的致命性威胁。现在 “可信平台模块” 无害只是因为它没能成功做到远程验证。我们无法假定将来所有的此类尝试都会失败。
在 2022 年,TPM2,一个新的 “可信平台模块 Module”,真的支持远程验证和 DRM。我在 2002 提出的警告现在已经变成可怕的现实。
远程验证实际已经被“Google SafetyNet”(目前是“Play Integrity API”的一个组成部分)使用,它用来验证在一个”监听“手机中运行的 Android 操作系统是否为 Google 官方版本。
这一恶意功能已经使 GrapheneOS 无法运行某些银行应用。GrapheneOS 是一款修改过的 Android 版本,它去除了某些,不是全部,官方 Android 通常会带有的非自由软件。
而自由版的 Android,比如 Replicant,显然也会遇到同样的困难。如果你看重自由而安装了 Replicant,那么你可能也会拒绝在电脑中运行任何非自由应用(银行或其他)。Google 嗅探用户是否安装修改版操作系统和独断用户如何使用手机的行为,毋庸置疑也是不公正的。