iCloud security

01 Sep 2014

There are rumors that the recent leak of nude photos of Jennifer Lawrence was due to either iCloud accounts or the iCloud service itself being compromised. We don’t have many details yet, let alone hard-ish evidence of what actually happened. We can speculate, though, and we can also think about how better to protect ourselves.

It’s possible that the attackers somehow obtained her password, or obtained access to her iCloud account. If she used iCloud Backup, that would then allow the attacker to restore all the contents of her phone onto one of their devices. An iCloud Backup includes app data, text messages and iMessage data (which is otherwise much better protected). The photos may have been attached to iMessages, which would be restored, or they might have been in her Photo Stream if they were among the last 1,000 photos she took.

Securing an iCloud account itself is easy these days: you should set up two-step verification. This requires either a code sent through text message or an existing iOS device to log in to your iCloud account.

But what if someone hacked into Apple’s systems, or compromised an Apple employee, or forced Apple to cooperate with them through legal process? What data could Apple reveal, willingly or unwillingly, without your iCloud password? (In the following, I’ll assume that Apple’s systems all work as designed. In reality they may well have unknown security holes.)

The two key documents to read to understand this are the iOS Security document from February 2014 and Apple’s Legal Process Guidelines for law enforcement. The latter is interesting because if Apple can provide something as a result of legal process, they can also provide it in response to extra-legal process, so to speak. (The converse is not necessarily true.)

End-to-end encryption

End-to-end encryption refers to a security model where data is protected all the way from the end producer to the end consumer.

For example, Dropbox data is not end-to-end encrypted: it’s encrypted between you and Dropbox, and it’s encrypted as it’s stored on Dropbox, but Dropbox has access to the data. (The encryption applied by Dropbox protects against scenarios where someone steals a hard drive from Dropbox, but receives no further cooperation from them.)

A lot of email these days is encrypted in transit and when you access it through webmail or encrypted IMAP, but the email provider still has access to the contents.


iMessages are protected in transit with end-to-end encryption. This means that nobody, not even Apple, can intercept them. Only your devices can ever read them.

There is a potential vulnerability: how does iMessage decide which are “your devices”? That happens through a Public Key Infrastructure, which is a database at Apple that keeps track of the encryption keys associated with your devices. If an attacker can maliciously add a new key to that database, then any future messages you send may be read by the attacker.

As the system is currently designed, you will receive a warning on your devices when this happens. Apple’s documents imply that they will not add a key to their iMessage PKI in response to legal process, or modify their systems to remove that warning.

Your iMessage data is also part of each device’s backups, either a backup through iTunes or as part of iCloud Backup.

iCloud Backup

Don’t use iCloud Backup if you are worried about security. Instead, get enough disk space to do iTunes backups that you control yourself:

[iTunes backup]

Each file is encrypted with a key, that is encrypted with an asymmetric (Curve25519) key for each data protection class (page 23). Those keys are placed in the iCloud Backup keybag. The keybag is then protected with a random key, which is also stored with the backup set in the iCloud account.

All this means that Apple, or someone who has compromised Apple through legal or extra-legal process, can always access the contents of your iCloud Backup. Unless, of course, those contents are further protected.

(If you decide to use iTunes backups, make sure that the hard drive of the Mac or PC where you store those backups is itself encrypted. On a Mac, use FileVault 2. If your iOS device contains something important that you don’t want to lose, then make sure you have a backup of the backup, in case you lose both the iOS device and your Mac. In this day and age, you are the jerk if you don’t have a backup and lose important things.)

iCloud Keychain

iCloud Keychain is useful. I use it. Changes to iCloud Keychain are synced among your iOS and OS X devices. This syncing, which happens within what Apple calls a “circle of trust,” is end-to-end encrypted, and when a new device wants to join the circle, an existing device has to approve it.

There is a separate mechanism called keychain recovery for situations where you lose all your devices. This is on if you have enabled “Allow approving with security code”. If you do that, you should use a random security code:

[iCloud security code]

Apple also goes to great lengths to ensure that not just anyone can get the encrypted version of your keychain (page 25). The keychain is not part of the regular iCloud Backup.

Data on the device

What if the attacker has physical access to your device? What can they do?

Assuming your device is passcode locked (and it should be, with a strong password and not a 4-digit one), it depends on the data. Text messages, photos, videos and contacts can be recovered, because Apple will do that in response to legal process. The Mail app implements Complete Protection, which means that emails and attachments are not accessible as soon as you lock the device.

Some files are protected when the device is locked, unless they are open when you lock it.

Some files are only protected until first user authentication, which means that they cannot be recovered from a device that has been powered off. They can be recovered if you have entered your passcode once after powering on. Most app data is in this category. This still provides a lot of protection if your device is locked because the attacker may need to reboot your device.

Finally, some files are not strongly protected at all. Apps themselves would be in this category.

Page 12 of the iOS Security document has a list of how various keychain items are protected. Only Safari passwords and your home sharing password are in the category that is protected when locked.

If you have a weak passcode, or even a 4-digit one, Apple can always decrypt everything on your device because they can circumvent the feature that limits you to 10 incorrect password attempts.

Compromising your Apple ID

What can an attacker use to gain access to your iCloud account, if they don’t know the password and can’t use two-step verification? The biggest risk is that Apple has a phone number, 1-800-275-2273. (Please don’t tell anyone.) Whatever Apple’s procedures are or may be in the future, there is a human on that line, and that human has the power to give anyone access to your account.

The solution is to ban phone calls. Phone calls are a dangerous vector for social engineering and will compromise almost any security system. Don’t allow them in your organization, don’t call anyone, and don’t accept incoming phone calls.

I would require users who have lost their Apple ID password to go to an Apple store physically and present identification.

Capital shares

15 Jul 2014

Squarely Rooted wrote too much about “Capital in the Twenty-First Century”. I wrote the following comment to a section on how returns on capital is likely to decrease as you have more capital:

I like to think about what very low returns imply about the capital income share. Piketty hints that in the years before the French Revolution, capital’s share may have approached half of national income, and implies that this was an important economic cause of the revolution. I think that a very low capital share isn’t politically sustainable either: capitalists will revolt (Go Galt?).

In most countries, labor’s share of national income is between 60% and 70%. I think it’s widely understood, though rarely explicitly stated, that a labor share too far below 60% is politically unsustainable. Piketty cites Robert Allen for a British capital share of around 45–50% of national income in the middle of the nineteenth century, when Karl Marx wrote The Communist Manifesto.

My point in the comment is that whatever mechanism keeps the labor share over 50% can also work in the opposite direction. That is especially true in a world where the wealthy hold a lot of political power, which Piketty thinks is true with higher wealth/income ratios.

The capital share of income, which Piketty calls α, is equal to the rate of return times the wealth-to-income ratio. In an economy where wealth amounts to 6 years of national income, a return to capital of 3% means that capital only receives 18% of national income. That may be what you get from a neoclassical model, but it is politically unsustainable. When you have the political power that comes with possessing 6 years of national income, you will not be satisfied with only 18% of national income. You’ll want more.

At least that’s how I understand Piketty and Brad DeLong’s interpretation of Piketty, and particularly his Belle Époque equilibrium, with 4.2% return, wealth of 11 years of national income, and a capital share of 47%.

Microsoft steals No-IP domain names with help from Nevada court

30 Jun 2014

Microsoft obtained an ex parte temporary restraining order on June 26 from the U.S. District Court in Nevada giving them control over 22 domain names used by No-IP, a dynamic domain name service that I use. Ars Technica has a piece on it.

You can also read Microsoft’s statement and No-IP’s statement. According to No-IP, Microsoft cannot handle all the presumably legitimate traffic they have taken on, causing problems for all No-IP users.

From the latter statement and the court records, it’s clear that Microsoft did not contact No-IP about the alleged malware connection that motivated the theft and did not have an opportunity to defend themselves in court (that’s what the “ex parte” part means). Most of the docket is still sealed, so we can’t see exactly what arguments Microsoft made to the court to pull off the theft, but the earliest that No-IP can get their domain names back is July 10, which is Microsoft’s deadline for replying to No-IP’s response.

If they can do this to No-IP, they can do this to anyone. Even if you can afford to defend yourself against Microsoft’s lawyers, you won’t get an opportunity to do so before the theft is effected!

This incident is a very good argument for having at least one domain name with a TLD, registry and registrar that is outside the control of U.S. courts. Note that some country code TLD registries are operated by U.S. companies.

Update: If Microsoft claims that legitimate No-IP users are not affected, they’re lying. In addition to the reported downtime incidents, none of the No-IP addresses I am responsible for are resolving right now. I am getting empty responses from both and (returning only the .org TLD NS records).

Europe’s borders

30 Jun 2014

I frequently advocate changing European borders. Here’s a list, which I’ll try to keep up to date:

  1. Merge Germany and Austria, then divide into Northern Germany and Southern Germany.
  2. Dissolve Belgium. Brussels becomes a free city under EU protection.
  3. Scotland should be independent.
  4. Denmark to the Elbe.
  5. Dissolve Italy.
  6. Resolve this mess (possibly by merging Flanders into the Netherlands).

Softwarepatenter og patentdomstolen

04 May 2014

Hvad er et softwarepatent?

Et softwarepatent er et patent, der omhandler software.

FFII anbefaler følgende definition (oversat af mig): “Et softwarepatent er et patent på enhver udførelse af en computer, som realiseres ved hjælp af et computerprogram.”

Findes der softwarepatenter i Europa?


Mit indlæg på Informations blog Protokol beskriver et softwarepatent (EP1209551) på en metode til adgangskontrol. Her er nogle andre eksempler:

  • EP0917038: En metode til at genkende mønster som fx. telefonnumre i tekstbeskeder og lade brugeren pege eller klikke på dem for at udføre en handling.
  • EP2318929: En metode til at lave gendannelsespunkter i forbindelse med softwareopdatering.
  • EP1271319: En metode til at løse konflikter i datasynkronisering.

Der er også klassikerne, som fx. Amazons patent på 1-click køb, Realkredit Danmarks patenter på Flexlån og Adobes patent på palettabber.

Hvorfor påstår folk noget andet?

Den Europæiske Patentkonventions artikel 52, som foreskriver hvad der kan udtages patent på (navnlig “opfindelser”), siger klart at “programmer til computere” ikke kan udgøre en “opfindelse”.

Nogle debattører forsøger med dette udgangspunkt at påstå, at softwarepatenter er forbudt i Europa. Nogle går så langt at påstå, at de derfor ikke findes og at antallet af europæiske softwarepatenter er nul. Det er en endnu mere problematisk konklusion, fordi det udelukker at det Europæiske Patentkontor og domstolene ved en fejl tillader softwarepatenter.

Hvor mange softwarepatenter findes der i Europa?

Patenteksperten Florian Mueller mener at der findes flere hundrede tusinde softwarepatenter i Europa.

Hvordan tæller man antallet af softwarepatenter?

Alle tal er forbundet med stor usikkerhed. Ingen går og læser flere millioner patenter igennem for at finde softwarepatenter. Derfor bruges der altid automatiseret søgning. Det kan for eksempel være baseret på de klassifikationer der er tilknyttet alle patentskrifter, sammenholdt med en søgning efter bestemte nøgleord eller en bestemt kravstruktur, der kendetegner softwarepatenter.

Nogle nyere europæiske softwarepatenter indeholder faktisk begrænsningen “computer-implementeret” i metodekravene. Det er for eksempel tilfældet for Microsofts datasynkroniseringsmetode. I så fald er der højst sandsynligt tale om et softwarepatent.

Udover kravene, kan man også søge efter nøgleord i beskrivelsen. Softwarepatenter indeholder aldrig egentlig kode i kravene (man kan jo ikke få patent på et konkret program), men der er af og til kode eller pseudokode i beskrivelsen for at forklare hvordan patentet fungerer.

Der er altså 2 niveauer af usikkerhed: (1) Er du enig i forskerens definition af “softwarepatent”? (2) Er de filtre eller det program han eller hun bruger i overensstemmelse med den definition der er givet?

Det Europæiske Patentkontor tager mange penge for et fuldstændigt arkiv over alle europæiske patenter. Det samme materiale er gratis for amerikanske patenter, så der er langt mere forskning på det amerikanske område.

(Tilføjet 7. maj 2014.)

Siger artikel 52 noget som helst om softwarepatenter?

Det skulle man umiddelbart tro. På den anden side er konkrete computerprogrammer allerede beskyttet af ophavsret fordi der er tale om et kreativt værk. Mange ting, der beskyttes af ophavsret, kan ikke samtidig beskyttes af patent, og omvendt.

Det ville være overraskende, og lidt mærkeligt, hvis et computerprogram kan beskyttes af ophavsret i mindst 70 år og samtidig af et patent i 20 år. Et patent giver ofte en meget bredere beskyttelse end ophavsret. Af samme grund gælder beskyttelsen typisk i meget kortere tid.

Et patent er blandt andet kendetegnet ved at man kan krænke det selv uden at være klar over at patentet overhovedet eksisterer.

Man kan naturligvis ikke lave små, kosmetiske ændringer i et program og dermed omgå ophavsret (eller patent, hvis der fandtes patenter på computerprogrammer). Men man kan sagtens skrive et nyt program fra grunden med samme formål og funktion. Det er helt i tråd med de traditionelle rammer for ophavsret, men det ville være overraskende hvis man nemt kunne omgå et patent på samme måde. I så fald ville patenter på softwareprogrammer adskille sig væsentligt fra andre typer patenter.

Hvordan ville du have udformet artikel 52?

Jeg ville have udelukket at et program til en computer (eller en computer, der udfører programmet, eller et lagringsmedie der indeholder programmet, eller en person, som anvender en computer, der udfører programmet, eller selve anvendelsen) kan krænke et europæisk patent.

Hvis et softwarepatent ikke er et patent på et computerprogram, hvad er det så?

FFIIs definition handlede om en computers udførelse, instrueret af et computerprogram. Det er måske ikke det samme som selve programmet, men hvad er det så?

Her er det nyttigt med en historielektie og en lektie i komparativ patentjura. Vi snakker selvfølgelig om softwarepatenter i forbindelse med den forestående folkeafstemning om patentdomstolen den 25. maj 2014, men patenter er i høj grad et globalt område: de fleste lande er (formodentlig) forpligtede til at tillade softwarepatenter i en eller anden form på af handelsaftalen TRIPS, og mange patenter findes i forskellige lande i næsten enslydende form.

USA indeholder mange forskningstunge virksomheder og er et stort marked, så den amerikanske patentlovgivning har stor indflydelse på andre landes lovgivning og på udformningen af de patenter, der rent faktisk udstedes. I USA fik sin første patentlov i 1790, og loven er i dag tydeligvis nedarvet fra denne første lov, både når det kommer til substans og ordbrug.

Den europæiske patentkonvention siger at man kan få patent på “opfindelser”. I USA har den tilsvarende paragraf siden 1793 tilladt patenter på en af følgende fire typer opfindelser: en maskine (eller “indretning”), en metode (eller “fremgangsmåde”), en fremstillet genstand, og sammensætningen af et stof (for eksempel et molekyle).

Da man i 1960’erne og 1970’erne for første gang forsøgte at opnå softwarepatenter, var det derfor nødvendigt at skrive det som en af de 4 kategorier. Det er svært at påstå at computere har meget at gøre med sammensætningen af et stof, men det lykkedes at få det til at passe med de tre første kategorier. Man ser derfor følgende 3 typer patentkrav i amerikanske softwarepatenter (og mange europæiske softwarepatenter med ens ordlyd eller som er skrevet på samme måde):

  1. En computer (en maskine), som udfører en bestemt funktion implementeret ved hjælp af et computerprogram.
  2. En metode, som implementeres i form af et computerprogram.
  3. Et lagringsmedie (en fremstillet genstand), som indeholder et computerprogram med en bestemt funktion.

Hvis man ser på EP1209551, IBMs patent på en bestemt metode til adgangskontrol, ser man alle tre typer. Krav 1 til 9 er metodekrav, der beskriver nogle ting en computer kan gøre. Krav 10 beskriver en computer, der udfører funktionerne beskrevet i krav 1 til 9. Krav 11 beskriver et lagringsmedie, der indeholder instruktioner (altså et program) til at udføre de samme funktioner.

Der er altså 221 års tradition for at ting, der hører under disse fire kategorier, udgør opfindelser. Andre landes patentlove omhandler alle “opfindelser”, og det er måske bredere end hvad den amerikanske patentlov tillader, men det er forholdsvis nemt at argumentere for at hvis noget hører under en af de fire kategorier, så udgør det sandsynligvis en opfindelse.

Nu kan vi tydeligt se hvorfor den Europæiske Patentkonventions artikel 52 ikke begrænser softwarepatenter i nævneværdigt omfang: Artikel 52 undtager “programmer til computere” fra definitionen på en opfindelse. Men det er ikke sådan man normalt ville skrive et patent. Hvis man gjorde det, ville man kun opnå beskyttelse på et konkret computerprogram. Ved hjælp af et metodekrav kan man forbyde alle computerprogrammer med en bestemt funktion. Det er langt bedre. Og det konkrete program er stadig beskyttet af ophavsret.

Dem, der benægter eksistensen af europæiske softwarepatenter, påpeger ofte at “software som sådan” ikke kan patenteres. Det er, som vi kan se, ikke helt korrekt: det er mere præcist at sige at et konkret stykke software som sådan ikke kan patenteres. Til gengæld er det beskyttet af ophavsret i mindst 70 år, og man kan få patent på en hel kategori af software.

Jeg mener stadig at softwarepatenter er forbudt i Europa!

Så er de ikke tilladt noget sted i verden. Du må i princippet definere ord som du vil, men din definition er ikke ret nyttig.

Din definition på softwarepatenter er tilsyneladende “de patenter, der forbydes af de sidste 3 ord i den Europæiske Patentkonventions artikel 52(2)(c)”. Det kan du som sådan godt gøre, med henvisning til ytringsfrihed osv., men så er dit svar på spørgsmålet “er softwarepatenter tilladt i Europa?” tautologisk.

Meget af frygten for softwarepatenter i Europa er baseret på erfaringer fra USA. Mange amerikanske softwarepatenter findes i USA Europa med næsten ens ordlyd. Den type softwarepatenter, vi er bange for i USA, findes altså allerede som europæiske patenter.

Hvad er en “computer-implementeret opfindelse”?

En computer-implementeret opfindelse, eller CII, lyder tilsyneladende som det samme som et softwarepatent. Software er altid computer-implementeret. Hvis et stykke software ikke kan køre på en computer, er ikke software. Det er desuden en forudsætning for at få et patent, at man har udviklet noget, som patentkontoret anser som en “opfindelse”.

CII lyder altså umiddelbart som præcis det samme som et softwarepatent. Der er måske ikke perfekt overlap: man kan forestille sig opfindelser, som er computer-implementerede, men som ikke gør brug af software. En metode til at bruge en computer som dørstopper er for eksempel ikke et softwarepatent.

Det engelske udtryk “computer implemented invention” kan findes i faglitteraturen helt tilbage til 1970’erne, men den udbredte brug af ordet ser ud til at stamme fra et dokument fra det Europæiske Patentkontor fra 2000, der beskriver EPOs syn på patenter på computer-implementerede forretningsmetoder.

En fornuftig og brugbar definition på CII er derfor “de softwarepatenter, der er tilladt som europæiske patenter”.

Hvad er relevansen for folkeafstemningen om patentdomstolen?

Der findes mange modstandere af softwarepatenter i Europa og i Danmark. Mit Protokol-indlæg handler lidt mere om hvorfor softwarepatenter måske er en dårlig idé, men udgangspunktet er her en vis skepsis overfor deres eksistens. Hvis du er tilhænger af softwarepatenter, kan det måske være en god idé at stemme ja.

I dag skal europæiske patenter valideres nationalt for at blive gyldige. I Danmark skal patentkravene oversættes til dansk hvis der er tale om et engelsksproget patent, og hele patentskriftet skal oversættes hvis der er tale om et tysk- eller fransksproget patent. Der skal desuden betales et dansk gebyr.

Florian Mueller påstår at der findes flere hundrede tusinde europæiske softwarepatenter, men meget få af dem er valideret i Danmark, selv når der er tale om patenter udtaget af store virksomheder som Microsoft og IBM. Det skyldes sandsynligvis at Danmark er et lille marked og de ikke finder det rentabelt at validere i Danmark.

Når fremtidige softwarepatenter udstedes som europæiske patenter med fælles retsvirkning, vil det uden videre være gyldigt i Danmark. Det vil mangedoble antallet af nye softwarepatenter med dansk gyldighed fra cirka nul i dag til mindst et par tusinde om året.

Eksisterende softwarepatenter, herunder de eksempler jeg har givet her, vil ikke automatisk gælde. Men det er eksempler på hvad danske virksomheder skal leve med i fremtiden.

Men jeg har selv patenter!

Så er du en af de 0,3% af danske virksomheder, som har patent. Enhedspatentet kommer sandsynligvis til at træde i kraft uanset udfaldet af folkeafstemningen, og det giver dig beskyttelse i alle EU-lande undtagen Spanien, Italien og Polen.

Et nej til folkeafstemningen giver dig også en vis beskyttelse mod at blive sagsøgt for krænkelse af et softwarepatent, for eksempel i form af et modkrav. Hvis en mindre amerikansk virksomhed har tænkt dig at sagsøge IBM for at krænke et patent på din opfindelse, vil IBM søge i deres portefølje af patenter, og finde et par stykker sagsøgeren selv krænker.

Måske vælger de et patent du kan få omstødt eller som du slet ikke krænker. Du skal stadig bruge tid og penge på at bevise det i retten.

Det samme kan altså blive tilfældet i Europa om nogle år, når IBM og andre store virksomheder har samlet en portefølje på titusinder af enhedspatenter med virkning i Danmark.

Giver softwarepatenter effektiv beskyttelse?

Det er overraskende svært at vinde en patentsag som sagsøger. Patenter bliver ofte omstødt, og det viser sig ofte at de ikke er krænket. Softwarepatenter er særligt sårbare, blandt andet fordi det ofte viser sig at opfindelsen ikke er ny.

Store virksomheder kan imødekomme svage softwarepatenter ved at samle en stor portefølje af patenter, og ved hovedsageligt at bruge dem defensivt. En af grundene til at de såkaldte “patenttrolde” er så farlige er at de ikke selv sælger nogen produkter. Derfor kan du ikke forsvare dig mod dem ved at henvise til at de krænker en af dine egne patenter.

Softwarepatenter er ofte svage—påvirker de stadig mig?

Ja. Hvis du bliver truet med et trivielt softwarepatent, ved du måske at du højst sandsynligt kan få det omstødt. I Europa er det, i modsætning til USA, hovedreglen at vinderen får erstatning for sagsomkostninger (for eksempel advokatsalær), så hvis du vinder, har du kun mistet den tid du selv har brugt på sagen. Men der er altid procesrisiko: du kan komme til at tabe sagen selv om du har ret. Så skal du også betale modpartens advokatregning.

For trivielle softwarepatenter ejet af trolde, vil det typiske forløb være at du bliver tilbudt en licens for fx. 25.000 kr., og det kan bedre betale sig bare at betale den regning. Spørgsmålet er hvor mange gange 25.000 kr. du har råd til at betale.

Hvad mener du om den danske afdeling af patentdomstolen?

Hver patentsag skal behandles af et panel med 3 dommere. 1 til 2 af dem (afhængig af det årlige antal sager afdelingen behandler) skal være ikke-danske. Det vil være svært at finde nok dansktalende dommere til at gennemføre en sag på dansk.

Desuden giver patentdomstolens statut ikke en ubetinget ret til at gennemføre en sag på dansk. Artikel 49(1) siger at retten altid kan beslutte at behandle sagen på det sprog, patentet oprindeligt blev udstedt på.

Skal jeg til at lære tysk og fransk?

Måske. Der er en overgangsordning, så tysk- og fransksprogede patenter oversættes til engelsk. Efter overgangsordningen udløber, skal kun patentkravene oversættes til engelsk, som det er tilfældet i dag. Kravene definerer hvad patentet beskytter, men det kan være svært at forstå patentet uden at have adgang til beskrivelsen.

I forbindelse med en retssag har du krav på en dansk oversættelse, men det kan være en god idé at undgå at man rent faktisk havner i retten.

Er alle softwarepatenter dårlige?

Jeg vurderer dette spørgsmål baseret på hvorvidt et patent skaber innovation, og hvorvidt det hæmmer innovation. Med dette kriterie er det for eksempel nemmere at forsvare farmaceutiske patenter end andre typer patenter: Det er meget dyrt at udvikle lægemidler, og meget nemt at kopiere dem når de først er blevet udviklet og godkendt.

Indenfor softwarepatenter, er det lettest at forsvare patenter på komplicerede komprimeringsalgoritmer der for eksempel bruges i MP3- og H.264-standarderne. Det er tidskrævende at udvikle dem—omend ikke nær så dyrt som et lægemiddel—og det endelige produkt er forholdsvis let at kopiere, så ophavsret er ofte ikke tilstrækkelig beskyttelse. Det tyske forskningsinstitut Fraunhofer, som opfandt det meste af MP3, markedsfører software til kodning og afkodning af MP3-filer, men deres software er ikke nødvendigvis den bedste på markedet, og mange bruger fx. LAME eller implementeringer i hardware.

Patenter på komprimeringsalgoritmer bliver dog problematiske når de bruges i en standard. Fraunhofers ønske er ikke blot at nogle køber deres produkt: med standardisering og fordi der er tale om et filformat er det meningen at alle skal gemme deres musik som MP3. Det skaber problemer for open source software, hvor det er besværligt eller dyrt at købe en licens, men hvor der samtidig er et behov for at understøtte formatet.

Samtidig er der en interessekonflikt i de internationale udvalg, der udvikler standarderne: Mange af dem arbejder for firmaer, der ejer patenter på området. De har derfor et begrænset incitament til at vælge metoder og algoritmer, der ikke er beskyttet af patent. Og det er ofte muligt: Ogg Vorbis blev udviklet som et patentfrit alternativ til MP3. (Men pas på: Google frigav VP8/WebM som et frit alternativ til H.264-standarden, men der er muligvis patentproblemer, og kvaliteten er efter sigende dårligere.)

(Tilføjet 7. maj 2014.)