Klik hier om Silverlight te installeren*
Nederland|Sitemap
Microsoft
|Windows Media wereldwijd

Fix voor de Freeme-software

Informatie over de fix voor Freeme.exe voor eigenaars van inhoud en serviceproviders

Situatie
Microsoft heeft de Freeme-software (die op 19 oktober 2001 op de registratiewebsite is geplaatst) onderzocht en heeft ontdekt dat de Digital Rights Management (DRM)-beveiliging van inhoud die is beveiligd door Microsoft Windows Media Digital Rights Management versie 7 (ook 7.1), kan worden gekraakt door de Freeme-software. Dit heeft echter geen gevolgen voor de privacy van de persoonlijke gegevens op de computers van de consumenten die deze inhoud hebben aangeschaft of er een licentie voor hebben aangeschaft. Alleen de inhoud die is beveiligd met Windows Media Rights Manager versie 7 Software Development Kit (SDK), niet versie 1, kan worden gekraakt.

Microsoft heeft ook ontdekt dat alleen geldige licenties kunnen worden gekraakt. U kunt de beveiliging van inhoud die niet aan een gebruiker is verkocht of onder licentie is verstrekt, niet omzeilen omdat voor inhoud die is beveiligd met Microsoft Windows Media DRM, de licentie afzonderlijk door de gebruiker wordt aangeschaft.

Microsoft neemt elke DRM-kraak serieus. Het beveiligen van onze producten tegen hackers is en blijft een van onze belangrijkste prioriteiten. Aangezien elk DRM-systeem in potentie kan worden gekraakt, heeft Microsoft het Windows Media DRM-systeem zo ontworpen dat het dynamisch kan worden bijgewerkt mocht de beveiliging worden geschonden. Voor dit bijwerkmechanisme, dat beveiligingsvernieuwing wordt genoemd, is geen nieuwe versie van de Windows Media Player of de Windows Media Format Software Development Kit nodig.

Microsoft heeft de fix voor de Freeme-software beschikbaar gesteld en heeft een extra beveiliging ingebouwd waardoor het voor nieuwe aanvallers moeilijker wordt gebruik te maken van reeds gepubliceerde informatie.


Overzicht van de fix
De oplossing voor deze inbruik op Windows Media DRM is vernieuwing. Hierbij wordt de gekraakte component van de Windows Media-beveiliging, en dan vooral de inhoudsmodule (of de zwarte doos) die door de DRM-subsystemen wordt beveiligd, vervangen door een nieuwe en beter beveiligde component. Voor de consument betekent dit dat hij/zij de beveiligingscomponenten moet bijwerken voordat veilige inhoud die van een eigenaar of distributeur van inhoud is gedownload, kan worden afgespeeld. Deze procedure is echter zo ontworpen dat er geen herkenbare persoonlijke gegevens of informatie over het gebruik van de inhoud door de consument worden mee verzonden.

Het probleem met de Freeme-software wordt als volgt opgelost:
  • Nieuwe inhoud wordt gecodeerd of reeds gecodeerde inhoud wordt opnieuw gecodeerd waardoor een vernieuwde beveiligingscomponent nodig is.
  • Licentieservers worden bijgewerkt om het vernieuwinsgsproces te starten en licenties voor de vernieuwde componenten te verstrekken.
  • De beveiligingscomponent in de Media Player wordt vernieuwd wanneer gebruikers beveiligde inhoud ophalen.

Voor het uitvoeren van deze update voor het Windows Media DRM-systeem moeten de volgende drie stappen worden uitgevoerd:
  1. De inhoudsheader bijwerken. Wanneer nieuwe inhoud wordt gecodeerd of bestaande inhoud opnieuw wordt gecodeerd, moet de versie-id van de beveiligingscomponent (ook wel het 'versienummer van de individualisering' genoemd) aan de inhoudsheader worden toegevoegd of worden bijgewerkt om een update van de beveiligingscomponent te starten.
  2. Licentieserver bijwerken. Het certificaat van de licentieserver moet worden bijgewerkt aangezien de licentieserver anders geen licenties voor de nieuwe beveiligingscomponenten kan uitgeven.
  3. Vernieuwing starten. De beveiligingscomponent moet worden bijgewerkt wanneer een client een verzoek naar een licentieserver stuurt.

Terug naar het begin van deze pagina Terug naar boven

Details van de implementatie:
De volgende stappen moeten worden uitgevoerd om de dreiging van de Freeme-software te kunnen uitschakelen. De eerste stap, het bijwerken van de header, mag worden uitgevoerd door eigenaars van inhoud of door licentieverstrekkers, maar de tweede en derde stap moeten door licentieverstrekkers worden uitgevoerd. Eigenaars van inhoud wordt aangeraden al hun inhoud opnieuw te verpakken met de beste beveiligingscomponent (versienummer 2.2) zodat de inhoud optimaal wordt beveiligd.

1. De inhoudsheader bijwerken
Deze procedure wordt uitgevoerd door bedrijven die inhoud verpakken. In deze stap wordt een kenmerk toegevoegd of wordt een kenmerk gewijzigd als 'individualisering' reeds in de header van het beveiligde Windows Media-bestand wordt gebruikt. Dit is NIET hetzelfde als het opnieuw coderen van inhoud.

De header moet aan de hand van de volgende instructies worden bijgewerkt:
Stel in de header van de beveiligde inhoud de eigenschap WMRMHeader.IndividualizedVersion in op 2.2. Deze eigenschap WMRMHeader.IndividualizedVersion geeft de laagste versie van de Windows Media DRM-beveiligingscomponent aan die nodig is om deze inhoud af te spelen. Als deze eigenschap wordt ingesteld op 2.2, roept de client het DRM-subsysteem aan en controleert of de juiste versie van de beveiligingscomponent aanwezig is. Als het subsysteem een geïndividualiseerde beveiligingscomponent met versienummer 2.2 heeft, kan de licentieserver een licentie uitgeven die is gekoppeld aan de openbare sleutel van de nieuwe beveiligingscomponent.

2. De licentieserver(s) bijwerken
Iedere licentieverstrekker moet de configuratie van zijn licentieserver bijwerken om er zeker van te zijn dat:
  • Geen licenties worden verstrekt aan gebruikers die de gekraakte beveiligingscomponent op hun pc hebben staan.
  • Licenties kunnen worden verstrekt aan gebruikers die de beveiligingscomponent op hun pc hebben bijgewerkt.

De configuratie kan als volgt worden bijgewerkt:
  1. Vanaf het systeem waarop de licentieserver wordt uitgevoerd. Ga naar http://licenseserver.windowsmedia.com/.
  2. Klik op de koppeling om de nieuwste gegevens van de licentieserver te downloaden op deze pagina. Hiermee werkt u de configuratie van de licentieserver automatisch bij.

De configuratie van licentieservers kan ook handmatig worden bijgewerkt:
  1. Maak een nieuwe registersleutel met de naam 2.2.0.1 onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys.

  2. Stel de waarde van deze nieuwe registersleutel in op "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fw=="

  3. Wijzig de waarde van de registersleutel 2.1.0.0 onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys in "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy=="

  4. Wijzig de waarde van de registersleutel 2.1.0.1 onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys in "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy=="

OPMERKING: hiermee zorgt u ervoor dat de licentieserver geen licenties aan oude beveiligingscomponenten kan verstrekken. .

OPMERKING: als de licentieserver niet wordt bijgewerkt (met de bovenstaande stappen) en een bijgewerkte client (een client die is bijgewerkt met de nieuwe beveiligingscomponent) een verzoek richt aan de licentieserver, genereert de licentieserver een fout voor de client. Het is belangrijk de licentieserver bij te werken of te laten bijwerken om er zeker van te zijn dat bijgewerkte clients licenties kunnen ontvangen.

3. Bijwerken van de nieuwe beveiligingscomponent op de server starten
Met deze stap wordt de licentieserver bijgewerkt, zodat deze het versienummer kan detecteren van de DRM-beveiligingscomponent die de licentie aanvraagt, waarna deze naar een webpagina met upgrades wordt geleid als het versienummer van de beveiligingscomponent lager is dan 2.2.0.1.

Wanneer een mediaspeler een licentie voor het afspelen van inhoud nodig heeft, wordt de benodigde informatie over de hardware naar de licentieserver gestuurd. Hierbij worden geen identificeerbare persoonlijke gegevens of gegevens over het gebruik van de inhoud door de consument verstuurd. Deze informatie bevat de eigenschap ClientAttribute (WMRMChallenge.ClientAttribute) genaamd SECURITYVERSION. Deze eigenschap bevat de beveiligingsversie van de DRM-beveiligingscomponent. Als de waarde van het kenmerk SECURITYVERSION lager is dan 2.2.0.1, moet de licentieserver de client naar een webpagina leiden die door Microsoft wordt gehost ( http://go.microsoft.com/fwlink/?LinkId=30255). Via deze webpagina kan de DRM-beveiligingscomponent op het systeem van de gebruikers worden bijgewerkt.

Opmerking: zelfs als de licentie van de beveiligde inhoud stilzwijgend wordt afgeleverd, worden de consumenten die de licenties aanvragen gewaarschuwd dat zij een nieuwe beveiligingscomponent nodig hebben en hun toestemming nodig is om de nieuwe beveiligingscomponent te installeren.

Opmerking: een voorbeeldscript voor het bijwerken van inhoud met het versienummer van de nieuwe individualisering en het uitvoeren van een upgrade van de inhoudslicentie van v1 naar v7.1 vindt u in de WMRM SDK v7.1.

Back to the top of this page Terug naar boven

Ervaringen van gebruikers
Als het versienummer van de beveiliging dat in de inhoudsheader is opgegeven, hoger is dan het versienummer van de beveiliging van de beveiligde inhoudsmodule op het systeem, wordt de gebruiker door de licentieserver naar de Microsoft-individualiseringservice geleid waar het DRM-subsysteem met de nieuwe beveiligingscomponent kan worden bijgewerkt. Als de gebruiker Windows Media Player gebruikt, verschijnt het volgende individualiseringsvenster waarin de gebruiker de keuze heeft de upgrade wel of niet uit te voeren.

Freefix

Als de gebruiker op Meer informatie klikt, wordt de volgende webpagina geopend  http://go.microsoft.com/fwlink/?LinkId=31951 waar hij of zij meer kan lezen over het privacybeleid van Microsoft.
  • Als de gebruiker de upgrade niet uitvoert, kan hij/zij geen nieuwe inhoud ophalen of afspelen waarvoor de hogere beveiligingsversie nodig is.
  • Als de gebruiker de upgrade wel uitvoert, wordt een nieuwe beveiligde inhoudsmodule (met de fix van ongeveer 110K groot) naar het systeem van de gebruiker gedownload. De licentieserver kan vervolgens een licentie uitgeven die is gekoppeld aan de openbare sleutel van de zojuist gedownloade beveiligde inhoudsmodule.

Terug naar het begin van deze pagina Terug naar boven

Aanbevolen procedures
Behalve de hier beschreven procedures worden de volgende procedures aanbevolen die in de Software Development Kit van Windows Media Rights Manager worden beschreven, in het bijzonder:
  1. Codeer elk gedeelte met media-inhoud met een eigen unieke sleutel.
  2. Wijzig de seed regelmatig.
  3. Geef alleen Windows Media DRM v7.1-licenties uit.
  4. Gebruik dynamische headering voor inhoud om inhoud in het vervolg snel te kunnen bijwerken.

Terug naar het begin van deze pagina Terug naar boven


 

©2009 Microsoft Corporation. Alle rechten voorbehouden. Contact opnemen |Gebruiksvoorwaarden |Handelsmerken |Privacyverklaring
Microsoft