Szóval a helyzet a következő. Van egy elterjedt sztori: a kapzsi nagyvállalatok kitaláltak egy védelmet, a gonosz hackerek pedig feltörték. Szép, drámai, és persze egyáltalán nem igaz.
A DVD-k védelmével a dolog pont fordítva történt: nem a hackerek temették el, hanem maga az amerikai kormány, ráadásul jó előre, már a tervezőasztalon. A hollywoodi stúdiók pedig ezt tudták, de mégis éveken át erre építették az üzletüket.
Nekem amúgy a mai napig porosodik otthon egy rakás lemezem a kétezres évekből. VLC-vel gond nélkül le lehet játszani őket. De 1999-ben ugyanezek a becsületesen megvásárolt lemezek nálam Linuxon el sem indultak volna, mert az öltönyös bácsik így döntöttek. Berakod a lemezt – és a gép elzavar a fenébe. Szeretnéd megnézni, ami a tiéd? Vegyél Windowst vagy egy speciális hardvert. Nagyon, de nagyon ügyfélközpontú hozzáállás.
Na, erről a csodás történetről fogunk most beszélni.
CSS, de most nem a webes stíluslapok
Amikor a DVD-ket épp csak elkezdték bevezetni, a stúdiók megmondták a gyártóknak, hogy védelem nélkül szó sem lehet az egészről. Még élénken élt bennük a VHS-kalózkodás emléke, és halálosan rettegtek egy olyan formátumtól, amiről tökéletes digitális másolatot lehet készíteni. Így született meg a CSS – a Content Scramble System. Az ötlet papíron tök jól hangzott: a tartalom titkosítva van, és csak az a licencelt lejátszó tudja dekódolni, amibe gyárilag belekódolták a kulcsot. Nincs kulcs – nincs film.
Jól hangzik, mint egy igazi mesterterv. Egészen addig a pillanatig, amíg eszedbe nem jut egy apró részlet.
A részlet, ami jó előre eltemetett mindent
1996-ban, amikor a CSS-t tervezték, az Egyesült Államokban szigorú exportszabályozás vonatkozott a kriptográfiára. Nagyon leegyszerűsítve: semmit, ami 40 bitnél hosszabb kulcsot használt, nem lehetett kivinni az országból.
A DVD-t viszont eleve globális formátumnak szánták. A lemezeket az Államokban nyomták, a lejátszók pedig szétszéledtek a bolygón – vagyis a védelemnek át kellett mennie az exportellenőrzésen. Tehát a kulcs nem lehetett 40 bitnél hosszabb. Egyszerűen nem volt más opció.
A bökkenő csak az, hogy a 40 bites kulcsok akkoriban már komolytalan védelemnek számítottak, és ez az iparágban senki előtt nem volt titok. Csak az összehasonlítás kedvéért: a kor mércéjével mérve sokkal erősebb, 56 bites kulcsot használó DES algoritmust 1997-ben nyilvánosan, kevesebb mint egy nap alatt törték fel megosztott számítási kapacitással. A CSS ennél alapvetően gyengébb volt. Vagyis már a tervezési fázisban, 1996-ban is minden résztvevő pontosan tudta: egy olyan lakatot terveznek, ami előbb-utóbb kinyílik.
Gondolj bele ebbe az abszurditásba: Hollywood lényegében rábólintott egy olyan védelemre, aminek a gyengeségét a saját kormánya garantálta számukra. Aztán éveken át hittek benne, és erre építették fel az üzleti modelljüket.
Később független kutatók bebizonyították, hogy a gyakorlatban a CSS tényleges ellenállóképessége még a hivatalos szintnél is alacsonyabb volt – az, aminek legalább valamennyire ellen kellett volna állnia, a 90-es évek végi otthoni számítógépeken másodpercek alatt darabokra hullott. Ennek a matematikáját már 1999-ben nyílt akadémiai cikkekben is kivesézték.
Hogyan is bukott ki ez az egész?
A folytatás szinte elkerülhetetlen volt. Ha a védelem gyenge, előbb-utóbb valaki észreveszi. És képzeld, észre is vették.
1999 nyarán kiderült, hogy az egyik licencelt, Windowsra írt lejátszó a titkos kulcsát lényegében nyílt formában tárolja – szinte ki sem kellett bányászni. És miután a rendszer legalább egyetlen darabkája napvilágra került, a többi is omlott vele együtt: őszre világossá vált, hogy az egész sémát percek alatt, amatőr módszerekkel is szét lehet kapni.
Itt lép színre egy lelkes csapat, a MoRE – Masters of Reverse Engineering. És egy részlet, amit az akkori sajtó egyöntetűen elszúrt: a leendő „DVD Jon”, a híres norvég srác egyedül semmit sem tört fel, és ezt ő maga is mindig kerek perec elmondta. Ez egy kollektív munka volt, ráadásul a kulcsszereplők közül ketten a mai napig teljesen névtelenek maradtak. Jon személyes hozzájárulása sokkal földhözragadtabb volt: ebből az egészből összepakolt egy grafikus felülettel rendelkező programot, hogy a filmek Linux alatt is végre pár kattintással elinduljanak. Ez a program 1999 októberének elején került fel a netre.
A srác mindössze tizenöt éves volt. A becenév mégis örökre ráragadt – bár őszintén szólva a dicsőséget legalább háromfelé kellett volna osztani.
Házkutatás, perek és forráskód a pólókon
2000. január 26-án Johansenék otthonába kiszállt a norvég rendőrség – a gazdasági és környezetvédelmi bűncselekményekkel foglalkozó osztály (igen, náluk ez egy osztályon van, ne is kérdezd). Az apropó az amerikai DVD-CCA és az MPAA panasza volt. Gondolj bele magába a felállásba: az amerikaiak megkérték a norvég rendőrséget, hogy szorongassanak meg egy norvég tinédzsert, amiért az elérte, hogy a DVD-k Linuxon is lejátsszhatók legyenek. A gépeket lefoglalták, eljárást indítottak – zárt adatokhoz való jogosulatlan hozzáférés, ami akár két évig terjedő börtönbüntetéssel is járhat.
Ezzel párhuzamosan az Államokban is zajlott egy külön műsor. A stúdiók beperelték a 2600 nevű magazint (pontosabban a kiadóját), mert közzétették a program forráskódját. Ugyanis az 1998-as DMCA törvény nemcsak a védett tartalom másolását tette bűncselekménnyé, hanem a megkerülést szolgáló eszközök terjesztését is. Hogy ezeket kalózkodásra használod-e vagy sem – az a törvényt őszintén szólva cseppet sem érdekli.
A bíróság elrendelte, hogy a 2600 távolítsa el a linkeket. Ők levették a közvetlen linkeket, és olyan oldalakra mutató hivatkozásokat raktak ki, ahol a kód megtalálható volt. A bíróság ezeket is leszedette. Ekkor az internet az egyetlen számára érthető módon reagált: a kód több ezer tüköroldalon szaporodott el, átalakították prímszámokká, írtak belőle egy haikut Perl nyelven, pólókra nyomtatták, tetoválásként varratták magukra. A dolog odáig fajult, hogy egy kis céget, amelyik ezeket a pólókat árulta, teljesen komolyan bevontak a perbe alperesként. Vagyis az iparág szó szerint egy pólóárussal pereskedett – mert a pólón ott virított a program szövege. Amikor ezt először olvastam, azt hittem, ez valami vicc. Kiderült, hogy nem az.
Princeton, és ahogy egy professzort fenyegettek
Miközben ment a cirkusz a pólókkal, a háttérben egy komolyabb történet is parázslott – ami az akadémiai szabadságról szólt.
2001-ben Edward Felten, a Princeton informatika professzora arra készült, hogy egy konferencián ízekre szed egy másik DRM-rendszert – az SDMI nevű, digitális zenékhez készült védelmet. A legviccesebb az egészben: az SDMI maga hirdetett meg egy nyilvános „törd fel a rendszerünket” versenyt, amiért jutalmat is ígértek. Felten csapata megbirkózott a feladattal. Írtak is egy tanulmányt. Majd kaptak egy levelet a RIAA-tól (Amerikai Hanglemezgyártók Szövetsége): ha publikálják, találkoznak a bíróságon a DMCA miatt.
A cikket először visszavonta. Aztán végül mégis publikálta – miután az EFF jogvédő szerszervezet beállt mögé. De a dolog üzenete elég beszédes: 2001-ben az amerikai zeneipar börtönnel fenyegetett egy princetoni professzort egy kriptográfiai tudományos munkáért.
Hogy végződött Johansen ügye?
2003 januárja: az elsőfokú bíróság minden vádpont alól felmenti Johansent. Az ítélet logikája pofonegyszerű és véleményem szerint teljesen józan: nincs rá bizonyíték, hogy bárki is illegálisan használta volna a programot, a megvásárolt lemezedet pedig a saját gépeden a te teljes jogod megnézni. Legyen az Linux vagy bármi más.
Az ügyészség természetesen fellebbezett. 2003 decembere: a másodfokú bíróság helybenhagyja a felmentést. Johansen ekkor már húszéves. Három év büntetőeljárás a semmiért.
Az MPAA végül nem érte meg, hogy elítéljék. Cserébe viszont teremtett egy pontosan ellentétes értelmű precedenst a norvég jogban: a legálisan megvásárolt tartalmak saját hardveren történő megtekintése nem bűncselekmény.
A VLC és a csendes végkifejlet
2001-ben megjelent a VLC – ami eredetileg egy párizsi egyetem diákprojektjeként indult. Hamarosan megtanulta lejátszani a DVD-ket, és a Linux, valamint a macOS alapértelmezett lejátszójává vált. A vonatkozó könyvtárak a mai napig élnek a médialejátszók ökoszisztémájában, és tízmillió gépen vannak beépítve a mindennapi szoftverekbe. Mindezt az Államokban továbbra is vitatott jogi státusz övezi – a DMCA ugyanis nem tűnt el –, de a gyakorlatban ez már nem sok vizet zavart. A lejátszás egyszerűen megszűnt problémának lenni, csendben és hétköznapi módon.
És itt egy kellemetlen gondolat az iparág számára. Minden rákövetkező formátum ugyanezen az úton indult el. A HD DVD, a Blu-ray az AACS-sel – végül mindegyik elvérzett, pedig az AACS már egy igazi, erős, modern kriptográfiát használ, amit nem lehet „erőből” feltörni. Mégsem segített semmit. Ugyanis létezik egy alapvető dolog, amit a végpont problémájának hívnak: ahhoz, hogy megnézhess egy filmet, a tartalmat egy bizonyos ponton muszáj dekódolni – ami azt jelenti, hogy be kell kerülnie egy olyan eszközbe, amit végső soron te irányítasz, és nem a stúdió.
Akkor most működik a DRM vagy sem?
Az iparág érvelését amúgy alapvetően megértem, és nem is tartom teljesen hülyeségnek. A DRM megfogja a tömegeket. Az emberek 99%-a nem mászik bele semmilyen sűrűjébe, egyszerűen megveszik a lemezt, és kész.
De a kalózverzió a megjelenéskor (sőt, néha már előtte) úgyis mindig felbukkant. A legális felhasználó életét viszont a DRM üzembiztosan megkeserítette: nem engedte, hogy a saját eszközén nézze a filmet, rákényszerítette egy adott ökoszisztémára, és pereket akasztott kutatók, sőt teljes magazinok nyakába. Az az ember, aki megvette a DVD-t, nem tudta megnézni Linuxon, aki viszont letöltötte a kalózverziót, az igen. A védelem pont azok ellen dolgozott, akik fizettek érte. Zseniális, nem?
És ebben rejlik a CSS történetének egész tanulsága. A védelmet a saját kormánya exportszabályozása már jó előre bukásra ítélte. Amikor pedig a bukás mindenki számára nyilvánvalóvá vált, az iparág nem a kriptográfiával kezdett el foglalkozni, hanem a perekkel: a felhasználók, a tudósok és a magazinok ellen. A végén már egy pólóárus ellen is.
Johansen ma már negyven felett jár. Az ügyet több mint húsz éve lezárták. A polcomon lévő lemezek pedig továbbra is gond nélkül lejátszhatók azokon a gépeken, ahol még van meghajtó, de ezt már nem valami hackereszköz végzi, hanem egy alap lejátszó minden második Mac-en. És az egész történetben ez tetszik a legjobban: a dollármilliók és a többéves lobbizás végül alulmaradt azzal az egyszerű ténnyel szemben, hogy nem lehet egyszerre megmutatni a filmet az embernek, és közben megakadályozni, hogy hozzáférjen.
