Bevisa copyright
- Trådstartare qxziw
- Start datum
Jag bara tar informationen från de amerikanare jag känner som pysslar med foto/grafik. Kanske någon vet säkert?timlu
Aktiv medlem
Men Canons "Data Verification kit" (som jag antar att Christer refererar till) använder en kryptografisk metod där nyckeln är knuten till hårdvaran. Kan du visa upp en bild med DV-information som stämmer överens med din kamera så kan man utgå från att det med nästan 100% sannolikhet är den kameran som tagit bilden.
raderad12
Aktiv medlem
Ett klassiskt fall av security by obscurity. Läs följande länk ordentligt och tänk, så förstår du meningen jag skriver därefter.
http://www.dashes.com/anil/stuff/doctorow-drm-ms.html
Canon levererar både den krypterade informationen, kryptot och nycklarna, hemligheten är ingen hemlighet längre, den är bara obfuskerad.
Paraleller kan dras till x-box hacket, dvs. de som ville köra Linux på x-box. Det skulle vara omöjligt, att knäcka kryptot skullet ta typ flera tusen år.. Det gick på några månader, av precis ovan nämnda anledningar, de behövde inte ens knäcka det för att komma runt det, microsoft hade ju redan publicerat sin "hemlighet" i varje såld x-box, precis det Canon gör med varje "Data Verification kit".
Det är bara en tidsfråga innan det knäcks, om det inte är gjort redan. Här kommer också en annan "twist" av "security by obscurity", om det inte är allmänt känt att det är knäckt? Då kan man verkligen snacka om falsk säkerhet.
Å eftersom det börjar stiftas lagar runt om i världen som förbjuder en att fullt ut använda egen köpt hårdvara fritt, dvs. förbjuda folk att hacka/använda egen hårdvara såsom det passar en (i usa kunde x-box hackarna hamna i fängelse för att de lyckats installera Linux på x-box). Man får alltså räkna med att det inte blir allmänt känt och därmed lever andra i "fools paradise" och en falsk trygghet.
timlu
Aktiv medlem
Visst går allt som är digitalt att ändra och manipulera men vad DV-kitet gör är att räkna ut en kryptografiskt checksumma (t ex MD5-summa) av informationen i bildfilen. Denna checksumma krypteras (signeras) sedan med en nyckel som är låst till hårdvaran i kameran. Om du ändrar i informationen i bilden så kommer inte checksumman att stämma längre. Även om man räknar ut en ny checksumma så kommer signaturen inte att stämma längre och man kan bevisa att bilden är manipulerad. Dessutom kan man knyta signaturen till en viss hårdvara så man kan också bevisa vilken hårdvara som tagit bilden. Det enda sättet att lura detta system är att göra ändringar som ger exakt samma checksumma eller knäcka krypteringen. Detta är oerhört svårt (läs: med dagens teknik omöjligt).
timlu
Aktiv medlem
Nja, riktigt likadant är det inte. I fallet med X-box:arna så levereras samma nycklar i alla boxar. Canons DV-kit har unika nycklar i alla kit. Du kan mer jämnföra med programmet PGP. Skillnaden här är att DV-kitet inte försöker kryptera informationen utan SIGNERA den. Bilderna är lika öppna som tidigare men går att binda till en viss kamera. Men visst, om Canon läcker nycklarna så försvinner ju hela idén med DV-kitet.
DV-kitet används ju inte för DRM, signaturen går att enkelt ta bort. Men om du har en bild med en signatur från din kamera så kan du bevisa att bilden är din.
raderad12
Aktiv medlem
Precis, här kom poängen, kom också ihåg att det inte handlar om att förändra bilden, utan fuska till ägarskapet. Å nycklarna distribueras med varje kit (unika till kameran)... Man behöver inte knäcka någon annans nyckel, bara sin egen, den man redan (med viss möda) har tillgång till. Då hamnar man plötsligt tillbaks på ruta ett, som om DV-kitet inte fanns, två olika personer hävdar ägarskap till samma bild, på samma grund tom. Alltså två personer som med sin digitala signering hävdar och "bevisar" att bilden är tagen med dennes kamera.
Därför bör man behålla sina orginal, gärna i en serie med liknande bilder tagna vid samma tidpunkt och bara distribuera förändrade kopior, t ex. en beskärning eller storleksförändrade, orginalet skall ha mest bild-information.
Visst, bevisa upphovsrätt kan i detta hypotetiska fall vara svårt när ingen myndighetsregistrering skett, men det är ändock oerhört sällsynt med dylika tvister så vitt jag vet.
elohim
Aktiv medlem
Intressant diskussion!
Jag hävdar däremot att det till 100% finns sätt att kringgå ALLA skydd. Allt ÄR möjligt.
Angående knutenhet till hårdvara så innebär ju det att man måste behålla sin hårdvara för att kunna ha sitt teoretiska bevis.
Jämte en tvist mellan två personer med två bilder och olika checksumma skulle det ju inte bevisa någonting om inte hårdvaran finns kvar. Och om man nu extraherar checksumman från en kamera via en helt annan bild och använder sig av denna - vart ligger landet då?
Jag hävdar däremot att det till 100% finns sätt att kringgå ALLA skydd. Allt ÄR möjligt.
Angående knutenhet till hårdvara så innebär ju det att man måste behålla sin hårdvara för att kunna ha sitt teoretiska bevis.
Jämte en tvist mellan två personer med två bilder och olika checksumma skulle det ju inte bevisa någonting om inte hårdvaran finns kvar. Och om man nu extraherar checksumman från en kamera via en helt annan bild och använder sig av denna - vart ligger landet då?
timlu
Aktiv medlem
Visst är det möjligt att knäcka alla skydd. Frågan är bara om kostnaden för att göra det är högre än vinsten.
Jag kanske skulle klargöra att jag inte vet exakt hur Canons DV-kit fungerar utan jag bara skrev hur DV generellt fungerar. Det skulle dock förvåna mig om Canon inte tänkt igenom DV-kitet ordentligt. Canons DV verkar fungera så att man ställer in kameran på att generera checksumman. Förmodligen räcker det att bevisa att man haft kameran med ett speciellt serienummer. Problemet som jag ser det är att DV-kitet inte verifierar fotografen utan kameran. För att hävda upphovsrätten måste man ju även bevisa att man höll i kameran när bilden togs. Detta är INTE lätt men förmodligen skulle ägaren till kameran vid tidpunkten för fotot ha en rätt stark position vid en tvist. Nu verkar Canons DV-kit främst rikta in sig på att verifiera att en bild inte är modifierad, t ex då bilden används som bevis vid en rättegång.
Jag kanske skulle klargöra att jag inte vet exakt hur Canons DV-kit fungerar utan jag bara skrev hur DV generellt fungerar. Det skulle dock förvåna mig om Canon inte tänkt igenom DV-kitet ordentligt. Canons DV verkar fungera så att man ställer in kameran på att generera checksumman. Förmodligen räcker det att bevisa att man haft kameran med ett speciellt serienummer. Problemet som jag ser det är att DV-kitet inte verifierar fotografen utan kameran. För att hävda upphovsrätten måste man ju även bevisa att man höll i kameran när bilden togs. Detta är INTE lätt men förmodligen skulle ägaren till kameran vid tidpunkten för fotot ha en rätt stark position vid en tvist. Nu verkar Canons DV-kit främst rikta in sig på att verifiera att en bild inte är modifierad, t ex då bilden används som bevis vid en rättegång.
raderad12
Aktiv medlem
Ms trodde de tänkt igenom x-box ordentligt, så ordentligt att framtida windows skulle bygga på samma metoder...
Njae, frågeställningen är inte så. Så här istället. Ponera att du tagit "pangbilden" värd multum, du har checksumman foo som stämmer överens med din kamera. Nu dyker plötsligt kopior upp med byline Hasse Hyresgäst, du och kanske även din bildbyrå går i taket och stämmer den f*n. Han visar dock upp checksumman bar som stämmer överens med hans kamera... Ajaj.
Han har inte behövt knäcka något i din kamera eller DV-kit, bara i sitt eget där han redan har tillgång till krypto och nycklar, Canon har ju sålt honom allt han behöver, vilket han nyttjar i sin dator, men på din bild. Han behöver bara klura ut hur det funkar.
Tillbaks på ruta ett mao. ord mot ord, som om DV-kitet inte fanns. Nu är ju detta högst hypotetiskt och det är få människor som har de rätta kunskaperna för sånt här, men Canon är defenitivt inte ensamma om kunskapen, långt ifrån. Det räcker dessutom att en enda person grejar det och börjar dela med sig av det inom tvivelaktiga kretsar, kan ju även vara fullt legitima kretsar där nån enstaka tvivelaktig ingår, givetvis blir det dock känt allmänt tids nog, men under den tiden kan mycket tråkigt hända. Framförallt om fotografer börjar handskas ovarsamt med sina bilder i tron att de alltid kan bevisa sin upphovsrätt.
Enda lösningen är att nycklarna stannar hos Canon eller någon myndighet, men det kräver att kameran inte lämnar ifrån sig bilderna utan kontakt med den betrodda "nyckelhållaren". Men vem vill köpa en sån digital kamera? Är den ändock tillräckligt attraktiv så kommer tämligen omgående någon att börja mixtra med hårdvaran och dess firmware för att komma runt begränsningen/hindret, i annat fall så blir den till ett affärsmässigt självmål där konsumenterna istället köper konkurrentens kamera utan begränsningar för åtkomligheten av eget material.
timlu
Aktiv medlem
Microsoft tänkte säkert igenom x-box men det är en DRM-lösning så den kan vi lämna därhän i den här diskussionen
Här gör du några väldigt konstiga antaganden. Man måste skilja på vad som är hemligt och vad som är öppet. I alla erkända singerings och kryptolösningar är algoritmena fullständigt kända. Checksummealgoritmer som MD5 är välkända och checksummans resistans mot attacker hänger inte på algoritmen utan på matematiken bakom algoritmen. Finns det en säkerhetslucka så finns den antingen i implementeringen eller i matematiken. Samma sak gäller i kryptografin. Algoritmena är fullständigt kända. Svagheterna finns antingen i matematiken, implementeringen eller i nyckelhanteringen. Så, även om din hypotetiske "Hasse Hyresgäst" känner till metoden så ska inte DV-kitet vara i fara. Jag antar att varje kamera har laddats med en för varje kamera unik nyckel som används för signeringen. Får "Hasse Hyresgäst" inte tag i den så är signaturen säker.
Nästa proble är då om "hasse Hyresgäst" strippar bort signaturen och lägger till en egen signatur efersom han känner till algoritmena. Här borde man kunna kontakta Canon som säkert har ett register på alla nycklar i alla kamror eller så är själva nyckeln i varje kamera signerad av en huvudnyckel som finns hos Canon. Det alternativ som återstår är då att "Hasse Hyresgäst" känner till en metod att få ut en giltig nyckel ur sin kamera. Här får man anta att Canon har gjort det extremt svårt att plocka ut nyckeln men detta ser jag som den svagaste länken.
Allt detta förutsätter naturligtvis att kameran använder någon form av publika nycklar där man använder en nyckel för att signera och en annan, kompletterande nyckel, för att verifiera signaturen. Endast den ena av dessa nycklar måste hållas hemlig (jmf RSA-kryptering och programmet PGP).
raderad12
Aktiv medlem
Exakt, vi är helt överens här. Att Canon gjort det svårt att plocka ut nyckeln är dess svaga länk.
De bakom DVD-CSS trodde också att de gjort det extremt svårt, enter Jon Johanssen och hans vänner.. Det är också på denna punkt jag drar paralellen till x-box, visst det är en helt annan grej, men de trodde också det var extremt svårt, vilket det alltså inte var, visade det sig.
Grundproblemet är att Canon levererar nyckeln, hur svårt det är att få ut den saknar betydelse, det är detta som är "security by obscurity", säkerheten bygger på en hemlighet (hemligheten hur man får ut nyckeln). Det är antagligen jättelätt rent fysiskt sett att få nyckeln när någon väl gjort ett program för det, eftersom du redan äger din kamera och DV-kit. Att skriva programmet kan däremot kräva en hel del kunskap, men för att använda Linus lag "with enough eyballs, all bugs are shallow". Teoretiskt kan någon lyckas på första försöket, för denne var det lätt. Men detta är onödigt att spekulera i eftersom ingen kan veta förrän det är gjort, å när det är gjort så är det irreversibelt, efter det så kan "vem-som-helst" söka på google å fixa det själv, förutsatt att det hamnar sökbart, vilket det brukar göra tids nog, å framförallt bör göra för att inte invagga till falsk säkerhet. Tyvärr finns idag lagar (i USA men är på förslag i sverige) som lär fördröja en sådan publicering, till nackdel för alla DV-kit ägare. Jag talar här om det hårt kritiserade förslaget till ny upphovsrätt som baseras på en tolkning av ett EU-direktiv, där man inför ett förbud mot kringgående av "skyddstekniker".
Här finns att läsa ett skräckscenario uppmålat av RMS redan 1997, idag är alla lagarna som ligger till grund för det genomförda i USA och effekterna har så smått börjat synas (tidigare än vad RMS förutspådde)...
Christerart
Aktiv medlem
Same here - but - if it's recorded/embedded directly into the code of the image there will never be an argument about who owns the copyright - and in the case of a lawsuit - this is the US with lots of sue happy lawyers - you have proof you created the image..=*^)
raderad12
Aktiv medlem
That code is editable to 100%, and since Canon distribute both the crypto and the keys in every DV-kit the "pirate" can claim ownership to the same picture as you on the same grounds as you. He delivers the same "proof" as you do, his "proof" sys your picture was taken with his camera. He just have to crack it in his gear, not yours, and then use that knowledge on your picture to digitally sign it as his, canon has sold him everything he need to pull it off (in his DV-kit), all information/data is there, it is just obfuscated, all it takes is to find out the secret in his gear, thats the "security by obscurity", and nobody can stop him from tinkering with his own legally bought things, thats his property.
Not many people has the knowledge for it, but belive me, canon is not alone, and all it takes is one single person, after that the hwole world can share it and use it for their own purpose (in a matter of days), even quite easily if it's done right, just a simple program. The canon 300D hack is a good example, it's just software - written information, all it takes is knowledge.
And when it is done you better hope that he choses to share it with the world so you don't think that you have secure digital proof. But the laws that the US are trying force upon the major part of the world (dmca) will keep solutions like this out of public light and the public in "fools paradise".
Christerart
Aktiv medlem
Magnus,
The chances that someone who has that knowledge or access to a widely distributed program that enables him/her to edit the code, also has the patience/knowledge to erase the Digimarc, can break into the archives of the US copyright offices, steal my copyright certificate, then steal MY copy of that certificate (in a safety deposit box) get hold of my triplicate copies of all the original RAW files (one set in a safety deposit box) and the MASTER copy of the final image in question is so infinitesmal that I'm not losing any sleep over it...
C
raderad12
Aktiv medlem
True, as long as you register your work at the copyright office (as you said you do), and you are keeping original RAW files too. You are safe, very safe, i would also sleep very well in your case.
What i am talking about is to only trust some DV-kit, and then spreading originals (unchanged copies) in the belief that you, and only you can prove ownership afterwards. In that case there isn't much security to talk about, just a secret, it isn't even your secret.
In this case the bad guy doesnt have to break, or break into anything, just connect his gear to his computer and tinker with it by sending and recieving data/info. Then how hard it is to get the neccesary info out from the HW and use that to hijack somebody elses copyright to some original image is quite uninteresting, the fact that all data neccesary to change ownership is sitting there in the bad guys own gear makes it just a matter of time, and that time could be very short, it may have been done allredy.
