¿Se considera DRM Confidencialidad, Integridad, Disponibilidad o alguna combinación de los tres?

Es una cuestión de punto de vista. La tecnología DRM es vendida por proveedores de seguridad a proveedores de contenido (distribuidores, no necesariamente productores). El interés de los proveedores de contenido es limitar la distribución del contenido, por lo tanto, lo que compran es la confidencialidad del contenido. La disponibilidad no es importante para los proveedores de contenido, excepto como un punto menor (la poca disponibilidad puede enojar a los clientes).

La disponibilidad beneficia al consumidor, que a menudo no tiene relación con el proveedor de DRM. Incluso si el proveedor de DRM proporciona un lector compatible con DRM a un consumidor, la disponibilidad es una funcionalidad central del lector, pero generalmente no es un asunto de seguridad: el contenido no disponible es solo un error de la aplicación. Para que la disponibilidad sea importante, tendría que haber una preocupación crítica de que el contenido protegido por DRM permanezca disponible en algunas circunstancias. Un sistema de entretenimiento para aviones es el único caso en el que puedo pensar que la disponibilidad del contenido es crítica para la misión (pero en el grado más bajo, solo en la medida en que los pasajeros aburridos se ponen de mal humor y son más difíciles de manejar).

El DRM de hoy no está directamente relacionado con la integridad. Si el consumidor desea ver contenido externo que no haya sido examinado por el proveedor de contenido, esto generalmente se permite (por ejemplo, para permitir que las personas vean su contenido hecho en casa). Sin embargo, hay varias formas en que la integridad puede involucrarse. Si un dispositivo está restringido para mostrar solo contenido aprobado, entonces la integridad sí importa. Además, bajo el capó, el contenido DRM se basa en el almacenamiento de los derechos de acceso. Si el consumidor puede modificar esos derechos de acceso o influir en ellos (por ejemplo, al reiniciar el reloj al final de un período de alquiler), esto afecta la seguridad de la implementación de DRM. Por lo tanto, aunque la propia DRM se trata de la confidencialidad, la implementación (generalmente) se basa en la confidencialidad. (Esto es algo similar a la forma en que la autenticidad suele depender de una clave secreta, por lo que incluso cuando los datos en sí no son confidenciales, la confidencialidad está involucrada con respecto a la clave).

No. DRM realmente no garantiza nada.

Confidencialidad es la garantía de que un usuario no autorizado no puede acceder a la información protegida. DRM no garantiza esto porque las claves de descifrado se distribuyen necesariamente a la misma persona a la que intenta impedir el acceso.

Integridad es la garantía de que los datos no se han manipulado. DRM tampoco da esto, por la misma razón que la anterior. Si bien el DRM generalmente emplea el cifrado, invalida cualquiera de las garantías que de otro modo proporcionaría el cifrado al revelar la clave secreta al atacante.

Disponibilidad es la garantía de que un atacante no puede impedir el acceso a datos críticos. En el caso de DRM, si hay datos protegidos disponibles, es a pesar de el DRM, no por ello. Ha habido varios casos conocidos de atacantes que pueden negar el acceso a contenido protegido atacando los puntos de distribución clave, un ataque que no hubiera sido posible sin DRM.

Es una situación difícil, en parte porque el DRM basado en medios está fundamentalmente roto. Está diseñado para eventualmente evitar que acceda a algo a lo que inicialmente tuvo acceso. El problema con esa idea es que, dado que en algún momento tuvo acceso a los medios, siempre puede extraer la salida en bruto y almacenarla.

Yo diría que el DRM se trata de la confidencialidad más que cualquier otra cosa. Los datos permanecen confidenciales a menos que tenga el derecho de verlos. Si el DRM se basa en un "período de alquiler", los datos se vuelven confidenciales después de la fecha de vencimiento.

La disponibilidad se trata de preservar la calidad de servicio pretendida , lo que DRM realmente no hace. La calidad de servicio deseada es que puede utilizar algún software o ver una película. El DRM casi contradice completamente esto: reduce (facilita) la disponibilidad para mantener la seguridad.

Podría argumentar que DRM intenta preservar su propia integridad, pero aparte de eso, realmente no encaja en la etiqueta de integridad.

DRM es realmente (destinado) a proteger los derechos de autor de algo. Este no es realmente uno de los principios de la CIA. La protección de derechos de autor / propiedad intelectual no es uno de los principios de la CIA y generalmente se discute por separado.

Podría argumentar que modifica la disponibilidad del software, para que, para acceder al software, primero tenga que lidiar con el DRM. Si por alguna razón no puede pasar los bloqueos (por razones legítimas o no), no tendrá acceso a la aplicación. Sin embargo, esto no es lo que las personas suelen decir cuando hablan de Disponibilidad en el contexto de la seguridad, ya que solo usted pierde la disponibilidad del software (a diferencia de que lo deshabilita para otros usuarios legítimos). Si usted es un usuario legítimo que no puede lidiar con la protección DRM (por ejemplo, porque tiene un problema o está lleno de errores), entonces su disponibilidad para el software se ve afectada, por lo que el DRM realmente está actuando en su contra desde un punto de vista de seguridad.

El DRM a menudo reduce la disponibilidad, agrega complejidad y reduce la facilidad de uso. Hay una regla básica en seguridad que dice: "La seguridad del lado del cliente está condenada". El cliente tiene control total sobre el producto que posee. Así que solo puedes causarle problemas. Esto a menudo vale la pena como disminución de la disponibilidad.