netzsicherheit - ruhr university bochum · 2012-11-02 · forschungsgebiet seit 2006: rational...
TRANSCRIPT
Netzsicherheit
Teil 6: Pay-TV
Prof. Dr. Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 2
Gliederung Funktionsweise Conditional Access (CA)
Angriffe auf das analoge Scrambling
Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
Angriffe auf das Schlüsselmanagement
Videocrypt
Irdeto/BetaResearch
Digitales Fernsehen und der Common Scrambling Algorithmus
MPEG-2 Transportformat und DVB
Der CSA
Broadcast Encryption
Traitor Tracing
Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 3
Ziele Conditional Access
Autorisierter
Benutzer
Autorisierter Benutzer
Nichtautorisierter
Benutzer
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 4
Funktionsweise Conditional Access
CNN 2
Audio/Video verschlüsselt
+ Zugriffsbedingungen (in ECM)
Zugriffs-
Rechte
Überprüfe, ob die Zugriffs-
rechte mit den Zugriffsbedin-
gungen übereinstimmen.
Wenn ja, entschlüssele!
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 5
Funktionsweise Conditional Access Scrambling / Verschlüsselung
Analog: Das Videosignal wird in einen FIFO-Puffer geladen und
unter Kontrolle eines kryptograph. Schlüssels CW modifiziert.
Digital: Der MPEG-2-TS wird durch den DVB Common
Scrambling-Algorithmus mit dem Schlüssel („Kontrollwort“) CW
verschlüsselt.
Schlüsselmanagement / Conditional Access
CW wird (verschlüsselt mit einem Service-Schlüssel SK) in einer
ECM übertragen, zusammen mit Zugriffsbedingungen.
SK wird (verschlüsselt mit einem persönlichen Schlüssel PK
oder einem Gruppenschlüssel GK) in einer EMM übertragen,
zusammen mit Zugriffsrechten.
Stimmen Bedingungen und Rechte überein, so gibt die
Chipkarte CW frei.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 6
Scrambling / Conditional Access
CW
Video Video CSACW(Video) CSA CSA
E
E
D
D
Pay-TV-Anbieter Kunde
Scrambling
CA CW
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 7
Scrambling / Conditional Access
CW CW
Video Video CSACW(Video) CSA CSA
SK
ECM = ESK(CW) E
E
D
D
Pay-TV-Anbieter Kunde
Scrambling
CA
SK
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 8
Scrambling / Conditional Access
CW CW
Video Video CSACW(Video) CSA CSA
SK
SK
ECM = ESK(CW)
EMM = EPK(SK)
E
E
D
D
PK PK
Pay-TV-Anbieter Kunde
Scrambling
CA
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 9
Verschlüsselung im „Consumer
Electronics“-Bereich Neue, sehr spezifische Bedrohungen
Der einzelne Kunde hat kein Interesse daran, seine kryptographischen Schlüssel (SK, GK, PK) geheimzuhalten.
Marketingstrategien und Sicherheitsanforderungen sind oft unvereinbar.
Geräte und Chipkarten werden preisgünstig und unkontrollierbar abgegeben.
Großes Potential an versierten Hackern mit „einfachen“, aber effektiven Angriffen.
Frühestes Beispiel für „Seitenkanalangriffe“ in der Praxis
Forschungsgebiet seit 2006: Rational Cryptography Angreifer sind nicht per Definition „böse“, sondern jeder
Teilnehmer kann abhängig von einer „Gewinnfunktion“ gut oder böse sein.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 10
Gliederung Funktionsweise Conditional Access (CA)
Angriffe auf das analoge Scrambling
Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
Angriffe auf das Schlüsselmanagement
Videocrypt
Irdeto/BetaResearch
Digitales Fernsehen und der Common Scrambling Algorithmus
MPEG-2 Transportformat und DVB
Der CSA
Broadcast Encryption
Traitor Tracing
Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 11
Scrambling / Conditional Access
CW CW
Video Video CSACW(Video) CSA CSA
SK
SK
ECM = ESK(CW)
EMM = EPK(SK)
E
E
D
D
PK PK
Pay-TV-Anbieter Kunde
Scrambling
CA
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 12
Videocrypt
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 13
Mehr Infos zu Videocrypt
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 14
Nagravision/Syster
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 15
Mehr Infos zu Nagravision/Syster
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 16
Nagravision/Syster Angriffe auf das analoge Scrambling
Der PSND1-Dekoder für die SECAM-Version des
Nagravision-Systems rekonstruiert(e) gescrambeltes Audio/Video in Echtzeit.
Quelle: http://www.eurosat.com/eurosat/nagra/psnd1-e.html
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 17
Nagravision/Syster Angriffe auf das
analoge Scrambling
(2): PC-Basierte
Angriffe
Pentium 166 Mhz
Videokarte mit
„Framegrabber“
Funktioniert für
Nagravision/Syster und
Videocrypt
Illegal bei
Entschlüsselung
deutscher Sender
Quellen: http://www.multimania.com/freetw/help/freetv.htm; http://www.leodom-gruppe.de/wissenschaft/decodieren.htm
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 18
Gliederung Funktionsweise Conditional Access (CA)
Angriffe auf das analoge Scrambling
Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
Angriffe auf das Schlüsselmanagement
Videocrypt
Irdeto/BetaResearch
Digitales Fernsehen und der Common Scrambling Algorithmus
MPEG-2 Transportformat und DVB
Der CSA
Broadcast Encryption
Traitor Tracing
Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 19
Schlüsselmanagement/CA
CW CW
Video Video CSACW(Video) CSA CSA
SK
SK
ECM = ESK(CW)
EMM = EPK(SK)
E
E
D
D
PK PK
Pay-TV-Anbieter Kunde
Scrambling
CA
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 20
Schlüsselmanagement Videocrypt
Deaktivierung einer
Chipkarte durch
„negative Adressierung“
Alle Karten besitzen das
gleiche „Geheimnis“
Deaktivierung einer
Karte nur in Kooperation
mit dieser möglich
Folge:
„Infinite Life“-Attacke
Descrambling ohne
Chipkarte möglich
Adr1 Adr2 Adr3 Adr4
Hash
CW EMM=ECM
MAC Okay?
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 21
Geschichte der Videocrypt-Hacks 2.24 The *REAL* History of Hacks On VideoCrypt
2.24a Hack 01: The McCormac Hack
2.24b Hack 02: The Infinite Lives Hack
2.24c Hack 03: The KENtucky Fried Chip Hack
2.24d Hack 04: The 07 Ho Lee Fook (8752/8051)
2.24e Hack 05: The 07 Ho Lee Fook (PIC16C54)
2.24f Hack 06: The 07 Ho Lee Fook (PIC16C84)
2.24g Hack 07: The 07 Season Program
2.24h Hack 08: The 09 Ho Lee Fook (temporary)
2.24i Hack 09: The Phoenix / Genesis Blocker
2.24j Hack 10: The Stable 09 Ho Lee Fook
2.24k Hack 11: The 09 Battery Card
2.24l Hack 12: The 09 Season Program
2.24m Hack 13: The Sam Chisum Hack On Sky 10 PPV
2.24n Hack 14: The Sky 10 Commercial Phoenix Hack
2.24o Hack 15: The Megatek 10 Battery Card
2.24p Hack 16: The Judgment Night PPV Hack
2.24q Hack 17: The Christmas 1996 Phoenix
2.24r Hack 18: Season 10
2.24s Hack 19: Phoenix 3.50
2.24t Hack 20: SkyPIC 10
2.24u Hack 21: Sky 10/11 Blocker
Quelle:
http://www.iol.ie/~kooltek/faq.html,
16.8.97
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 22
CA im Entertainment-Bereich
Angriffe auf das Schlüsselmanagement
Blocker filtern Befehle zum Deaktivieren der Chipkarte aus.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 23
Videocrypt-Hacks: Der Season-Hack
Der „geheime“
PRF-Algorithmus
wurde im PC
nachpro-
grammiert
Kerkhoffs !
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 24
Videocrypt-Hacks: Der Lötkolben-Hack
Quelle: M. Kuhn
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 25
Sicherheit von NDS VideoGuard:
Komplexität des ASIC
The best technology
available.
Custom-designed hardware
components include NDS-
specific circuits based on
high density components to
prevent device analysis and
re-engineering.
http://www.nds.com/
conditional_access/
videoguard_security.html
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 26
Schlüsselmanagement Eurocrypt
(Nagra, Canal+, Viaccess, ...) Aktivierung einer
Chipkarte durch
„positive Adressierung“
ECM wird mit SK
verschlüsselt
übertragen
SK wird mit den
verschiedenen GKi
verschlüsselt in EMM
übertragen
GKi wird mit den
verschiedenen SKj
verschlüsselt in EMM
übertragen PK1 PK2 PK3 PK4
GK1 GK2
SK
CW ECM
EMM
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 27
Schlüsselmanagement/CA Deaktivierung einer
Chipkarte durch
„positive Adressierung“
Zum Deaktivieren von
Karte 4 müssen GK2
und SK ausgetauscht
werden.
EMM1 enthält neuen
GK2 verschlüsselt mit
PK3.
EMM2 enthält neuen SK
verschlüsselt mit GK1
EMM3 enthält neuen SK
verschlüsselt mit GK2 PK1 PK2 PK3
PK4
GK1 GK2
SK
CW ECM
EMM
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 28
Schlüsselmanagement/CA
Optimierung der
„positiven
Adressierung“
n Kunden, m-ärer Baum
der Tiefe t
n mt-1
m(t-1)-1 = m log m n - 1
Funktion (n fest)
x logxn = (x/ln x) ln n
hat Minimum bei x=e
Daher m = 2 oder m = 3
optimal.
PK1 PK2 PK3 PK4
GK1 GK2
SK
CW ECM
EMM
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 29
Schlüsselmanagement/CA
„Positive Adressierung“ in der Praxis
ECM enthält
ID-Nummer des Kanals, für den sie bestimmt ist
Rechte, die für diesen Kanal benötigt werden (in der Reihenfolge
Pay-per-Channel, Prebooked PPV, Impulsive PPV)
Gesichert mit MACSK(ID, Rechte)
EMM-U enthält
Nummer der Gruppe, der die Karte zugeordnet wird
Schlüssel der Gruppe, der die Karte zugeordnet wird
Verschlüsselt mit PKi
Gesichert mit MACPKi(Daten)
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 30
Schlüsselmanagement/CA
„Positive Adressierung“ in der Praxis
EMM-G enthält
Adresse der Gruppe, für die die EMM bestimmt ist
Bitmap der Gruppe
Berechtigung, die die in der Bitmap markierten Mitglieder der Gruppe
erhalten sollen
Verschlüsselt mit GKi
Gesichert mit MACGKi(Daten)
1001010111101101 Gruppe 17 SPORT MACGKi
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 31
Angriffe Schlüsselmanagement
Piratenkarten emulieren
das ECM/CW I/O-Verhalten
der Originalkarten
SK muss der Piratenkarte
bekannt sein
Datenformate ECM müssen
bekannt sein
Bei Wechsel des SK: Update
des neuen SK über die 10er-
Tastatur
Quelle: http://www.eurosat.com/eurosat/images/bpsceuro.gif
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 32
Angriffe Schlüsselmanagement
Programmierbarer Chipkartenemulator iCard Komplette Software der iCard kann erneuert werden
Bei häufigem Wechsel von SK kann auch ein GKi mit abgespeichert werden (halbanonym)
Heute: Programmierbare „leere“ Chipkarten (alles in SW)
Quelle: http://thoic.com/icard/frameger.html
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 33
Angriffe Schlüsselmanagement
PC/Dekoder-Schnittstelle mit
seriellem Kabel (SEASON-
Interface)
ermöglichen die Simulation der
Chipkarte durch einen PC (für
VIACCESS, MediaGuard,
Irdeto,...)
Das SEASON-Programm
benötigt aktuelle
kryptographische Schlüssel
Key-Datenbanken im Internet
http://www.multisat.de/season/season.html
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 34
Angriffe Schlüsselmanagement
Standard-Chipkarten als Piratenkarten: Reaktivierung von Originalkarten Fall 1: Schwäche des
MAC-Algorithmus (Programmierfehler)
Fall 2: GKi bekannt oder kann auf Karte geladen werden
Fall 3: PKi bekannt oder kann auf die Karte geladen werden
Bild: Chipkartenleser zur Reprogrammierung von Originalkarten
http://www.multisat.de/mp2000/index.html
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 35
Angriffe Schlüsselmanagement
Reaktivierung von Originalkarten (MOSC): Wie kann das funktionieren? Auslesen oder Schreiben
von Schlüsseln durch Buffer Overflow
SK kann auf Karte geschrieben werden: Ausschalten durch „Produktwechsel“
GKi oder PKi kann auf Karte geschrieben werden: „Autoupdate“-Karten CardWizard: z.B. unter http://www.irde.to/all4free/
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 36
Schlüsselmanagement/CA
Varianten der
Schlüsselhierarchie
für mehrere
„Produkte“
Gruppen sind fest,
mehrere SK
PK1 PK2 PK3 PK4
GK1 GK2
SK1
CW ECM
EMM SK2
CW
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 37
Schlüsselmanagement/CA
Varianten der
Schlüsselhierarchie
für mehrere
„Produkte“
Gruppen sind bzgl. SK
optimiert
Mehrere unabhängige
Anbieter pro Karte
möglich (Analogon
root/user unter Unix)
PK1 PK2 PK3 PK4
GK1 GK2
SK
CW ECM
EMM
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 38
Gliederung Funktionsweise Conditional Access (CA)
Angriffe auf das analoge Scrambling
Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
Angriffe auf das Schlüsselmanagement
Videocrypt
Irdeto/BetaResearch
Digitales Fernsehen und der Common Scrambling Algorithmus
MPEG-2 Transportformat und DVB
Der CSA
Broadcast Encryption
Traitor Tracing
Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 39
Digitales Fernsehen: MPEG-2
Daten werden in Transportpaketen (188 Bytes)
transportiert
Zeitmultiplex verschiedener Audio/Video/Datenströme
Einzelne Pakete des gleichen Stroms haben gleiche
PID
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 40
Digitales Fernsehen: MPEG-2
Übertragung der Transportpakete im Zeitmultiplex
Zusammenfassung von PID-Strömen zu „Services“
mittels Tabellen („Service Information“, SI)
Tabellen bilden eine Art „Dateisystem“ für das
MPEG-2-System
„root“-Verzeichnis hat feste, allgemein bekannte PID
PID = 1 (Video)
PID = 2 (Audio)
PID = 1 (Video)
PID = 1 (Video)
PID = 1 (Video)
PID = 3 (Daten)
PID = 17 (Audio)
...
...
PID = 1 (Video)
PID = 3 (Daten)
PID = 2 (Audio)
Service 1:
PID = 1 (Video)
PID = 17 (Audio)
Service 2:
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 41
Digitales Fernsehen: Pay-TV nach
DVB ECM-Datenstrom jeweils an einen „Service“ gebunden
Wenn ein bestimmter Service (Audio/Video/Daten) über SI
ausgewählt wurde („EPG“), filtert die Set-Top-Box die
zugehörigen ECMs und sendet sie an die Karte.
EMM-Datenstrom ist unabhängig von den „Services“
Karte muss der Set-Top-Box ihre Adressen (individuell,
Gruppen) mitteilen, damit diese die EMMs filtern kann.
PID = 1 (Video)
PID = 2 (Audio)
PID = 1 (Video)
PID = 1 (Video)
PID = 1 (Video)
PID = 3 (ECM)
PID= 213 (EMM)
...
...
PID = 1 (Video)
PID = 3 (ECM)
PID = 2 (Audio)
Pay-TV 1:
PID= 213 (EMM)
EMM:
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 42
Digitales Fernsehen: DVB-
Verschlüsselung Minimale (Synchronisations-) Information zur
Verschlüsselung im MPEG-TS-Header
Weitere Informationen in den ECMs
ECM-Varianten:
enthält nur nächstes CW (even/odd)
enthält aktuelles und nächstes CW
TS_scrambling_control-Belegung Bedeutung
00 TS-Nutzlast ist nicht verschlüsselt
01 Reserviert für zukünftigen DVB-Gebrauch
10 Nutzlast ist mit einem geraden CW verschlüsselt
11 Nutzlast ist mit einem ungeraden CW verschlüsselt
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 43
Digitales Fernsehen: DVB-
Verschlüsselung CSA
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 44
Gliederung Funktionsweise Conditional Access (CA)
Angriffe auf das analoge Scrambling
Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
Angriffe auf das Schlüsselmanagement
Videocrypt
Irdeto/BetaResearch
Digitales Fernsehen und der Common Scrambling Algorithmus
MPEG-2 Transportformat und DVB
Der CSA
Broadcast Encryption
Traitor Tracing
Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 45
Broadcast Encryption Gesucht: Schlüsselmanagement für Nutzermenge U,
mit dem es möglich ist
eine Nachricht genau an alle Nutzer TU über ein
Rundfunkmedium zu senden,
so dass es auch gegen jede Koalition SU von k
Angreifern mit ST= sicher ist („k-resilient“),
und die Anzahl der Schlüssel (insgesamt/pro Nutzer) minimal
ist.
Vorüberlegung: Um Teilmenge TU eindeutig zu
bezeichnen, sind |U| Bits erforderlich.
Nur in Spezialfällen ist hier eine Verbesserung möglich.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 46
Broadcast Encryption k-resilientes Basisschema
für jede Teilmenge B mit höchstens k Nutzern:
wähle einen Schlüssel KB
KB wird jedem Nutzer gegeben, der nicht zu B gehört
Schlüssel für T: KT = ⊕BU-T KB
Sicherheit
Den Mitgliedern jeder Teilmenge S U-T mit höchstens k
Nutzern fehlt der Schlüssel KS zur XOR-Berechnung
Anzahl der Schlüssel
Anzahl der i-Teilmengen der Menge U, |U|=n, ist
Anzahl aller Schlüssel:
i
n
k
i i
n
0
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 47
Broadcast Encryption: Beispiel 1-resilientes Basisschema
für jeden Nutzer Ui:
wähle einen Schlüssel Ki
Ki wird jedem Nutzer Uj mit j ≠ i gegeben
der Schlüssel für T ist das XOR aller Schlüssel Kj, Uj U-T.
Anzahl der Schlüssel
Anzahl der 1-Teilmengen der Menge U, |U|=n, ist n.
Anzahl aller Schlüssel: n
Sicherheit
Den Mitgliedern jeder Teilmenge S={Ki} U-T mit höchstens
1 Nutzern fehlt der Schlüssel Ki zur XOR-Berechnung
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 48
Broadcast Encryption: Beispiel U = {U1, U2, U3, U4}
Schlüsselmenge für U1: M1 = {K2, K3, K4}
Schlüsselmenge für U2: M1 = {K1, K3, K4}
Schlüsselmenge für U3: M1 = {K1, K2, K4}
Schlüsselmenge für U4: M1 = {K1, K2, K3}
T = {U1, U3}, dann ist KT = K2 ⊕ K4
Sicherheit: U2 fehlt K2, U4 fehlt K4
T = {U1, U2}, dann ist KT = K3 ⊕ K4
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 49
Broadcast Encryption 1-resilientes Basisschema
Nutzer muss n-1 Schlüssel speichern
Verbesserung durch kryptographische Annahmen
Annahme 1: Es gibt Einwegfunktionen
Dann gibt es pseudozufällige Funktion f : {0,1}a → {0,1}2a
s
sl = linke
Hälfte von f(s)
sr = rechte
Hälfte von f(s)
sll = linke
Hälfte von f(sl) srr = rechte
Hälfte von f(sr) srl slr
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 50
Broadcast Encryption Annahme 1: Es gibt Einwegfunktionen
Schlüsselzuweisung für Nutzer x wie folgt:
Entferne den Pfad von x zur Wurzel aus dem Baum
Weise x die Werte zu, mit denen die verbleibenden
Teilbäume beschriftet sind
Damit kann x die Beschriftung aller Blätter bis auf sein
eigenes rekonstruieren.
log2n Schlüssel
sr
sll x
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 51
Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln
modulo N=PQ ist praktisch unmöglich
geheim, nur dem Schlüsselmanagementzentrum bekannt:
Primzahlen P, Q,
Zahl g, wobei <g> in ℤN möglichst groß sein soll.
öffentlich bekannt:
Modulus N
Liste ( (1, p1), (2, p2), ..., (n, pn) ) mit der Bedeutung, dass die
Primzahl pi dem Nutzer i zugeordnet und paarweise
teilerfremd zu allen anderen Primzahlen pj ist.
nur Nutzer i bekannt: gi = gpi mod N
Schlüssel für Gruppe TU:
gpT mod N mit pT= iT pi
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 52
Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln
modulo N=PQ ist praktisch unmöglich
Berechnung des Schlüssels durch Nutzer iT:
Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen
könnte, dann könnte er auch g berechnen.
Beweis:
Ng iTj jp
i mod}{
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 53
Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln
modulo N=PQ ist praktisch unmöglich
Berechnung des Schlüssels durch Nutzer iT:
Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen
könnte, dann könnte er auch g berechnen.
Beweis: ∏i∈Tpi und pj sind teilerfremd. Mit dem erweiterten
Euklidischen Algorithmus kann man sie darstellen als
1 = a⋅∏i∈Tpi + b⋅pj .
Also ist g = (g∏pi )a⋅ (gpj)b
Ng iTj jp
i mod}{
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 54
Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1-
resilienten Grundbausteinen: Parameter L, m
U
1,
.
.
.,
m
S
f1
fL
...
∀S ∃fi injektiv
auf S
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 55
Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1-
resilienten Grundbausteinen: Parameter L, m
Funktionen f1,...,fL: U → {1,...,m}
(zufällig gewählt oder konstruiert)
Es muss gelten: Für jedes SU mit
|S|=k gibt es mindestens eine
Funktion fi so dass
für alle x,yS gilt: fi(x)fi(y)
(d.h. fi ist auf S injektiv).
Stichwort: Perfect Hash Functions
(Die Parameter L und m sind noch
geeignet zu wählen.)
U
1,
.
.
.,
m
S
f1
fL
...
fi injektiv
auf S
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 56
Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1-
resilienten Grundbausteinen: Schlüsselverteilung
Für (i,j) mit i{1,...,L} und j{1,...,m}
konstruiere jeweils ein unabhängiges
1-resilientes BE-System R(i,j).
(Es gibt also insgesamt L⋅m 1-resiliente Systeme.)
Jeder Nutzer x U erhält die
Schlüssel für x im System R(i,fi(x))
für i{1,...,L}.
(Jeder Nutzer erhält die Schlüssel
für L dieser Systeme.)
U
1,
.
.
.,
m
S
f1
fL
...
fi injektiv
auf S
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 57
Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1-
resilienten Grundbausteinen: Verschlüsselung
Um eine geheime Nachricht M an eine
Menge T zu senden, zerlege diese in
L Teilnachrichten M1...ML=M.
Mi wird für j=1,...,m verschlüsselt mit
kTi,j aus R(i,j), und die m
Kryptogramme ci,j werden per Broadcast
versendet.
Jeder Nutzer x T erhält so alle
Teilnachrichten Mi und kann die
Nachricht M berechnen:
Mi = D(kTi,fi(x),ci,j)
U
1,
.
.
.,
m
S
f1
fL
...
fi injektiv
auf S
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 58
Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1-
resilienten Grundbausteinen: Sicherheit
Gegeben sei eine Angreifermenge S.
Dann gibt es eine Funktion fi, die für
S injektiv ist.
Für jedes 1-resiliente System R(i,j),
mit dem Mi verschlüsselt wird, ist
höchstens 1 Angreifer aus S vorhanden.
Da die einzelnen Schemata 1-resilient sind,
können die Angreifer so Mi nicht berechnen.
M bleibt somit geheim.
U
1,
.
.
.,
m
S
f1
fL
...
fi injektiv
auf S
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 59
Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1-
resilienten Grundbausteinen: Wahl von L und m
Für m = 2k2 und L = k log n
ist die Wahrsch., dass eine zufällig
gewählte Funktion fi auf einer Menge
S injektiv ist, mindestens
Die Wahrsch., dass es kein solches fi
gibt, ist 1/4L = 1/n2k.
Die Wahrsch., dass es für jede k-Menge S ein solches fi gibt,
ist
4
3
4
)1(1
1
21
2
k
kk
m
k
kk nnk
n 11
11
2
U
1,
.
.
.,
m
S
f1
fL
...
fi injektiv
auf S
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 60
Gliederung Funktionsweise Conditional Access (CA)
Angriffe auf das analoge Scrambling
Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
Angriffe auf das Schlüsselmanagement
Videocrypt
Irdeto/BetaResearch
Digitales Fernsehen und der Common Scrambling Algorithmus
MPEG-2 Transportformat und DVB
Der CSA
Broadcast Encryption
Traitor Tracing
Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 61
Traitor Tracing Definition: A k-resilient Traitor Tracing Scheme is defined as follows
1. The content is encrypted using a session key S.
2. The session key is split into r partial keys s1,...,sr using a (m,r)-
Threshold scheme [Sha79].
3. The set of decryption keys PK contains r elements k1,...,kr The
partial key si is encrypted under the decryption key ki. All these
cryptograms together will form the enabling block for the content.
4. Each authorized user u gets a personal set PK(u)PK of decryption
keys. This set contains m decryption keys from PK and will thus
allow him to decrypt m shares. He then can reconstruct S using the
(m,r)-Threshold scheme and decrypt the content.
5. There exists a Traitor Tracing Algorithm which on input an arbitrary
personal key set PK(u) found in a pirate device outputs the identity
of at least one traitor out of a coalition of at most k traitors.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 62
Traitor Tracing Beispiel: Ein 1-resilientes Traitor Tracing Schema
Nutzer sind Punkte in affiner Ebene
Schlüssel Geraden in Parallelenklassen (hier 2)
Jeder Nutzer erhält die Schlüssel, deren Geraden durch
seinen Punkt gehen. 1 2 3
4 6
7 8 9
5
l11
l12
l13
l21 l22 l23
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 63
Traitor Tracing Was nicht passieren darf
k Angreifer U1,...,Uk kombinieren die Schlüssel aus ihren Mengen PK(U1),...,PK(Uk) so zu einer neuen Menge PK(*), dass der Tracing-Algorithmus einen unschuldigen Nutzer U‘ als Ergebnis liefert. („Framing“)
Allgemeinstes Resultat: P. Erdös, P. Frankl and Z. Furedi: Families of Finite Sets in Which No Set is Covered by the Union of r Others. Israel J. Math. 51, 1985, pp. 79-89.
Was optimiert werden soll
|PK|
|PK(U)|
Länge des Enabling Block
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 67
Gliederung Funktionsweise Conditional Access (CA)
Angriffe auf das analoge Scrambling
Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
Angriffe auf das Schlüsselmanagement
Videocrypt
Irdeto/BetaResearch
Digitales Fernsehen und der Common Scrambling Algorithmus
MPEG-2 Transportformat und DVB
Der CSA
Broadcast Encryption
Traitor Tracing
Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 68
Digitale Wasserzeichen Idee: Bette die digitale Information in das „Rauschen“
von Multimedia-Daten (Audio, Bilder, Video) ein.
Die Qualität der Daten darf nicht wahrnehmbar
beeinträchtigt werden („Invisibility“)
Das Wasserzeichen kann öffentlich detektierbar sein
(„public“), oder nur bei Kenntnis eines „Schlüssels“
(„secret“).
Wird das Wasserzeichen entfernt, so leidet die
Qualität der Multimedia-Daten erheblich
(„robustness“).
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 69
Steganographie Idee: Bette die digitale Information in das „Rauschen“
von Multimedia-Daten (Audio, Bilder, Video) ein.
Die Qualität der Daten darf nicht wahrnehmbar
beeinträchtigt werden („Invisibility“)
Die Stego-Daten dürfen nicht detektierbar sein.
(Robustheit wird NICHT gefordert: Wenn der Verdacht
besteht, dass eine Datei Stego-Daten enthält, können
diese durch einen Transformation der Datei gelöscht
werden.)
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 70
Steganographie Die Idee ist leider schwer umzusetzen, denn die Stego-
Daten können sichtbar gemacht werden:
Originalbild (links), gefiltert ohne Stago-Daten (Mitte), gefiltert mit halber
Kapazität an Stego-Daten.
Andreas Westfeld, Andreas Pfitzmann:
Attacks on Steganographic Systems. S. 61–76 in Andreas Pfitzmann (Hrsg.):
Information Hiding. Third International Workshop, IH'99, Dresden, Germany
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 71
DW: Das Verfahren von Cox et. al. Ingemar J Cox, Joe Kilian, Tom Leighton, and Talal
Shamoon: Secure Spread Spectrum Watermarking for
Multimedia. NEC Research Institute Technical Report
95-10.
Idee: Bette die digitale Information als minimale
Änderungen in die wichtigsten Koeffizienten eines
Bildes ein.
Was sind die „wichtigsten Koeffizienten“?
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 72
DW: Das Verfahren von Cox et. al.
„Bavarian Couple“ ohne (links) und mit (rechts) digitalem Wasserzeichen.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 73
DW: Das Verfahren von Cox et. al.
Der Peak ungefähr bei WZ 200 zeigt an, dass gesuchte WZ im Bild
enthalten ist.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 74
DW: Das Verfahren von Cox et. al.
Rescaling: Das WZ ist immer noch detektierbar.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 75
DW: Das Verfahren von Cox et. al.
JPEG-Kompression: Sowohl links (10% Qualität, 0% Smoothing) als auch
rechts (5% Qualität, 0% Smoothing) bleibt das WZ detektierbar.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 76
DW: Das Verfahren von Cox et. al.
Dithering: das WZ bleibt detektierbar.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 77
DW: Das Verfahren von Cox et. al.
Drucken, Photokopieren, Scannen, Skalieren: das WZ bleibt detektierbar.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 78
DW: Das Verfahren von Cox et. al. Idee: Bette die digitale Information in die wichtigsten
Koeffizienten der DCT-transformierten Version des
Bildes ein.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 79
Die Diskrete Cosinus-Transformation (DCT)
Idee: Transformiere das Bild oder einen Ausschnitt des
Bildes (hier: 8x8-Blöcke) so, dass die „wichtigsten“
Informationen „links oben“ stehen.
http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 80
Die Diskrete Cosinus-Transformation (DCT)
http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf
Beispiel:
Block von 8x8 Pixeln (links), Koeffizientenmatrix (rechts)
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 81
Die Diskrete Cosinus-Transformation (DCT)
http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf
Beispiel:
Koeffizientenmatrix minus 128 (links),
Koeffizientenmatrix nach der
DCT-Transformation (rechts)
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 82
Die Diskrete Cosinus-Transformation (DCT)
Warum stehen links oben nun die „wichtigsten“ Werte?
Bedeutung der DCT-Koeffizienten
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 83
DW: Das Verfahren von Cox et. al.
Einbettung des Wasserzeichens:
Wähle eine Zufallsfolge X = {xi | i = 1, ... 1000 } von kleinen
Zahlen aus. Dies ist das Wasserzeichen.
Transformiere das gesamte Bild (nicht nur 8x8-Blöcke) mittels
DCT.
Füge in die 1000 wichtigsten DCT-Koeffizienten vi des Bildes das
Wasserzeichen nach einer der unten stehenden Vorschriften ein: vi‘ = vi + xi
vi‘ = vi (1 + xi)
Wende die inverse DCT-Transformation an.
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 84
DW: Das Verfahren von Cox et. al. Detektion des Wasserzeichens:
Transformiere das gesamte, mit Wasserzeichen versehene Bild
mittels DCT.
Transformiere das gesamte Originalbild (ohne WZ) mittels DCT.
Subtrahiere die beiden Koeffizientenmatrizen voneinander, um
eine Folge X* zu erhalten.
Vergleiche die Ähnlichkeit von X und X* durch Berechnung von
(„⋅“ bezeichnet die Skalarmultiplikation der beiden Vektoren).
*
**),(
XX
XXXXSim
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 85
DW: Das Verfahren von Cox et. al.
Der Ähnlichkeitswert liegt beim Vergleich mit zufällig gewählten WZ nahe
Null, beim „echten“ WZ weit darüber. (Vgl. Seitenkanalattacken).
Pay-TV Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit 86
DW: Angriffe Idee StirMark:
Verzerre das Bild
lokal.
Fabien A. P. Petitcolas and
Ross J. Anderson:
Evaluation of copyright
marking systems.
Proceedings of IEEE
Multimedia Systems'99,
vol. 1, pp. 574-579, 7-11
June 1999, Florence, Italy.