![[一个 GNU 头像]](/graphics/heckert_gnu.transp.small.png){kind=small}
GNU ![[Search www.gnu.org]](/graphics/icons/search.png){kind=icon}
![[Other languages]](/graphics/icons/translations.png){kind=icon}
你能信任你的电脑吗?
作者:Richard Stallman你的电脑应该听从谁的指令?大多数人认为他们的电脑应该服从他们,而不是服从其他人。通过一项名为“可信计算”的计划,大型媒体公司(包括电影公司和唱片公司)以及微软和英特尔等计算机公司正计划让你的电脑服从他们,而不是你。(微软的这个方案的版本被称为 Palladium。)专有程序以前包含过恶意功能,但这个计划将使其普遍化。
专有软件从根本上来说意味着你无法控制它的行为;你无法研究源代码,也无法更改它。精明的商人找到利用他们的控制权来让你处于不利地位的方法并不令人惊讶。微软已经多次这样做:一个版本的 Windows 被设计为向微软报告你硬盘上的所有软件;最近 Windows Media Player 中的一个“安全”升级要求用户同意新的限制。但微软并非孤军奋战:KaZaa 音乐共享软件的设计使得 KaZaa 的商业合作伙伴可以将其客户租用你的电脑。这些恶意功能通常是秘密的,但即使你知道了它们,也很难删除它们,因为你没有源代码。
过去,这些都是孤立事件。“可信计算”将使这种做法普遍化。“背信弃义的计算”是一个更合适的名称,因为该计划旨在确保你的电脑系统地不服从你。事实上,它的目的是阻止你的计算机作为通用计算机运行。每项操作都可能需要明确的许可。
背信弃义的计算背后的技术思想是,计算机包含一个数字加密和签名设备,并且密钥对你保密。专有程序将使用此设备来控制你可以运行哪些其他程序、可以访问哪些文档或数据以及可以将它们传递给哪些程序。这些程序将通过互联网不断下载新的授权规则,并将这些规则自动施加到你的工作上。如果你不允许你的计算机定期从互联网获取新规则,某些功能将自动停止运行。
当然,好莱坞和唱片公司计划将背信弃义的计算用于数字版权管理 (DRM),以便下载的视频和音乐只能在指定的一台计算机上播放。共享将完全不可能,至少使用你从这些公司获得的授权文件是不可能的。你,公众,应该既有自由也有能力分享这些东西。(我预计会有人找到一种方法来生成未加密的版本,并上传和分享它们,因此 DRM 不会完全成功,但这不能成为该系统的借口。)
让共享变得不可能已经够糟糕了,但情况会变得更糟。有计划将同样的设施用于电子邮件和文档——导致电子邮件在两周后消失,或者文档只能在一家公司的计算机上阅读。
想象一下,如果你收到老板发来的电子邮件,告诉你做一些你认为有风险的事情;一个月后,当它适得其反时,你无法使用该电子邮件来证明这个决定不是你的。“书面记录”在你收到用会消失的墨水写成的命令时无法保护你。
想象一下,如果你收到老板发来的电子邮件,声明一项非法或道德上令人愤慨的政策,例如销毁你公司的审计文件,或者允许对你国家构成危险的威胁在不受控制的情况下向前发展。今天你可以将此发送给记者并揭露该活动。有了背信弃义的计算,记者将无法阅读该文档;她的电脑会拒绝服从她。背信弃义的计算将成为腐败的天堂。
微软 Word 等文字处理器可以在保存你的文档时使用背信弃义的计算,以确保没有竞争对手的文字处理器可以读取它们。今天,我们必须通过费力的实验来找出 Word 格式的秘密,以便让自由文字处理器读取 Word 文档。如果 Word 在保存文档时使用背信弃义的计算来加密文档,自由软件社区将没有机会开发软件来读取它们——而且如果我们能够这样做,此类程序甚至可能被《数字千年版权法》禁止。
使用背信弃义计算的程序将通过互联网不断下载新的授权规则,并将这些规则自动施加到你的工作上。如果微软或美国政府不喜欢你在你写的文件中说的内容,他们可以发布新的指令,告诉所有计算机拒绝让任何人阅读该文档。每台计算机在下载新指令时都会服从。你的写作将受到 1984 年式的追溯删除。你可能无法自己阅读它。
你可能会认为你可以找出背信弃义的计算应用程序做了哪些令人讨厌的事情,研究它们的痛苦程度,并决定是否接受它们。即使你能够找到这一点,接受这笔交易也是愚蠢的,但你甚至不能指望这笔交易保持不变。一旦你开始依赖使用该程序,你就会上瘾,他们也知道这一点;然后他们可以更改交易。一些应用程序会自动下载将执行不同操作的升级版本——并且他们不会让你选择是否升级。
今天,你可以通过不使用专有软件来避免受到它的限制。如果你运行 GNU/Linux 或其他自由操作系统,并且如果你避免在其上安装专有应用程序,那么你就可以控制你的电脑的行为。如果一个自由程序具有恶意功能,社区中的其他开发人员会将其删除,你可以使用更正后的版本。你也可以在非自由操作系统上运行自由应用程序和工具;这不足以完全给你自由,但许多用户会这样做。
背信弃义的计算使自由操作系统和自由应用程序的存在面临风险,因为你可能根本无法运行它们。某些版本的背信弃义的计算将要求操作系统得到特定公司的明确授权。自由操作系统将无法安装。某些版本的背信弃义的计算将要求每个程序都得到操作系统开发人员的明确授权。你无法在此类系统上运行自由应用程序。如果你弄清楚了如何操作,并告诉了某人,那可能是一种犯罪行为。
已经有提案提出美国法律,要求所有计算机都支持背信弃义的计算,并禁止将旧计算机连接到互联网。CBDTPA(我们称之为“消费但不要尝试编程法”)就是其中之一。但即使他们没有通过法律强迫你切换到背信弃义的计算,接受它的压力也可能非常巨大。今天,人们经常使用 Word 格式进行交流,尽管这会导致多种问题(请参阅“我们可以结束 Word 附件”)。如果只有一台背信弃义的计算机器可以读取最新的 Word 文档,许多人会切换到它,如果他们仅从个人行为的角度来看待这种情况(接受它或放弃它)。要反对背信弃义的计算,我们必须团结起来,将这种情况作为集体选择来面对。
有关背信弃义的计算的更多信息,请参阅“可信计算”常见问题解答。
要阻止背信弃义的计算,需要大量的公民组织起来。我们需要你的帮助!请支持 Defective by Design,这是 FSF 反对数字版权管理的运动。
附言
计算机安全领域以不同的方式使用术语“可信计算”——注意这两种含义之间的混淆。
GNU 项目分发 GNU Privacy Guard,这是一个实现公钥加密和数字签名的程序,你可以使用它来发送安全和私密的电子邮件。探索 GPG 与背信弃义的计算有何不同,并了解是什么使一个有帮助而另一个如此危险,是有益的。
当某人使用 GPG 向你发送加密文档,而你使用 GPG 解码它时,结果是一个未加密的文档,你可以阅读、转发、复制,甚至可以重新加密以安全地将其发送给其他人。背信弃义的计算应用程序会让你读取屏幕上的文字,但不会让你生成可以以其他方式使用的未加密文档。GPG,一个自由软件包,使用户可以使用安全功能;他们使用它。背信弃义的计算旨在对用户施加限制;它使用他们。
背信弃义的计算的支持者将其论述重点放在其有益的用途上。他们说的话通常是正确的,只是不重要。
与大多数硬件一样,背信弃义的计算硬件可以用于无害的目的。但是这些功能可以通过其他方式实现,而无需背信弃义的计算硬件。背信弃义的计算给用户带来的主要区别是其令人讨厌的后果:操纵你的计算机来对抗你。
他们说的是真的,我说的也是真的。把它们放在一起,你会得到什么?“背叛式计算”是一个旨在剥夺我们自由的计划,同时提供一些微不足道的好处来分散我们对失去的东西的注意力。
微软将 Palladium 称为一种安全措施,并声称它可以防止病毒,但这个说法显然是错误的。微软研究院在 2002 年 10 月的一次演示中指出,Palladium 的规范之一是现有操作系统和应用程序将继续运行;因此,病毒将继续能够执行它们今天可以执行的所有操作。
当微软员工在谈论与 Palladium 相关的“安全”时,他们指的并非我们通常所理解的那个词:保护你的机器免受你不想要的东西的侵害。他们指的是保护你机器上的数据副本,使其不被你以其他人不希望的方式访问。演示文稿中的一张幻灯片列出了 Palladium 可以用来保存的几种类型的秘密,包括“第三方秘密”和“用户秘密”——但它将“用户秘密”放在引号中,这表明在 Palladium 的背景下,这有些荒谬。
演示文稿频繁使用其他我们经常与安全相关的术语,如“攻击”、“恶意代码”、“欺骗”以及“信任”。它们没有一个是指它们通常的含义。“攻击”不是指有人试图伤害你,而是指你试图复制音乐。“恶意代码”是指你安装的代码,用来执行别人不希望你的机器执行的操作。“欺骗”不是指有人在欺骗你,而是指你在欺骗 Palladium。诸如此类。
Palladium 开发人员之前的一份声明指出,基本前提是,任何开发或收集信息的人都应该完全控制你如何使用它。这将是对过去道德观念和法律体系的革命性颠覆,并创建一个前所未有的控制系统。这些系统的具体问题并非偶然;它们源于基本目标。我们必须拒绝这个目标。
截至 2015 年,分发任何副本的主要方法是通过互联网,特别是通过网络。如今,那些想在世界上强制实施 DRM 的公司希望通过与 Web 服务器通信以获取副本的程序来强制执行。这意味着他们决心控制你的浏览器以及你的操作系统。他们通过“远程证明”来实现这一点——你的计算机可以使用此功能向 Web 服务器“证明”它正在运行的软件,这样你就无法伪装它。它会证明的软件将包括 Web 浏览器(以证明它实现了 DRM,并且没有让你提取未加密数据的方法)、内核(以证明它没有提供任何修补正在运行的浏览器的方法)、引导软件(以证明它没有提供任何在启动时修补内核的方法),以及任何其他与 DRM 公司对你的统治安全相关的软件。
在一个邪恶的帝国下,你可以减少其对你有效控制的唯一缝隙是找到一种方法来隐藏或伪装你在做什么。换句话说,你需要一种方式来对帝国的秘密警察撒谎。“远程证明”是一个计划,当公司的 Web 服务器询问你的计算机是否已获得解放时,强制你的计算机对该公司说真话。
截至 2015 年,背叛式计算已以“可信平台模块”的形式在 PC 中实现;然而,出于实际原因,TPM 被证明完全无法实现为远程证明提供平台以验证数字版权管理的目标。因此,公司使用其他方法实施 DRM。目前,“可信平台模块”根本没有用于 DRM,并且有理由认为将它们用于 DRM 是不可行的。具有讽刺意味的是,这意味着“可信平台模块”目前唯一的使用是无害的辅助用途——例如,验证是否有人偷偷更改了计算机中的系统。
因此,我们得出结论,截至 2015 年可用于 PC 的“可信平台模块”是无害的,并且没有直接理由不将它们包含在计算机中或在系统软件中支持它们。
这并不意味着一切都很美好。其他用于阻止计算机所有者更改计算机中的软件的硬件系统正在一些 ARM PC 以及便携式电话、汽车、电视和其他设备中的处理器中使用,并且这些系统和我们预期的一样糟糕。
这也不意味着远程证明不是威胁。如果某个设备成功实现了这一点,那将是对用户自由的严重威胁。当前“可信平台模块”之所以无害,仅仅是因为它在使远程证明可行方面失败了。我们不能认为未来所有的尝试也会失败。
截至 2022 年,TPM2,一个新的“可信平台模块”,确实支持远程证明,并且可以支持 DRM。我在 2002 年警告过的威胁已经变得令人恐惧地真实了。
“Google SafetyNet”(现在是“Play Integrity API”的一部分)正在实际使用远程证明,它会验证在窥探手机中运行的 Android 操作系统是否是官方的 Google 版本。
这个恶意的功能已经使得在 GrapheneOS 上无法运行某些银行应用程序,GrapheneOS 是 Android 的一个修改版本,它消除了 Android 通常包含的一些(但不是全部)非自由软件。
像 Replicant 这样的免费 Android 版本肯定会遇到同样的障碍。如果你足够重视自己的自由,以至于会安装 Replicant,你可能也会拒绝容忍你的计算机上的任何非自由应用程序(无论是否是银行应用程序)。尽管如此,Google 窥探用户是否修改了他们的操作系统,并以此来决定用户可以使用它做什么,仍然是不公正的。
本文发表在《自由软件,自由社会:理查德·斯托曼精选文集》中。
![[FSF logo]](/graphics/fsf-logo-notext-small.png){kind=logo}