Compliance and Robustness (Соответствие и надежность ) , иногда сокращенно C&R , относится к правовой структуре или режиму, лежащему в основе системы управления цифровыми правами (DRM). Во многих случаях режим C&R для данного DRM предоставляется той же компанией, которая продает решение DRM. Например, RealNetworks Helix или Microsoft Windows Media DRM .
Однако для стандартизированных систем DRM довольно распространенной является практика создания отдельного органа для управления режимом C&R.
Юридическое лицо, которое устанавливает и поддерживает режим. Обычно это будет совместное предприятие или форум с представительством нескольких компаний, структурированный таким образом, чтобы избежать обвинений в нарушении антимонопольного законодательства . Природа бизнеса заключается в том, что такие органы, как правило, состоят из производителей и владельцев контента, с небольшим или нулевым прямым представительством со стороны защитников прав потребителей.
Орган C&R отвечает за обеспечение цепочки доверия, чтобы исходный поставщик контента был в достаточной степени удовлетворен тем, что его контент останется достаточно защищенным на протяжении всех будущих звеньев в цепочке. Это может включать экспорт контента из одной системы DRM в другую.
Для соответствия этому требованию обычно требуется, чтобы любое устройство, планирующее получать контент DRMed, подтвердило, что оно соответствует требованиям C&R, и это обычно делается с использованием сертификата устройства определенного типа. Выдача таких сертификатов является печатью одобрения как для производителя, так и для устройства.
Если два устройства могут подтвердить, что у них обоих есть доверенные сертификаты, они могут обоснованно ожидать, что передаваемый между ними контент останется защищенным.
Во многих случаях в технической спецификации DRM будут пробелы, двусмысленности или варианты, оставленные открытыми. Режим C&R должен точно прояснить, как должно вести себя соответствующее устройство в этих случаях. Например, правило соответствия может определять, какие другие типы интерфейсов приемлемы на устройстве, чего сама техническая спецификация никогда не сделает.
Самым спорным аспектом C&R является соглашение о том, как гарантировать, что устройство достаточно надежно для сопротивления атакам. Эти правила могут требовать, чтобы определенные элементы были реализованы только в оборудовании или работали на защищенных процессорах, или чтобы код не был доступен в виде открытого исходного кода. Затем производители должны убедить орган C&R в том, что они соответствуют этому требованию, прежде чем им будет предоставлен доступ к сертификатам, необходимым для признания их продукции доверенной.
Один из часто используемых трюков заключается в том, чтобы включить некоторую запатентованную технологию, часто как часть механизма установления доверия. Это означает, что любой, кто хочет реализовать DRM таким образом, чтобы это работало с другими, вынужден лицензировать эти патенты. Условием получения такой лицензии является соблюдение правил самого режима C&R. Таким образом, орган C&R имеет 20-летнее окно для принятия правовых мер против «мошеннической» реализации на основании нарушения патента, вместо того, чтобы полагаться на регулирование в стиле DMCA , предоставляемое соответствующим правительством. Необходимость лицензирования патентов на ИС-хуки также влияет на любого, кто думает о создании продукта, охватываемого GPL .
Одним из известных примеров системы, использующей такой Hook IP, является алгоритм скремблирования DVB Common Scrambling Algorithm DVB-CSA , который, хотя и стандартизирован ETSI , включает запатентованные элементы, лицензированные только для утвержденных поставщиков систем условного доступа , которые соглашаются сохранять секретность и целостность алгоритма в своих конструкциях микросхем.