Книжковий DRM. Як захищають електронні книги і як зламують їх захист

1. Зміст статті Adobe, Amazon, Barnes & Noble. Всі ці компанії докладають масу зусиль для захисту...
2. Adobe PDF Merchant (Acrobat Web Buy)
3. Adobe DRM (EBX)
4. Продовження доступно тільки передплатникам
5. Варіант 2. Купи один матеріал

Зміст статті

Adobe, Amazon, Barnes & Noble. Всі ці компанії докладають масу зусиль для захисту електронних книг від копіювання та розповсюдження в інтернеті. Проте кожного разу знаходяться способи її обійти або зламати. Як працює такий захист, як її зламують і які альтернативні способи примусу до покупки (на противагу крадіжці) використовують компанії замість DRM - про все це поговоримо в сьогоднішній статті.

Електронні книги вирішують багато проблем. Не потрібно рубати дерева, тисячі книг вміщаються на карті пам'яті розміром з ніготь, а електронні читалки доступні будь-яких форм і розмірів, при цьому їх вартість, якщо говорити про американський ринок, порівнянна з вартістю десятка паперових видань. Не дивно, що ще в 2011 році обсяг продажів електронних книг в магазині Amazon в США перевищив обсяг продажів друкованих видань спершу в США, а буквально через рік - і по всьому світу .

Однак в 2015 році ентузіазм покупців пішов на спад , А в 2016-м намітилися просто-таки тривожні тенденції. Спершу сповільнилося зростання продажів електронних видань, а потім і зовсім продажі почали падати. Що трапилося?

Свою роль тут зіграла найпростіша комбінація факторів: вартість електронних видань в великих магазинах (Amazon, Barnes & Noble) майже наздогнала за ціною паперові книги, але обмежень у електронних видань куди більше.

Наприклад, візьмемо Amazon. Що можна зробити з купленої на Amazon паперовою книгою? Та що завгодно. Її можна прочитати, позичити одного, нарешті - подарувати, до або після прочитання. Непотрібні книги можна здати в макулатуру або віддати в бібліотеку, де до них отримає доступ ще скільки-то читачів.

А що можна зробити з купленої на Amazon електронною книгою? Її можна завантажити на авторизоване пристрій (будь-планшет або телефон на Android і iOS або читалку на E Ink, якщо вона Kindle) і прочитати. У деяких випадках книгу можна позичити іншому користувачеві, у якого також є обліковий запис Amazon. Втім, навіть коли подібне дозволено, позичати книги можна нечасто і ненадовго. Ще книгу можна видалити зі своєї бібліотеки. На цьому можливості закінчуються.

Електронні книги прекрасно продавалися п'ять років тому, але на сьогоднішній день продажу «електронкою» у великих магазинів падають, а перспективи електронних продажів вже не виглядають так райдужно. Ціни на «електронку» поступово докарабкалісь до цін на паперові видання, а властиві електронним форматам обмеження ніхто і не подумав зняти. Ситуація дійшла до своєї абсурдності до межі після того, як студенти американських університетів дружно проігнорували електронні підручники: при тому що в електронному вигляді навчальні матеріали можна було купити на 20-30% дешевше паперових, електронний підручник неможливо ні продати в кінці навчального року, ні купити зі знижкою в букіністичному відділі. При ціні підручників, що обчислюється десятками доларів, вартість користування електронними версіями помітно перевищувала вартість володіння «папером».

Що ж заважає студентам, та й простим читачам, ділитися книгами в електронній формі? Три літери: DRM. Терміном Digital Rights Management (DRM) позначають різні види захисту, за допомогою яких правовласники контролюють використання ліцензіатом (вже не покупцем!) Захищеного матеріалу. Для електронних книг в якості DRM найчастіше використовується шифрування, але і тут ситуація далеко не однозначна. Давай подивимося, які саме системи DRM використовуються в світі, а які - у нас в країні.

PDF: прадід цифрових книг

Так, все правильно: одним з перших форматів електронних книг, в якому підтримувався DRM, був Adobe PDF. У компанії «Елкомсофт», в якій працює автор цих рядків, особливо зворушливе ставлення як до формату, так і до компанії Adobe: саме після успішного злому DRM-захисту Adobe PDF розробник Дмитро Скляров опинився в американській в'язниці, а компанія вплуталася в багатомісячну тяганину з Фемідою. Дмитра заарештували під час поїздки в США, де він робив доповідь про особливості захисту і злому PDF, на наступний день після доповіді на виході з готелю (коли він зібрав речі і прямував в аеропорт). І навіть остаточне судове рішення Not guilty - «невинний» - ніяк не компенсував витрати нервів, часу і грошей.

Сьогодні ж нам нічого не загрожує, і особливості захисту формату PDF можна спокійно і безпечно обговорювати на сторінках журналу. Якщо тебе дійсно зацікавить тема шифрування, злому і зняття захисту з PDF-файлів, рекомендую книжку, написану Дмитром Скляровим, - «Мистецтво захисту та злому інформації» (СПб., 2004). За іронією долі, в електронному вигляді книга розповсюджується саме в форматі Adobe PDF. Наступні два розділи засновані на даних з книги.

Adobe PDF Merchant (Acrobat Web Buy)

Чи не пропускай цей розділ! Хоч на сьогоднішній день Adobe PDF Merchant представляє виключно історичний інтерес (втім, як і вся захист Adobe PDF DRM), саме цей формат дозволяє зрозуміти, що собою являє захист DRM в застосуванні до електронних видань. Основні принципи захисту DRM з тих пір мало змінилися; змінилася в основному реалізація.

Підтримка електронних книг з'явилася у вигляді модулями ядра ще в Acrobat Reader 4.05, і першим таким модулем став Acrobat Web Buy. Робота модуля була заснована на тісній взаємодії між клієнтським пристроєм і сервером.

Acrobat Reader 4.05

Що відбувалося під час спроби відкрити захищену книгу? Модуль відправляв запит на сервер DRM, який, власне, і відповідав за управління правами. На сервер передавалася інформація про покупку документа і ідентифікатор обчислювального середовища, з якої робився запит. В якості ідентифікатора можна було використовувати CPUID, серійний номер диска або ідентифікатор облікового запису користувача у відповідній програмі (це важливо, оскільки саме така прив'язка використовується в сучасних схемах захисту).

Сервер, в свою чергу, перевіряв легітимність доступу до документа. Якщо перевірка була успішно пройдена, сервер генерував і відправляв пристрою файл у форматі RMF (Rights Management Format), який представляв собою XML-документ. У цьому файлі зберігався криптографічний ключ для розшифровки PDF, перелік дозволених дій і сертифікат для перевірки ліцензії.

Для перевірки ліцензії використовувалося два ключа RSA довжиною 1024 біт: один з них належав видавцю, а другий використовувався Adobe в якості довіреної сертифікату, за допомогою якого підписувався відкритий ключ видавця.

Крім того, в RMF-файлі обов'язково присутнє хоча б одна умова, яку потрібно для успішного доступу до документа. Таким умовою могла бути прив'язка до облікового запису (ідентифікатор) користувача, CPUID або серійний номер заліза. Крім того, можна було перевірити дату, до настання якої дозволявся доступ до документа. Що цікаво, умови можна було комбінувати за допомогою логічних операцій AND і OR, що дозволяло правовласнику, наприклад, здавати PDF в оренду на певний термін.

Система захисту була побудована таким чином, що створити захищений RMF-файл (а значить - і захищену електронну книгу) без участі Adobe було неможливо (згадаємо про другий ключ RSA). Зате, якщо в наші руки потрапляв RMF-файл, витягти з нього ключ шифрування було легше легкого.

Очевидна помилка в реалізації DRM PDF Merchant в тому, що ключ шифрування передавався клієнтові в готовому вигляді, а перевірка умов була швидше формальністю, якої займалася та чи інша програмна реалізація. Розшифрувати сам документ можна було дуже легко, просто витягнувши ключ з RMF-файлу. Вся захист будувалася на припущенні, що зломщикові буде лінь возитися з захистом. В цілому систему PDF Merchant не можна вважати надійною системою DRM.

Adobe DRM (EBX)

Більш свіжа реалізація від Adobe - захист електронних книг по протоколу Electronic Book Exchange (EBX), який розроблявся організацією EBX Workgroup. Ідея тут в тому, що при активації програми для читання електронних книг генерується пара асиметричних ключів. Відкритий ключ реєструється на сервері, а секретний зберігається на пристрої користувача. При покупці ліцензії читалка отримує так званий ваучер - XML-файл, в якому міститься ключ документа. Цей ключ шифрується за допомогою відкритого ключа користувача. Крім того, в ваучері міститься список прав доступу до документа і інформація для перевірки автентичності ваучера.

У цій схемі для розшифровки електронної книги потрібен був доступ до секретного ключа користувача (у самого користувача доступу до нього не було, тільки сам додаток могло витягти ключ). Причому сам ключ додатково шифрувався за допомогою апаратних ідентифікаторів пристрою, що призводило до втрати ліцензій при зміні пристрою. Для обходу цієї проблеми був передбачений додатковий спосіб доступу до секретного ключа, що не залежить від ідентифікаторів обладнання. Однак при використанні цього способу ідентифікатор можна було досить легко обчислити, після чого секретний ключ користувача можна було відновити і отримати необмежений доступ до всіх купленим книгам.

Надійність і цієї моделі DRM неідеальна. Наскільки нам відомо, в Adobe eBook Reader не було зроблено ніяких значних технічних поліпшень для зниження уразливості DRM.

Продовження доступно тільки передплатникам

Варіант 1. Оформи передплату на «Хакер», щоб читати всі матеріали на сайті

Підписка дозволить тобі протягом зазначеного терміну читати ВСЕ платні матеріали сайту. Ми приймаємо оплату банківськими картами, електронними грошима і перекладами з рахунків мобільних операторів. Детальніше про підписку

Варіант 2. Купи один матеріал

Зацікавила інформація, але немає можливості оплатити підписку? Тоді цей варіант для тебе! Зверни увагу: цей спосіб покупки доступний тільки для матеріалів, опублікованих більше двох місяців тому.