Nieuwe GPL-versie in ontwikkeling

De Free Software Foundation is bezig met de ontwikkeling van de derde versie van de GPL-licentie, zo lezen we op eWeek. De nieuwe GPL-versie moet niet alleen de huidige situatie weerspiegelen, maar ook de problemen in de toekomst voorzien. Het is de bedoeling dat code die op dit moment beschikbaar is onder het huidige GPL2 gecombineerd kan worden met code dat uitgebracht is onder het nieuwe GPL3. Na de laatste licentie-update in 1991 is er veel in de softwarewereld veranderd. Issues rondom softwarepatenten, copyrightwetgeving en trusted computing zijn aan de orde van de dag en worden niet allemaal evengoed beantwoord door de oude licentie.

5px;" title="Open Source" alt="Open Source" align="right" hspace=10>Een groot probleem voor GPL is dat de wetgeving rondom copyright en patenten per land verschilt, terwijl de licentie wereldwijd geldig moet zijn. Trusted computing is een van de zaken die ontwikkelaars van open source software zorgen baart. Wanneer bij trusted hardware de software verandert wordt, zal de hardware hier niet meer op reageren omdat deze beperkt is tot de vertrouwde ongewijzigde code. Dit zal open source software geen goed doen en is dus een punt waar bij de ontwikkeling van de nieuwe GPL-licentie aan gewerkt wordt. Het is nog niet bekend wanneer de GPL3-licentie gebruikt kan worden door het publiek.

Reacties (33)

Verwijderd 23 november 2004 23:06

Het gaat het gewoon gebeuren.

Dan ga ik desnoods 20 jaar door met het computertje dat ik nu heb, maar NO WAY dat ik zo'n systeem in huis haal. Ik ben de baas over mijn computer, zo is het altijd al geweest, en zo zal het ook altijd blijven.

Verwijderd @Verwijderd • 23 november 2004 23:36

Zo denk ik ook, maar er komt het moment dat zeg 2 jaar vanaf nu, Half-Life 3 op geen ander platform draait dan op TrustedComputing, of wat dan ook wat jij graag wilt zien (film) of gebruiken (programma/etc).

In het begin zal er vast wel een 'hack' uitgebracht worden om dit te omzeilen, maar uiteindelijk zal de hardwarematige beveiliging van dien aard wezen dat het zo goed als onmogelijk gemaakt wordt om dat te doen.

De filmindustrie bijvoorbeeld heeft echt wel door dat hun CSS niet voldeed kwa encryptiesterkte, echter ze moesten wel kwa de toendertijd hardwaresterkte voor real-time decryptie. De hardware is momenteel echter veel sneller voor dezelfde kosten, dus de huidige 40-bit CSS encryptie kan gemakkelijk verhoogd worden naar een 156-bit encryptie, zoals momenteel op nieuwe WiFi-G hardware wordt gebruikt (of nog hoger).

Olaf van der Spek @Verwijderd • 24 november 2004 01:23

dus de huidige 40-bit CSS encryptie kan gemakkelijk verhoogd worden naar een 156-bit encryptie, zoals momenteel op nieuwe WiFi-G hardware wordt gebruikt (of nog hoger).

CSS is niet gekraakt door brute-forcing, dus het verlengen van de key is geen (volledige) oplossing.

jp @Verwijderd • 24 november 2004 01:49

Dan koop je tegen die tijd een Xbox-3 om dat soort spelletjes te spelen...

miw @Verwijderd • 23 november 2004 23:31

Baas in eigen PC.

Het sentiment kan ik delen. De angst voor trusted computing is bij mij een stuk minder. Door initiatieven zoals 3GPL is het waarschijnlijker dat er een eindgebruiker vriendelijke versie van trusted computing ontstaat. Deze door de eindgebruiker gecontroleerde variant zal zeker door de OSS community gebruikt worden. Als de multi-nationals dan niet volgen, heeft OSS een prachtige toekomst voor zich.
Merk op dat dezelfde technologie die gebruikt wordt om "eigendommen van multi-nationals" te beschermen, ook gebruikt kan worden om de eigendommen van eindgebruikers te beschermen. Technologie is neutraal; het kan goed of slecht gebruikt worden.

Verwijderd @miw • 23 november 2004 23:38

Baas in eigen PC.

Hehehe... Had ik eerst ook getypt, maar deed me toch teveel aan dingen denken waarmee ik geen connecties heb

Maar wat je zegt, technologie kan voor het goede en het kwade gebruikt worden. In de praktijk bij mij komt het vaak voor dat het op een verkeerde manier wordt gebruikt, zo ook met DRM etc. Natuurlijk ben ik wel voor de bescherming van de eigendommen van de rechtmatige eigenaars en tegen virussen (Waar ik doordat ik Linux gebruik - Wat je waarschijnlijk al vermoedde

- geen last van heb) maar dit zal dan zeker op een transparante manier moeten gebeuren. Een open-source DRM-technologie (Die zeker mogelijk is door gebruik te maken van public/private key gebruik) die geen invloed op mijn hele systeem heeft zou ik nog best willen installeren, maar zoals je al opmerkte: Baas over eigen PC

Netsensei @miw • 25 november 2004 11:05

Ik denk op eenzelfde manier erover.

baas in eigen pc!

Ik heb nog altijd het recht om zélf te bepalen wat er op mijn pc gebeurt. Ik ben dan ook niet van plan HW te kopen die bepaalt wat voor mij goed is.

Een absoluut 'doemscenario' lijkt me een schisma in de IT wereld: de TC -wereld en de niet TC-wereld en geen van de twee is compatibel met de ander.

Verwijderd 23 november 2004 21:42

Ik hoop dat ze een licentie hebben weten te creeeren waarme het hele 'trusted computing' wat gebaseerd is op winstbejag, in een keer de kop weten in te drukken.

miw @Verwijderd • 23 november 2004 22:19

Trusted computing is in staat om een PC effectief te beschermen tegen de executie van ongeauthoriseerde software. De hardware houdt dan door malware gewijzigde code tegen. Dit lijkt me een wenselijke eigenschap.
In een windows achtig model kan Trusted Computing mogelijk gebruikt worden om de vrijheden van de eindgebruiker in te perken. In een (volledig) open source omgeving heb je dit nadeel niet omdat de eindgebruiker zelf de code kan aanpassen en toevoegen aan de collectie van geauthoriseerde programma's.
Het kernprobleem is nu hoe je programma's in de trusted computing omgeving kan laten opnemen. Bij een verkeerde implementatie ervan zou een situatie kunnen ontstaan welke minder wenselijk is voor Open Source Software. Tijd dus voor een sterke lobby actie zoals ook in het artikel wordt voorgesteld.

Verwijderd @miw • 23 november 2004 22:27

Dit lijkt mij een wenselijke eigenschap

Ik weet niet of je weet wat je hier zegt, maar in feite geef je de macht over jouw pc weg aan een multinational, iets waar geen enkele tweaker op zit te wachten. Open-Source Software ontwikkeling wordt hierdoor zeer belemmerd / zo niet onmogelijk gemaakt. Gevolg: Een nog verdere monopolisering van de computermarkt, vanzelfsprekend in de richting van Microsoft en de (Amerikaanse) overheid (Denk aan instanties als de CIA, FBI en Echelon). Deze heeft minder privacy tot gevolg (Wie zegt dat dat computerprogramma niet heel iets anders doet?) en misschien net zo erg: De mogelijkheid om de prijzen nog verder omhoog te gooien.

Kortom: Geen wenselijke ontwikkeling

Verwijderd @Verwijderd • 23 november 2004 23:00

@Ortep: Als je verder had gelezen, zag je dat ik ook de mogelijke prijsverhoging als argument heb gebruikt. En je kan veel zeggen, maar je treft de consument toch zeker wel als je ze in hun beurs treft. Dubbel zelfs: Wie heeft er nou geen illegale software draaien (Die dan gekocht zou moeten worden).

miw @Verwijderd • 23 november 2004 23:08

in feite geef je de macht over jouw pc weg aan een multinational

Trusted Computing kan ook op een OSS vriendelijke manier geimplementeerd worden. Als je tijdens installatie van software, je ze kan toevoegen aan een door de eindgebruiker beheerde collectie van ge-authoriseerde programma's is er helemaal geen issue.
Het probleem is dus wie de controle krijgt over het authorisatie process. Als dat alleen bij een aantal grote private partijen terecht komt, heb je een punt. Als meerdere partijen (dus ook OSS communities) als bron van "trust" kunnen functioneren, hoeft een eindgebruiker zich minder zorgen te maken.
Gelukkig zijn er voldoende partijen die zich voor de belangen van de consument inzetten.

Ortep

@Verwijderd • 23 november 2004 22:54

iets waar geen enkele tweaker op zit te wachten

Daar heb je waarschijnlijk gelijk in. Maar 99% van de wereld is geen tweaker. En bv bedrijven willen maar al te graag dat hun documenten 'veilig' zijn en dat hun systemen blijven draaien. Dat wil het grootste deel van het normale publiek ook.

Het geldt op meer gebieden: Je hebt ook geen echte controle over hoe je auto werkt en waar je kunt rijden. Je mag officieel nog geen schroef in je stoel vervangen want dan ben je niet meer 'veilig' Daar klaagt ook niet echt iemand over.

Kortom: Voor de meeste mensen een gewenste ontwikkeling.

Verwijderd @Verwijderd • 23 november 2004 23:20

Sterke argumenten, maar hoe wil je de OSS community als trust gebruiken? Als het hele systeem niet open source is, zullen zij nooit instemmen met zo'n systeem. Dan rijst er nog een vraag: Op welk niveau laat je die trusts doen? Op het OS niveau zie ik het niet gebeuren ==> Mensen gaan Linux tweaken om van dat hele Trusted Computing gedoe af te komen. Op hardware-niveau dan? Dan krijg je waarschijnlijk hardware die aangepast is voor Microsoft, waar Linux dan weer omheen moet werken, want anders zou het hele systeem niet meer werken.

Rukapul @Verwijderd • 23 november 2004 23:41

Als je echt geinteresseerd bent:
Terra: A Virtual Machine-Based Platform for Trusted Computing
T. Garfinkel, B. Pfaff, J. Chow, M. Rosenblum, and D. Boneh.
In Proceedings of the 19th ACM Symposium on Operating Systems Principles (SOSP 2003), pages 193-206, October 2003.
http://suif.stanford.edu/papers/sosp03-terra.pdf

Olaf van der Spek @Verwijderd • 23 november 2004 23:48

Als je tijdens installatie van software, je ze kan toevoegen aan een door de eindgebruiker beheerde collectie van ge-authoriseerde programma's is er helemaal geen issue.

Dat is dus niet wat MS van plan is.

Verwijderd @Verwijderd • 23 november 2004 23:58

Volgens mij is Trusted Computing alleen toepasbaar in een gecontroleerde omgeving. Het internet is geen gecontroleerde omgeving, een bedrijfsnetwerk wel.

Trusted Computing is veilig zolang het besturingssysteem of de hardware veilig zijn. Als iedereen aanpassingen kan maken is dit inherent onveilig. In een bedrijfssituatie kan IT beheer oid bepalen welke systemen geinstalleerd zijn, welke software. Een TC/DRM achtig systeem zou hier prima ingevoerd kunnen worden. Waarom zou je tenslotte systemen toe staan die 'vreemd' zijn (ik geef toe, dit verschilt per bedrijf of dit kan).

In het geval van internet is dit duidelijk geen optie. Er is niet een instantie/groep die uitmaakt wat iedereen moet gebruiken. Als dat niet zo is, zullen mensen dus zelf dingen kunnen aanpassen en zullen ze TC/DRM mechanismen kunnen uitschakelen omzeilen. Wil je binnen die context TC/DRM toepassen, dan kan dat gewoon niet. En als het je al lukt, heb je jezelf volgens mij een recht/macht toegeigend die je helemaal niet hoort te hebben.

TC/DRM is dus een prima mechanisme, maar alleen toepasbaar binnen een context waar een iemand/dienst/groep oid bepaalt wat er gebeurt. Gaat het daarbuiten, dan klopt er iets niet, tenzij we beslissen dat Hollywood/Microsoft/RIAA/Brein/Overheid of wie dan ook alles over de computer te zeggen heeft.

Olaf van der Spek @Verwijderd • 24 november 2004 00:17

Volgens mij is Trusted Computing alleen toepasbaar in een gecontroleerde omgeving. Het internet is geen gecontroleerde omgeving, een bedrijfsnetwerk wel.

Als het goed geimplementeerd wordt, hoef je het netwerk niet te vertrouwen.

SPee @Verwijderd • 24 november 2004 12:19

Dan heb je als developer geen werk meer, want elke keer als je test, voer je ongeautoriseerde code uit en wordt die niet uitgevoerd.

Dus ik denk dat ze dit niet kunnen uitvoeren als ze eerst wensten. Anders zal er nog zat hardware verkrijgbaar zijn die hier niet mee werken of waar het uit te schakelen is.

Maar hoe wordt het verwoordt in de GPL? "Gij zult geen TCPA gebruiken"? of wordt het "Als je TCPA gebruikt, moet de applicatie waarvan je het afgeleid hebt, ook TCPA gecertificeerd zijn"?

Olaf van der Spek @miw • 23 november 2004 23:46

Trusted computing is in staat om een PC effectief te beschermen tegen de executie van ongeauthoriseerde software.

Zeiden ze dat niet ook van Windows NT, 2000, XP, 2003 en de Xbox?
Waarom zou TCPA wel bugvrij zijn?

miw @Olaf van der Spek • 24 november 2004 00:26

Goed punt.
Wat TCP beter maakt dan het gewone OS is het feit dat het onafhankelijke hardware is die de code veriefieerd. Dus zelfs een succesvolle exploit kan geen code laten executeren zonder remote de TCP hardware te hacken. Dit is de functionaliteit waar een eindgebruiker voordeel van kan hebben.
TCP kan ook gebruikt worden in DRM achtige toepassingen. Deze hebben een compleet ander risicoprofiel, omdat daar het DRM programma beschermd moet worden tegen een mogelijk malafide eindgebruiker. Toegang tot de hardware maakt zo'n locale TCP aanval een stuk eenvoudiger.

Verwijderd @Verwijderd • 23 november 2004 22:14

Er zitten 2 kanten aan trusted computing:
Aan de ene kant probeert Microsoft (en andere fabrikanten als Intel) een machtige positie te veroveren, waarbij geen echte concurrentie mogelijk is en eventuele concurrenten gebonden zijn via licenties en patenten.

Aan de andere kant is dit waarschijnlijk de enige manier om propriety content op de pc te kunnen blijven gebruiken. Denk aan fillms, maar misschien ook games, boeken, tijdschriften en andere zaken.

Er is nog een derde kant, met het (zelf) kunnen beheersen van documenten, toekennen van rechten e.d., maar dat lijkt me ondergeschikt aan bovenstaande. Voor de gebruiker in elk geval.

Als je stelt dat de nieuwe GPL trusted pc de kop in moet drukken geef je daarmee dus aan dat films en dergelijke niet via de pc mogen worden afgespeeld. GPL is niet tegen commercie, het is voor een open markt waarbij kleine spelers niet bij voorbaat het onderspit delven tegenover multinationals. De officiele doelen gaan dus niet in tegen de GPL, de manier om dat doel te bereiken wel.

Overigens ben ik zelf van mening dat er ook methoden moeten zijn om IP te kunnen verspreiden op een manier dat de rechten van de uitgevers beschermd kunnen worden. Ik denk ook niet dat daarover discussie is. Het is meer dat tegenwoordig de prijs vaak onzinnig is, dat de verkeerde mensen het geld opstrijken en dat er soms onredelijke beperkingen worden gesteld (denk aan regiocodes). Trusted computing gaat echter wel heel erg ver.

Verwijderd 24 november 2004 09:23

Gaan we nou de "Mutual Termination" clausule krijgen die ook in Apache's licentie zit?

Verwijderd 23 november 2004 22:36

Het is in ieder geval een goede zaak dat er al aan deze nieuwe versie gewerkt wordt, voordat Trusted Computing daadwerkelijk ons gaat overvallen via Springdale chipsets van Intel en de soortgelijke versie van AMD.

Palladium was dan wel stopgezet enkele jaren terug door privacy watchdogs, maar TrustedComputing is gewoon een nieuwe naam voor hetzelfde en door druk van post-9/11, alle spam/trojan/virussen en vooral de muziek/film industrie gaat het gewoon gebeuren.

Darth Punk 24 november 2004 08:23

ik ben benieuwd wat de nieuwe GPL licentie gaat doen met trusted computing. Open Source software staat voor vrijheid en dat zal zo ook wel blijven. Ik ben alleen huiverig over het volgende: voor trusted computing zal je inderdaad een soort certificaat nodig hebben om software via trusted computing te laten werken. Dat zal ook de nodige kosten met zich meebrengen. dus als een auteur zijn/haar software bv. wil aanbieden via sourceforge.net en jij wilt deze software gaan gebruiken dan zal je waarschijnlijk ook moeten gaan betalen, want de auteur zal deze kosten waarschijnlijk niet kunnen ophoesten. Dat vind ik jammer omdat 99% van de open source software nu (nog) gratis is en ik ben bang dat daardoor het potentieel van open source software in toekomst verdrukt zal worden door commerciele software. Dus het is te hopen dat de heren en dames van Trused Computing en dan met name Microsoft hun hand over hun hart strijken

PS: open software is niet alleen voor LINUX/UNIX. er bestaat ook open source software voor Windows

35MHz OC @Darth Punk • 24 november 2004 17:59

Als de TCP chip in de computer in samenwerking met het OS de trustedness van applicaties bepaald, kunnen er binnen FOSS mechanismen ingebouwd worden die volledige controle aan de gebruiker geven.

Ik neem aan dat dit het geval zal zijn, want anders zou een Windows versie 1 universele key moeten hebben om op alle TCPA computers te kunnen draaien (1 key verhoogt de kraakbaarheid aanzienlijk).

Of elke computer krijgt zijn eigen unieke toegewezen Windows exemplaar (Lijkt me nogal kostbaar).

Het nadeel hiervan is dat mainstream DRM content vermoedelijk niet zal werken op FOSS OSen. Maar dat is een offer dat ik maar al te graag breng.

Wie de vrijheid proeft, vreest de boeien van onderdrukking des te meer.

Verwijderd 24 november 2004 00:55

Eigenlijk vind ik het wel goed als de kernel (en andere open source projecten) naar een licentiemodel gaat vergelijkbaar met Windows. Weerhoud Microsoft ervan om onbetaald dingen zomaar te kopieëren.

En ja, ik weet ook wel dat het er waarschijnlijk niet inzit.

35MHz OC @Verwijderd • 24 november 2004 17:50

Hoe bedoel je dit DrWollfenstein?

A.) Microsoft heeft daadwerkelijk source code uit FOSS projecten gekopieerd, zonder dat de licentie de verdere verspreiding daarvan op die wijze toestond.

B.) Microsoft heeft FOSS source code bestudeerd en er een clean room herimplementatie van gemaakt.

C.) Microsoft zag aan de oppervlakte een goed idee en heeft het concept genomen om zelf een soortgelijk iets te ontwikkelen.

In geval A is het iets verwerpelijks, dat gelukkig heel goed aan te pakken is met de huidige licenties. Copyright infringement is een redelijk zwaar vergrijp met forse straffen voor bedrijven.

In geval B en C vind ik het helemaal geen probleem. Innovatie is het voortborduren op wat er al is en dat te verbeteren en uit te breiden.

De kracht van FOSS en GNU/Linux is juist dat anderen mogen kopieren binnen de licentie bepalingen. Een MS style Shared Source licentie zou FOSS de das om doen.

Mijn advies aan jou, DrWollfenstein: Terug naar de schoolbanken en goed bestuderen wat nu werkelijk de drijvende kracht achter FOSS is. (Kleine tip: Laat wat je weet over closed source los. Dit geldt ueberhaupt niet voor FOSS!)