Z Michaelem Vergarą, wiceprezesem ds. rozwiązań i usług profesjonalnych w firmie RSA Security, rozmawia Paweł Krawczyk.

Czy mógłby Pan powiedzieć, co ma wspólnego RSA z Digital Rights Management? Większość ludzi kojarzy DRM z zabezpieczeniami przed kopiowaniem plików muzycznych...

DRM to bardzo szerokie pojęcie. Technologie DRM są stosowane nie tylko przez firmy wydające muzykę czy gry, jak Sony czy Nintendo. Spory rynek stanowią także rozwiązania "Enterprise DRM", czyli bezpieczny obieg dokumentów w firmie i kontrola praw dostępu do nich. My w RSA zajmujemy się głównie dostarczaniem komponentów do budowy takich rozwiązań, czyli bibliotek kryptograficznych i implementacji logiki bezpiecznego przetwarzania danych.

Same systemy DRM to zwykle prywatne projekty każdej z zainteresowanych firm.

Wiele z tych mechanizmów zostało złamanych - Microsoft DRMv2, DVD-CSS, HDTV, czy też np. mechanizmy znaku wodnego złamane przez prof. Eda Feltena...

Faktycznie, wiele systemów DRM zostało złamanych - głównie dlatego, że zostały błędnie zaprojektowane. Nawet za pomocą dobrych algorytmów kryptograficznych można zbudować dziurawy system, jeśli zrobi się to nieumiejętnie.

Wypada również wspomnieć o tym, że systemy, o których mówimy, zostały wdrożone dużym kosztem i okazały się porażką...

Tego bym nie powiedział, a przynajmniej nie zawsze tak było. Na przykład Apple miało swój DRM w iPodach, który w końcu też został złamany, ale zanim to się stało, ich cel biznesowy został osiągnięty - ludzie przyzwyczaili się do pobierania piosenek z ich sieci i płacenia za to.

Zbyt techniczne podejście do DRM prezentowane przez niektóre firmy jest błędne - nie da się stworzyć systemu całkowicie odpornego na próby łamania. Proszę pamiętać, że takie systemy działają we wrogim środowisku. W najgorszym razie zawsze można podłączyć mikrofon do odtwarzacza z DRM i zgrać nagranie na taśmę czy do pliku, czyli przeprowadzić tzw. atak analogowy. Fakt, jakość będzie gorsza, ale można powiedzieć, że DRM został złamany.

Jeśli by chcieć stworzyć superbezpieczny system DRM, to będzie on równocześnie bardzo drogi. A zatem drogi będzie również odtwarzacz, w który zostanie on wbudowany. Takiego odtwarzacza nikt nie kupi.

Ale można przecież zmusić klientów do kupowania takich odtwarzaczy za pomocą odpowiednio skonstruowanego prawa. Pewnym krokiem w tym kierunku była amerykańska ustawa Digital Millennium Copyright Act, która kryminalizuje wszelkie próby obchodzenia zabezpieczeń DRM. Były też rozmaite dyskusje nad wymuszeniem stosowania mechanizmów DRM przez producentów napędów CD/DVD.

Takie zabiegi są moim zdaniem skazane na porażkę. Tutaj nie chodzi o pozywanie wszystkich do sądów za kopiowanie muzyki. Za pomocą prawa bardzo trudno jest zmienić zachowania społeczne i kulturowe szerokich mas konsumentów.

To tak jak z prohibicją i różnymi próbami ograniczania dostępu do alkoholu podejmowanymi w Stanach. Wszystkie one zakończyły się porażką.

Rozwiązania prawne są dobre dla poważnych spraw kryminalnych, a nie do regulowania zachowań ludzi takich jak dostęp do muzyki. Przede wszystkim trzeba patrzeć na to jak zmienia się sytuacja na rynku, jak reagują konsumenci i jak można na tym zarobić. Na przykład ja, szczerze mówiąc, nie mam żadnej motywacji, żeby ściągać muzykę z Internetu skoro płyta z najnowszym filmem DVD kosztuje 10 USD i mogę ją kupić w sklepie.

No tak, tylko że niektóre nowe produkcje, które Pan może kupić dzisiaj, ja zobaczę na półkach wypożyczalni w Polsce za rok. Dlatego przeciętny widz z Polski czy innego kraju w Europie ma dużo większą motywację, żeby poszukać filmu w Internecie.

W biznesie chodzi o to, żeby zaspokajać potrzeby klientów. Obecny model biznesowy dystrybucji multimediów nie zaspokaja potrzeb konsumenta, stąd problemy. Proszę nie myśleć, że w Stanach ich nie mamy. Ja na przykład mam ten sam problem z albumami ulubionych wykonawców.

Na przykład podobają mi się tylko trzy piosenki z najnowszego albumu, ale jestem zmuszany do kupienia całego CD, wypełnionego znacznie słabszymi utworami. Biznes nie znosi próżni. W tym momencie piraci zabierają pieniądze, które muzycy mogliby zarabiać zupełnie legalnie, gdyby zmienili sposób dystrybucji swoich utworów. Systemy wymiany plików P2P stwarzają nieustanną presję na firmy nagraniowe. Ta presja prędzej czy później doprowadzi do zmiany modelu ich biznesu lub będą ponosić straty.

Dobrym przykładem są firmy takie jak Amazon czy eBay, które znalazły dla siebie model biznesowy oparty na Internecie i doskonale prosperują. Dlaczego firmy muzyczne nie miałyby zrobić tego samego? Moim zdaniem Apple iPod i to co robi Microsoft to tylko początek, a przy tym dobry początek.

W jakim kierunku zmierza korporacyjny DRM w sensie ochrony przed wyciekami poufnych informacji z instytucji?

Ten rynek również jest w trakcie intensywnych przekształceń. Tutaj skala jest mniejsza, środowisko obiegu dokumentów jest nieco mniej nieprzyjazne, ale za to odpowiedzialność znacznie większa. Prawdopodobnie nowe systemy DRM przeznaczone dla środowisk korporacyjnych będą oscylować wokół dwóch istniejących obecnie implementacji: Microsoftu oraz Adobe - zwłaszcza ta ostatnia firma ma tutaj wiele do powiedzenia.