Het internet der dingen kan ten onder gaan aan DRM, schreef Bruce Schneier onlangs. Steeds meer apparaten worden slim en hangen aan internet, maar iedere fabrikant lijkt de neiging te voelen een stukje controle in te bouwen en dat via DRM-wetgeving of gewoon botweg veranderingen aan de firmware af te dwingen. En dat gaat in tegen de kerngedachte van internet: alles praat met elkaar, bedient elkaar en wisselt informatie uit. DRM als dood voor dingen?
Het meest recente geval betrof de Zigbee-lampen van Philips. Via het Zigbeeprotocol kunnen lampen op afstand worden bediend in een netwerk. Een recente firmwareupdate van Philips zorgde er echter voor dat dit niet meer werkte met lampen van andere fabrikanten, ook al waren die lampen compliant met het protocol. Met de marketingmeelbal over iets met gebruikskwaliteit werd dit teruggedraaid, maar de boosheid bij gebruikers zal nog wel even blijven hangen.
Dit was dus een ingebouwde wijziging (firmware update), hij doet het gewoon niet meer. Andere fabrikanten gebruiken DRM: beveiligingsroutines die bepaald gebruik afdwingen of juist blokkeren. Schneier noemt het voorbeeld van de Keurig koffiecups. Het koffiezetapparaat van het bedrijf herkent cups als al dan niet authentiek van henzelf, en weigert dienst als die herkenning mislukt. Hetzelfde is bij diverse printers bekend met inktcartridges van andere fabrikanten. Alsof je Senseo geen koffie van Perla-pads meer wil zetten omdat “een perfecte gebruikservaring niet kan worden gegarandeerd”.
Dergelijke routines zijn te omzeilen. Die cups hebben een chipje aan boord met daarin een of ander controlegetal. Achterhaal dat getal (of hoe je dat maakt) en stop in je eigen cups een vergelijkbaar chipje met hetzelfde getal, en hoepla alsnog perfecte gebruikservaring. Alleen: dat mag niet, want DRM.
Digital Rights Management (DRM) is eind jaren negentig als concept opgekomen om muziek en films te beschermen tegen ongeautoriseerd kopiëren. In de basis komt het erop neer dat software bepaalde acties met die muziek of films blokkeert, en omdat het wettelijk verboden is die software uit te schakelen of te omzeilen, is het probleem van ongeautoriseerd kopiëren dan opgelost. Ahem, ja ik weet het.
Ergens begin jaren nul hebben wat slimme advocaten bedacht dat DRM-wetgeving niet alleen over muziek en films gaat. Er staat in de wet “ongeautoriseerde toegang tot een beschermd werk” en daaronder kun je ook de firmware van een apparaat rekenen. Je bent dus illegaal bezig als je een printercartridge maakt die in andermans printer werkt, want jouw chipje met nummer is een ongeautoriseerd toegangsmiddel. Er wordt nu immers toegang verkregen tot de routines uit de firmware die het printen mogelijk maken, terwijl die routines alleen benaderd mochten worden door cartridges van de fabrikant zelf. Ja, die is heel gezocht. Specifiek voor printers té gezocht, want in 2004 verklaard een Amerikaans beroepshof deze interpretatie van printerfabrikant Lexmark als in strijd met de wet.
Lexmark was lang niet de enige die het probeerde. Anderen riepen (en roepen) hetzelfde, met wisselend succes bij de rechter. En dan krijg je te maken met een beetje vervelende bug uit het Amerikaanse recht: ook al denk je dat je gelijk hebt, het duurt zó lang en het is zó duur om je recht te halen dat het meestal niet de moeite waard is. Nog afgezien van de kans dat je verliest. Dus als tractorfabrikant John Deerde dan roept dat je je tractor slechts in licentie hebt en je de DRM schendt door het ding te tunen, wat kun je dan?
Dit gaat dus niet werken. Als je werkelijk een Internet der Dingen wil, dan moeten Dingen met elkaar Inter-operabel zijn. Dat vereist protocollen die gezamenlijk afgesproken zijn en door iedereen te implementeren. Geen eenzijdige controle vanuit één fabrikant, en geen technisch/juridische Frankenstein-constructies die dat tegen kunnen houden (of die indruk kunnen wekken). Maar omdat het voor veel fabrikanten eenvoudig en logisch lijkt om iets dicht te timmeren, zie ik dat er niet snel van komen. Hoe veranderen we dat?
Arnoud