imprimatur 1. The formula (=`let it be printed'), signed by an official licenser of the press, authorizing the printing of a book; hence as sb. an official license to print.

The Oxford English Dictionary (2nd. ed.)

Wstęp

W przeciągu ostatnich dwu lat stawałem się coraz bardziej pesymistycznie nastawiony w stosunku do przyszłości swobody i wolności słowa, w szczegolności jeśli chodzi o Internet. Oznacza to całkowitą zmianę zdania z nieokiełznanego optymizmu który czułem w okresie 1994-1999 kiedy to publiczny dostęp do Internetu pączkował i jedna za drugą pojawiały się innowacyjne metody porozumiewania. W tym czasie byłem święcie przekonany, że światowy dostęp do Internetu stanie się siłą równoważącą centralizację i koncentrację w rządach i mediach masowych, które działają w kierunku ograniczania wolności wypowiedzi i nieograniczonego dostępu do informacji. Dalej, Internet, wykorzystany we właściwy sposób mógł odwrócić wkraczanie rządów i korporacji w wolność osobistą dostarczając przepływu informacji poza bariery wzniesione przez totalitarne lub autorytarne rządy i wokół cenzorów oficjalnych mediów.

Byłem tak bardzo przekonany o potencjale Internetu jako globalnego i nieskrępowanego środka komunikacji międzyludzkiej, że spędziłem większą część z trzech lat tworząc Speak Freely na Unix'a i Windows'a, darmowy (Public Domain) telefon Internetowy z wojskowej jakości szyfrowaniem. Dlaczego pracowałem nad tym programem? Ponieważ wierzyłem, że świat w którym każdy z dostępem do Internetu mógłby rozmawiać z kimkolwiek innym przy zachowaniu całkowitej prywatności za ułamek kosztu rozmowy telefonicznej byłby lepszym światem niż takiej możliwości komunikacji.

Komputery i Internet, jak wszystkie technologie, są mieczem obusiecznym: o tym czy polepszają czy pogarszają warunki ludzi decydują ci którzy je kontroluję lub sposób ich wykorzystania. Znaczna większość science-fiction związanego z komputerami od lat 50-tych przez wschód komputerów osobistych w latach 70-tych skupiała się na możliwości powstania centralnej zarządzanej komputerowo tyranii, gorszej od jakiejkolwiej w historii ludzkości, a także na ryzyku, że komputery i zcentralizowane bazy danych wykorzystywane z najlepszymi intencjami mogą w nieunikniony sposób prowadzić do pojawienia się takiej dystopii .

Z nastaniem ery komputerów osobistych te czarne scenariusze zostały wywrócone dogóry nogami. Wraz z nieubłaganym wpływem prawa Moore'a zwiększającego moc dostępnych za tą samą cenę komputerów dwukrotnie w co około dwa lata, w przeciągu kilku lat znaczna większość mocy komputerowej na Ziemi znalazła się w rękach zwykłych osób. Rzeczywiście, okazało się że często duże organizacje, które posiadały niemal monopol na komputery znalazły się w sytuacji w której wykorzystywały antyczny sprzęt o możliwościach mniejszych niż systemy używane do gier przez nastolatków. W przeciągu mniej niż pięciu lat, komputery stały się tak zdecentralizowane jak telewizory.

Jest jednak bardzo duża różnica pomiędzy komputerem a telewizorem. Telewizor może odbierać tylko to co nadawcy zdecydują się nadawać, a komputer może być wykorzystany do tworzenia treści - programów, dokumentów, obrazów - medii dowolnego rodzaju, które mogą być wymieniane z każdym innym użytkownikiem komputera, gdziekolwiek (oczywiście o ile rozwiązany zostanie problem kompatybilności różnych rodzajów plików, co nastąpi gdzieś w czasie przyszłych pięćdziesięciu stuleci).

Komputery osobiste, początkowo odizolowane od siebie, niemal natychmiast zaczęły się samoorganizować w środki komunikacji i obliczeń. Rzeczywiście komunikacja, a nie obliczenia są ich pierwotnym przeznaczeniem. Serwisy online takie jak CompuServe i GEnie zapewniły dostęp do plików, dostęp do danych i for dyskusyjnych, gdzie użytkownicy komputerów za cenę abonamemntu i przy wykorzystaniu modemu mogli spotykać się, komunikować i wymieniać plikami. Komputerowe tablice ogłoszeniowe, FidoNet i systemy poczty i wiadomości typu przechowaj i wyślij jak UUCP/USENET zdecentralizowały komunikację pomiędzy użytkownikami komputerów, osiągając kulminację w eksplozyjnym wzroście liczby osób z prywatnym dostępem do internetu w drugiej połowie lat 90-tych.

W końcu sen stał się rzeczywistością. Jednostki, na całym świecie otrzymały możliwość tworzenia i przesyłania informacji dowolnego rodzaju, spontanicznie tworzyć wirtualne społeczeństwo i robić to wszystko w sposób całkowicie zdecentralizowany, bez jakichkolwiek ograniczeń i regulacji (innych niż już zdefiniowana działalność przestępcza, która jest rządzona tymi samymi prawami niezależnie czy dokonywana jest z czy bez użycia komputerów). Wydawało się, że sama konstrukcja Internetu zapewni ochronę przed możliwością zagnania Dżina do butelki. "Internet traktuje cenzurę jak uszkodzenie i omija ją" (Ta obserwacja jest zwykle przypisywana do John;a Gilmore i Johna Nagle; Nie chcę się tu wdawać w dyskusję na ten temat). Rzeczywiście, społeczeństwa autorytarne, bojące się utraty kontroli nad informacją docierającą do ich populacji mogą ograniczać lub filtrować dostęp do Internetu. Lecz robiąc to stają się jednocześnie mniej konkurencyjne w stosunku do społeczeństw otwartych z nieograniczonym dostępem do światowej wiedzy. W każdym przypadku Internet, tak jak zabronione książki, wideo i talerze satelitarne, ma możliwość dotarcia do nawet najbardziej represyjnych społeczeństw, przynajmniej na górze.

Bez wątpienia ten eksplozywny technologiczny i socjologiczy fenomen musiał żenować wiele instytucji, które zupełnie poprawnie zrozumiały go jako ograniczenie ich kontroli na przepływ informacji i ograniczenie możliwości wpływu na ludzi. Nagle wolność prasy nie dotyczyła tylko tych którzy ją posiadali, ale stała się czymś niemal uniwersalnym: media i wiadomości które wcześniej mogły być rozgłaszane tylko do ograniczonego audytorium i to z dużym trudem i za wysokimi kosztami, mogą być teraz dostępne na całym świecie, prawie bez kosztów, omijając nie tylko media masowe ale też przekraczając granice bez ceł, cenzury czy ograniczeń.

Były próby wykonywane przez "Grupę Trzymającą Władzę" by odzyskać choć część władzy którą tak nagle straciła: próby ograniczania dystrybicji i/lub wykorzystywania szyfrowania, ograniczenia długości kluczy, układu Clipper , regulacje treści takie jak Prawo Przyzwoitości Komputerowej (Computer Decency Act) , zakończony sukcesem atak na Napstera. Ale większość z tych inicjatyw albo upadła, albo okazała się nieskuteczma ponieważ Internet "ominął je", czyli odnalazł inne możliwości osiągnięcia tego samego celu. W końcu pojawienie się poważnych alternatyw typu OpenSource dla oprogramowania komercyjnego sprawiło, że powstała iluzja gwarancji, że możliwośc kontroli komputerów i Internetu jest poza zasięgiem jakiegokolwiek rządu czy producenta oprogramowania - jakiekolwiek próby wprowadzania ograniczeń do oprogramowania komercyjnego spowodowałyby tylko, że OpenSource stawałby się bardziej zachęcający i przyspieszałyby jego publiczne zastosowanie.

Tak właśnie postrzegałem rzeczy w euforycznym szczycie mojego niedawnego optymizmu. Tak jak zmiana pomiędzy rozszerzaniem się i kurczeniem wszechświata z Ω większym od 1, oznaki, że Wielki Wybuch zmieniał się w Wielki Skurcz pojawiały się powoli, lecz były coraz bardziej przekonywujące w czasie biegu wydarzeń. Wcześniej wierzyłem, że nie ma takiej możliwości by zagnać Dżina Internetu z powrotem do butelki. W tym dokumencie przedstawiam plan, dokładnie tak jak wierzę że to może się stać, potencjalnie dając możliwość nadejścia autorytarnego politycznego i intelekualnie czarnego wieku, globalnego w zasięgu i wiecznego. Ograniczającego jednostkę, niszczącego nowości i różnorodność myśli, co sprowadziło już tak wiele tyranii w przeszłości.

Jedna notka do stylu tego dokumentu: tak jak mój wcześniejszy dokument a href="/documents/unicard.html" target="_blank">Unicard, przedstawię wiele argumentów używając chaczyków, powierzchownego rozumowania i skrótów toku myślenia ... [tu uzupełnić! Trudne...]

The Emerging Consumer Internet/Pojawienie się Internetu Konsumenckiego

Oryginalny projekt sieci ARPANET, odziedziczony później przez Internet, u swoich podstaw zakładał strukturę równorzędną (peer to peer). Nie używam tu frazy "peer to peer" jako eufemizmu do "współdzielenia plików" lub innych związanych czynności, ale w oryginalnym, architekturalnym znaczeniu, że wszystkie komputery w sieci były logicznie równorzędne. Oczywiście łącza Internetowe różniły się przepustowością, opóźnieniami i pewnością, ale poza tymi fizycznymi własnościami, jakikolwiek komputer dołączony do sieci mógł występować w roli serwera, klienta lub peer'a w stosunku do tych którzy się z nim komunikowali. Każdy host mógł udostępniać dowolną usługę każdemu innemu i korzystać z dowolnej usługi udostępnianej przez inne hosty. Nowe rodzaje osług mogły być wynajdywane kiedy tylko była taka potrzeba, mając na uwadze jedynie konieczność zachowania zgodności z protokołami transportowymi wyższego poziomu (takimi jak TCP i UDP).

Taka architektura sprawiła, że Internet stał się czymś niespotykanym w doświadczeniu ludzkim, pierwsze masowe medium komunikacyjne wiele-do-wiele. Pozwólcie mi zatrzymać się nad tym chwilę. Nowinki technologiczne dotyczące komunikacji sięgające wstecz do wynalazku prasy drukarskiej można podzielić na dwie kategorie. Pierwsza, której przykładem są prasa (gazety, magazyny i książki) i nadawanie (radio i telewizja) są mediami jeden-do-wiele: liczba wysyłających informację (wydawcy, stacje radiowe i telewizyjne) była nieznaczna w stosunku do liczby odbiorców, a koszty kapitałowe niezbędne do uruchomienia nowego wydawnictwa lub stacji nadawczej stanowiły dużą barierę dla nowych nadawców. Drugą kategorią, zawierającą pocztę, telegramy i telefon jest komunikacja jeden-do-jeden; można było (podczas gdy ich technologie doroślały) skomunikować się z niemal dowolną osobą na świecie gdzie dana usługa była dostępna, ale taka komunikacja była osoba-do-osoby, punkt-punkt. Żadne medium komunikacyjne przed Internetem nie dawało możliwości zwykłej osobie publikowania materiałów dla globalnego odbiorcy. (Oczywiście, jeśli ktoś stworzyłby stronę Internetową która cieszyłaby się dużą oglądalnością, koszty pasma i/lub hostingu mogły by być niemałe, lecz i tak byłyby niewielkie w porównaniu z kapitałem niezbędnym do uruchomienia wydawnictwa czy stacji telewizyjnej / radiowej o porównywalnym zasięgu.)

Poskutkowało to zlikwidowaniem tradycyjnych barier wejścia na arenę pomysłów , zrównując pole gry w takim stopniu, że jednostka może zwrócić uwagę czytelnikiów na swoje wytwory, bazując tylko na czynnikach merytorycznych i przekazie słownym, w tak dużym stopniu jak wielkie korporacje przy wykorzystaniu wcześniejszych mediów. Poza bezpośrednimi analogiami do stacji radiowych / telewizyjnych, równorzędna architektura Internetu umożliwiła stworzenie zupełnie nowych rodzajów mediów -- forum dyskusyjnych, repozytoriów preprintów naukowych, blogów z komentarzami czytelników, środowisk wspierających współtworzenie otwartego oprogramowania, konferencji audio i wideo, aukcji online, współdzielenie plików z muzyką, otwartych systemów hipertekstowych i całego mnóstwa innych rodzajów interakcji międzyludzkich.

Zmiana tak istotna, która nastąpiła w czasie mniej niż dekady (pomimo że ARPANET powstał na początku lat 70-tych, to dopiero gdy Internet przyciąnął do siebie masowego użytkownika w latach 90-tych, jego wpływ na ekonomię i społeczeństwo stał się znaczący), musiała bez wątpienia okazać się nieprzyjemna dla tych którzy inwestowali w tradycyjne media lub bazowali na nich swą strategię komunikacyjną. Nie trzeba się powoływać na żadne teorie spiskowe by zauważyć, że wielu wydawców, producentów audio i rządów czuje pewną nostalgię za dobrymi starymi czasami przed Internetem. Wtedy byli producenci (wydawcy, nadawcy, usługodawcy kablowi) i konsumenci (abonenci, kupujący książki i nagrania, widownia radia i telewizji) i każdy znał swoje miejsce. Rządy nie musiały się obawiać niekontrolowanego masowego przepływu danych przez granice, ani tworzenia się grup powstańczych , które mogą się anonimowo i bezpiecznie komunikować i działać poza widokiem i kontrolą tradycyjnych organów bezpieczeństwa narodowego.

Pomimo ery Internetu, tradycyjne media i rządy wciąż posiadają olbrzymią siłę. Można oczekiwać, że każda z organizacji może działać w kierunku zachowania i rozszerzania swojej siły, a nie będzie biernie czekać na jej rozpad. Rzeczywiście, konsolidacja firm obsługujących infrastrukturę Internetu i zwiękrzony wywiad informacji i działań w internecie tworzy potencjał do stawiania "punktów kontroli" w początkowo zdecentralizowany Internet. Takie punkty kontroli mogą być wykorzystywane do jakichkolwiek celów do jakich ci którzy je stawiają chcą osiągnąć. Trend wydaje się być jasny -- w przeciągu następnych od pięciu do dziesięciu lat, będzie można zauważyć wysiłek mający na celu "zagnanie Dżina Internetu z powrotem do butelki": odtworzenie tradycyjnych relacji producent/konsument, rząd/petent, które były utworzone na długo przed tym gdy Internet je zakłócił.

Zbiór technologii, z których każda już teraz istnieje lub zmierza do wprowadzenia, może, gdy szeroko stosowana i wprowadzona w całości, odtworzyć rozróżnienie informacji na model producent/konsument w Internecie, odtwarzając centralne punkty kontroli, które tradycyjne media i rządy postrzegają jako zagrożone wraz z jego nadejściem. Każda z tych technologii może być niezależnie usprawiedliwiana jako technologia rozwiązująca istotne problemy obecngo Internetu, i może być promowana i wymagana jako tak czyniąca. W następnej sekcji przyjżymy się tym prekursorskim technologiom.

Prekursorskie technologie

Czarna przyszłość, która jak się obawiam nas czeka będzie konsekwencją przyjęcia przez marketing lub przymus, kolekcji pojedynczych technologii, które każda z osobna może być proponowana jako korzystna. Lecz te technologie, wzięte wszystkie razem, mają konsekwencje dla wielu mniej widoczne, choć jak sądzę dobrze znane niektórym którzy je promują. Każda z tych technologii jest albo już dostępna lub jest właśnie aktywnie rozwijana. Technologie te odnoszą się wzajemnie do siebie, także trudno jest dyskutować o nich nie odwołując się do tych opisanych dalej. Dlatego jeśli coś wydaje się niejasne przy pierwszym czytaniu, korzystne może się okazać ponowne przeczytanie tej sekcji po zapoznaniu się z podstawami.

The Firewalled Consumer / Konsument za firewallem

Notka: w tym punkcie dyskutowany jest fenomen, który jest już obecny, który faktycznie dzieli użytkowników Internetu na dwie kategorie: użytkowników domowych, którzy sią konsumentami usług w Internecie i uprzywilejowanych miejsc które publikują treści i udostępniają usługi. Technologie opisane w tym dokumencie są całkowicie niezależne od trendu i mogą być wdrożone niezależnie czy będzie on kontynuował czy nie. Jeśli nie interesują Cię takie szczegóły lub zamierzasz wszczynać kłutnię nad moją interpretacją , proszę opuść następny nagłówek. Podnoszę ten temat dlatego ponieważ podczas dyskusji z kolegami, typową reakcją było "Użytkownicy nigdy się nie zgodzą na zepchnięcie do ograniczonego dostępu do Internetu." Lecz faktycznie, użytkownicy już są ograniczani przez znaczną większość połączeń szerokopasmowych, i większość z nich nawet nie wie co straciła i dlaczego było to ważne.

Gdy większe ilości osób zaczęły łączyć się z internetem, ich połączenie czyniło z nich równoważnych partnerów wśród wszystkich użytkowników internetu, bez względu na typ lub sposób. O ile duży komercyjny serwis mógł mieć stałe i szerokopasmowe połączenie i znacznie bardziej wydajny serwer niż użytkownik domowy, nie było nic, co do zasady, co mógłby zrobić duży serwis czego nie mógłby zrobić pojedynczy użytkownik -- jakikolwiek użytkownik Internetu mógł połączyć się z innym użytkownikiem i wymieniać danymi dowolnego rodzaju na dowolnym porcie w jakimkolwiek protokole który był zgodny z podrzędnym Internetowym protokołem transportowym. Użytkownik z powolnym połączeniem wdzwanianym prawdopodobnie musiałby być bardziej cierpliwy i prawdopodobnie nie mógłby wysyłać i odbierać wideo w czasie rzeczywistym, ale nie było różnicy w sposobie w który wykorzystywany był Internet.

Z czasem ta równość pomiędzy użytkownikami Internetu podlegała erozji, w dużym stopniu z powodu problemów technicznych które musiały być rozwiązane by dać sobie radę z ograniczoną 32-bitową przestrzenią adresową Internetu dnia dzisiejszego. Ten proces opisałem szczegółowo w Dodatku 1, odkrywając jak to zjawisko wpłynęło na anonimowość i brak przeliczalności dzisiejszego Internetu. Z nastaniem szerokopasmowego DSL i Internetu za pośrednictwem telewizji kablowej segemntacja społeczności Internetowej została wprowadzona w życie. Typowy użytkownik domowy z dostępem szerokopasmowym posiada jeden lub więcej komputerów połączenych przez router (być może wbudowany w DSL lub w modem kablowy) który wykonuje Translację Adresów Sieciowych (NAT - Network Address Translation). Umożliwia to wielu komputerom współdzielenie pojedynczego szybkiego połączenia z Internetem. Większość skrzynek z NAT'em dostarczanych na rynek działa jednocześnie jako podstawowa Ściana Ogniowa (Firewall) ponieważ pakiety z Internetu mogą wejść do lokalnej sieci i dotrzeć do znajdujących się tam komputerów tylko w odpowiedzi na połączenia inicjowane z wewnątrz. Na przykład gdy lokalny użytkownik łączy się z stroną Internetową, router NAT przydziela kanał (port) dla ruchu z komputera użytkownika do serwera stron Internetowych wraz z odpowiadającym kanałem zwrotnym dla danych przesyłanych z serwera. Gdyby zewnętrzny komputer zechciał wysłać pakiety do maszyny w sieci wewnętrznej, która nie otwierała do niego połączenia, to zostaną one po prostu pominięte, ponieważ nie było otwartego kanału zwrotnego który skierował by te pakiety do właściwej maszyny. Robaki i wirusy które próbują się rozprzestrzeniać przez łączenie się z komputerami dostępnymi w Internecie i wykorzystywanie błędów w zainstalowanym oprogramowaniu nigdy nie przedostaną się przez router NAT. (Oczywiście, komputery ukryte za NAT'em nadal pozostają wrażliwe na robaki rozprzestrzeniane przez e-mail lub strony Internetowe, lub jakikolwiek inny rodzaj treści do których otwarcia skłoniony zostanie użytkownik.

Typowy użytkownik domowy nigdy nie zauważa NAT'a; to po prostu działa. Lecz taki użytkownik już nie jest równorzędny w stosunku do wszystkich innych użytkowników Internetu tak jak przewidziano to w oryginalnej architekturze sieci. W szczególności, domowy użytkownik skryty za skrzynką z NAT'em został zepchnięty do roli konsumenta usług / serwisów Internetowytch. Taki użytkownik nie może utworzyć serwera stron Internetowych na swoim łączu szerokopasmowym, ponieważ NAT nie pozwoli na połączenia wchodzące z zewnętrznych komputerów. Nie może on także utworzyć prawdziwie rónorzędnego połączenia z innymi użytkownikami skrytymi za NAT'em, ponieważ występuje nierozwiązywalny problem typu jajka i kury w tworzeniu połączenia dwukierunkowego pomiędzy nimi.

Miejsca z stałym, nieograniczonym połączeniem z Internetem tworzą uprzywilejowaną klasę, która może kozrystać z Internetu w taki sposób w który konsument nie może. Można tam stawiać serwery, tworzyć nowe rodzaje usług w Internecie, ustanawiać połączenia równorzędne (peer-to-peer) z innymi komputerami -- czyli wykorzystywać Internet w sposób w jaki pierwotnie miał być wykorzystany. Możemy określić te miejsca jako "wydawców" lub "nadawców", a domowych użytkowników schowanych za NAT'em / firewallem jako ich konsumentów lub widownią.

Technicznie obyci czytelnicy zauważą oczywiście, że NAT nie uniemożliwia tworzenia połączeń z Internetu do wewnętrznej sieci. Sprawny użytkownik dysponujący konfigurowalnym routerem może otworzyć port wejściowy na routerze i przekierować ruch do właściwego komputera wewnątrz sieci obchodząc typowe ograniczenia NAT'a. Jednak jak sądzę, z biegiem czasu ta możliwość będzie się stawała coraz bardziej rzadka. W interesie dostawców szerokopasmowego Internetu jest uniemożliwienie domowym użytkownikom tworzenia serwerów, które mogłyby konsumować poważną część pasma zwrotnego (tj. wychodzącego w stronę Internetu). Wymuszając na użytkownikach domowych ograniczenie "tylko do ściągania" danych z Internetu, uniemożliwia się im tworzenie serwerów i zmusza do korzystania z usług firm hostingowych jeśli, na przykład, będą chcieli stworzyć swoją własną prywatną stronę domową. (Wraz z konsolidacją firm Internetowych, dostawca łącza z Internetem może także posiadać usługę hostingową, tworząc bezpośrednią zachętę ekonomicznę w celu przyciągnięcia do niej klientów).

Dodatkowo, prawdopodobne jest, że podstawowa usługa szerokopasmowego dostępu do Internetu będzie ograniczona do zbioru usług wykorzystuwanych przez konsumentów: WWW, FTP, e-mail, komunikacja natychmiastowa (ICQ / GaduGadu), strumieniowego wideo, itp., zupełnie tak jak firewalle są już dziś konfigurowane by ograniczyć dostęp tylko do ścisłej listy dozwolonych usług. Z pewnością użytkownicy będą mogli wykupywać droższy "super" dostęp, który wyeliminuje większość z tych ograniczeń, zupełnie jak wiele firm udostępnia niezmienny adres IP dla połączeń szerokopasmowych za dodatkową opłatą. Lecz historycznie, rynek połączeń z Internetem był bardzo wrażliwy na ceny, także jest zrozumiałe, że należy oczekiwać, że w przeciągu następnych kilku lat większość użytkowników połączonych z Internetem wykorzystywać będzie połączenie typu konsumenckiego, które ograniczy ich wykorzystanie tylko to tych usług które zostaną określone jako odpowiednie dla ich segmentu rynku.

W każdym przypadku, podstawową lekcją z masowego wdrożenia NAT'a jest to, że demonstruje ono, w teście na rzeczywistym świecie, że olbrzymia większość użytkowników Internetu nie zauważy ani nie będzie dla nich istotne, że możliwość pełnego korzystania z usług internetu i występowania w roli równorzędnej w Internecie została im ograniczona. Na tych którzy zakładają, że wprowadzenie następnych technologii spowoduje masową rewoltę wśród użytkowników Internetu, spada ciężar dowodu, że technologie te, nie więcej wpływające na typowe wykorzystanie Internetu przez użytkownika niż NAT, sprawi by użytkownicy sprzeciwili się ich wdrożeniu.

Certificates / Certyfikaty

Certyfikat jest cyfrowym identyfikatorem fizycznego lub abstrakcyjnego obiektu: osoby, firmy, komputera lub dokumentu. Certyfikat jest po prostu sekwencją bitów która w unikalny sposób identyfikuje obiekt do którego jest przypisany . W większości przypadków istnieje relacja jeden-do-jeden pomiędzy certyfikatami i obiektami. Aby wyjaśnić to w mniej abstrakcyjny sposób, spójrzmy na nie-komputerową analogię: paszporty. Paszport (a dokładniej mówiąc numer paszportu, ponieważ osoby mogą w szczególnych okolicznościach posiadać więcej fizycznych paszportów posiadających ten sam numer), w unikalny sposób identyfikuje osobę jako obywatela kraju wydawcy paszportu. Nie ma takich dwu osób które by posiadały ten sam numer paszportu, a próba pozyskania dwu różnych numerów paszportu dla tej samej osoby jest uważana za przestępstwo - oszustwo. Cyfrowy certyfikat jest bardzo podobny do paszportu. Jest wydawany przez jednostkę certyfikacyjną która poświadcza jego autentyczność. (W przypadku paszportu, wydaje go biuro paszportowe danego kraju.) Jednostka certyfikacyjna zarabia na swojej wiarygodności -- by otrzymać porządny certyfikat osobisty, jest wymagana taka sama lub nawet większa dokumentacja niż ta wymagana przy uzyskiwaniu paszportu. Zupełnie tak jak w przypadku paszportów, certyfikat wystawiony przez podejżane lub o kiepskiej reputacji jednostki certyfikacyjne będą mniej godne zaufania niż te wystawione przez wielkie firmy.

W dzisiejszych czasach certyfikaty są w powszechnym użyciu. Za każdym razem, gdy wykonujesz bezpieczne zakupy w sieci, twoja przeglądarka pobiera certyfikat od komputera sklepu internetowego by sprawdzić, czy rzeczywiście jest on tym z którym chciałeś się połączyć, a także by ustanowić bezpieczne szyfrowane połączenie. Większość klientów poczty elektronicznej umożliwia wykorzystanie certyfikatów osobistych do podpisywania i szyfrowania poczty do korespodentów posiadających certyfikaty, choć niewiele osób korzysta z tej możliwości wysyłając pocztę elektroniczną otwartym tekstem tak że każdy może ją przechwycić i przeczytać, co wiadomo-kto zwykle robi.

Podczas uzystkiwania certyfikatu osobistego, jednostka certyfikacyjna podpisuje ten certyfikat zapewniając tym samym, że dana osoba przedstawiła wszystkie niezbędne dowody w celu stwierdzenia, że rzeczywiście jest tą osobą za którą się podaje (zwykle odbywa się to na podstawie zgłoszenia potwierdzonego przez notariusza, prawnika, bank lub firmę brokerską) i rezerwuje sobie prawo do odwołania certyfikatu jeśli okarze się że uzyskany został poprzez oszustwo. Jednostki certyfikacyjne udostępniają usługę online umożliwiającą sprawdzenie aktualności wystawianych certyfikatów, prezentując dowolne dane które dana osoba zgodziła się udostępniać o sobie. Po uzyskaniu certyfikatu, podstawową powinnością jest chronienie go, zupełnie tak jak chroni się paszport, karty kredytowe, czy też inne dokumenty osobiste. Jeśli ktoś ukradnie certyfikat, to będzie mógł czytać prywatną pocztę elektroniczną, podszywać się jako autor listów i robić wszystko to co obejmuje "kradzież tożsamości". Mimo że certyfikat może być odwołany i w jego miejsce wystawiony nowy, to jednak jest to proces tak samo kłopotliwy jak przy zgobieniu portfela i wart takiego samego wysiłku by go uniknąć.

Certyfikat posiada dwie części: prywatną i publiczną. Część prywatna jest tożsamością którą użytkownik wykorzystuje do dostępu do Internetu, podpisywania dokumentów, autoryzowana płatności i odszyfrowywania prywatnych plików przechowywanych na komputerze i szyfrowanych wiadomości otrzymanych od innych. Ta prywatna część certyfikatu musi być szczególnie chroniona; może być chroniona przez hasło, przechowywana na wyjmowalnym nośniku takim jak smart card lub wymagać identyfikacji biometrycznej (np. weryfikacji odcisku palca). Publiczna część certyfikatu jest widocznym identyfikatorem dla innych; wielu użytkowników będzie umieszczało swoje publiczne certyfikaty w katalogach, zupełnie tak jak w przypadku numerów telefonów. Znajomość czyjegoś certyfikatu publicznego umożliwia szyfrowanie wiadomości (z kluczem publicznym, elementem certyfikatu publicznego), które mogą myć odcyfrowane tylko z tajnym kluczem będącym elementem certyfikatu prywatnego. Gdy mówię o "wysyłaniu certyfikatu użytkownika wraz z zapytaniem przez Internet" lub oznaczaniu czegoś przez certyfikat, odnoszę się do certyfikatu publicznego który identyfikuje daną osobę. Certyfikat prywatny jest wyjawiany tylko i wyłącznie jego posiadaczowi.

Zakres obiektów które mogą być identyfikowane przez certyfikaty jest nieograniczony. Poniżej zamieszczam kilka przykładów, które już istnieją lub pojawią się bliskiej przyszłości.

• Ludzie Jakakolwiek osoba może uzyskać osobisty certyfikat od uznanej jednostki certyfikacyjnej pod warunkiem dostarczenia odpowiednich dowodów potwierdzających tożsamość. Jednostka certyfikacyjna sprawdzi najpierw tożsamość osoby, później upewni się, że dana osoba nie posiada nie odwołanego certyfikatu w tej lub innej jednostce certyfikacyjnej i w końcu wyda certyfikat. Jednostka certyfikacyjna udostępni na żądanie, możliwość weryfikacji certyfikatu przekazując wymagane przez prawo minimum informacji o posiadaczu certyfikatu i jakiekolwiek dodatkowe informacje które posiadacz udostępni do przekazania.

  Minors / Nieletni mogą uzyskać certyfikato pod warunkiem zgody rodzica, tak jak to jest aktualnie wymagane przy uzyskiwaniu prawa jazdy czy też zapisywaniu się do wojska. Rodzic lub opiekun może zażądać zamieszczenia wieku nieletniego w certyfikacie, co może być wykorzystane do zablokowania dostępu lub filtrowania treści nieodpowiednich dla osoby o takim wieku. Więcej, jeśli to konieczne, certyfikat nieletniego może być połączony do certyfikatu rodzica lub opiekuna, które w ten sposób może mieć możliwość czytania wszystkich danych szyfrowanych przez certyfikat nieletniego.

  Jednostki certyfikacyjne zobowiązują się chronić prywatne klucze szyfrujące dla wszystkich wydawanych przez siebie certyfikatów razem z wszystkimi danymi osobowymi, których właściciel nie zdecydował się jawnie udostępnić (ponad wymagane przez prawo minimum). Posiadacze certyfikatów mogą aktualizować swoje dane osobowe kiedykolwiek to będzie potrzebnie (dostarczając odpowiedniej dokumentacji - np. przy zmianie nazwiska), oraz mogą zawieszać lub unieważniać swoje certyfikaty gdy zaistnieje podejżenie lub dowód że zostały ukradzione . Jeśli tylko naruszone by było bezpieczeństwo jednostki certyfikacyjnej, wszyscy posiadacze certyfikatów, którzy mogą być poszkodowani muszą być zawiadomieni. Jednostki certyfikacyjne będą odpowiadać na prośby od sił bezpieczeństwa związane z toczącymi się procesami w celu odzyskania prywatnych kluczy szyfrujących lub danych osobowych łącznie z tymi w odwołanych certyfikatach.

• Companies/Organisations. Firmy/Organizacje. Jak zaznaczono powyżej, większość użytkowników Sieci już teraż w niejawny sposób polega na certyfikatach w celu identyfikowania firm z którymi robi interesy w Sieci. Wiele rzeczy się dzieje za tą małą ikonką kłódki w przeglądarce. Jeśli firma identyfikuje się certyfikatem wystawionym przez firmę "Janek - tanie paszporty i komis", pojawia się okienko z ostrzeżeniem dla użytkownika, że za chwilę może on zrobić coś bardzo bardzo głupiego. Podobnie, podpisując online umowę dawcy organów, sprawdźcie bona fides firmy "Natchmiastowa Gotówka za Nerki" i firmy wystawiającej certyfikat.

  Wraz z stopniowym zwiększaniem bezpieczeństwa Internetu, konieczność uzyskiwania certyfikatów dla organizacji będzie tak samo ważna jak konieczność uzyskiwania certyfikatów dla osób fizycznych. Firmy, zarówno osobowe, spółki czy korporacje; organizacje nonprofitl instytucje edukacyjne; ciała rządowe i inne formy prawne będą uzyskiwać certyfikaty dostarzając takie same dokumenty jakie są już teraz potrzebne do uzyskania numeru NIP. Tak samo jak przy certyfikatach dla osób fizycznych, weryfikacja zapewni, że żadna inna jednostka nie uzyska więcej jak jednego ważnego certyfikatu.

  Inaczej niż w przypadku infywidualnych certyfikatów, te wystawiane dla organizacji będą mogły być wykorzystywane do wystawiania podległych certyfikatów dla elementów organizacji. Pojedyncze biura, departamenty, itp. będa mogły uzyskiwać swoje własne certyfikaty połączone z certyfikatem całej organizacji i zarządzane przez organizację. W zależności od polityki administracyjnej organizacji, delegacja tworzenia certyfikatów może być propagowana na dowolną liczbę poziomów - to czy podporządkowany certyfikat będzie mógł być wykorzystany do tworzenia certyfikatów niższego poziomu jest określane w momencie tworzenia certyfikatu i może być później zmienione.

  Istotnym rodzajem podporządkowanego certyfikatu jest taki wystawiony dla załogi przedsiębiorstwa (pracowników, itp.) Te certyfikaty identyfikują osoby jako pracowników i są wykorzystywane do zadań związanych z wykonywaną pracą. Stopień do jakiego osoba spoza organizacji może otrzymać informację o pracownikach zależeć będzie od polityki organizacji a także od regulacji prawnych dotyczących prywatności. Organizacja jest odpowiedzialna za czyny swoich pracowników posługujących się certyfikatami i może być zmuszona doich identyfikacji na żądanie policji, itp. . To czy pracownik może dostać się do Internetu z komputerów znajdujących się w sieci organizacji posługując się prywatnym certyfikatem (a nie certyfikatem organizacji), a także to czy certyfikat organizacji może być wykorzystywany poza siecią firmową zależy od wystawcy certyfikatu i może być w prosty sposób wymuszone przez technologię. Prywatne klucze szyfrujące certyfikatu pracownika mogą być odtworzone przez wystawcę (lub przez wyznaczony wyższy poziom w hierarchii certyfikatów wystawianych przez organizację), umożliwiając nadzorowanie pracy pracownika i jesli to konieczne odzyskiwanie wykonanych przez daną osobę produktów.

• Computers / Komputery. "Klucz systemu" wyliczany na podstawie zainstalowanego sprzętu jest już obecny w postaci procedur "aktywacji oprogramowania". Klucz ten jest niedojżałą formą certyfikatu. Numery seryjne procesorów Pentium (które są aktualnie wyłączone ze względu na prostesty opinii publicznej) są jeszcze większą aproksymacją. Platforma "Trusted Computing" będzie zawierała unikalny certyfikat dla każdego komputera nazywany "paszportem" .

  Komputery w erze trusted Computing będą posiadały certyfikaty przypisane im przez producentów, które nie będą mogłby byc zmieniane przez użytkowników. (W dalszej części przedstawiłem, że będzie mozliwe przeniesienie certyfikatu na nowy komputer, jeśli poprzedni ulegnie uszkodzeniu.) Certyfikat komputera w unikalny sposób będzie go identyfikował. Będzie on wykorzystywany do uruchamiania oprogramowania licencjonowanego do wyłącznego użycia tylko i wyłacznie na danym komputerze, a także do identyfikowania danych wysyłanych w sieć z tego komputera.

• Programs. / Programy Program komputerowy może także być oznaczony certyfikatem, który nie tylko jest podpisany przez wydawcę, lecz także potwierdza, że program nie był modyfikowany. Potwierdzenie to następuje przy wykorzystaniu algorytmu typu hasz/podpis takiego jak MD5. Technologia ta jest już teraz wykorzystywana w "podpisanych appletach" dla przeglądarek takich jak Internet Explorer Microsoftu, gdzie użytkownik może (tak się zakłada) sprawdzić wydawcę programu i potwierdzić że nie został on później zmieniony przed uruchomieniem na komputerze.

  W architekturze "Trusted Computing", każdy program będzie posiadał certyfikat identyfikujący wydawcę i pozwalający systemowi operacyjnemu na sprawdzenie czy program nie został uszkodzony. System operacyjny Trusted Computing nie uruchomi programu, który nie zgadza sie z certyfikatem, będzie też podczas połączenia z Internetem sprawdzał, czy certyfikat programu nie został unieważniony. Unieważnienie certyfikatu zainstalowanego programu faktycznie go "odinstalowuje". Taki program będzie działał tylko na komputerach na których juz był zainstalowany i które więcej juz nie łączyły się z Internetem. Unieważnianie certyfiukatu programu należy uznać za ostateczne narzędzie i należy się spodziewać, że będzie wykorzystywane bardzo rzadko, jednak jest ono istotnym mechanizmem zabezpieczającym infrastrukturę Internetu przed szybko pojawiającymi się zagrożeniami. Jeśli w jakimś bardzo popularnym programie zostanie wykryta poważna dziura bezpieczeństwa, to unieważnienie certyfikatu takiego programu doprowadzi natychmiast do unieruchomienia programu zmuszając tym samym użytkowników do instalowania uaktualnienia które koryguje problem.

• Content. / Treść. Przez "Treść" rozumiana jest jakakowiek forma danych cyfrowych: dokumenty, obrazy, audio, wideo, bazy danych, itp. W tym przypadku problem polega nie na identyfikacji i bezpieczeństwie, a na autentyczności i prawach własności. Certyfikat wydawcy podpisujący kopię Moby-Dicka gwarantuje że jest to oryginalna powieść Melvilla, w przeciwieństwie do wersji "ulepszonej" przez cheesy-poof addict w której Ahay zabija białego wieloryba, buduje pojazd kosmiczny z jego kości i rusza by wyniszczyć wieloryby w całej galaktyce.

  Programy, to przecież nic innego jak specjalny typ danych. Ze względu na ryzyko jakie dla pojedynczych uzytkowników i Internetu niosą podejżane programy, zabezpieczenie ich będzie priorytetem. Lecz z nadejściem Cyfrowego Zarządzania Prawami (Digital Rights Management - DRM), podobne zabezpieczenia będą dotyczyły wszystkich rodzajów danych przechowywanych w systemach komputerowych. W końcy, każdy plik będzie podpisany certyfikatem identyfikującym jego twórcę i zawierający podpis gwarantujący jego integralność. Jeśli zawartość dokumentu zostanie uszkodzona lub jego certyfikat unieważniony, komputer z Trusted Computing nie zezwoli na jego otwarcie, a Bezpieczny Internet nie pozwoli na jego przesyłanie. Dokument ograniczony przez dany certyfikat użytkownika, organizacji lub określonego komputera nie będzie mógł być otwarty przez innych i będzie przechowywany w postaci zaszyfrowanej która nie może być rozszyfrowana bez odpowiedniego certyfikatu.

Trusted Computing / Trusted Computing

"Trusted Computing," w obecnym żargonowym znaczeniu, ma niewiele wspólnego z niezawodnością oprogramowania i bezpieczeństwem danych. Zamiast tego, odnosi do wysiłku mającego na celu na włączenie w sprzęt i oprogramowanie systemowe sposobów na sprawdzenie pochodzenia i integralności danych. Jednym z kluczowych elementów jest idenyfikacja każdego komputera przez unikalny certyfikat, lecz skutki wykraczają daleko poza to. Oprócz ochrony uzytkowników przed niebezpiecznym oprogramowaniem (oprogramowaniem którego nie podpisał swym certyfikatem rozpoznawalny dostawca oprogramowania i które przy pomocy podipsu cyfrowego zostało zweryfikowane jako niezmienione.), użytkownicy są także chronieni przed uszkodzeniem danych na ich własnych komputerach. Dane na własnym dysku uzytkownika są zaszyfrowane i podpisane, umożliwiając kontrolę praw dostępu i integralności za każdym razem gdy plik ładowany jest do pamięci. W ten sposób całkowicie zostanie wyeliminowane ryzyko wirusów uszkadzających zainstalowane programy lub pliki danych. Umożliwia to także dostawcy oprogramowania blokowanie wykonania jakiegokolwiek programu uznanego za niebezpieczny, nawet działając wstecz (ponieważ certufikaty będą weryfikowane online). Jeśli zostanie wykryty błąd w programie zainstalowanym u milionów użytkowników na całym świecie, program może być natychmiastowo unieruchomiony jeszcze zanim narazi ich na niebezpieczeństwo, zmuszając ich jednocześnie do załadowanie nowszej, bezpiecznej wersji. W wielu przypadkach będzie sie to działo automatycznie -- użytkownik nie będzie musiał niczego robić, ani nie będzie nawet świadomy zmiany w systemie.

W systemie Trusted Computing, możliwość wykonywania kopii zapasowych, kopii lustrzanych i transmisji danych będzie w konieczny sposób ograniczona. Sprzęt i zgodne systemy operacyjne ograniczą możliwośc transmiji danych z systemu do systemu. Na przykład program przypisany do certyfikatu jednego komputera nie uruchomi sie na komputerze z innym certyfikatem. Z konieczności, taki poziom bezpieczeństwa musi się rozciągnąć do najbardziej podstawowego i wpływającego na bezpieczeństwo oprogramowania ze wszystkich -- BIOS'u i jądra systemu operacyjnego. W rezultacie, platforma Trusted Computing musi sprawdzić certyfikat systemu operacyjnego przed jego uruchomieniem. Systemy operacyjne które nie przeszły certyfikacji uwzględniającej wszystkich wymagań trusted Computing nie otrzymają certyfikatu i nie będa mogły być uruchamiane na takich systemach.

Micropayment / Mikropłatności

W dzisiejszych czasach kupowanie w Internecie jest skomplikowane -- jest to coś czego wiele osób nie chce robić, ponieważ są świadomi ryzyka porwania karty kredytowej i tysięcy okropnych tego faktu następstw. Z nadejściem certyfikatów i trusted Computing, ten strach zaniknie. Z osobistym certyfikatem (związanym być może z jednym lub więcej komputerami do których dana osoba ma wyłączny dostęp i zabezpieczonym hasłem, smart kartą lub identyfikacją biometryczną) gwarantującym bezpieczeństwo połączenia i certyfikatem drugiej strony stwierdzającym tożsamość dostawcy, większość pokrętnych procedur dzisiejszego handlu Internetowego ustąpi na rzecz prostego surfowania i kupowania.

Wymiana mikropłatności umożliwia wykonanie płatności pomiędzy dwoma posiadaczami certyfikatów. Użytkownik wykonuje mikropłatnośc poprzez wysłanie komunikatu do punktu wymiany płatności , podpisanego przez prywatny certyfikat, identyfikującego odbiorcę przez publiczny certyfikat i wskazujący kwotę zapłaty. Po weryfikacji certyfikatów płacącego i beneficjenta i sprawdzeniu, że na koncie płacącego znajdują się konieczne fundusze, wyspecyfikowana suma jest przekazywana na konto beneficjenta co potwierdzane jest wysłaniem odpowiedniego komunikatu. Transakcje mikropłatności mogą być wykonywane jawnie przez logowanie się do punktu wymiany płatności, lecz w więkoszości będą inicjowane przez bezpoświednie połąćzenie z serwerem punktu płatności kiedy uzytkownik będzie wykonywał zakup online.

Mikropłatność różni się od obecnych już serwisów płatności takich jak PayPal czy e-gold tym, że koszty transakcji są wystarczająco małe by można było wykonywać niewielkie płatności bez powodowania wysokich kosztów przetwarzania. Dzięki miktopłatnościom, praktyczne będzie pobieranie od odwiedzających opłaty w wysokości jednej tysięcznej Euro za obejrzenie strony. Karty kredytowe lub istniejące systemy płatności mają o wiele za wysokie prowizje by umożliwić tak niewielkie opłaty. Proszę zauważyć, że nie może być górnego limitu płatności wykonywanych przez serwisy mikropłatności, więc termin "mikropłatność" oznacza po prostu że tak niewielkie płatności są możliwe, a nie że większe płatności nie są rutynowo wykonywane. Powstanie pierwszego szeroko aprobowanego systemu mikropłatności będzie prawdopodobnie zależne od technologii, lecz gdy mikropłatności staną sie rynkiem masowym i zaczną wkraczać na teren innych serwisów płatności, pionierzy tego rynku zostaną prawdopodobnie przejęci przez głównych graczy w przemyśle usług finansowych.

Koniec paranoi w e-handlu . . .  kupując u dostawców, których certyfikat jest uważany za godny zaufania nie trzeba podawać żadnych poufnych informacji. Wystarczy kliknąć "kupuj", wybrać którą z kart kredytowych lub kont bankowych połączonych z twoim certyfikatem wykorzystać i zakupione towary zostaną przesłane na adres połączony z Twoim certyfikatem. Nawet gdy certyfikat zostanie ukradziony, złodziej może zakupić towary z dostawą wyłącznie na Twój adres.

Każdy użytkownik może ustawić niezależnie swoje osobiste maksymalne kwoty płatności za obejżenie strony w internecie, za zakup, za sesję, za dzień, za tydzień i za miesiąc. Nazywam to ich "zakresem dozwolonej płatności". Nie trzeba być subskrybentem czasopisma internetowego by móc go czytać -- wystarczy na niego kliknąć i jeśli kosztuje mniej niż €0.05 - Twój zakres płatności dla strony - a także inne sumy są w granicach ustawionych limitów, wszystko dzieje się automatycznie. Twoje konto jest obciążane, a konto czasopisma uznawane;. . .  i to wszystko całkowicie automatycznie, nie trzeba nic dodatkowo robić. Jeśli jesteś subskrybentem, Twój certyfikat zidentyfikuje Cię jako subskrybenta i nie będzie trzeba nic płacić. Wydawca otrzyma pieniądze za wszystko co będziesz czytać, także będzie mógł umieścić całą treść online, a nie tylko fragmenty by zachęcić do subskrybcji wydania drukowanego. Jeśli spodoba Ci się to co czytasz, wrócisz i wydasz więcej pieniędzy.

Chcesz zacząć prowadzić swoje własne czasopismo? Uważasz, że czytanie Twojego blogu warte jest €0.001 za dzień? Żaden problem . . . oznacz go swoim certyfikatem, ustaw łącze "zapłać by przeczytać" i słuchaj jak mili-Euro wpadają z brzękiem to wirtualnej puszki po cukierkach.

Certyfikowane serwisy mikropłatności będą oczywiście musiały działać zgodnie z: zasadą "znaj swojego klienta", zasadami ujawniania informacji. Będą też musiały uwzględniać międzynarodowe układy przeciwko praniu brudnych pieniędzy, terroryzmowi i handlu narkotykami, a także będą musiały ujawniać wykonane transakcje służbom fiskalnym odpowiednim dla sprzedającego i kupującego w celu opodatkowania. Spowoduje to w większości zakończenie wykorzystywania Internetu do przestępstw finansowych i wyeliminuje konieczność wprowadzania dalszych przepisów i ograniczeń na handel w Internecie.

Micropayment and Funding Internet Resources / Mikropłatność i Finansowanie Zasobów Internetu

Mikropłatności dają nową możliwość wspierania serwisów Internetowych które gromadzą dużą liczbę odwiedzający, lecz nie są w stanie sfinansować swojej działalności z reklam lub subskrybcji. Mikropłatność umożliwia udostępnienie serwisu komukolwiek na zasadzie płatności za obejżane strony (lub, jak to przedstawiono poniżej, nawet za fragmenty ze stron). Nie ma

Funding Fourmilab: / Finansowanie Fourmilab: A Worked Example / Rzeczywisty Przykład Częściowo dla zabawy, a częściowo by oprzeć dyskusję na rzeczywistości przeliczyłem możliwość finansowania mojego serwisu (Fourmilab) przez prosty system płatności za obejżane strony. Sumując, utrzymanie tego serwisu kosztuje 5000€ miesięcznie: z czego większość to opłaty komunikacyjne i dla ISP, reszta obejmuje starzenie się sprzętu, i inne wydatki. (Nie liczę tutaj wartości własnego czasu, którego poświęcam wiele godzin lecz jak to określa się na formularzach celnych jest "bez wartości handlowej".) Daje to około 167€ dziennie. Codziennie rejestruję około 500.000 pobrań stron, także by w pełni sfinansować serwis musiałbym pobierać około 0,0003€--tj. trzy tysięczne eurocenta za stronę. Te "pobrania stron" generowane są przez około 30.0000 odwiedzających dziennie (możecie zobaczyć Statystyki Dostępu do Fourmilab jeśli interesują was szczegóły), także średni koszt oglądania stron Fourmilab dla każdego z tych użytkowników wyniósłby około 0,005€, pół eurocenta za odwiedziny. Oczywiście jest całkowicie możliwe, że odwiedzający Fourmilab zaczęliby uciekać krzycząc gdyby musieli zapłacić pół eurocenta za rzeczu tam się znajdujące, lecz jakoś w to wątpię, lub jestem na tyle pewny wartości mojej pisaniny by sądzić, że po pierwszym szoku by wrócili. Porównując, użytkownik który płaci 50€ miesięcznie za dostęp przez modem kablowy lub DSL już teraz wydaje około 0,07€: siedem eurocentów za godzinę dostępu do Internetu, nie ważne czy z niego korzysta czy nie. Proste przeliczenie średniego czasu wizyty w Fourmilab na podstawie liczby odwiedzających dziennie wskazuje że odwiedzający spędza w serwisie około 20 minut. Także jeśli zapłaciliby także za pobierane dokumenty 0,005€, to zapłaciliby tylko o 20% więcej niż płacą już teraz za dostęp do Internetu. To w całości pokryłoby koszty działania serwisu. Zapraszamy osoby które teraz finansują działalność z reklam lub subskrybcji by samodzielnie wykonali odpowiednie obliczenia dla własnych danych o odwiedzających.

konieczności by użytkownik otwierał swoje konto lub zawierał umowę z serwisem. Dopóki opłata za stronę jest mniejsza od indywidualnie ustawionego przez użytkownika dopuszczalnego maksimum płatności, opłata za stronę będzie automatycznie ściągana z konta użytkownika i przelewana na konto serwisu.

Jest pewne, że wiele dzisiejszych stron internetowych straciłoby oglądających gdyby zdecydowały się pobierać opłatę powiedzmy 0,001€ za stronę. Ale co z stronami które czytacie codziennie? Czy są warte jednej dziesiątej eurocenta za stronę? Czy porównaliście kwoty które wydawalibyście za czytanie stron Internetowych z opłatami które już ponosicie za dostęp do Internetu?

Micropayment, Excerpts, and "Deep Linking" / Mikropłatności, Cytaty i "Głębokie Odnośniki"

Wraz z pojawieniem się Weblogów ("blogów") i innych rodzajów niezależnego dziennikarstwa Internetowego pojawiło się wiele problemów dotyczących swobodnego wykorzystania treści prawnie chronionych. Do jakiego stopnia można cytować w blogu inny dokument opublikowany w Interneie (z lub bez odnośnika do oryginalnego źródła)? Czy jest dopuszczalny by dokument w Internecie zawierał bezpośredni odnośnik gdzieś głęboko we wnętrze archiwum innego serwisu internetowego, potencjalnie omijając znajdujące się na głównej stronie reklamy które finansuję jego działalność?

Mikropłatność dostarcza rozwiązania tych wszystkich problemów. Tak jak to przewidział ted Nelsen prawie 40 lat temu w swoim Xanadu, problemem praw autorskich nie jest koncepcje lecz granularność . (Dodałbym, że w dzisiejszych czasach, absurdalna idea praw autorskich powinna być wieczna, lecz jest to dyskusja warta innego dokumentu.) Gdy tylko mikropłatność stanie się tak powszechna jak e-mail, blog po prostu zamieści cytat z innej strony używając "URL cytatu" (problem technicznego rozwiązania pozostawiam jako ćwiczenie czytelnikowi), lub wstawi odnośnik do całego dokumentu. O ile koszt odczytania cytatu będzie niższy od założonego maksimum (i całkowity koszt wszystkich cytatów w blogu będzie także poniżej maksimum) użytkownik zobaczy je w całości automatycznie. W innym wypadku będzie musiał kliknąć na ikonkę by zaakceptować płatność przed obejżeniem cytatu. Podobnie, podążając za odnośnikiem do dokumentu licencjonowanego w ramach Cyfrowego Zarządzania Prawami (patrz poniżej), automatycznie wniesiecie opłatę i zobaczycie dokument o ile oczywiście jego koszt nie przekracza maksimum - w takim wypadku trzeba będzie zatwierdzić płatność przed pobraniem dokumentu.

Micropayment and Ubiquitous Wireless Internet Access / Mikropłatność i Wszechobecny Bezprzewodowy Dostęp do Internetu

Micropayment and Internet Taxation / Mikropłatność a Opodatkowanie Internetu

Zgodnie z przekazami, Michael Faraday, który w roku 1830 odkrył zasadę indykcji elektromagnetycznej, zapytany był przez Brytyjskiego polityka do czego może się przydać elektryczność. Faraday odpowiedzieł, "Proszę Pana, nie wiem do czego może się przydać. Lecz ze wszystkich rzeczy jestem całkiem pewien -- że kiedyś wy ją opodatkujecie." Cytat ten jest prawdopodobnie tylko anegdotą, choć niezwykle prawdziwą w naszych czasach. Elektryczność, ciekawostka laboratoryjna w czasach Faradaya, została w końcu opodatkowana, poprzez wiele niefortunnych ustaw stała się monopolem państwowym lub uregulowana do tego stopnia, że stała się od monopolu nieodróżnialna, stała się kosztowna i niepewna

Tak jak to się stało z elektrycznością, Internet zostanie w końcu opodatkowany. Tak długo jak istnieją rządu jest to nieuniknione. O ile opodatkowanie nigdy nie jest bezbolesne, to mikropłatności zniwelują choć bóle głowy związane z księgowaniem zarówno dla handlowców jak i klientów, gdyż podatki za korzystanie z Internetu i za handel będą zbierane automatycznie i przekazywane elektronicznie do odpowiednich urzędów.

Digital Rights Management / Cyfrowe Zarządzanie Prawami

Microsoft także dziś ostrzegł, że kończy się era "otwartego przetwarzania," niekontrolowanej wymiany informacji w cyfrowej formie która stworzyła przemysł komputerów osobistych.

Microsoft wyjaśnia czego dotyczą plany .Net
by John Markoff, The New York Times, July 24, 2002.

Cyfrowe Zarządzanie Prawami (Digital Rights Management - DRM) to obecne słowo-klucz dla technologii ochrony praw intelektualnych dla mediów cyfrowych.

Czy dane na Twoim dysku są Twoją własnością? Wielu użytkowników komputerów będzie zaskoczona odkryciem, że odpowiedź na to pytanie w większości brzmi: nie. Aktualnie masowo sprzedawane komputery mają preinstalowane typowo więcej niż 1Gb oprogramowania, z czego niemal całość chroniona jest prawami autorskimi producenta i objęta Licencją Użytkownika Końcowego którą użytkownik musi zaakceptować przed użyciem oprogramowania. O ile sprzęt i oprogramowanie umożliwia właścicielowi komputera kopiowanie plików programów, to prawo do wykonywania takich kopii zależne jest od zapisów w licencji i prawa autorskiego. Wiele plików pobieranych z Internetu także objętych jest prawem autorskim, nawet jeśli jawnie nie zmuszają użytkownika do zaakceptowania licencji; dokumenty wszelkich rodzajów "powstają chronione prawem autorskim" i przy braku jawnej deklaracji wydawcy o zrzeknięciu się praw lub dowodu, że prawa uległy przeterminowaniu, mogą być używane tylko w granicach dozwolonych przez prawo. Jedynymi plikami do których użytkownik posiada pełne prawa są te których zawartość została stworzona wyłącznie przez użytkownika, i / lub pliki z domeny publicznej; te pliki użytkownik może dowolnie kopiować, modyfikować i dystrybuować. Cyfrowe Zarządzanie Prawami niczego nie zmienia w prawie autorskim lub licencjach; po prostu wymusza stosowanie się do praw "wbudowanie" ich w sprzęt i oprogramowania komputerów użytkownika.

DRM wprowadzi kilka kategorii praw do dokumentów, niektóre z nich nie mają bezpośrednich analogii w tradycyjnym publikowaniu informacji.

Pay Per Copy / Płatność Za Egzemplarz

To jest tradycyjny model dla książek, nagrań muzycznych, filmów i oprogramowania sprzedawanego w pudełkach. Płaci się za kopię i zwykle niejawnie zgadza się na licencję zabraniającą kopiowania i redystrybuowania. Jednakowoż, nie ma barier technologicznych uniemożliwiających takie działanie. Czasem zakup uprawnia do wypożyczania innym oryginalnego dokumentu bez konieczności wnoszenia dodatkowych opłat wydawcy.

Pay Per Instance / Płatność za Instancję

Użyłem tej frazy dla określenia koncepcji dokumentu sprzedawanego konkretnej osobie, którego nie można przekanosić lub z którego nie można tworzyć dodatkowych kopii. Kupując dokument płatny za instancję, staje się on związany z osobistym certyfikatem i prawdopodobnie także z certyfikatem komputera na którym ma być on oglądany. Jeśli skopiujesz pobrany dokument (zakładając że platforma Bezpiecznego Przetwarzania wogóle na to pozwoli) komuś innemu, to ten ktoś nie będzie mógł go otworzyć ponieważ nie posiada Twojego certyfikatu, a przekazanie komuś także swojego certyfikatu jest równoznaczne z przekazaniem swoich kart kredytowych i dokumentów tożsamości, czyli . . . jest bardzo mało prawdopodobne. Dodatkowo, jeśli dokument będzie związany z danym komputerem, to będzie mógł być na nim czytany, ale by móc go przenieść na inny (np. z komputera biurkowego w domu na PDA wyjeżdżając na wakacje), trzeba będzie wykonać operację na skutek której będzie można czytać dokument na PDA, ale już nie na komputerze biurkowym. Oczywiście po powrocie, będzie można przenieść dokument w odwrotnym kierunku.

Płatność za instancję także umożliwia (pod warunkiem zgody wydawcy), przekazywanie podobne do wypożyczania książki koledze. Załóżmy że pobrałeś na swój komputer książkę z Internetu, przeczytałeś ją i teraz chcesz ją wysłać swojej córce na studiach. Nie ma problemu--po prostu wystarczy zakodować książkę publicznym certyfikatem córki i przesłać emailem. Oczywiście po wykonaniu tych czynności książka stanie się dla Ciebie niedostępna. Być może z takim transferem związana będzie dodatkowa niewielka opłata, ale przecież mikropłatność sprawi że będzie to niekłopotliwe i prawdopodobnie opłata będzie mniejsza niż przy wysłaniu książki zwykłą pocztą. Wydawcy będą mogli sprzedawać wersje dla bibliotek, prawdopodobnie za specjalną cenę, które będą mogły być przekazywane dowolnie wiele razy, zupełnie jak zwykła książka. Biblioteka nie będzie mogła wypożyczyć danego egzemplarza zanim inna osoba go nie zwróci.

Pay Per Installation / Opłata za instalację

Płatność za instalację podobna jest do płatności za instancję, za wyjątkiem tego że dokument związany jest z certyfikatem komputera na którym jest zainstalowany, a nie z certyfikatem osobistym osoby. Każda osoba korzystająca z danego komputera będzie miała prawo do odczytu dokumentu, lecz nie będzie on mógł być wykorzystywany na innym komputerze. Ta kategoria praw będzie wykorzystywana głównie przez oprogramowanie komercyjne instalowane na komputerze. Oprogramowanie preinstalowane będzie oczywiście od razu związane z fabrycznie zainstalowanym certyfikatem komputera. Kupując oprogramowanie, i to niezależnie czy w zwykłym sklepie czy przez Internet otrzymacie kopię, która przed użyciem będzie musiała być aktywowana online, co zwiąże ją z certyfikatek komputera na którym została zainstalowana. Zakup kopii oprogramowania będzie zwykle pozwalał na pojedynczą aktywację; dodatkowe licencje dla innych komputerów będą mogły być dokupywane gdy zajdzie taka potrzeba.

Zupełnie tak jak w przypadku płatności za instancję, wydawca produktu płatnego za instalackję może zezwolić na przeniesienie produktu na inny komputer. Jeśli na przykład, trzeba będzie wymienić starego gruchota na 40GHz SuperMocarza, będzie można przenieść na niego posiadane programy, przechodząc przez procedurę aktywacyjną która sprawi, że programy będą bezużyteczne na starym komputerze a staną się związane z nowym. Oczywiście wydawca może się na to nie zgodzić; zależy to od konkretnych zapisów w udzielanej licencji.

Pay Per View / płatność za obejżenie

To zupełnie tak jak się oglądało filmy gdy byłem dzieckiem. Gdy chciałeś obejżeć film, trzeba było iść do kina, wydać swoje pięćdziesiąt centów (byłem dzieciakiem dawno temu), by otrzymać bilet uprawnianjący do pojedynczego obejżenia filmu (razem z kroniką filmową, kreskówką, itp.). Gdy film się skończył zapalano światła i wyganiano wszystkich. Jeśli po prostu musiałeś zobaczyć go raz jeszcze . . . następne pół dolca, dziekuję bardzo. To jest złoty wiek o którym śnią baronowie medialni śpiąc pod wpływem różnych środków wchłoniętych w trakcie imprez w Hollywood.

Zupełnie tak jak przy płatności za instancję, pobrany z Internetu dokument jest związany z certyfikatem osobistym lub komputerowym, lecz dodatkowo z ograniczeniem pokazania maksymalnej liczby razy, na przyład raz. Także zamiast szarpać się szukając piosenki w jakimś serwisie P2P będącym pod ciągłym atakiem , będzie można po prostu odwiedzić ulubiony sklep muzyczny w Internecie, odnaleźć piosenkę, która wciąż brzmiała Ci w głowie przez ostatnie kilka godzin, pobrać ją za niewielką opłatą i przesłuchać . . . raz. Jeśli po przesłuchaniu chciałbyś słuchać jej na okrągło lub umieścić ją na CD do własnego użytku, zapłacisz ciut więcej za kopię płatną za instancję. Już nie trzeba będzie kupować całej płyty dla jednego lub dwóch hitów--oczywiście single będą kosztowały w sumie więcej niż album. Nie, nie będziesz mógł dać kopii CD znajomym, ponieważ nagrania będą związane z certyfikatem Twoim i Twojego komputera. Będziesz mógł robić dowolnie wiele kopii Twojej płyty z "super hitami" i dawać ją znajomym lub sprzedawać w sieci, lecz ktokolwiek ją otrzyma będzie musiał wnieść opłatę licencyjną za każde nagranie by uzyskać prawo do odtworzenia.

Zwróćcie uwagę, że płatność za obejżenie ma zastosowanie poza tradycyjnymi mediami rozrywkowymi; próbne kopie oprogramowania mogą posiadać licencję umożliwiającą uruchomienie określoną maksymalną liczbę razy w celach testowych, po której użytkownik musi kupić licencję umożliwiającą nielimitowaną liczbę uruchomień lub określoną dodatkową liczbę uruchomień. Producenci oprogramowania oferujący w ten sposób wersje próbne są chronieni, ponieważ mogą zapisać certyfikat użytkownika podczas wydawania kopii próbnych, i odmówić wydania więcej niż jednej kopii próbnej danemu użytkownikowi. Takie zastosowanie płatności za obejżenie zamyka dziury które sprawiają że z oprogramowania typu shareware trudno się wyżywić.

Circumvention Prevention / Ochrona przed nadużyciami

Wcześniejsze próbu ochrony własności intelektualnej w erze cyfrowej wywołały wyścig zbrojeń pomiędzy właścicielami praw autorskich a tymi którzy chcieli bez ograniczeń kopiować chronione utwory. Są powody by wierzyć, że pełna implementacjia Cyfrowego Zarządzania Prawami na platformie Zaufanego Przetwarzania będzie znacznie twardszym orzechem do zgryzienia, zmierzając do całkowitego bezpieczeństwa (zdefiniowanego jako punkt w którym straty z powodu kopiowania są nieznaczące w porównaniu z kosztami ich dalszego zmniejszania), tak jak stało się to w cyfrowej telewizji satelitarnej. W Stanach Zjednoczonych, Digital Millennium Copyright Act, wprowadzony w 1998, zalicza jako przestępstwo wykorzystanie inżynierii wstecznej i omijanie mechanizmów chroniących prawa autorskie. Nawet samo przekazywanie informacji o konstrukcji i implementacji ochrony praw autorskich uważane jest za przestępstwo. Biorąc pod uwagę polityczny consensus który przyczynił się do powstania DMCA, wielkości stawki o którą grają firmy medialne, a także kwoty inwestycji w technologie Cyfrowej Ochrony Praw wykonywane przez producentów sprzętu i oprogramowania, mamy wszelkie podstawy by spodziewać się rychłego wdrożenia bezpiecznego systemu implementującego wszystkie warianty praw które przedstawiłem powyżej, systemu który nie będzie powszechnie obezwładniany.

Trusted Internet Traffic / Bezpieczny Ruch w Internecie

Gdy platformy Zaufanego Przetwarzania chroniące własności intelektualnej będą już wdrożone, zabezpieczenia te będą mogły być rozszerzone na sam Internet. ARPANET, prekursor Internetu, skonstruowany był w celu badania odpornych na awarie sieci dla komunikacji wojskowej. W takich sieciach wszystkie łącze komunikacyjne mogą być zabezpieczone i wszystkie węzły sieci znane. W dzisiejszym globalnym, otwartym Internetem żaden z tych warunków nie jest spełniony, a wiele z widocznych problemów dziś spotykanych jest tego konsekwencją.

Przyszły Bezpieczny Internet zostanie zaimplementowany na platformach Zaufanego Przetwarzania w powiązaniu z Dostawcami Usług Internetowych i operatorami sieci szkieletowych. Dziś, dowolny komputer w Internecie może połączyć się z dowolnym innym podłączonym komputerem i wysłać dowolny pakiet zdefiniowany w protokołach Internetowych. Taka architektura oznacza że jeśli w jakimś systemie w Internecie, raz zostanie znaleziona dziura bezpieczeństwa, będzie mogła być wykorzystana do ataku przez setki milionów komputerów na całym świecie, a po ataku zakończonym sukcesem, system ten będzie mógł byc wykorzystywany do atakowania innych komputerów.

W Bezpiecznym Internecie to wszystko ulegnie zmianie. Klient Bezpiecznego Internetu nie zezwoli na jakiekolwiek połączenie od komputerów, których certyfikaty są nieznane (odbywać się to będzie per usługa; użytkownik może zdecydować by odbierać wszystkie emaile także od osób których certyfikaty są mu nieznane, lecz czyniąc odwrotnie zablokuje SPAM--zależy to od użytkownika.) W Bezpiecznym Internecie, każde zapytanie będzie oznaczone certyfikatami użytkownika i komputera generującego zapytanie, a certyfikaty te będą dostępne dla komputera odbierającego zapytanie. Nie będzie trzeba sprawdzać hasła i nazwy użytkownika ponieważ sam Bezpieczny Internet zapewnia uwierzytelnienie użytkownika, dodatkowo, po zarejestrowaniu, konto mikropłatności pokryje wszystkie wydatki za dostęp do sieci i za zakupy online. Dostawcy Internetu będą posiadali logi dostępu którę będą udostępniane organom ścigania na wniosek sądu gdy Internet był wykorzystywane w związku z przestępstwem.

Dodatkowo, Bezpieczny Internet będzie chronił własność intelektualną wszyskich do niego podłączonych. Konsumenci będą mogli pobierać dowolne dokumenty na zasadach zdefiniowanych przez wydawców, które będą wymuszane przez Cyfrowe Zarządzanie Prawami. Wydawcy będą udostępniać dokumenty z których każdy będzie oznaczony certyfikatem identyfikującym wydawcę i zasady wykorzystania. Zawierać też będzie podpis umożliwiający sprawdzenie, czy dokument nie został zmodyfikowany po opublikowaniu.

The Secure Internet / Bezpieczny Internet

Prekursorskie technologie przedstawione powyżej stanowią podstawy Bezpiecznego Internetu. Typowy użytkownik Internetu odwiedzający strony w Sieci, szukający, kupujący produkty lub usługi online, wysyłający i odbierający emaile i wiadomości IM, uczestniczący w czatach, grupach dyskusyjnych, forach dyskusyjnych, aukcjach internetowych zauważy bardzo niewielką zmianę w stosunku do Internetu dnia dzisiejszego, za wyjątkiem, być może, zmniejszonej irytacji która obecnie zniechęca go do takich działań. Lecz tak na prawdę Bezpieczny Internet będzie już zupełnie innym miejscem z powodu fundamentalnych zmian w sposobie interakcji tych z nim połączonych. W tej sekcji, zmiany zostały szczegółowo opisane. W następnej sekcji opisany został wpływ tych zmian na różnego rodzaju aktywność w Internecie.

The End of Anonymity / Koniec Anonimowości

Wiele problemów Internetu dnia dzisiejszego, które próbuje się łatać najdziwniejszymi konstrukjcami prawnymi, związanych jest z podstawowym brakiem rejestrowania działań w nim wykonywanych. Internet, tak jak został zaimplementowany aktualnie, daje użytkownikom dość wysoki stopień anonimowości który umożliwia im, o ile tylko będą chcieli, angażować się w różnego rodzaju przestępstwa względnie bezkarnie.

Historyczny poprzednik: Identyfikacja Dzwoniącego Internet nie jest pierwszą technologią komunikacyjną która cierpiała z powodu braku rejestrowalności. W latach, gdy telefony zmieniły się z ciekawostki w powszechność, nie można było sobie technologicznie poradzić z rejestrowaniem wszystkich rozmów lokalnych. Nie ważne, czy rozmowa wykonywana była przez operatora czy też bezpośrednio, było ekonomicznie uzasadnione by ich nie mierzyć i nie rejestrować, tak by nie trzeba było przechowywać rejestrów i naliczać opłat za liczbę rozmów. Rozmowy międzymiastowe były dość rzadkie w tych czasach (Byłem już nastolatkiem zanim można było zadzwonić do innego miasta w ruchu automatycznym, a jestem młodszy od Benjamina Franlina), i można było je indywidualnie rejestrować na papierze, a później elektromechanicznie w celu naliczania opłat. Opierając się długiej tradycji anonimowych połączeń lokalnych (o ile nikt nie rozpoznał głosu), większość rozwiniętych krajów podjęła poważny wysiłek finansowy by odzyskać rejestrowalność w postaci wdrożenia systemu Identyfikacji Dzwoniącego w latach siedemdziesiątych i osiemdziesiątych, sprawiając że filmowe spiski bazujące na anonimowych rozmowach lokalnych są trudne do zrozumienia przez pokolenie wyrosłe wraz z Identyfikacją Dzwoniącego. Zupełnie tak jak stare filmy sprawiają, że dzisiejsze nastolatki pytają zaskoczone, "Dlaczego ona po prostu nie zadzwoniła na 112 przez swoją komórkę?". Identyfikacja Dzwoniącego jest doskonałym modelem ewolucji Internetu. Była próbą naprawy społecznych niekorzyści z anonymowości stworzonych przez ograniczenia technologicznie które przestały istnieć. Została zaimplementowana i wdrożona w materiał społeczny w sposób który zrównoważył konkurencyjne priorytety. Jednostki mogą zablokować Identyfikację Dzwoniącego dzwoniąc do innych umożliwiając anonimowe rozmowy do centrów kryzysowych i grup wsparcia; krytyczne usługi mogą obejść blokadę i zidentyfikować dzwoniącego, a także organy ścigania mogą otrzymać rejestry rozmów do swoich dochodzeń. Dokładnie tak będzie w Internecie.

Udostępniając, a raczej odtwarzając rejestrowalność zdarzeń zachodzących w Internecie jest kluczem, technologiczną podstawą do naprawy większości aktualnie w nim występujących problemów. Obecna w dzisiejszych czasach anonimowość Internetu nie była zamierzona -- jest w większości przypadkowym skutkiem rozwoju Internetu w latach 90-tych; szczegóły zostały opisane w Dodatku 1.

Zobaczmy w jaki sposób rejestrowalność zostanie w Internecie przywrócona.

User Certificates: No ID, no IP/ Certyfikaty Użytkowników" Bez ID nie ma IP

Pierwszym krekiem w przywracaniu rejestrowalności Internetu będzie wprowadzenie Internetowego Certyfikatu Użytkownika. Certyfikat ten, bez którego żadne dane nie zostaną przesłane przez Internet, będzie w unikalny sposób identyfikował osoby (prawne lub fizyczne) odpowiedzialne za wysyłanie informacji. Najlepszą analogią jest tu nie numer telefonu, a raczej znak wywoławczy którym stacje radiowe, telewizyjne i operatorzy amatorskich radiostacji identyfikują swoją transmisję. Internetowy Certyfikat Użytkownika jest po prostu unikalnym identyfikatorem wskazującym osobę odpowiedzialną za wysyłanie pakietów przez Internet. Internetowy Certyfikat Użytkownika jest uwierzytelnieniem identyfikującym nadawcę.

W porównaniu z współczesnymi kontami dostępowymi do Internetu, dostęp przy wykorzystaniu certyfikatu ma gravitas. Po pierwsze, należy oczekiwać, że biorąc pod uwagę prawne skutki jakie pociągną za sobą certyfikaty, sankcje przeciwko uzyskującym lub posługującym się fałszywmi certyfikatami będą takie same jak te za uzyskanie paszportu na podstawie fałszywych danych lub pokazanie sfałszowanego prawa jazdy podczas kontroli drogowej. Dostęp do Internetu z fałszywym certyfikatem jest równoważny jeżdżeniu po autostradzie z lewymi tablicami rejestracyjnymi lub przekraczaniu granicy z fałszywym paszportem i będzie poddane podobnemu wymiarowi kary.

Przy podłączeniu do Internetu, twój certyfikat zostanie przesłany do punktu dostępowego, który sprawdzi czy certyfikat jest poprawny. Jeśli wydawca certyfikatu nie potwierdzi prawidłowości certyfikatu, lub zablokuje certyfikat z powodu decyzji sądu, nastąpi odmowa dostępu do Internetu. Gdy tylko certyfikat zostanie potwierdzony, otrzymasz pełny dostęp do Internetu, dokładnie tak jak teraz. Twój certyfikat będzie notowany wraz z wszystkimi nawiązywanymi połączeniami i dostarczany na żądanie, do wszystkich serwisów z którymi się będziesz łączyć. Sprawi to, że e-zakupy staną sie bezbolesne i bezpieczne. Gdy tylko zarejestrujesz się w e-sklepie, cała późniejsza komunikacja będzie zabezpieczona Twoim certyfikatem. Nie będzie trzeba zapamiętywać

Computer Certificates

In addition, the computer you're using to access the Internet will be identified by its own certificate, which will also be provided on demand to sites you access. While the most commonly used credential is your personal certificate, the computer's certificate can be used to validate access to remote software components you've licensed or, for example, to secure remote backups of files from the computer against access from any other computer. Computer certificates will eventually be built-in by the manufacturer, much like the CPU serial number in Pentium III and later processors or, as is common in Unix workstations, in the form of an identity ("hostid") chip which can be transferred from one machine to another in case of hardware failure. The machine's certificate will become the primary means of licensing commercial software installed on the computer. Unlike present day ad hoc machine signature schemes or serial number checks in Unix workstation software, programs licensed to a machine's certificate will be stored in encrypted form and decrypted with the machine's private key from its certificate when loaded into memory. This decryption will be performed in hardware or by the kernel of the Trusted Computing operating system, which itself will be locked to the machine certificate.

The large installed base of computers without certificates or hardware support for Trusted Computing operating systems will necessitate a protracted period of transition during which computer certificates are implemented in software and consequently less secure. Users could, for example, obtain certificates for their own computers by presenting their personal certificate to the issuing authority. The certificate would be delivered as a file to be installed on the machine to identify it. Users may revoke machine certificates when a computer is scrapped or sold.

Once a machine's certificate is embedded in hardware, computer theft becomes a less attractive criminal enterprise since a stolen machine will report its identity, and the personal certificate of its user, at the moment it connects to the Secure Internet. If a machine is stolen, its owner may revoke its certificate, rendering it incapable of connecting to the Internet. Even with certificates implemented in software, revocation (or, in the case of theft where one hoped to eventually recover the computer, suspension) of the certificate would block all software licensed to that computer at the moment it next connected to the Internet and performed a certificate validation. Personal data on the hard drive of a stolen computer would be inaccessible to a thief because it is encrypted with the personal certificate of the owner.

Everything is Encrypted

With the advent of certificates for individual Internet users and computers, the Internet will go dark to snoopers. Those who use the Internet will finally have grounds for confidence their private data, messages, and online financial transactions are secure.

Secure Internet Commerce

Today, when you connect to an Internet commerce site, your browser receives and validates a certificate from the site which it uses to determine you are, in fact, connected to the site you think you are, not a false storefront put up by a crook intent, say, on collecting credit card numbers. Your browser then negotiates a session key to encrypt the balance of your transaction with the site. Typically then, if you're already a customer, you log in with a user name and password you've chosen for the site, which are protected against interception by the session's encryption key. If you're a new customer, the user name and password you select, and your address, credit card number, etc. are similarly protected against interception.

With the advent of the Secure Internet, both parties to the transaction, you and the merchant you're doing business with, will be uniquely identified by their certificates. When you connect to the merchant's site, an encrypted channel will automatically be established based on your certificate, your computer's certificate, the merchant's certificate, and that of the merchant's computer. Compromise of all four certificates would be required to intercept the data you send during the connection. There will be no need for user names or passwords--your certificate will identify you. If you've decided to permit such disclosure, the merchant can even obtain information such as your shipping address, privacy preferences, and the like while validating your certificate. If you prefer to keep such information private, you'll have to enter it as you do now, or authorise its transmission to merchants on a case-by-case basis when first doing business.

But certificate-based encryption will extend well beyond Internet commerce. On the Secure Internet, everything will be end-to-end encrypted in this manner. When you establish a connection to any site at all, in any protocol, the four certificates involved (yours, your computer's, the site's, and its computer's) will be validated and used to negotiate a key for the connection, which will be used to encrypt all data exchanged: E-mail, instant messages, Internet telephony audio, Web pages, everything. What you exchange with a site while connected is entirely between you and the site. Snooping by third parties is impossible. Not only needn't you worry about somebody reading your mail or snatching your credit card number, a snoop won't even be able to know which pages you request from Web sites you visit, since the URLs of the pages you request and the content you receive will be encrypted. (It will remain possible to determine which sites you visit by snooping packets and looking up the IP addresses of those you connect to.)

Private File Storage

Certificate-based encryption will protect data on your computer even when you're not connected to the Internet. The file system in a Trusted Computing platform will automatically and transparently encrypt all files which belong to you with your certificate. If multiple people share one computer, each will be able to read only their own files; without the certificate of the other user, files belonging to that person, even if physically readable, will be gibberish. If a computer is stolen or an unauthorised person gains physical access to it, users' files cannot be read unless the criminal has also managed to obtain the certificates of their owners.

Files stored on removable media will be encrypted in the same fashion. Compromise of private data by scanning backup media (remarkably, many security-conscious people fail to ponder this threat) cannot occur since the backed up files are encrypted with the certificates of their owners. When sending a file to another person on a physical volume such as a floppy disc or recordable CD, it can be signed with the sender's certificate and encrypted with the public key of the intended recipient who can thereby verify the identity of the sender. Should the shipment be intercepted by a third party, its contents cannot be read without the intended recipient's certificate.

We Know what You've Read

With every Internet transaction tagged with the personal certificate of the requester and that of the computer where the request originated, operators of Web sites and other Internet services will be able to "know their customers". For the first time, Web sites will be able to compile accurate readership statistics, subject to audit by circulation bureaux, as for print publications. This, in turn, may restore the viability of the advertiser-supported business model for popular Web sites.

Internet traffic can be logged and audited by others, for their own purposes, as well. The ability to potentially recover a list of certificates of those who accessed a site containing prohibited content such as child pornography will deter those who now rely on the anonymity of the Internet to shield them from prosecution. Sites indulging in hate speech and/or material of interest to terrorists will find their regular visitors scrutinised by the authorities concerned with such matters. Societies which wish to control the flow of information across their borders can monitor the activity of their nationals to determine whether they are violating imposed restrictions. Parents will be able to monitor the activities of their minor children using certificates they've obtained for them which are linked to the parent/guardian's certificate.

Intellectual Property Protection

Digital Rights Management, secured technologically by Trusted Computing systems and legally by sanctions against reverse-engineering and contravention, will provide comprehensive protection for intellectual property of all kinds. Items downloaded from the Internet: Web pages, books and magazines, music or video files, and all other forms of content will bear certificates which define the terms under which they are licensed to the user, which will be enforced in hardware and software. Only data created entirely by the user (for example, documents they've written, pictures they've taken) and content in the public domain will be able to be freely copied, modified, transmitted, published, and used in other ways. Naturally, users may apply Digital Rights Management themselves to content they create, specifying the terms under which others may use it. For example, when circulating an E-mail draft of a scientific paper to a group of colleagues for comment, you may wish to "license it" exclusively to their certificates to prevent further dissemination should one of them prove indiscreet.

Intellectual property protection can be applied at a fine-grained level. A Web page may include images and citations from other Web content licensed on various terms; when the page is viewed, each inclusion is retrieved subject to its own license. If an included item requires payment, confirmation will be required before downloading it or, if the fee is below the reader's designated threshold of paying, the fee will be transferred automatically via micropayment.

Document Certificates: The Digital Imprimatur

With all parties on the Internet identified by the certificates they're required to use to gain access and exchanged with all transactions, and hence mutually accountable for their online interactions, and Trusted Computing platforms guarding against fraudulent credentials or misuse of intellectual property, the foundation will be laid to fully apply certificates to content: every document transmitted across the Internet.

The first application of document certificates is already in use: signed applets downloaded by Web browsers which are run only if the certificate is verified as belonging to a trusted supplier and contains a signature which matches the content of the downloaded code. (The MD5 checksums or PGP/GPG signatures posted for many OpenSource software distributions can be thought of as a crude kind of document certificate, manually validated by the user against a checksum or signature published on the Web site whence the package is downloaded.)

Trusted Computing systems will require all software they run to be signed with certificates, will verify the signature of each program before executing it and, when online, will (periodically) re-validate the certificates of installed programs with their suppliers. If a program's certificate has been revoked (for example, if a critical security flaw has been found in it which requires an update to correct), the Trusted Computing platform will refuse to run the program, informing the user of the reason for the certificate's revocation. The computer's operating system will bear its own certificate, which will be validated by the BIOS before the system is booted, protecting against unauthorised changes to the installed system or noncompliant operating systems which do not fully implement the Trusted Computing architecture.

A computer program is nothing more nor less than a sequence of bytes, like any other digital document. Just as executable programs can, and will, be signed with certificates, so can Web pages, word processor documents, images, music files, and all other forms of digital data be signed. Certificates are, in fact, an essential part of Digital Rights Management, and will routinely accompany files employing it, eventually encompassing virtually all files obtained from commercial sources.

Now let's consider what happens when this architecture is extended to the Internet. I believe the technological precursors described above will eventually be deployed in such as way as to turn the entire Internet into a Trusted Computing platform. What, precisely, will this mean? Well, just as a Trusted Computing system will load neither programs nor data files without a validated certificate whose signature matches their contents, neither will the Secure Internet transfer any document, in any standard protocol without such a certificate accompanying it. (And by the time this is rolled out, consumer Internet access will long have been restricted to a short list of protocols on standard ports: HTTP, FTP, SMTP, POP, etc. The peer-to-peer Internet, where any site could connect to any other on any port with any protocol will have passed into history as, indeed, is already beginning to happen due to NAT routers and firewalls which cannot be configured by the user to accept inbound connections.)

On the Secure Internet, E-mail messages will not be delivered unless signed by the originator's certificate; the recipient of such a message will know who sent it. (A draft standard for a certificate-based mail transfer protocol was published in August 2003.) When a request is received by a Web site, it will be signed by the certificate of the requester; sites will finally know who their visitors are. And what about the Web page the site sends back to the user in reply? Well, that's where things get really interesting.

Documents returned by Web servers will be required to be signed with a certificate and, as with all other traffic, the certificate will identify the originator of the page and contain a signature which permits the recipient to verify its content has not been corrupted. But that's not all a document certificate may be required to contain. Suppose, in order to be transmitted across the Internet in reply to public HTTP or FTP requests, a document was required also to be signed by an authorised document registry, just as certificates are issued by a certificate authority? Imagine you've just finished adding a new page to your personal Web site describing, say, your idyllic vacation in the Nibi-Nibi islands. You've got all the kinks out of the page, and now you're ready to share it with the world. Just one more thing . . . before the page can be transmitted beyond your Web server's local network, it must bear a document certificate. So, you pop up the "Sign page" box in your editor, click "Sign", and a few seconds later you have a signed page to install on your server, whence anybody can download it.

What happened in those few seconds after you clicked the "Sign" button? First, the URL of the page was sent, along with your personal certificate, to your designated document registry (if you do business with more than one, you'll be asked to select which). The document registry will then download the source for your page and all embedded content (images, animations, etc.), and generate a certificate which identifies you as the author of the page, with signatures for the page and each of its embedded content components. This certificate is then returned to you, where it's stored with the Web page on your server. The document registry will probably charge you a negligible sum of money for the certificate, which you'll pay automatically with micropayment. When you update the document, you simply submit the new version and obtain an updated certificate to accompany it.

When users access your document, its certificate is validated and, if good, the document is transmitted to the requester along with the certificate. The requester can check the signature of what they received to confirm it agrees with what was signed. If the user stores a local copy of the document (whether this is possible and, if so, on what basis is up to you, as the author of the page, to determine; Digital Rights Management will enforce whatever policy you select), the certificate will accompany the document and be checked against the document registry whenever it is accessed. If you update your document you might, for example, tag the signature of the old version at the registry to notify anybody with a copy that an update is available; the next time they tried to read their local copy, they'd receive the notification from the document registry and be alerted to the update. You could even, should you decide to digitally eat your words, revoke the document's certificate; anybody with a local copy would then, if online, be notified the document had been "un-published" and their copy rendered inaccessible. This doesn't violate the user's rights in any way--you're the author of the document; you own the copyright, and you can control access to it in any way you wish.

You're doubtless way ahead of me already in thinking of other things these document registries can do . . . . First of all, they will, collectively, know when any page is published or an existing page is modified, and can provide this information to operators of search engines, as will be discussed in the next section. Since the registries compute a document's signature by examining it and all embedded content, they might, for example, compare those signatures with those of existing documents (aggregated from all document registries) and check for matches against documents flagged as copyright protected. A match might alert the copyright holder of a potential violation by your page. The document registry might, in the interest of compiling a comprehensive archive of the Web or, perhaps, encouraged by a government mandate, make an archival copy of all documents for which it granted certificates; imagine how useful such an archive could be in resolving subsequent disputes regarding their content. Why, the document registry could even, in the interest of wholesomeness or, perhaps, inspired by a public law, examine the contents of the document and match it against profiles of prohibited content, flagging it for possible scrutiny by those who occupy themselves with such matters.

Since a document cannot be transmitted across the Internet without a certificate validated by its document registry, nor can a user who has received a copy of such a document access it once its certificate has been revoked (except on a machine which is never again connected to the Internet after receiving the document), should the document be found to infringe the rights of another party or violate the law in some manner, after this is established through due process of law, the document registry may be ordered to revoke the document's certificate, un-publishing it.

Some might even fantasise that document registries could, based on signature comparison and heuristic examination of document contents, even refuse to grant a certificate for a suspicious document unless the publisher provided proof it did not violate copyright or laws regarding its content. But that would constitute prior restraint on publication, which is unthinkable in a free society.

This, then, is the digital imprimatur; the right to publish as, in olden times, was granted by church or state. A document's certificate, its imprimatur, identifies the person (individual or legal entity) responsible for its publication, provides a signature which permits verifying its contents have not been corrupted or subsequently modified, and identifies the document registry which granted the imprimatur and which, on demand, will validate it and confirm that it has not been revoked. Trusted Computing systems and the Secure Internet will perform these functions automatically and transparently; to a user browsing the Web, everything will look and feel precisely as it does today.

Dynamic (Variant Content) Documents

Certificates for variant content documents (for example, stock quotes, weather information, search results, shopping cart contents at an online merchant site, etc.) cannot include a content signature because each page returned to a requester is unique. It would be absurd to demand a new document certificate be issued for each reply page, and doing so would compromise the security of user information it contained. Dynamic documents may be accommodated within the digital imprimatur by registering a template and granting a document certificate for the result page based upon it.

Registries would examine template certificate requests carefully, especially if made by unknown publishers or those suspected of attempting to circumvent the requirement for document certificates. Users of template certificates would be subject to audit by the document registry to verify the template was being used in the manner claimed when its certificate was granted.

Note: I am well aware that dynamic documents are a huge, gaping, ugly hole in the digital imprimatur scheme. I have not expended a great deal of effort thinking about ways to better secure such documents; I'm sure this issue will be explored in detail if and when document certificates are imposed on the Web. Still, even though dynamic pages account for a large percentage of Web traffic, they are a minuscule fraction of the pages on the Web. The large organisations responsible for variant pages which get large numbers of hits cannot afford to abuse the privilege of template certificates.

Publisher Self-Registries

Commercial publishing houses, news media, and other organisations which publish large volumes of information or frequently-changing content (for example, a newspaper's site) may be delegated the authority to act as their own publication registry in the interest of efficiency and quick reaction. This is analogous to commercial broadcast stations which keep their own program logs. As with a program log, the publisher's document registry is subject to audit and must be publicly accessible to verify document certificates and provide notification of new publications. Evidence of abuse of self-registry will result in withdrawal of the privilege.

Truth, and Consequences

It is a well-known fact that no other section of the population avail themselves more readily and speedily of the latest triumphs of science than the criminal class.

Inspector John Bonfield,
Chicago Police Department, 1888

The accountability and security the technologies described in the previous section will provide once fully deployed will put an end to a wide variety of poster child problems of the present day Internet. Here's a brief survey of some of the most obvious,

Does "Computer Crime" Exist? Every time an egregious crime is committed by means of, or with the assistance of a computer, the chattering classes become abuzz with the challenges posed by "computer crime" and politicians unveil draconian measures to restore law and order on the digital frontier. But does "computer crime" actually exist, and is there a need for extensive new legislation and regulations to come to terms with it? I believe the answer to this question is no, and that whatever adjustments are required are minor definitional changes to already existing laws. Here's a mental exercise to illustrate this point. Think of some offence which is usually considered to be a "computer crime". Now, see if the very same crime could have been committed without the aid of a computer (albeit, perhaps, with more difficulty or with greater risk to the perpetrator). If this is the case, then the use of a computer is entirely incidental to the crime--if it's a crime without a computer, how does employing a computer to commit it make it any different? If a burglar breaks into a house with the aid of a crowbar, that is not an instance of "crowbar crime" requiring new laws regulating crowbars--it is breaking and entering, already a crime, which can be committed with a wide variety of tools. The worked examples in this section illustrate how, once accountability is present, existing laws suffice to punish misbehaviour on the Internet.

each pitched as I expect it to be toward the constituencies concerned with each problem.

Copyright Violation

Digital Rights Management and Trusted Computing resolve most of the current problems with copyright violation on individual computers, and the Secure Internet will extend these protections to the entire network through document certificates. Copyright holders can monitor newly published documents for violations and, if detected, begin a procedure which will result in the offending document's certificate being revoked, un-publishing it on any machine which has stored a copy and is subsequently connected to the Internet. The added security, plus the ability to make copyright protected documents available under a variety of license terms including pay per view with micropayment, will encourage owners of documents to make them available on the Internet where before they were hesitant due to fear of piracy.

Identity Theft and Fraud

Remember the story about the miscreant who hung a sign on an automatic teller machine that said "Out of order--please use temporary ATM" and set up his own bogus ATM next to it which simply read credit card stripes, recorded PINs, and flashed "Temporarily out of order" on its display? He collected the machine at the end of the day and did the obvious thing with the information it had obtained. That was a crime. Or how about the waiters in restaurants who make an extra imprint from your credit card and write down the little code on the back and go wild spending your money. That's a crime too, and the only computer used to commit it is made of meat. Setting up a bogus Web site or sending E-mail under false pretenses to obtain precisely the same information is likewise a crime.

The end to end encryption of all transactions on the Secure Internet will render identity theft schemes which rely on intercepting messages nonviable. Trusted Computing platforms will protect against worms and viruses which install "spyware" on users' computers to collect personal information, including credit card numbers, PINs, and passwords. Access by user certificate will eliminate the need for users to keep track of a long list of login names and passwords, and the resulting temptation to store them insecurely or to use the same name and password on a number of sites, running the risk that if one is compromised, accounts on other sites will be as well.

Micropayment will eliminate the risk of identity theft by rogue merchants who collect credit card numbers from online purchases and then use them fraudulently, since the merchant will be paid through the micropayment exchange for the specific transaction approved by the user, and will never see the details of the account (credit card, bank transfer, etc.) with which the user paid. Only the user can authorise a payment to a merchant; without access to the user's certificate, receipt of a payment does not provide the ability to make subsequent fraudulent charges, as possession of an individual's credit card details does today.

Compromise of a user's certificate remains a very serious matter, equivalent to having one's wallet or passport stolen. Certificates, like credit cards, can be quickly blocked, but a user who loses control of a certificate is in for the painful process of transferring everything bound to the old certificate to the new one. Attempts to use the revoked certificate will trigger immediate warning flags, and the ability to determine the computer from which the attempt originated will help track down the culprit. At least with certificate-based access the user need only worry about guarding one credential. As the Secure Internet is put in place, users must be educated as to the importance of protecting their certificates.

Eavesdropping

Laws against wiretapping, electronic surveillance, including the laws and regulations governing when it may be employed by law enforcement, already exist and have for decades. The nature of the Internet, which permits packets to be "sniffed" on local networks or intercepted at intermediate relays between the sender and receiver, may facilitate eavesdropping, but every kind of crime committed by such means had already been committed before 1870 on the public telegraph network, mostly by corrupt operators in telegraph offices. In any case, once all traffic on the Internet is encrypted, eavesdropping will become far more difficult than in any earlier mass communication medium, while meeting the needs of law enforcement subject to due process.

Scams and Securities Fraud

Offering bogus products for sale is fraud, regardless of how orders are solicited and taken, and has nothing to do with computers or the Internet--I received my first Nigerian money scam delivered by the postman in 1982! Fraudulent offers made over the Internet constitute fraud no more and no less than identical offers made by a telemarketer or sent by FAX; no additional legal sanctions are required. In fact, when accountability is restored to the Internet, it will be far easier to identify and prosecute the perpetrators of such crimes via the Internet than those committed through other means. The ability to identify the originator of messages of all kinds will deter "pump and dump" fraudsters in investment chat rooms and bulletin boards and provide the information needed to identify them should their behaviour merit investigation.

Spam and Other Unwanted Messages

Every communication medium has spawned its own form of mass marketing: in the post: junk mail; on your FAX: junk FAX; over the phone when you're trying to eat your dinner: telemarketers; I even remember blaring sound trucks trying to get out the vote on election days when I was a kid: junk noise. The only economic constraint on unsolicited commercial communications is the relationship between the cost to reach a given audience and the anticipated revenue generated from the message. Spam has become a plague on the Internet simply because an enormous number of pitches can be delivered at negligible cost compared to other media, so regardless of how crude the message or the clientele it is directed toward, there is a reasonable expectation more than enough bottom feeders will respond to turn a profit. Content-based filtering can eliminate a large percentage of junk mail but provokes an arms race between efforts to disguise junk mail and those of filters to unmask it. The advent of true accountability on the Internet will make mass Internet junk mail a thing of the past.

With the ability to identify the person (individual or business) responsible for transmitting a message (which will not be delivered without a verified sender certificate), those who abuse E-mail can be instantly and unambiguously blacklisted based on their certificates--messages they send will be discarded without any further need for user intervention. No government involvement is required--a customer of an Internet service provider can subscribe to one or more independent databases of junk E-mail offenders and filter based upon their identities. If a mass mailer attempts to obtain new certificates with fraudulent credentials or steals the certificates of others to forge messages with stolen identities, they are committing crimes for which they can be prosecuted. Investigating such offences will be facilitated by knowledge, from the sending machine(s) certificate, of the computer or computers where the fraudulent messages originated.

If an individual wishes to never see E-mail (or other communications: for example instant messages, chat room text, news group and bulletin board postings, etc.) from a given person, they need only press the "Ban" button in their client program whilst reading an offending message: subsequent messages signed by that originator will be silently discarded or ignored. Since all of these media will only accept messages with a valid and verified certificate, filtering based upon it will be absolutely reliable.

Worms and Viruses

The advent of Trusted Computing and the Secure Internet will close most of the vectors through which the present-day plague of computer viruses and worms propagate. (The distinction between viruses and worms, murky enough already, is irrelevant to this discussion; in the interest of brevity, I will use "worm" to denote all kinds of self-propagating programs, malicious or otherwise.) As I write these words, my mail log is noting the arrival and automatic disposal of a Sobig.F mail worm about every three minutes--more than 250 a day for the last several weeks. Most worms propagate by exploiting security flaws, principally in the widely-used products of one major commercial software vendor. While it makes sense to focus in the near term on remedying existing flaws and avoiding the introduction of new ones, errors and unanticipated consequences are inevitable in all fields of engineering, and systems should be designed to be robust even in their presence.

It is instructive to observe that most of the recent large-scale outbreaks of worms have propagated due to vulnerabilities already found and fixed well before the programs which exploit them were released into the wild. The worms were able to wreak their havoc on the Internet because tens of millions of computers had not yet been updated to versions of software which correct the vulnerabilities the worms depend upon. The combination of Trusted Computing and the Secure Internet will eliminate the risk posed by machines running software with known vulnerabilities. Every program executed by a Trusted Computing machine will be signed with a certificate from its supplier. Periodically, the operating system will re-validate the certificates of programs before running them. When a critical security flaw is discovered in a program, its supplier can revoke the certificate for the vulnerable version of the program. When a user next attempts to run the program, the operating system will discover the certificate revocation and refuse to run it until the user downloads and installs a patch or updated version which corrects the problem. The certificate revocation will usually direct the user to the required update which, based on the user's preferences, may be installed automatically. Obviously, validating a program's certificate requires the machine to be connected to the Internet. But a machine which is not connected to the Internet can neither be infected nor infect other machines, and hence is neither at risk from, nor any risk to, others.

The Trusted Computing architecture will also guard against the mechanisms worms use to infect users' machines and cause subsequent damage. Most mail- and Web-based worms work by tricking the user or the user's Web browser or mail client into executing a program which runs under the current user's permissions. A Trusted Computing platform will execute no program which does not bear a valid certificate signed by a supplier the user has chosen to trust, with a signature that matches the program about to be run. Hence, even if the user is tricked into attempting to run a program, all that will happen is that a warning box will pop up indicating the program does not bear a certificate from a trusted vendor. Expert users will be able to add vendors to their trusted list, but the typical user will have no need to do so. Should a rogue vendor be discovered releasing malicious software, revoking the vendor's certificate will automatically disable all programs signed with it. Even if a malicious program manages to bypass all these safeguards and infect one or more executable files on a user's computer, the only consequence will be that said files won't run until they're replaced with intact versions since, when launched, the signature in their certificates will fail to match the program files and/or (if the signature has also been modified) the local signature will fail to verify against the supplier's signature over the network.

Search Engines

At present, Web search engines are required to periodically "crawl" the Web to discover new documents and changes to documents already indexed. This is costly and wasteful of Internet bandwidth (especially with numerous engines all crawling the Web independently), and has a long latency time--days or, in some cases, weeks may elapse before a newly added document or site is indexed. When documents change or are deleted, search engines don't discover this fact until they next crawl the site containing the document, resulting in their returning out of date and broken links much to the frustration of users.

The advent of document certificates (imprimatur) will eliminate these problems and allow search engines to stay current with Web content at a fraction of the present cost. For a document to be published on the Web, it must be accompanied by a certificate issued by a document registry identifying its originator and containing a signature permitting its content to be validated. As described above, without this document certificate, it will not be transferred across the Secure Internet. When a document certificate is obtained from a document registry, a log entry will be made identifying the document source URL, signature, and publisher's certificate. This database will be available to the public, and search engines will use it to be immediately informed when a document is published, revised, or deleted (by revoking its signature). When these events occur, the search engine can immediately index the document or, in the case of revocation, purge references to it from its search database. Web crawling will still be necessary as a lower priority activity to detect broken links and documents with valid certificates whose URLs no longer work, but this will be a quality control measure, not the primary means of keeping a search engine up to date.

Plagiarism

Regardless of the constraints imposed by Digital Rights Management, plagiarism will always remain possible--after all, it existed in the days of quill pens and parchment; digital technologies may make it easier, but cannot prevent it. However, once a document certificate (imprimatur) is required for each publicly available document, plagiarism will be far easier to detect and respond to. The database of newly issued and revised document certificates can be used by copyright holders to scan for instances of their material being used without authorisation. Once an apparent violation is asserted, a dispute resolution procedure can be undertaken (judicial or arbitration) and, should a finding of plagiarism result, the offending document can be immediately un-published by revoking its certificate, which will immediately halt further damages to the owner. Digital Rights Management will render copies of the plagiarised document unreadable at the moment their certificate is checked. Only copies kept on machines never connected to the Internet will remain readable.

Since the process of reviewing content to detect plagiarism is quite similar to that employed by search engines to detect identical or similar documents, the operators of search engines may provide plagiarism detection as a value-added service to copyright holders. This would eliminate the need for each individual intellectual property owner to scan new documents, since the search engine is already examining them.

Patent Enforcement

A patent confers upon its holder the right to use the invention it discloses and, consequently, to license and regulate use of the invention by others during the patent's term. One infringes a patent by using the invention in a way covered by one or more of the patent's claims. This is the case even for a customer who unknowingly purchases a product which infringes a patent, or contains a subassembly which does. A computer graphics chip which, for example, uses the exclusive-or (XOR) function to draw a cursor on the screen might be found to infringe the absurd patent (thankfully now expired) granted in 1980 to the purported "inventor" of that particular triumph of the human intellect. The owner of the patent could, in principle, bring suit for damages not only against the chip maker, but also against computer manufacturers who used the chip, and/or customers who bought computers from those manufacturers. This is rarely done, but the threat of such litigation is often sufficient to coerce the party at the top of the food chain (in this case, the graphics chip manufacturer) to pay a license fee to the patent holder to avoid the risk of a potential imponderable liability deterring customers from designing in the chip. I'm not making up the XOR patent example; I personally signed a check for US$25,000 to the. . . uhhh. . . fellow who owned that patent in 1985.

Once software products are signed with a certificate which is validated each time they are launched, patent holders will be in a far stronger bargaining position. If a deployed software product infringes a patent, the patent holder could seek relief in the form of revocation of the program's certificate, with users only permitted to use the program after purchasing an update which licenses the patented technology. To avoid the disruption and ill feeling such an event would engender toward the software vendor, the vendor would almost certainly opt to settle with the patent owner for a retroactive license covering their installed base. Micropayment may be an attractive option for patent licensing. A software application using a variety of patents in optional facilities might be sold with those features initially disabled. The first time the user wished to use one, the user would be asked to confirm payment for the right to use the patent(s) it employs, which would then be remitted directly to the patent holder.

Note that a Trusted Computing system will validate the certificate and signature of an operating system before booting it. Should an operating system be found to contain code which infringes a patent (or, say, contain facilities which permit illegal circumvention of Digital Rights Management), its own certificate may be revoked, requiring users to replace it with an operating system duly licensed by holders of all patents it employs and compliant with all laws protecting intellectual property.

Trolls, Flamers, Cranks, and Crackpots

Public discussion boards attract immature, maladjusted individuals faster than a 100 Watt light bulb draws insects on a still summer evening. These creatures enjoy nothing more than attracting attention to themselves by posting off-topic material, ad hominem and/or obscene attacks upon other participants, and starting or fanning tedious "flame wars" on contentious topics. As soon as others in the group block messages from one of these ogres, they pop up again under a different alias, posting from another free account. Individual certificates will put an end to this since a user's certificate will be required to post to the group and, once banished (or marked to be ignored by individual participants), the offender cannot assume another identity without fraudulently obtaining a different certificate. Note that a message board can provide anonymity to its participants by permitting them to use aliases or "handles", but the operators of the board will be able to determine the true identity of participants from their certificates. This will prove invaluable in cases where physical threats, slander, or other actionable behaviour occurs in such fora.

Protecting the Children

Whenever a politician starts talking about "the children," keep one eye on your wallet and the other on your liberty.

Anonymous

The ubiquity of Internet access and the practical difficulty of parents' supervising their children's activities online exposes children to inappropriate material and potential real-world risks to an extent other media do not. This is largely due to the anonymity and lack of accountability of the present-day Internet and will be remedied by the Secure Internet.

When all Internet access requires logging on with a valid certificate, the risks posed by anonymity will be eliminated (absent certificate theft or fraud). Since minors will be able to obtain certificates only with parental consent, and a parent has the option of causing a child's certificate to indicate his or her age, a minor will be clearly identified and sites containing material not intended for such young eyes will, in their own interest, restrict access to those with certificates indicating visitors are of appropriate age. The ability to link a minor's certificate to that of the parent or legal guardian will permit supervision of the child's online activity, including retrieval of sites visited and E-mail sent and received.

Note that it's up to the parent whether a child's certificate indicates minor status, what age is given, and whether it is linked to the r older. Today, most simply require visitors to assert they're of age, with no means of verification. Of course we know that all good children would never proceed past such a banner since that would involve telling a fib. Unfortunately, the set of such good children who arrive at such a site in the first place appears to be of approximate measure zero.

Once access requires a certificate, adult sites will query the age of each visitor. If the visitor is a minor below the minimum age for the site, access will be automatically denied. Responsible operators of adult sites (another measure zero set?) will welcome the protection this affords them, as it immunises them against entrapment by children deliberately sent to the site to mount a legal attack on it.

Since "adult" material of various kinds is offensive to many adults as well, certificate-based access may permit certificate holders to specify categories of material they do not wish to see, perhaps with something like the Platform for Internet Content Selection (PICS) rating scheme. Based on the content preferences retrieved from the certificate of a visitor to a site, access to the site could be blocked completely, or selectively on a document-by-document basis. Search engines could store document content ratings and elide pages inappropriate to the searcher's profile from lists of results.

Child Pornography

The vast majority of self-described "adult" sites contain material unsuited for the eyes of children, but perfectly legal for adults to view, download, etc. But there are limits, and the Internet's anonymity has been exploited by those who transgress them, dealing in wares too distasteful to enumerate in these pages. Such material is illegal to create, possess, or distribute in any manner. The fact that the Internet happens to be involved does not create a new crime; it only makes detection and enforcement more difficult due to the present anonymous, unaccountable network architecture.

The Secure Internet will expose these dank and foetid recesses of the network to the sunlight of accountability. In order to serve pages across the Web, they must be identified with the certificate of the person or legal entity responsible for their publication. Since certificates can be obtained only by supplying complete identity information and forging them or using a certificate under false pretenses will be a crime, this means the identity of the purveyor of illegal goods will be visible, and the person or persons responsible exposed to the applicable criminal sanctions. Once pages served by Web sites are required to bear an individual document certificate (imprimatur), the door will be open to identify potentially illegal material at the time the document certificate is granted or, if detected after the fact, to revoke its certificate and render already-distributed copies unreadable on Trusted Computing platforms. Finally, the fact that all users who access sites containing such material will necessarily transmit their certificates along with requests exposes them to the risk law enforcement may log their accesses and items viewed and downloaded. This will undoubtedly deter those tempted to seek such material.

Pćdophiles and Predators

How about pćdophiles lurking in chat rooms? Certainly this must be a computer crime? Well . . . no, because pćdophiles existed long before there were computers, were subject to sanctions in all civilised societies, and nonetheless found ways to indulge their perversion. The anonymity of the Internet may help them commit their crimes, but the crimes are the same as before. The end of anonymity on the Internet will restore the risk attendant to this deviant and destructive behaviour, and provide the documentation law enforcement needs to identify and prosecute offenders.

Hate Speech, Community Standards

Most of the considerations discussed above in connection with child pornography apply equally to hate speech. Many jurisdictions prohibit dissemination of materials intended to sow hatred among racial and other groups, incite violence, and promote banned political movements. Some societies have stricter definitions of obscenity than prevail elsewhere. The operator of a site containing such material within a jurisdiction where it is illegal will find himself in the same situation as a child pornographer. Certificate based access will, in addition, permit control of cross-border flow of such material. If a certificate indicates a user resides in a jurisdiction where its content is banned, a site may choose to deny access in the first place. Even if the site allows the user in, the fact that the user knows their accesses to a site containing illegal material may be logged will discourage downloading it. Finally, nations with highly restrictive Internet content policies (a.k.a. hell-holes), can establish filtering points at their borders which block content they deem illegal or inappropriate, either based on the certificate of the publisher or those of the documents. Sites which presently hop among multiple IP addresses to avoid filtering may continue to do so, but unless they somehow manage to obtain an unlimited supply of valid certificates, it won't do them any good.

Terrorists, Drug Dealers, and Money Launderers

This unholy trinity is heaven-sent for those who would regulate the Internet. Invoking their names often seems sufficient to pass any legislation, however intrusive upon the privacy of all people. The Secure Internet will provide the facilities law enforcement needs to investigate and prosecute these and other criminals. The attributes which make the Internet so attractive to criminals are precisely those which will be reined in by the Secure Internet: anonymity, lack of accountability, and unrestricted privacy. The requirement that all Internet transmissions be identified by the certificate of the person responsible will pierce the veil of the anonymity criminals rely on to conspire without accountability. Encryption key recovery pursuant to due process will permit monitoring communications which rely upon it for security.

Computer security cognoscenti will immediately object that (1) requiring a certificate for Internet transactions will simply create a thriving market in bogus certificates, and (2) criminals will use their own encryption, steganography, and private codes to thwart interception of their messages. This will certainly be the case to some extent, but real-time online validation of certificates will make large scale certificate fraud a difficult endeavour. Certificate authorities which cater to a shady clientele will soon find the certificates they issue next to worthless since they will either not be accepted (i.e. traffic blocked), or users of them subjected to an increased level of scrutiny, precisely as citizens of countries known for peddling passports to shady characters encounter difficulties crossing borders. If and when key recovery is mandated, one might immediately expect individuals concerned with the security implications of this, criminals in the forefront, to immediately begin pre-encrypting their messages with privately agreed keys which cannot be recovered by law enforcement. Certainly, this too will happen, but one is continually astounded how little encryption is used today by criminals communicating over the Internet, notwithstanding the wide availability of free, highly secure privacy protection tools. Besides, even if traffic is sur-encrypted, the very fact that it is largely confirms the suspicion which led to keys being recovered and messages examined in the first place. Further, traffic analysis based on the identity of the sender and receiver (from their certificates) and the sending and receiving computers' certificates can provide insight into the structure and operation of criminal enterprises.

Conditional Anonymity where Appropriate

Although the Secure Internet will provide end-to-end identification for all connections, resources on the network may choose to provide anonymity to participants. For example, support groups for those recovering from various afflictions, counseling services, and political discussion groups dealing with controversial topics may all wish to guard the identity of those who participate to dispel fear of public exposure and to encourage frank discussion. As today, participants could remain totally anonymous or choose a pseudonym (or "handle") to identify themselves.

Unlike the present-day Internet, the operator of a site which provides anonymity will be able to determine the identity of participants. It's up to them whether this information is discarded or kept in a secure form. Sites which permit users to participate under pseudonyms will be able to verify the match between the pseudonym and the user's actual identity, avoiding the problem of others forging pseudonyms and eliminating the need for logons and passwords for visitors to the site.

Sales Tax and VAT Collection

A contentious fiscal issue in electronic commerce is the ability of customers in the United States and the European Union to avoid local sales taxes/VAT by purchasing from merchants outside their taxing jurisdiction. With the advent of personal certificates for Internet users, fair taxation for online purchases can be easily implemented. Customers' certificates will indicate their legal domicile, so collection of sales taxes and remittance to the their domicile of residence will be straightforward, even for transactions which cross national borders. Micropayment can be used both for the goods purchased and the tax due on the sale.

Resolution of the sales tax/VAT issue simply brings Internet commerce into conformance with existing rules for merchants with multiple places of business. It defines "place of business" as accepting orders from a given jurisdiction and makes sales tax a condition of selling to customers there. Micropayment makes collection and remittance automatic and painless, even for the smallest merchants, and certificate identification of domicile makes avoidance impossible.

Funding the Internet Infrastructure

The larger issue of general Internet taxation remains to be resolved. In most jurisdictions, one pays a tax on telephone service; one pays for a television license, or part of one's general tax goes to support public broadcasting. Why should the Internet be exempt from such taxation? The Internet depends upon an infrastructure of fibre optic links, satellite communications, and physical assets all of which are vulnerable to disruption and must be defended by national and international military assets. The Internet is the most powerful tool for global civil discourse in human history, but it is vulnerable to uncivilised forces which would destroy it. Is it unreasonable that those who benefit from the Internet should pay to defend it? Ongoing research and development will be required as the Internet grows and evolves. Now that the Internet has moved from the laboratory to the marketplace, why shouldn't those who use it fund the investment in its future?

Certificate identification and micropayment will make this possible, without changing the character of the Internet. A minuscule per-byte or per-packet fee for data transmitted across the Internet would provide a revenue stream adequate to fund all of the neglected infrastructure protection and research projects required to keep the Internet open, secure, accountable, and reliable. Certainly, responsible politicians will restrict Internet taxation to cover only public expenditures directly supporting the Internet, resisting the temptation to exploit it as a cash cow for the general fund.

Employee Internet Abuse

It's an open secret that once Internet access and the Web reaches the desks of employees within an organisation, some will succumb to the temptation to surf the Web or otherwise occupy themselves with things other than what they're paid to do. Court decisions have upheld employers' broad discretion in monitoring the activities of their employees with company computers on company time. The ability to issue certificates to employees for work-related Internet access will facilitate such monitoring. A company can, if it wishes, only permit traffic signed with staff certificates it has issued out onto the Internet, and traffic addressed to its certificates to enter. This prevents employees using their personal certificates for non-work related items while on the job. Encryption keys from employee certificates can be recovered by the authority in the organisation which issued them, which will permit, when necessary, monitoring of employee activity and recovery of archived traffic and work when necessary.

Application File Reverse-Engineering

Many commercial software vendors consider the binary file formats used by their application programs to be proprietary intellectual property. Competitors who reverse-engineer such file formats benefit from the research and development effort expended in creating them without comparable investment and may, by creating supposedly compatible files in their applications which are not completely compatible, cause damages to customers of the original vendor (and that vendor's reputation) when errors occur attempting to use them with the original vendor's application.

Digital Rights Management provides a means to protect a vendor's investment in proprietary application file formats. On a Trusted Computing platform, application files may be signed with the signature of the application which created them, and will not be readable by other applications (unless they also have been granted the right as, for example, a Web page authoring tool may be permitted to import files created by the same vendor's word processing program). All of the technological and legal protections which underlie Digital Rights Management are thereby deployed to protect the vendor's file formats, and thus erect a substantial barrier to entry against competitive products. Microsoft Office 2003 is reported to include such protection of its document files, incidental to the introduction of Digital Rights Management for documents created by Office users.

Objections

But, but . . . I hear people sputter, more or less anonymously, from all over the IPv4 and nascent IPv6 address space. Let me now address some of the specific objections to the issues raised in this paper. I will doubtless expand this section based on the debate it engenders.

"It violates freedom of speech!"

Historically, the extent of government regulation of speech has differed from one medium to another, with the introduction of a new medium often seized as an opportunity to impose regulations deemed unacceptable in those which went before. Broadcast media have almost always been subject to content regulation far more stringent than that of print media and speech. Commercial speech (advertising) is generally not deemed protected speech, and is regulated in many ways. Most developed countries regulate political speech, particularly pertaining to electoral campaigns. (And, of course, many "developing" countries strictly control political discourse, which is one of the reasons so little ever develops there.)

Amateur radio operators are licensed by their governments, and the content of their transmissions monitored and regulated, with license revocation a consequence of violations. To date, the Internet has been subjected to very little regulation, but there is nothing inherent in the Internet which makes it immune to regulation in the future. Prior to 1912, there was no regulation whatsoever of radio in the United States; anybody could set up a station and transmit any content on any frequency they wished, much like the Internet today. Yet in 1912, amateurs were summarily limited to transmitting only on a wavelength of 200 metres (1.5 MHz), which severely limited the range of their transmissions. In 1917, the U.S. government shut down all amateur and commercial radio stations. Until the end of World War I, it was illegal for a U.S. citizen to possess an operational radio transmitter or receiver. Amateur radio was shut down throughout World War II as well, while commercial broadcasters continued to operate. None of these restrictions were ever successfully challenged on the grounds of freedom of speech. (Radio spectrum regulation was thrown out by a district court in Illinois in 1926 on commerce clause grounds, but quickly reestablished by the Radio Act of 1927.)

In the United States, one of the longest traditions and strongest guarantees of freedom of speech has proved no impediment to regulation of new media. The Digital Millennium Copyright Act is a recent example of restricting the technological means of distributing information [see, for example, the detailed prescriptions for copy protection of analogue video recordings in §1201(k)]. There is no reason to believe that comparable governmental mandates of the technologies described in this paper would be voided on the grounds of freedom of speech. Most other developed nations have a stronger tradition of government involvement in and regulation of telecommunications, and would be even less likely to oppose their extension to the Internet.

"It violates my constitutional right to anonymity!"

You have no right, constitutional or otherwise, to anonymity! As a citizen of a civil society, you are responsible for your actions. Society mandates accountability in numerous domains. You cannot drive on the highways without displaying a number plate, nor without carrying a driver's license and vehicle registration which you must present to law enforcement on demand. You cannot block telephone caller ID when calling emergency services numbers, and law enforcement can obtain a list of numbers you've called and trace those calling you pursuant to a court order. You cannot transmit on the amateur radio bands without giving your government-assigned call sign. You cannot open a bank account, obtain a credit card, or buy or sell stock without providing your tax identification number. Records of all of your financial transactions may be subpoenaed or disclosed for law enforcement purposes. None of these are recent innovations--all have been true for decades, and none have occasioned public outcry or serious challenges on constitutional grounds.

Anonymity, where it exists, is either an inherent property of a technology, subject to subsequent restriction either technologically (caller ID) or through regulation and sanctions against violators (number plates on automobiles, radio call signs). Anonymity may, in many cases, be granted by a society when it is perceived to be beneficial. Support groups whose participants fear disclosure of their identity may disable caller ID on their telephones. Similarly, in the era of the secure Internet, a site may choose to guard the identity of those who visit it, to the extent of not logging their accesses by certificate. But such a site could, when necessary, block access from certificates of those who abused it or other participants. Anonymity, where not the consequence of technological constraints, is a privilege granted by society in certain circumstances, not a right.

"Clever people will always beat the system!"

Regardless of the crystalline purity of its design, any technology is only as good as its implementation, and given the dismal record of the information technology industry in implementing security, there is every reason to believe that as the technologies I describe here are deployed, there will be a multitude of cracks through which users, malicious or simply motivated by the challenge of it, can slip. But in the long run, that doesn't matter. In fact, having a large number of very bright people trying to subvert a system is an excellent way to find and plug the holes in it.

It's not as if one night everything will be as it was in 1999 and suddenly, the next morning, the entire Trusted Computing and Secure Internet suite of technologies will be in place. The process will be evolutionary, providing a transition for the enormous installed base, and will probably take a decade or more to be fully realised. Along the way, there will be a variety of interim steps and transitional mechanisms, all of which will have their own limitations and vulnerabilities. But slowly, surely the screw will tighten.

The experience with pirate decoders for premium satellite broadcast channels is an example of this process. Early scrambling schemes for analogue broadcasting were easily defeated with relatively simple devices. As progress in microprocessor technology increased the compute power of set-top boxes, increasingly secure scrambling technologies were deployed, each eventually meeting its match in ever more clever pirate decoders. But with the current generation of digital broadcasting, the game is more or less over. It may be possible for a tiny fraction of the super technologically elite to defeat present-day schemes but, even so, the revenue lost to the broadcaster is insignificant. Further, the ability to download new firmware into subscribers' set-top boxes on demand permits broadcasters to remedy any discovered security flaw without an expensive swap-out of installed hardware. In digital broadcasting, the subscriber's decoder card is simply a certificate identifying their account and, in many cases, is bound to the machine certificate of the receiver/decoder it is used in.

This is how security will come to the Internet. Bugs will be found in early implementations, and they will be exploited. They will be fixed, and new exploits will be found, and they in turn will be fixed. The process will converge until the number of Internet users able to circumvent the accountability of the new architecture is so minuscule as to be insignificant. By that time, legislation is likely to provide an additional deterrent to those tempted to hide or forge their identity, just as sanctions exist for the use of false credentials in other venues. The ability to revoke certificates for programs found insecure, forcing the installed base to upgrade, will provide the means to correct vulnerabilities as they are discovered, regardless of how widely deployed. Certificate revocation will not affect a machine which never connects to the Internet, but then such a machine can neither exploit others nor be exploited by them.

"'Not transferring without a certificate' is pure arm-waving! How could this really be enforced?"

In this paper I've deliberately left vague the details of how a Secure Internet will require certificate identification of packets it transmits and perform the necessary validation and end-to-end exchange of identity and authentication information. One could imagine this validation being performed at the point where a local network connects to the Internet, for example, where a home user's broadband line connects to their Internet service provider. In the interest of scaling, one would wish to push potentially costly operations such as certificate and signature validation as close to the leaf nodes of the network--individual clients--as possible. Trusted Computing platforms may be deemed sufficiently secure to perform this function in users' individual machines, although that runs a greater risk of circumvention.

Regardless of how and where the validation is performed, I think we can agree that it's conceptually possible, since there's little difference in establishing a certificate-validated and encrypted connection for an arbitrary Internet transaction than performing a public key login to a remote system with SSH and creating a secure tunnel between the machines.

"Micropayment has been tried and failed numerous times already. Why do you think it will work this time?"

Micropayment is scarcely a new idea. Ted Nelson described fine grained payment of copyright royalties as an integral part of Xanadu more than three decades ago (however, in Xanadu, royalties were to be collected as a surcharge to the basic fee for using the Xanadu system and remitted to the copyright holder by Xanadu). In the 1990's a variety of micropayment systems were launched, hoping to (digitally) cash in on the e-commerce explosion. Despite clever names like Digicash, Millicent, and Cybercoin, none was successful. If micropayment didn't catch on at the height of dot com fever, why should one expect it to succeed on the Secure Internet?

I believe there are two principal reasons for the failure of micropayment systems to date. First, none of them was integrated tightly enough into the architecture of the Web and users' browsers to make using it sufficiently transparent. A micropayment system fully integrated into the Secure Internet will automatically handle payments as a user clicks pay-to-view links with no requirement for user interaction whatsoever as long as the fee for the content being viewed is below the user's threshold of paying. Only the slow increase in the total sum spent for content displayed in the browser's window frame will distinguish the experience from reading free content on the Web today. (If a user doesn't want to automatically purchase any for-fee content, they need only set their threshold of paying to zero.) Absent this kind of tight integration with the browser, a micropayment exchange is really nothing but PayPal with a lower transaction cost and minimum payment size; if you had to go through the mechanics of a PayPal transaction to pay €0.0001 for a Web page, you'd quickly decide you didn't need to read that page after all. Legitimate concerns about fraud limit the extent current micropayment systems can operate without the user's involvement. On the Secure Internet, with access by certificate to which the micropayment exchange is linked plus end to end encryption of all traffic, micropayment will be sufficiently secure to be fully automated for payments less than the user's threshold.

A second reason for the failure of micropayment so far is what might be described as the "Soviet store syndrome". In the Soviet Union, workers might receive a handsome salary in rubles, but it did them little good when the shelves in the stores which accepted rubles were almost always bare. A user who signs up with a micropayment exchange is likely to have the same experience: e-cash to spend, but nothing to spend it on because so few merchants accept payments through the exchange. Ask yourself: would PayPal have been a success without eBay users making auction payments with it? Once the Secure Internet and Digital Rights Management are in place, a wide variety of material not currently online at all due to fear of piracy will become available, most of it for a fee. That will "stock the shelves of the store" with goods which micropayment can purchase. Users won't adopt micropayment because it's cool or new, but because they want to buy stuff that's sold that way, just as eBay has sent far more customers to PayPal than PayPal to eBay, whose acquisition of PayPal is indicative of their symbiosis.

Once there is a wide variety of goods which can be bought with micropayment, micropayment exchanges will become viable businesses. While a variety of exchanges with different strategies and modes of operation will be launched, I expect they will eventually shake out and/or consolidate until there are about as many as there are kinds of credit cards, and as interchangeable. In fact, the credit card companies are likely to end up owning the surviving micropayment exchanges.

"Certainly you can't be advocating this!"

Well, duh . . . of course not! But this is where we are going, unless we change course, and soon. Every single technology I discuss in this paper is either already deployed in a limited fashion, planned for adoption in the future, or under active development. Many of these technologies are beneficial if used wisely. But only Panglossian optimists will neglect the potential downside. Each of these technologies can be easily sold, either to individuals based on their obvious benefits ("No more spam", "Safe surfing for your kids") or to lawmakers in a position to mandate them due to their perceived societal benefits ("Close the Internet to terrorism", "Torpedo the copyright pirates", "Track down the child pornographers and lock up their customers").

In discussing these issues with numerous people over the last two years, I have been amazed at how few comprehended how all the pieces fit together in the way I saw them inevitably converging. Once I explained the end-point I envisioned, which I hope I've conveyed to you in this document, the general reaction was shock and horror, especially when I explained how every single component was already being developed or deployed.

I have little truck with conspiracy theories. Most of the people advocating or implementing the technologies which underlie the Digital Imprimatur mean well and sincerely believe their work will ameliorate one or more specific problems. But in technology, the sum is often more than the parts. You can cause much more mischief with explosive assembly and isotope separation than with either one by itself. And even though many people involved with these technologies haven't seen the big picture, is it safe to assume nobody does, or will? If a balding programmer in Swiss cow country can figure it out, is it safe to bet none of the People In Charge haven't? Not on your life. Not on our Internet.

If I thought there were the slightest possibility that refraining from publishing this document would reduce the probability of the advent of the Digital Imprimatur, you would not be reading it. But I don't; in fact, I'm convinced that the only hope for preserving the Internet as we presently know it is to alert as many technologically literate people as quickly as possible to where we're going and the consequences once we arrive. As in my Unicard paper, I've cast the bulk of this document as a seductive sales pitch in favour of the technologies I fear, since that is how they will be sold to those whose liberty they will eventually restrict. To counter such arguments, one must fully appreciate how persuasive they can be when presented only in the light of their obvious benefits.

When Will It Happen?

When forecasting trends in technology and society, it is often easier to predict the destination than estimate the time of arrival. This is certainly the case with a collection of technologies as disparate as those discussed here, deployed across a geometrically growing global network connecting more than a hundred million computers and five hundred million people. Such a large installed base, and the compromises required to keep up with its ongoing growth, create great hysteresis in the system. And yet new technologies can be rapidly adopted; one need only look at broadband to the home or Wi-Fi for examples.

Deployment of Trusted Computing, Digital Rights Management, and the Secure Internet are, by their nature, primarily a "vendor (or government) push" effort rather than "market pull", so matters of strategy on the part of those who wish to see these technologies deployed must be taken into account. It is likely they will be introduced in conjunction with desirable new features which induce customers to accept them. (For example, Version 9 of Microsoft's Windows Media Player incorporates some Digital Rights Management technology, but users upgrade to it not because they're hungry for DRM, but to obtain other features it includes.)

Trusted Computing Deployment

Work is already underway to develop and deploy Trusted Computing systems. In their August 2002 business overview, Microsoft said of their own project, then codenamed "Palladium", since renamed the "Next-Generation Secure Computing Base for Windows":

"Palladium" is a long-term endeavor. The first "Palladium"-enhanced personal computers will not appear on the market for several years, and Microsoft does not foresee widespread adoption for some years after the introduction. However, now is the time to begin planning for--and working on--"Palladium."

BIOS manufacturers are already at work on chipsets to support Trusted Computing operating systems, and hardware manufacturers are designing the "sealed storage" such systems will use to prevent unauthorised access to protected data. As with the roll-out of any technology, it will be a protracted process, probably taking longer than even conservative estimates, and there will doubtless be stumbles and changes in direction along the way. Yet the destination is clearly defined, and the key technological players are investing heavily in the effort to get there. Barring surprises, I expect the overwhelming majority of new computer systems sold in the year 2010 to include Trusted Computing functionality.

Digital Rights Management Deployment

Digital Rights Management deployment is presently underway; current mass market multimedia players are beginning to support various schemes, and as online commercial sales of multimedia content as exemplified by Apple's iTunes Music Store expand, increasingly more secure and restrictive implementations will follow, culminating in the eventual integration of Digital Rights Management with Trusted Computing.

Secure Internet Deployment

A logical point at which one might expect implementation of the Secure Internet to begin in earnest is concurrent with the mass deployment of the IPv6 protocol. Observers of the Internet scene may immediately heave a sigh of relief, since IPv6 is one of those technologies of tomorrow which remains securely anchored in tomorrow no matter how many tomorrows pass into yesterdays. It is ironic that had IPv6 been aggressively adopted starting in 1995, some of the accountability problems of today's Internet would not have become as serious as they are today (see Appendix 1 for details). Still, there is nothing in the architecture of the Secure Internet as I have described it in this paper which requires IPv6 in any way; should IPv6 be indefinitely delayed or supplanted by a different design, the introduction of the Secure Internet need not.

The consequences of the Secure Internet will only be fully realised when most machines connected to it incorporate Digital Rights Management and Trusted Computing technology. It is probable that major efforts to put the Secure Internet in place will be deferred until those technologies reach the market in large numbers. If we estimate a date of 2010 for that, then the years 2008-2015 could see the Secure Internet replace the present architecture.

The Imponderable Surprise

Predicting when new technologies will be adopted is difficult enough when you only extrapolate present-day trends and assume they will continue into the future. (Actually, I believe you can win most bets on the date the newest whiz-bang thingo will be widely adopted by always guessing "never".) In the real world, trend lines rarely behave as nicely as they do on econometric forecast charts (when looking at one, always remember that "con" comes before "metric" in "econometric"). Surprises happen, and they can have enormous consequences. Despite the recent plague of Internet worms and viruses, some very knowledgeable observers of the Internet believe that we have been lucky so far in that the attacks to date have been much less virulent than they could have been. The paper "How to 0wn the Internet in Your Spare Time" estimates that an "optimally" designed worm might subvert more than ten million Internet hosts, with an initial rate of spread so fast, perhaps infecting 300,000 hosts in less than fifteen minutes, that system administrators would be unable to react quickly enough to limit the damage.

An attack of this nature, particularly if found to be deliberate state-sponsored or subnational information warfare which caused major disruption to Internet-dependent infrastructure, may result in a drastic acceleration of the timetable for the implementation of the Secure Internet, driven by government mandates rather than market evolution, and short-circuiting the dialogue about design choices and their consequences which would normally occur. Let us hope we remain lucky.

Summary and Conclusion

Global Internet,
Once a spring of liberty,
Autumn chill so near.

Over the last three decades the Internet has evolved from a research tool linking a handful of elite sites into a global mass medium. Its rapid, and often reactive, evolution has resulted in a present day architecture widely perceived as inadequate to hold users accountable for their actions, providing unwarranted anonymity to disruptive and destructive actors, and placing intellectual property at risk in disregard of applicable law and with impunity to its sanctions.

A collection of technologies in various states of design, development, and deployment promises to remedy these perceived shortcomings of the Internet. If implemented and extrapolated to their logical conclusion, the result will be an Internet profoundly different from today's and at substantial variance with the vision of its original designers. More than any innovation in the last century, the Internet empowers individuals to spontaneously teach, learn, explore, communicate, form communities, and collaborate. Measured relatively, this individual empowerment comes at the expense of the power of governments and large commercial enterprises, thereby reversing a trend toward concentration of power more than a century old which has acted to reduce free citizens and productive individuals to mere subjects and consumers.

Power, especially concentrated power, is rarely relinquished willingly. Each technology proposed to ameliorate supposed problems with present-day computing and network architectures must be carefully examined, individually and in conjunction with others, for the potential it holds to shift the balance of power back from the individual to the centre; to supplant the peer architecture of the Internet with a producer/consumer model more comparable to publishing and broadcasting. Technologies should also be evaluated for the potential they have to create (or restore) central points of control in the flow of information and interaction among individuals; to impose hierarchy upon a structure designed for equality.

Technology changes rapidly, but social, political, and economic structures are slower to adapt and far more persistent. Government telegraph and telephone monopolies in Europe endured more than a century. So far, the Internet has evolved organically, largely free of influence from the societies in which it is embedded. Having become so integral a part of the economy and communication infrastructure in the developed nations, the Internet and society must now come to terms with one another and sort out how things are going to go forward from here. This process is presently underway, and is likely to be largely settled by the year 2010; the resulting architecture is likely to remain in place for a good part of the 21st century.

The components of this emerging architecture are already on the table, and various players are beginning to explore how they fit together into a whole. In this paper, I've tried to acquaint you with the basics of these components, show how each can be promoted on its obvious merits as the solution to widely-perceived problems, then sketch the possible implications, some of them dire, which may result as these components are used in combinations and to ends those advocating them seldom discuss.

In the last years of the 20th century, we lived through the false dawn of Internet commerce; wildly unrealistic expectations were raised, and fortunes made and (mostly) lost chasing after them. But all the years since the early 1970's have really been one long dawn for the Internet, beginning with a barely perceptible glimmer, then growing brighter and brighter until it illuminated all but the darkest regions of the world. Even today, only a tiny fraction, less than 10% of the global population, has ever used the Internet, and even in the most extensively wired societies we have only begun to explore its potential to augment all forms of human interaction. Compounded geometric growth causes problems--the fact the Internet has not collapsed already is one of the most significant testaments to the wisdom and foresight of those who built it. Today, the problems are evident, and people are at work attempting to solve them. Whatever solutions are adopted (or not adopted--one may rationally choose to live with problems if the solutions are worse), are likely to be with us for a long time. Whether they preserve the essential power of the Internet and its potential to empower the individual or put the Intenet genie back into the bottle at the behest of government and media power centres who perceive it as a threat will be decided over the next few years. That decision will determine whether the long dawn of the Internet was, itself, a false dawn, or will continue to brighten into a new day for humanity.

---

Glossary

certificate

Block of data which uniquely identifies an object: person, document, computer, etc. Issued by a certificate authority.

certificate authority

Organisation which issues a certificate, after validating the credentials supplied. Certificate authorities provide online verification of certificates and can suspend or revoke certificates at the request of the holder of pursuant to a court order.

computer certificate

A certificate which uniquely identifies a computer system, installed when the machine is manufactured.

digital imprimatur

The certificate which must accompany a document transmitted across the Secure Internet. See document certificate.

Digital Millennium Copyright Act (DMCA)

United States Public Law 105-304 which criminalises, among other things, reverse-engineering and circumventing copy protection technology.

Digital Rights Management (DRM)

A collection of technologies which embed enforcement of intellectual property rights in computer hardware, software, and media.

document certificate

The certificate which must accompany a document transmitted across the Secure Internet. The certificate identifies the publisher and contains a signature of the document's content. Document certificates are issued by a document registry and may be verified online.

document registry

An organisation which issues document certificates and validates them online.

flame

An intemperate message, usually posted to an Internet discussion group or mailing list, often in the hope of stimulating other flames. Hence flamer, one repeatedly who posts such messages.

Micropayment

A facility for making secure payments between Internet users with financial accounts linked to their certificates. While payments of any size can be made, micropayment has overhead sufficiently low that extremely small payments are practical.

Network Address Translation (NAT)

Mechanism which permits multiple computers to share a single Internet connection by mapping requests from local IP addresses onto ports of a shared address.

revocation, certificate

The act, by a certificate authority or document registry, which renders a previously issued certificate invalid.

Secure Internet

Suite of technologies including access by user certificate, end to end encryption of all Internet traffic, and the requirement that each document transferred bear a document certificate issued by a document registry.

spam

Unsolicited mass commercial E-mail, not to be confused with SPAM,^® a yummy processed pork product.

threshold of paying

The maximum fee a user is willing to pay automatically to view a document or use a service. Amounts up to this limit are automatically paid from the user's micropayment account.

troll

A person who posts messages, particularly on Internet discussion groups and E-mail lists, with the intent of fanning flames or inducing new participants to make fools of themselves.

Trusted Computing System

A computer whose hardware and software incorporates protection against corruption of software and user data, attack from other systems, and security against compromise of user data.

user certificate

A certificate, issued by a certificate authority, which uniquely identifies an individual or legal entity (corporation, government agency, etc.).

virus, computer

A self-reproducing computer program which integrates itself into other software which it subverts in order to propagate itself and usually cause other mischief.

worm, computer

A self-reproducing computer program which exploits other software in order to propagate itself and usually cause other mischief.

References

1. The Electronic Privacy Information Center's Microsoft Palladium information page.
2. Microsoft Next-Generation Secure Computing Base for Windows (formerly "Palladium") business overview and frequently-asked technical questions.
3. Walker, John. Unicard. 1994.
4. Staniford, Paxson, and Weaver. "How to 0wn the Internet in Your Spare Time". Proceedings of the 11th USENIX Security Symposium, 2002.
5. Digital Millennium Copyright Act (U.S. Public Law 105-304).
6. Weinman, W. Authenticated Mail Transport Protocol (AMTP). August 2003.
7. Kent, S. and R. Atkinson. RFC 2401: Security Architecture for the Internet Protocol (IPsec). 1998.
8. Housley, R. et al. RFC 3280: Internet X.509 Public Key Infrastructure: Certificate and Certificate Revocation List (CRL) Profile. 2002.
9. Deering, S. and R. Hinden. RFC 1883: Internet Protocol Version 6 (IPv6) Specification. 1995.
10. Internet Architecture Board and Internet Engineering Steering Group. RFC 3177: Recommendations on IPv6 Address Allocations to Sites. 2001.
11. Cerf V. RFC 3271: The Internet is for Everyone. 2002.