Nieuwe vormen van DRM bedreigen het open web

Johan Voets

Om een einde te maken aan irritante plugins als Flash en Silverlight wordt DRM-technologie ingebouwd in je browser, maar niet zonder gevolgen.

Er was een tijd in mijn leven dat ik het allemaal bijzonder actief volgde. Maar sinds het programmeren steeds verder naar de achtergrond is geraakt, is ook het pro-actief blijven bijhouden van de laatste webstandaarden geen onderdeel meer van de leeslijst. Toch is er nu alle reden om er even bij te blijven.

Die webstandaarden, die worden al sinds jaar en dag bepaald door het World Wide Web Consortium (W3C). De directeur van deze club is Tim Berners-Lee, die ‘het uitvinden van het web’ als sinds jaar en dag op zijn LinkedIn-profiel mag vermelden.

Het W3C bepaalt eigenlijk al sinds de eerste pixels op het web wat de standaarden zijn en zorgt er op die manier voor dat browsers kunnen omgaan met de capriolen van programmeurs en vice-versa. Kleur je binnen de lijntjes van het W3C, dan ziet je kleurplaat er in elke browser normaliter altijd hetzelfde uit.

Werpt het W3C zich dus normaal gesproken op als blauwhelm tussen alle betrokken partijen, drijft het de afgelopen maanden vooral een wig tussen voorstanders van het open web, ontwikkelaars van browsers en producenten van online content. Het middelpunt van de discussie: DRM, de digitale kopieerbeveiligingtechniek.

Versleutelde media

In 2013 start een team binnen het W3C met het onderzoeken van een nieuwe toevoeging aan hun indrukwekkende lijst van open standaarden. Maar deze nieuwe standaard wijkt af: hij is niet gericht op meer openheid, maar is gericht op het kunnen afspelen van versleutelde content in de browser.

Door de toevoeging van EME zouden Silverlight en Flash definitief overbodig worden Deze nieuwe ‘Encrypted Media Externsions’ (EME) zijn er op gericht om voornamelijk entertainmentbedrijven als Netflix, Amazon en tv-maatschappijen video te kunnen laten afspelen binnen een browser, zonder dat hun content buiten de kopieerbeveiliging valt. Door de toevoeging van EME zouden plug-ins als Silverlight en Flash dus definitief overbodig worden.

Zwarte doos

Dat laatste klinkt voor de meeste internetters als pure vooruitgang, maar niet zonder prijs. Het is namelijk geen vooruitgang voor de ontwikkelaars van ’s werelds populairste browsers en ook niet voor de veiligheid van de gemiddelde internetgebruiker.

Voor de makers van populaire browsers, zoals Chrome en Mozilla, betekent het dat ze feitelijk een ‘black box’ in hun browser toelaten. Zonder te weten wat er achter de schermen van een EME uitgevoerd wordt, leveren ze een blinde output met de uitgever (bijv. Netflix) als zender en de W3C als poortwachter.

Dat zorgt natuurlijk voor wrevel: al sinds de oprichting van het web wordt er hard gewerkt aan het behouden van open standaarden en nu worden browsers gedeeltelijk blind geslagen. Nog veel belangrijker zijn de juridische gevolgen van EME, die er niet alleen voor zorgen dat we de eerste niet-open standaard opgelegd zien worden, maar ook eindgebruikers in gevaar brengen.

Veiligheidsrisico’s

Het omzeilen of kraken van de digitale kopieerbeveiliging is een overtreding van sectie van de Digital Millenium Copyright Act (DMCA), de Amerikaanse copyright wet die al sinds 1998 als belangrijkste poortwachter van online copyright geldt. Sectie 1201 van de DMCA speelt hierin een sleutelrol.

Volgens deze sectie van de DMCA maakt het namelijk illegaal om software die gebruikt wordt om beveiligde content te versleutelen te omzeilen. Een praktisch voorbeeld hiervan: het converteren van een videostream om te zorgen dat deze op een open standaard ook af te spelen is. Deze regel zorgt er voor dat producten voorzien van DRM dus alleen nog maar te zien zijn via kanalen die de producenten bepalen.

In de praktijk kunnen onder DMCA beveiligingsexperts strafrechtelijk worden vervolgd Pas echt tricky wordt het in het grijze gebied rondom EME. In de praktijk kunnen onder DMCA 1201 namelijk ook beveiligingsexperts strafrechtelijk worden vervolgd wanneer zij een lek ontdekken in een browser. Die kennis kan immers alleen worden opgedaan door te sleutelen aan de software en dat mag volgens sectie 1201 dus niet. Dat klinkt als extreem, maar de Rus Dimitry Sklyarov weet beter. Hij werd na het ontdekken van een beveiligingslek in Adobe’s DRM opgepakt op het vliegveld.

Dat betekent dat er feitelijk geen eindcontrole meer is op wat er precies onze browsers binnenkomt: ontwikkelaars van browsers zitten met een black box, zogenaamde white hat hackers gaan met een boog om EME heen terwijl kwaadwillende precies het omgekeerde zullen doen.

Eigen apps

We hoeven EME in zijn huidige vorm dus nog niet met open armen en rode loper te verwelkomen, maar wat is dan wel een wenselijke situatie? Want de status quo is om meerdere redenen ook niet houdbaar.

De belangrijkste (gesloten) platformen, Flash en Silverlight, lijken een zachte dood te sterven. Sinds 2013 is Microsoft al gestopt met het verder ontwikkelen van Silverlight en werkt het alleen nog bugs weg. En hoewel Adobe actief blijft werken aan Flash ligt de nadruk ook bij dat bedrijf op het verder uitrollen van software voor HTML5-applicaties en ondersteunt het Flash niet langer op smartphones.

Arstechnica-redacteur Peter Bright stelde bij de start van de EME-werkgroep in 2013 al dat het blokkeren als nieuwe standaard niets verandert aan het feit dat DRM een plek moet krijgen binnen het web. “Het alternatief voor ‘geen DRM binnen de browser’ is voor mediamakers in dat geval niet het laten vallen van DRM, maar het laten vallen van het web”, aldus Bright.

Bedrijven als Netflix en Amazon zullen veel steviger in gaan zetten op eigen platformen en apps, denkt Bright. Een uitkomst die allesbehalve wenselijk is voor de makers van populaire browsers, zoals Mozilla. De makers van Firefox deden in 2014 al uit de doeken dat het EME zou gaan implementeren in hun browsers, ondanks dat het tegen hun principes in gaat.

Geen uitsluitsel

Sinds die eerste stap van Mozilla in 2015 zijn ook Chrome, Edge, Internet Explorer en Safari overstag gegaan. Zij ondersteunen sinds medio 2016 allen de laatste versie van de EME standaard, zoals deze nu ter goedkeuring ligt.

Eind april moet W3C over EME beslissen Eind april verloopt het tijdelijke handvest van de werkgroep rond EME. Dat betekent dat de W3C voor het einde van die maand moet hebben bepaald dat EME een officiële standaard wordt óf dat die charter nog eens extra wordt verlengd. Dat laatste is de wens van de werkgroep, maar intern is er nog geen uitsluitsel gegeven.

In navolging van het tegengeluid dat Cory Doctorow in december gaf op de website van de Electronic Frontier Foundation, liet Tim Berners-Lee zich eind vorige maand uitgesproken positief uit over de ontwikkeling van EME als nieuwe standaard. In zijn artikel probeert Berners-Lee de grootste kritieken te tackelen, maar wordt hij in de reacties evengoed weer onderuit gehaald.

Nadelen

Volgens Berners-Lee moet het web universeel zijn, functioneel voor ons allen. “Het moet in staat zijn om verschillende soorten informatie te tonen, maar ook verschillende genres media”, stelt de directeur van het W3C. Daarmee onderstreept hij de stelling van Bright: wanneer er geen DRM mogelijk wordt op het web, zullen mediamakers hun distributie over het web alleen maar verder staken.

Het is uit het oogpunt van eindgebruikers lastig om het daar niet mee eens te zijn. Maar kijkend naar de nadelen die er aan de huidige opzet kleven, kun je niet anders dan hopen dat de charter nog even verlengd wordt en er gedegen wordt gekeken naar de grootste struikelblokken, zoals opzetten van niet strafbare ‘bug bounty’-programma’s om beveiligingsrisico’s te minimaliseren.

Een derde alternatief: EME wordt geen W3C-standaard en de betrokken partijen bij de ontwikkeling (Amazon, Netflix, Google) werken samen door aan een nieuwe – onofficiële – standaard waarop zij hun content gaan afspelen. Het is de vraag of we als eindgebruikers dan echt beter af zijn.