Значит так. Есть такой расхожий сюжет: жадные корпорации придумали защиту, а злые хакеры её взломали. Красиво, драматично, и конечно-же неправда. С защитой DVD всё было ровно наоборот: её похоронили не хакеры, а собственное правительство США, причём заранее, на этапе чертежа. А голливудские студии это знали и всё равно несколько лет строили на этом бизнес.
У меня, кстати, дома до сих пор валяется стопка дисков с нулевых. Играются через VLC без проблем. А в 1999-м эти же диски, купленные за честные деньги, на Linux у меня бы не запустились, потому что так решили дяди в пиджаках. Вставил диск — получи отлуп. А хочешь посмотреть своё? Покупай Windows или специальную железку. Очень, очень клиентоориентированно.
Вот про эту прекрасную историю и поговорим.
CSS, который не каскадные стили
Когда DVD только выкатывали, студии сказали производителям, что без защиты — никак. Они ещё помнили VHS-пиратство и до икоты боялись формата, с которого снимается идеальная цифровая копия. Так появился CSS — Content Scramble System. Идея на словах нормальная: контент зашифрован, расшифровать умеет только лицензированный плеер с зашитым в него ключом. Нет ключа — нет кино.
Звучит как план. Ровно до того момента, пока не вспомнишь одну деталь.
Деталь, которая всё похоронила заранее
В 96-м, когда CSS проектировали, в США действовал экспортный режим на криптографию. Если совсем грубо: всё, что использовало ключи длиннее 40 бит, вывозить это за границу было нельзя.
А DVD изначально задумывали глобальным форматом. Матрицы прессуют в Штатах, плееры расходятся по всей планете — значит, защита обязана пройти экспортный контроль. Значит, ключ должен быть не длиннее 40 бит. Без вариантов вообще.
Но дело в том, что 40-битные ключи к тому моменту уже считались несерьёзной защитой, и это не было секретом ни для кого в индустрии. Для сравнения: куда более стойкий по тем меркам алгоритм DES с 56-битным ключом публично взломали в 97-м, меньше чем за сутки распределённых вычислений. CSS был принципиально слабее. То есть ещё на этапе проектирования, в 96-м, все участники прекрасно понимали: они строят замок, который рано или поздно откроется.
Вдумайтесь в абсурд: Голливуд по сути подписался под защитой, чью слабость ему гарантировало собственное правительство. А потом несколько лет в неё верил и строил на ней бизнес-модель.
Позже независимые исследователи показали, что на практике реальная стойкость CSS была ещё ниже даже формальной планки — то, что должно было хоть как-то сопротивляться, на домашнем компьютере конца 90-х рассыпалось за считанные секунды. Математику этого разбирали в открытых академических работах ещё в 1999-м.
Как это, собственно, всплыло
Дальше почти неизбежность. Если защита слабая, рано или поздно кто-нибудь это заметит. И знаете, все-таки заметили.
Летом 99-го выяснилось, что один из лицензированных плееров под Windows хранит свой секретный ключ фактически в открытом виде — его и доставать-то особо не пришлось. А раз наружу попал хотя бы один кусочек системы, дальше посыпалось всё остальное: к осени стало ясно, что вся схема разбирается на коленке.
Тут на сцену выходит группа энтузиастов под названием MoRE — Masters of Reverse Engineering. И деталь, которую тогдашняя пресса дружно профукала: будущий «DVD Jon», тот самый норвежский школьник, в одиночку ничего не ломал и сам это всегда говорил прямым текстом. Работа была коллективной, причём двое из ключевых участников вообще остались анонимами по сей день. Его личный вклад был приземлённее: он собрал из всего этого программу с интерфейсом, чтобы кино под Linux наконец запускалось в пару кликов. Эта программа — ушла в сеть в начале октября 99-го.
Парню было пятнадцать. И прозвище прилипло к нему навсегда — хотя по-честному его стоило бы делить как минимум на троих.
Обыск, суды и код на майках
26 января 2000-го к Йохансену домой пришла норвежская полиция — отдел по экономическим и экологическим преступлениям (да, у них это в одной конторе, не спрашивайте). Поводом была жалоба американских DVD-CCA и MPAA. Вдумайтесь в саму конструкцию: американцы попросили норвежскую полицию прессовать норвежского подростка за то, что он сделал так, чтобы DVD игрались на Linux. Компьютеры изъяли, дело завели — несанкционированный доступ к закрытым данным, до двух лет.
Параллельно в Штатах разворачивалось своё представление. Студии засудили журнал 2600 (точнее, его издателя) за публикацию исходника программы. Потому что DMCA образца 98-го года криминализировал не только копирование защищённого контента, но и распространение инструментов для обхода. Используешь ты их для пиратства или нет — закону, в общем-то, плевать.
Суд велел 2600 снять ссылки. Те сняли прямые и поставили ссылки на сайты, где код лежит. Суд велел снять и эти. И тут интернет отреагировал единственным понятным ему способом: код расплодился по тысячам зеркал, его перевели в простые числа, написали хокку на Perl, напечатали на майках, набили татуировками. Дошло до того, что небольшую фирму, продававшую эти майки, на полном серьёзе вписали в число ответчиков по иску. То есть индустрия буквально судилась с продавцом футболок — потому что на футболке был напечатан текст программы. Я когда первый раз про это прочитал, подумал что это шутка. Оказалось нет.
Принстон, и как угрожали профессору
Пока шёл цирк с майками, рядом тлела история посерьёзнее — про академическую свободу.
В 2001-м Эдвард Фельтен, профессор информатики из Принстона, собрался выступить на конференции с разбором другой DRM-системы — защиты для цифровой музыки под названием SDMI. Самое смешное: SDMI сама объявила публичный конкурс «сломайте нашу систему» и пообещала награду. Команда Фельтена справилась. Написала статью. И получила от RIAA письмо: опубликуете — встретимся в суде по DMCA.
Статью он сначала снял. Потом всё-таки опубликовал — после того как за него вписался EFF. Но осадочек показательный: в 2001 году музыкальная индустрия США угрожала уголовкой профессору Принстона за научную работу по криптографии.
Чем закончилось для Йохансена
Январь 2003-го: суд первой инстанции оправдывает Йохансена по всем пунктам. Логика приговора простая и, на мой взгляд, абсолютно здравая — нет доказательств, что кто-то использовал программу незаконно, а смотреть купленный диск на собственном компьютере ты имеешь полное право. Хоть на Linux, хоть на чём.
Прокуратура, естественно, подала апелляцию. Декабрь 2003-го: апелляция оправдание подтверждает. Йохансену к тому моменту уже двадцать. Три года уголовного преследования.
Осуждения MPAA так и не дождалась. Зато получила в норвежском праве прецедент ровно обратного смысла: возможность смотреть легально купленный контент на своём железе — не преступление.
VLC и тихий такой финал
В 2001-м появился VLC — изначально вообще студенческий проект из École Centrale Paris. Вскоре он научился воспроизводить DVD и стал стандартным плеером под Linux и macOS. Соответствующие библиотеки по сей день живут в экосистеме медиаплееров и встроены в обычный софт на десятках миллионов машин. Правовой статус всего этого в США так и остался спорным — DMCA-то никуда не делся, — но на практике это уже мало на что влияло. Воспроизведение просто перестало быть проблемой, тихо и буднично.
И неприятная мысль для индустрии. Каждый следующий формат пошёл по той же дорожке. HD DVD, Blu-ray с AACS — всё в итоге легло, причём AACS использует уже по-настоящему стойкую современную криптографию, которую «в лоб» не возьмёшь. Не помогло всё равно. Потому что есть фундаментальная штука, которую называют проблемой конечного узла: чтобы показать тебе кино, контент в какой-то момент обязан быть расшифрован — а значит, оказаться внутри устройства, которое в конечном счёте контролируешь ты, а не студия.
Так работает DRM или нет
Аргумент индустрии я, в общем, понимаю и не считаю совсем уж дурацким. DRM держит массу. 99% людей не полезут ни в какие дебри, они просто купят диск, и ладно.
Но пиратская версия всё равно появлялась к релизу, иногда раньше. А вот легальному пользователю DRM жизнь ломала исправно: не давала смотреть на своём устройстве, привязывала к экосистеме, подставляла под иски исследователей и целые журналы. Человек, купивший DVD, не мог посмотреть его на Linux, а человек, скачавший пиратку, мог. Защита работала ровно против тех, кто заплатил. Гениально, чё.
И в этом вся история CSS как притча. Защиту обрекли заранее собственное экспортное законодательство. А когда обречённость стала очевидна всем, индустрия занялась не криптографией, а судами: против пользователей, учёных и журналов. Против продавца футболок, в конце концов.
Йохансену сейчас за сорок. Дело закрыто двадцать с лишним лет назад. А диски с моей полки всё так же спокойно играются на тех пк где есть место для диска, но теперь это делает не какой-то хакерский инструмент, а стандартный плеер на каждом втором маке. И вот это мне во всей истории нравится больше всего: миллионы долларов и годы лоббирования в итоге проиграли простому факту, что нельзя одновременно и показать человеку кино, и не дать ему до этого кино добраться.
ссылка на оригинал статьи https://habr.com/ru/articles/1041916/