Kliknij tutaj, aby zainstalować program Silverlight*
PolskaZmień|Wszystkie witryny firmy Microsoft
Microsoft
|Windows Media - na świecie

Poprawka dla oprogramowania Freeme

Oświadczenie na temat poprawki dla programu Freeme.exe przeznaczone dla właścicieli zawartości i usługodawców

Sytuacja
Firma Microsoft zbadała oprogramowanie Freeme.exe udostępnione 19 października 2001 w witrynie rejestracyjnej i sprawdziła, że w przypadku użytkowników, którzy zakupili zawartość lub uzyskali licencję na zawartość chronioną za pomocą platformy Zarządzanie prawami cyfrowymi (DRM) w pakiecie Windows Media w wersji 7 (w tym 7.1), oprogramowanie Freeme może zostać zastosowane do naruszenia ochrony zawartości realizowanej przez platformę Zarządzanie prawami cyfrowymi (DRM). Należy zauważyć, że takie naruszenie zabezpieczeń nie stanowi zagrożenia poufności osobistych informacji użytkowników na komputerze. To naruszenie zabezpieczeń dotyczy tylko zawartości chronionej za pomocą zestawu Windows Media Rights Manager SDK w wersji 7. Nie dotyczy to wersji 1.

Firma Microsoft sprawdziła także, że to naruszenie zabezpieczeń może wystąpić po uzyskaniu prawidłowej licencji, więc nie można ominąć zabezpieczeń zawartości, dla której nie wystawiono licencji lub która nie została zakupiona przez użytkownika, ponieważ jeśli zawartość jest chroniona za pomocą platformy Microsoft Windows Media DRM, użytkownicy pobierają licencje niezależnie od zawartości.

Firma Microsoft traktuje wszelkie naruszenia zabezpieczeń DRM bardzo poważnie. Zapewnienie bezpieczeństwa naszych produktów przed hakerami pozostaje naszym głównym priorytetem — teraz, jak i w przyszłości. Ponieważ platforma DRM może zostać potencjalnie naruszona, firma Microsoft zaprojektowała platformę Windows Media DRM z myślą o obsłudze aktualizacji dynamicznych w przypadku wystąpienia naruszenia zabezpieczeń podobnego do opisywanego tutaj. Ten mechanizm aktualizacji, określany mianem odnawiania zabezpieczeń, nie wymaga nowej wersji programu Windows Media Player ani zestawu Windows Media Format SDK.

Firma Microsoft opublikowała poprawkę dla oprogramowania Freeme oraz dodała zabezpieczenia, aby utrudnić przyszłym osobom atakującym wykorzystanie opublikowanych informacji.


Podsumowanie poprawki
Rozwiązaniem tego problemu dotyczącego naruszenia zabezpieczeń platformy Windows Media DRM jest odnowienie, czyli proces zastąpienia naruszonego składnika zabezpieczeń Windows Media, a konkretnie modułu zawartości chronionej podsystemów DRM (zwanego czarną skrzynką), nowym, bezpiecznym składnikiem. Z punktu widzenia klienta oznacza to konieczność zaktualizowania składników zabezpieczeń, aby uzyskać możliwość odtwarzania bezpiecznej zawartości pobranej od właściciela lub dystrybutora zawartości. ­Proces ten został zaprojektowany tak, aby nie były wysyłane informacje identyfikujące dane osobowe użytkownika lub dotyczące wykorzystania zawartości.

Poprawka dla oprogramowania Freeme wymaga wykonania następujących czynności:
  • przygotowanie pakietu nowej zawartości lub ponowne przygotowanie pakietu już zaszyfrowanej zawartości w celu uzyskania odnowionego składnika zabezpieczeń;
  • zaktualizowanie serwerów licencji w celu wyzwolenia procesów odnawiania i udostępniania licencji odnowionym składnikom;
  • odnowienie składnika zabezpieczeń w programie Media Player, gdy użytkownik pobiera chronioną zawartość.

Aby wykonać tę aktualizację systemu Windows Media DRM, należy wykonać trzy poniższe kroki:
  1. Zaktualizowanie nagłówka zawartości — Podczas pakowania nowej zawartości lub rozpakowywania istniejącej zawartości należy dodać lub zmodyfikować identyfikator wersji składnika zabezpieczeń (w terminologii technicznej nazywany „numerem wersji indywidualizacji”) w nagłówku zawartości, aby wyzwolić aktualizację składnika zabezpieczeń.
  2. Zaktualizowanie serwera licencji — Należy zaktualizować certyfikat na serwerze licencji, aby serwer licencji wystawiał licencje nowym składnikom zabezpieczeń.
  3. Wyzwalanie procesu odnawiania — Należy wyzwolić aktualizację składnika zabezpieczeń, gdy klient wyśle żądanie do serwera licencji.

Powrót do początku tej strony Powrót do początku

Szczegóły implementacji:
Poniższe czynności należy bezwzględnie wykonać w celu zneutralizowania skutków naruszenia zabezpieczeń za pośrednictwem oprogramowania Freeme. Właściciele zawartości oraz wystawcy licencji mogą wykonać pierwszy krok aktualizacji nagłówka zawartości, natomiast wystawcy licencji muszą wykonać drugi i trzeci krok. Zdecydowanie zaleca się, aby właściciele zawartości ponownie przygotowali pakiet z całej zawartości za pomocą najnowszej wersji (2.2) składnika zabezpieczeń, aby zapewnić ochronę swojej zawartości.

1. Aktualizowanie nagłówka zawartości
Ta procedura jest wykonywana przez organizacje, które przygotowują pakiety zawartości. W tym kroku strona przygotowująca pakiet dodaje zmienia atrybut, gdy do nagłówka chronionego pliku Windows Media zastosowano już „indywidualizację”. Należy pamiętać, że ta czynność NIE jest jednoznaczna z ponownym zaszyfrowaniem zawartości.

Aby zaktualizować nagłówek, należy wykonać poniższe instrukcje:
Ustaw parametr WMRMHeader.IndividualizedVersion na wartość „2.2” w nagłówku chronionej zawartości. Właściwość WMRMHeader.IndividualizedVersion oznacza najniższą wersję składnika zabezpieczeń platformy Windows Media DRM wymaganego do odtwarzania tej zawartości. Jeśli ta parametr tej właściwości jest ustawiony na wartość 2.2, klient odwoła się do podsystemu DRM, aby sprawdzić, czy posiada prawidłową wersję składnika zabezpieczeń. Jeśli podsystem posiada zindywidualizowany składnik zabezpieczeń z numerem wersji 2.2, to serwer licencji może wystawić licencję związaną z kluczem publicznym nowego składnika zabezpieczeń.

2. Aktualizowanie serwerów licencji
Każdy wystawca licencji musi zaktualizować swoją konfigurację serwera licencji w celu spełnienia następujących warunków:
  • Niewystawianie licencji użytkownikom, na których komputerach został naruszony składnik zabezpieczeń
  • Możliwość wystawienia licencji użytkownikom, którzy zaktualizowali składnik zabezpieczeń na swoich komputerach

Konfigurację można zaktualizować w następujący sposób:
  1. Na komputerze, na którym uruchomiony jest serwer licencji, przejdź do witryny: http://licenseserver.windowsmedia.com/
  2. Kliknij łącze Pobierz najnowsze informacje dotyczące serwera licencji na tej stronie, aby automatycznie zaktualizować konfigurację serwera licencji.

Konfigurację serwera licencji można także zaktualizować ręcznie w następujący sposób:
  1. Utwórz nowy klucz rejestru o nazwie „2.2.0.1” w lokalizacji HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys

  2. Ustaw wartość nowego klucza na „WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fw==

  3. Zmień wartość „2.1.0.0” klucza rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys na „WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==”

  4. Zmień wartość „2.1.0.1” klucza rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys na „WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy==”

UWAGA: ta zmiana spowoduje, że serwer licencji nie będzie wystawiał licencji starszym składnikom zabezpieczeń.

UWAGA: jeśli serwer licencji nie zostanie zaktualizowany (tak jak to opisano powyżej) i zaktualizowany klient (klient z nowym składnikiem zabezpieczeń) prześle żądanie do serwera licencji, działanie serwera licencji nie powiedzie się i serwer prześle komunikat o błędzie do klienta. Ważne jest, aby zaktualizować serwer licencji w celu umożliwienia pobierania licencji przez zaktualizowane programy klienckie.

3. Wyzwalanie aktualizacji nowego składnika zabezpieczeń po stronie serwera
W tym kroku serwer licencji jest aktualizowany tak, aby mógł on wykrywać numer wersji składnika zabezpieczeń platformy DRM, który wysyła żądania licencji i przekierowywać go do strony sieci Web uaktualnienia, jeśli wersja składnika zabezpieczeń jest niższa niż „2.2.0.1”.

Gdy program Media Player żąda licencji dla zawartości, wysyła informacje o sprzęcie do serwera licencji. Nie są przesyłane informacje umożliwiające identyfikację ani informacje dotyczące korzystania z zawartości. Informacje te zawierają właściwość ClientAttribute (WMRMChallenge.ClientAttribute) o nazwie SECURITYVERSION. Ta właściwość określa wersję zabezpieczeń składnika zabezpieczeń platformy DRM. Jeśli wartość atrybutu SECURITYVERSION jest niższa niż „2.2.0.1”, serwer licencji powinien przekierować klienta do strony sieci Web obsługiwanej przez firmę Microsoft ( http://drmlicense.one.microsoft.com/Indivsite/indivit2.htm), za pomocą której zostanie zaktualizowany składnik zabezpieczeń platformy DRM na komputerze użytkownika.

Uwaga: Nawet jeśli chroniona zawartość wyśle żądanie dostarczenia licencji w trybie dyskretnym, użytkownik pobierający licencje zostanie powiadomiony o nowym składniku zabezpieczeń i będzie musiał wyrazić zgodę na jego zainstalowanie.

Uwaga: Przykładowy skrypt aktualizujący zawartość za pomocą nowego numeru wersji indywidualizacji i uaktualniający licencję zawartości z wersji 1 do wersji 7.1 jest dostępny w zestawie WMRM SDK w wersji 7.1.

Powrót do początku tej strony Powrót do początku

Czynności wykonywane przez użytkownika
Jeśli numer wersji zabezpieczeń określony w nagłówku zawartości jest wyższy niż numer wersji zabezpieczeń w module chronionej zawartości na komputerze, serwer licencji przekieruje użytkownika do usługi indywidualizacji firmy Microsoft w celu zaktualizowania podsystemu platformy DRM za pomocą nowego składnika zabezpieczeń. Jeśli użytkownik korzysta z programu Windows Media Player, zostanie wyświetlone poniższe okno dialogowe indywidualizacji. Użytkownik będzie mieć możliwość dokonania uaktualnienia lub rezygnacji z niego.

Poprawka dla oprogramowania Freeme

Jeśli użytkownik kliknie przycisk Dowiedz się więcej..., zostanie przekierowany do strony sieci Web:  http://www.microsoft.com/windows/windowsmedia/software/v8/privacy.asp, gdzie będzie mógł uzyskać więcej informacji na temat zasad zachowania poufności informacji w firmie Microsoft.
  • Jeśli użytkownik zrezygnuje z uaktualnienia, nie będzie mógł pobierać lub odtwarzać nowej zawartości wymagającej wyższej wersji zabezpieczeń.
  • Jeśli użytkownik dokona uaktualnienia, usługa indywidualizacji pobierze nowy moduł chronionej zawartości (zawierający poprawkę o rozmiarze około 110 kB) na komputer użytkownika. Serwer licencji będzie mógł wtedy wystawić licencję powiązaną z kluczem publicznym nowo pobranego modułu chronionej zawartości.

Powrót do początku tej strony Powrót do początku

Najważniejsze wskazówki
Oprócz procedur opisanych powyżej zaleca się także zastosowanie najważniejszych wskazówek opisanych w zestawie Windows Media Rights Manager SDK. Szczególnie zaleca się:
  1. Szyfrowanie każdego elementu zawartości multimedialnej jego własnym unikatowym kluczem.
  2. Okresowe zmienianie wartości inicjującej.
  3. Wystawianie wyłącznie licencji Windows Media DRM w wersji 7.1.
  4. Korzystanie z dynamicznych nagłówków zawartości, aby umożliwić szybką aktualizację zawartości w przyszłości.

Powrót do początku tej strony Powrót do początku


  

Microsoft