[Metalab] 1. Hallo Metalab 2. Selbstgebasteltes DRM für Mediendateien

Adrian Dabrowski adrian at atrox.at
Fri Apr 14 20:00:15 CEST 2017 

Manche Bluetooth-Low Energy Beacons können s.g. ephemeral IDs (zb
Eddystone) erzeugen. dh, man hat zb alle 30-60 sekunden eine neue ID
(generiert aus einem start-Seed, ähnlich wie RSA tokens). Damit kann
eine App (bzw der Server) überprüfen, dass jemand tatsächlich zum
entsprechenden Zeitpunkt Vor-ort war, und bekommt evt auch andere
Dateien ausgeliefert.

Früher ging das nur via APP, aber neuerdings sollte das sogar via
Bluetooth-API aus dem Chrome funktionieren. Afaik, aber beides nur auf
Android.

Für NFC kenne ich bisher keine Lösung mit Ephemeral IDs, und QR codes
wären sowieso statisch.

Wenn du keine App verwendest (sondern nur einen Webbrowser) kannst du ja
ein Login fordern und dann personalisierte Dateien zurückliefern; du
kannst dir aber nicht sicher sein, dass jemand sein Passwort
weitergegeben hat (evt statistisch untersuchen, ob gleiches Handy, usw).

Wenn du 100% DRM haben möchtest, dann gibt es das nicht - du kannst nur
dafür sorgen, dass die Umgehnung deiner Verschleierungsmaßnahmen in
keinem vernünftigen Verhältnis zum potentiellen Gewinn steht. Dann ist
es automatisch uninteressant den Aufwand für ein bisschen Schummeln zu
betreiben.

lg,
Adrian


On 2017-04-14 19:35, Chris Hager wrote:
> Hallo,
> 
> Ich kann mich aus Erfahrung den bisherigen Meinungen nur anschließen.
> 
> Wenn ihr nicht ausgiebig Programmiererfahrung habt würde ich auch
> aufpassen das Projekt so einfach wie möglich zu halten! Ansonsten läuft
> ihr größte Gefahr euch in technischen Details zu verlieren die nicht
> wirklich notwendig sind und nie fertig werden.
> 
> Ich denke eine mobile App zu implementieren, die On-Demand die
> Soundfiles aus dem Netz raus-streamed wäre schon einmal recht einfach,
> angenommen der Server spuckt einfach den Audiostream unverschlüsselt
> aus. Oder mit einem fixen vorprogrammierten Secret-Key obfuscated. Aber
> aufpassen -- alle Apps können sehr einfach reverse engineered werden und
> vorausgelieferte Secret Keys können immer ausgelesen werden. Es wäre
> wohl das einfachste, die files einfach mit einem gewissen secret zu
> XOR-en und als File auf der SD Karte zu hinterlegen. Das ist sehr wenig
> Aufwand, braucht aber schon technisch etwas know-how um die Daten zu
> de-obfuscaten und mit anderen zu sharen.
> 
> Ich denke da ist für euch der Sweet-Spot zwischen Geheimhaltung und
> Aufwand nicht explodieren lassen. Einfach obfuscaten mit einem in der
> app vorprogrammieren Secret-Key. Dieser Secret Key könnte auch bei
> App-Start generiert werden, und von der App in einem vom OS
> bereitgestellten Secret-Storage hinterlegt werden.
> 
> LG,
> Chris
> 
> 2017-04-14 16:38 GMT+02:00 Benjamin Oppermann <ben.opp at eml.cc
> <mailto:ben.opp at eml.cc>>:
> 
>     Hallo,
>     Ich war unlängst erstmals im Metalab anlässlich des Mediawiki-Workshops,
>     es hat mir alles sehr gut gefallen und jetzt wollte ich mich mal
>     listenmäßig bei euch einklinken! :-)
>     Kleine Frage vorab zu dieser Liste:
>     Auf der Anmeldeseite steht, die Liste wird öffentlich indexiert - die
>     E-Mailadressen sind aber nicht sichtbar, oder? Wenn ich mich ein wenig
>     vorstellen möchte, aber nicht dem ganzen Internetz, sondern nur dem
>     Publikum von Metalab, dann nicht hier...?
> 
>     Mein aktuelles Thema:
>     Ich habe eine momentan noch sehr vage Idee für eine kleines
>     Deutschlernprojekt für Jugendliche, gemischt mit Geocaching,
>     Openstreetmaps, mobile Apps...
>     Kurz erklärt, man soll eine Audiodatei, die z.B. eine Deutschlektion
>     enthält von einem Geocache irgendwo in Wien abholen. Dort spielt man sie
>     per NFC/Bluetooth aufs Telefon. Der Geocache macht nix anderes, als
>     diese Audiofiles auszuspucken (manchmal hats schon im öffentlichen Raum
>     schon Plakatwände gegeben, die sowas gemacht haben).
>     Das Problem dabei ist, jeder, der an der Sache teilnimmt, soll sich
>     persönlich dorthin begeben um seine Datei abzuholen. Ich möchte
>     verhindern, dass einfach einer der Schüler  dorthin fährt und die Datei
>     dann an den Rest der Gruppe weiterverteilt. Die Datei soll also auf dem
>     Gerät bleiben, mit dem man sie geholt hat bzw. nur dort abspielbar sein.
> 
>     In anderen Worten, wie baue ich mir mein eigenes Mini-DRM?
> 
>     Ich habe quasi keine Programmierfähigkeiten - mein Kollege, der
>     vielleicht mitbasteln wird, kann einige Basics - ich arbeite, soweit es
>     geht, auf Linuxgeräten und kann mit guter Dokumentation einfachere
>     CLI-Programme bedienen.
> 
>     Ich habe kein Geld für teure kommerzielle Lösungen (obwohl habe etwas
>     gefunden mit einer gratis
>     90-Tage-Testversion:http://3.drm-x.com/Register.aspx
>     <http://3.drm-x.com/Register.aspx>).
> 
>     Es macht nichts, wenn es leicht zu hacken ist. Mein Publikum hat da
>     tendenziell sehr beschränkte Fähigkeiten (diese zu erweitern ist auch
>     Ziel des Projekts) und kann zudem schlecht Deutsch und nur selten gutes
>     Englisch. Alle können ein Smartphone bedienen, einen PC eher selten. Es
>     gibt Ausnahmen, die problemlos eine Lösung ergooglen und umsetzen
>     könnten. Wenn die sich lieber die Mühe machen möchten, das DRM zu hacken
>     statt mit der Straßenbahn zu dem Geocache zu fahren, dann soll es so
>     sein (dann haben sie auch etwas gelernt)  :-) Es soll einfach nur die
>     allerbequemste Art, sich um eine Öffi-Fahrt/einen Spaziergang zu
>     drücken, verhindern.
> 
>     Das DRM sollte also die erlaubten Kopiervorgänge auf 0 reduzieren.
>     Soweit ich weiß, sollte es nicht schwierig sein, die Files zu
>     verschlüsseln - aber wo tue ich den privaten Schlüssel hin? Mir scheint,
>     Musikdownloaddienste (nicht Streaming) wie iTunes liefern den gleich mit
>     - aber was verhindert, dass der zusammen mit der Datei weiterverteilt
>     wird? Wird bei jeder Ausgabe ein neuer Schlüssel generiert?
> 
>     Während ich dies schreibe, kommt mir die Idee, dass es einfacher sein
>     könnte, wenn es sich um lauter verschiedene Audiofiles handelt (was
>     genau deren Inhalt sein soll und wie damit weiter verfahren wird, ist
>     noch eine andere Frage)... naja, so weit reicht mein Latein einfach noch
>     nicht.
>     Wer hat Ideen oder etwas möglichst konzises zum Nachlesen?
> 
>     Vielen Dank fürs Lesen und liebe Grüße,
>     Benjamin
> 
>     _______________________________________________
>     Metalab mailing list
>     Metalab at lists.metalab.at <mailto:Metalab at lists.metalab.at>
>     https://lists.metalab.at/mailman/listinfo/metalab
>     <https://lists.metalab.at/mailman/listinfo/metalab>
> 
> 
> 
> 
> _______________________________________________
> Metalab mailing list
> Metalab at lists.metalab.at
> https://lists.metalab.at/mailman/listinfo/metalab
>

More information about the Metalab mailing list