Intels tvetydige id-nummer

Intel skal utstyre sine prosessorer med et Internett-lesbart identifikasjonsnummer på 96 biter. Det er ikke noe groteskt angrep mot personvernet, men helt enkelt en svært dårlig idé.

Premisset for id-nummeret er at det skal gi en entydig måte å identifisere en bestemt PC på, fra enhver tjener som PC-en er i kontakt med på Internettet.

Ifølge Intel skal dette fremme elektronisk handel og annen Internett-aktivitet som virtuelle private nett og fjerntilgang ved å tilby bedre sikkerhet. Det skal ikke lenger være mulig å rappe dine tjenester bare ved å skrive av et brukernavn og knekke et passord. Det snakkes også om at piratkopiering kan avverges, ved at applikasjoner knyttes til én bestemt maskin.

Premisset for både Intels påstand om bedre sikkerhet, og personvernaktivistenes anklage om svekket personvern, er en oppfatning av at en PC i praksis er et personlig redskap. Dette premisset er uholdbart.

Til yrkesbruk er den rådende oppfatning den at man i stadig større utstrekning bør legge opp nettverket slik at brukerne kan få kontakt med sin personlige arbeidsflate, helt uavhengig av hvilken maskin de nytter i øyeblikket. For å øke sikkerheten vurderes autentifiseringsmetoder knyttet til smartkort eller personavhengige egenskaper som fingeravtrykk, ansikt eller øyne.

Et rammeverk for sikkerhet som binder brukere til bestemte maskiner er avleggs.

Også i forhold til hjemme-PC-er svikter logikken. Selv om et hjem har flere PC-er, er mønsteret at mor, far, ungdom og unge bruker den maskinen som er ledig i øyeblikket. Det er umulig å tenke seg en situasjon der bestemte tjenester avvises, for eksempel kontroll med en bankkonto, fordi kontoinnehaveren ikke sitter ved den maskinen banken mener hun bør sitte.

Sikkerhet må knyttes til person, ikke til maskin.

Hva slags pålitelig markedsføringsinformasjon kan gis av et maskinbasert opplegg? Forestill deg far som tar over en økt etter tenåringsdatteren, og rammes av skreddersydd reklame for Spice Girls og tamponger, eller ungen som oppfordres til restaurantbesøk fordi mor har sjekket hvor neste venninnetreff skal holdes.

Når det gjelder beskyttelse mot piratkopiering stiller for eksempel Software Publisher's Association seg avventende. De er for alt som kan beskytte lisensiering, men tar avstand fra noe som kan true personvernet til ærlige Internett-brukere. Pirater som har uttalt seg (anonymt) sier at det sannsynligvis ikke vil være noe problem å lage og fordele "patcher" som setter karusellen i gang igjen. Det bør også bemerkes at prosessor-id-nummer er som skapt for Microsofts nye maskinorienterte lisensiering, men irrelevant for andre leverandørers brukerorienterte lisensiering.

Prosessor-id-nummeret kan heller ikke gi noe vern mot tyveri av selve PC-en, selv om det skulle vises i praksis at programvarebryteren som hindrer koden fra å leses, ikke fungerer. Intel bedyrer nemlig at man ikke ville føre noen logg over id-nummere, og at det følgelig ikke vil være noe av interesse for politiet å lese.

Intel har latt krypterings- og sikkerhetseksperter se på den nye teknologien. De første reaksjonene derfra svarer til piratenes. Id-nummeret er verken interessant eller brukbar, fordi det er for lett å hacke det, sa for eksempel Bruce Schneier, forfatter av "kryptobibelen" Applied Cryptography til ZDNet.

Konklusjonen er at prosessor-id-nummeret synes irrelevant, unødvendig, uhensiktsmessig og ubrukelig.

Intel bør trekke det stille tilbake, og konsentrere seg om brukerorienterte sikkerhetsopplegg. Det er synd at denne dårlig idéen ble fremmet samtidig og skygger for en virkelig god idé: Pentium III utstyres nemlig med en termisk generator av virkelig tilfeldige tall, som kan brukes til å gi vanlige brukere virkelig solid kryptering.

Til toppen