Efterlevnad och robusthet
Efterlevnad och robusthet , ibland förkortat som C&R , hänvisar till den juridiska strukturen eller regimen som ligger till grund för ett DRM-system ( Digital Rights Management) . I många fall tillhandahålls C&R-regimen för en given DRM av samma företag som säljer DRM-lösningen. Till exempel RealNetworks Helix eller Microsoft Windows Media DRM .
För standardiserade DRM-system är det dock ganska vanligt att ett separat organ inrättas för att driva C&R-systemet.
Element
C&R Body
Den juridiska person som upprättar och upprätthåller regimen. Vanligtvis kommer detta att vara ett joint venture eller forum med representation från flera företag, strukturerat på ett sådant sätt att man undviker anklagelser om antitrustöverträdelser . Verksamhetens karaktär är att sådana organ i allmänhet kommer att bestå av tillverkare och innehållsägare, med liten eller ingen direkt representation från konsumentförespråkare.
Trust Model
C&R-organet ansvarar för att säkerställa en förtroendekedja, så att den ursprungliga innehållsleverantören är tillräckligt övertygad om att deras innehåll kommer att förbli tillräckligt säkert genom alla framtida länkar i kedjan. Detta kan inkludera export av innehåll från ett DRM-system till ett annat.
För att uppfylla detta krav är det normalt att alla enheter som planerar att ta emot DRMed-innehåll måste validera att de uppfyller C&R-kraven, och detta görs vanligtvis med hjälp av ett enhetscertifikat av något slag. Utfärdandet av sådana certifikat är godkännandestämpeln för både tillverkaren och enheten.
Om två enheter kan verifiera att de båda har betrodda certifikat, kan de rimligen förvänta sig att innehåll som skickas mellan dem förblir säkert.
Efterlevnadsregler
I många fall kommer det att finnas luckor, oklarheter eller alternativ som lämnas öppna i en teknisk DRM-specifikation. C&R-regimen måste klargöra exakt hur en kompatibel enhet ska bete sig i dessa fall. Till exempel kan en överensstämmelseregel definiera vilka andra typer av gränssnitt som är acceptabla på en enhet, något som den tekniska specifikationen i sig aldrig kommer att göra.
Robusthetsregler
Den mest kontroversiella aspekten av C&R är avtalet om hur man säkerställer att en enhet är tillräckligt robust för att motstå attacker. Dessa regler kan kräva att vissa element endast implementeras i hårdvara, eller körs på säkra processorer, eller att koden inte får vara tillgänglig som öppen källkod. Tillverkarna måste sedan försäkra C&R-organet att de uppfyller detta krav innan de får tillgång till de certifikat som behövs för att fastställa att deras produkter är betrodda.
"Hook IP"
Ett särskilt knep som ofta används är att inkludera någon patenterad teknologi, ofta som en del av mekanismen för att etablera förtroende. Detta innebär att alla som vill implementera DRM på ett sätt som fungerar med andra tvingas licensiera dessa patent. Ett villkor för att få en sådan licens är att följa reglerna i själva C&R-regimen. Således har ett C&R-organ ett 20-årigt fönster på sig att vidta rättsliga åtgärder mot en "skurk" implementering på grund av patentintrång, snarare än att behöva förlita sig på en DMCA-liknande förordning från den relevanta regeringen . Behovet av att licensiera hook IP-patent påverkar också alla som funderar på att bygga en produkt som omfattas av GPL .
Ett välkänt exempel på ett system som använder sådan Hook IP är DVB Common Scrambling Algorithm DVB-CSA , som även om den är standardiserad av ETSI , inkluderar patenterade element som endast är licensierade till godkända leverantörer av villkorligt åtkomstsystem som samtycker till att upprätthålla sekretessen och integriteten för algoritmen i deras chipdesigner.