nagra hack

Transcription

nagra hack

Netzsicherheit
Teil 6: Pay-TV
Prof. Dr. Jörg Schwenk
Lehrstuhl für Netz- und Datensicherheit
Gliederung
 Funktionsweise Conditional Access (CA)
 Angriffe auf das analoge Scrambling


Videocrypt (BSkyB Analog)
Nagravision (Premiere Analog)
 Angriffe auf das Schlüsselmanagement


Videocrypt
Irdeto/BetaResearch
 Digitales Fernsehen und der Common Scrambling Algorithmus


MPEG-2 Transportformat und DVB
Der CSA
 Broadcast Encryption
 Traitor Tracing
 Kurzeinführung „Digital Watermarking“
Pay-TV
Jörg Schwenk
2
Ziele Conditional Access
Autorisierter
Benutzer
Nichtautorisierter
Benutzer
Autorisierter Benutzer
Pay-TV
Jörg Schwenk
3
Funktionsweise Conditional Access
Audio/Video verschlüsselt
+ Zugriffsbedingungen (in ECM)
Überprüfe, ob die Zugriffsrechte mit den Zugriffsbedingungen übereinstimmen.
Wenn ja, entschlüssele!
Pay-TV
Jörg Schwenk
CNN 2
ZugriffsRechte
4
Funktionsweise Conditional Access
 Scrambling / Verschlüsselung
 Analog: Das Videosignal wird in einen FIFO-Puffer geladen und
unter Kontrolle eines kryptograph. Schlüssels CW modifiziert.
 Digital: Der MPEG-2-TS wird durch den DVB Common
Scrambling-Algorithmus mit dem Schlüssel („Kontrollwort“) CW
verschlüsselt.
 Schlüsselmanagement / Conditional Access
 CW wird (verschlüsselt mit einem Service-Schlüssel SK) in einer
ECM übertragen, zusammen mit Zugriffsbedingungen.
 SK wird (verschlüsselt mit einem persönlichen Schlüssel PK
oder einem Gruppenschlüssel GK) in einer EMM übertragen,
zusammen mit Zugriffsrechten.
 Stimmen Bedingungen und Rechte überein, so gibt die
Chipkarte CW frei.
Pay-TV
Jörg Schwenk
5
Scrambling / Conditional Access
Pay-TV-Anbieter
Video
CSA
Kunde
CSACW(Video)
CSA
CW
Video
Scrambling
CA
CW
Pay-TV
E
D
E
D
Jörg Schwenk
6
Pay-TV-Anbieter
Video
CSA
Kunde
CSACW(Video)
CSA
Video
Scrambling
CA
CW
CW
E
ECM = ESK(CW)
D
SK
SK
D
E
Pay-TV
Jörg Schwenk
7
Pay-TV-Anbieter
Video
CSA
Kunde
CSACW(Video)
CSA
Video
Scrambling
CA
CW
CW
E
ECM = ESK(CW)
D
SK
SK
E
EMM = EPK(SK)
PK
PK
Pay-TV
D
Jörg Schwenk
8
Verschlüsselung im „Consumer
Electronics“-Bereich
 Neue, sehr spezifische Bedrohungen
 Der einzelne Kunde hat kein Interesse daran, seine
kryptographischen Schlüssel (SK, GK, PK) geheimzuhalten.
 Marketingstrategien und Sicherheitsanforderungen sind oft
unvereinbar.
 Geräte und Chipkarten werden preisgünstig und
unkontrollierbar abgegeben.
 Großes Potential an versierten Hackern mit „einfachen“,
aber effektiven Angriffen.
 Frühestes Beispiel für „Seitenkanalangriffe“ in der Praxis
 Forschungsgebiet seit 2006: Rational Cryptography
 Angreifer sind nicht per Definition „böse“, sondern jeder
Teilnehmer kann abhängig von einer „Gewinnfunktion“ gut
oder böse sein.
Pay-TV
Jörg Schwenk
9
Gliederung




Videocrypt
Irdeto/BetaResearch


Der CSA
 Traitor Tracing
Pay-TV
Jörg Schwenk
10
Pay-TV-Anbieter
Video
CSA
Kunde
CSACW(Video)
CSA
Video
Scrambling
CA
CW
CW
E
ECM = ESK(CW)
D
SK
SK
E
EMM = EPK(SK)
PK
PK
Pay-TV
D
Jörg Schwenk
11
Videocrypt
Pay-TV
Jörg Schwenk
12
Mehr Infos zu Videocrypt
Pay-TV
Jörg Schwenk
13
Nagravision/Syster
Pay-TV
Jörg Schwenk
14
Mehr Infos zu Nagravision/Syster
Pay-TV
Jörg Schwenk
15
Nagravision/Syster
 Der PSND1-Dekoder für die SECAM-Version des
Nagravision-Systems rekonstruiert(e) gescrambeltes
Audio/Video in Echtzeit.
Quelle: http://www.eurosat.com/eurosat/nagra/psnd1-e.html
Pay-TV
Jörg Schwenk
16
Nagravision/Syster
Angriffe auf das
analoge Scrambling
(2): PC-Basierte
Angriffe
 Pentium 166 Mhz
 Videokarte mit
„Framegrabber“
 Funktioniert für
Nagravision/Syster und
Videocrypt
 Illegal bei
Entschlüsselung
deutscher Sender
Quellen: http://www.multimania.com/freetw/help/freetv.htm; http://www.leodom-gruppe.de/wissenschaft/decodieren.htm
Pay-TV
Jörg Schwenk
17
Gliederung




Videocrypt
Irdeto/BetaResearch


Der CSA
 Traitor Tracing
Pay-TV
Jörg Schwenk
18
Schlüsselmanagement/CA
Pay-TV-Anbieter
Video
CSA
Kunde
CSACW(Video)
CSA
Video
Scrambling
CA
CW
CW
E
ECM = ESK(CW)
D
SK
SK
E
EMM = EPK(SK)
PK
PK
Pay-TV
D
Jörg Schwenk
19
Schlüsselmanagement Videocrypt
Deaktivierung einer
Chipkarte durch
„negative Adressierung“
 Alle Karten besitzen das
gleiche „Geheimnis“
 Deaktivierung einer
Karte nur in Kooperation
mit dieser möglich
 Folge:
EMM=ECM
CW
Hash
MAC Okay?
 „Infinite Life“-Attacke
 Descrambling ohne
Chipkarte möglich
Adr1
Pay-TV
Adr2
Jörg Schwenk
Adr3
Adr4
20
Geschichte der Videocrypt-Hacks
2.24 The *REAL* History of Hacks On VideoCrypt
 2.24a Hack 01: The McCormac Hack
 2.24b Hack 02: The Infinite Lives Hack
Quelle:
 2.24c Hack 03: The KENtucky Fried Chip Hack
http://www.iol.ie/~kooltek/faq.html,
 2.24d Hack 04: The 07 Ho Lee Fook (8752/8051)
16.8.97
 2.24e Hack 05: The 07 Ho Lee Fook (PIC16C54)
 2.24f Hack 06: The 07 Ho Lee Fook (PIC16C84)
 2.24g Hack 07: The 07 Season Program
 2.24h Hack 08: The 09 Ho Lee Fook (temporary)
 2.24i Hack 09: The Phoenix / Genesis Blocker
 2.24j Hack 10: The Stable 09 Ho Lee Fook
 2.24k Hack 11: The 09 Battery Card
 2.24l Hack 12: The 09 Season Program
 2.24m Hack 13: The Sam Chisum Hack On Sky 10 PPV
 2.24n Hack 14: The Sky 10 Commercial Phoenix Hack
 2.24o Hack 15: The Megatek 10 Battery Card
 2.24p Hack 16: The Judgment Night PPV Hack
 2.24q Hack 17: The Christmas 1996 Phoenix
 2.24r Hack 18: Season 10
 2.24s Hack 19: Phoenix 3.50
 2.24t Hack 20: SkyPIC 10
 2.24u Hack 21: Sky 10/11 Blocker
Pay-TV
Jörg Schwenk
21
CA im Entertainment-Bereich
 Blocker filtern Befehle zum Deaktivieren der Chipkarte aus.
Pay-TV
Jörg Schwenk
22
Videocrypt-Hacks: Der Season-Hack
Der „geheime“
PRF-Algorithmus
wurde im PC
nachprogrammiert
Kerkhoffs !
Pay-TV
Jörg Schwenk
23
Videocrypt-Hacks: Der Lötkolben-Hack
Quelle: M. Kuhn
Pay-TV
Jörg Schwenk
24
Sicherheit von NDS VideoGuard:
Komplexität des ASIC
The best technology
available.
Custom-designed hardware
components include NDSspecific circuits based on
high density components to
prevent device analysis and
re-engineering.
http://www.nds.com/
conditional_access/
videoguard_security.html
Pay-TV
Jörg Schwenk
25
Schlüsselmanagement Eurocrypt
(Nagra, Canal+, Viaccess, ...)
Aktivierung einer
Chipkarte durch
CW
„positive Adressierung“
 ECM wird mit SK
verschlüsselt
übertragen
SK
 SK wird mit den
verschiedenen GKi
GK1
verschlüsselt in EMM
übertragen
 GKi wird mit den
verschiedenen SKj
verschlüsselt in EMM
PK1
PK2
PK3
übertragen
Pay-TV
Jörg Schwenk
ECM
EMM
GK2
PK4
26
Deaktivierung einer
Chipkarte durch
„positive Adressierung“
CW
 Zum Deaktivieren von
Karte 4 müssen GK2
und SK ausgetauscht
SK
werden.
 EMM1 enthält neuen
GK1
GK2 verschlüsselt mit
PK3.
 EMM2 enthält neuen SK
verschlüsselt mit GK1
 EMM3 enthält neuen SK
PK2
PK3
verschlüsselt mit GK2 PK1
Pay-TV
Jörg Schwenk
ECM
EMM
GK2
PK4
27
Optimierung der
„positiven
Adressierung“
CW
 n Kunden, m-ärer Baum
der Tiefe t
 n  mt-1
 m(t-1)-1 = m log m n - 1
 Funktion (n fest)
x logxn = (x/ln x) ln n
hat Minimum bei x=e
 Daher m = 2 oder m = 3
optimal.
PK1
Pay-TV
ECM
EMM
SK
GK1
GK2
PK2
Jörg Schwenk
PK3
PK4
28
„Positive Adressierung“ in der Praxis
 ECM enthält
 ID-Nummer des Kanals, für den sie bestimmt ist
 Rechte, die für diesen Kanal benötigt werden (in der Reihenfolge
Pay-per-Channel, Prebooked PPV, Impulsive PPV)
 Gesichert mit MACSK(ID, Rechte)
 EMM-U enthält




Pay-TV
Nummer der Gruppe, der die Karte zugeordnet wird
Schlüssel der Gruppe, der die Karte zugeordnet wird
Verschlüsselt mit PKi
Gesichert mit MACPKi(Daten)
Jörg Schwenk
29
„Positive Adressierung“ in der Praxis
 EMM-G enthält
 Adresse der Gruppe, für die die EMM bestimmt ist
 Bitmap der Gruppe
 Berechtigung, die die in der Bitmap markierten Mitglieder der Gruppe
erhalten sollen
 Verschlüsselt mit GKi
 Gesichert mit MACGKi(Daten)
Gruppe 17 1001010111101101 SPORT MACGKi
Pay-TV
Jörg Schwenk
30
Angriffe Schlüsselmanagement
 Piratenkarten emulieren
das ECM/CW I/O-Verhalten
der Originalkarten
 SK muss der Piratenkarte
bekannt sein
 Datenformate ECM müssen
bekannt sein
 Bei Wechsel des SK: Update
des neuen SK über die 10erTastatur
Quelle: http://www.eurosat.com/eurosat/images/bpsceuro.gif
Pay-TV
Jörg Schwenk
31
 Programmierbarer Chipkartenemulator iCard
 Komplette Software der iCard kann erneuert werden
 Bei häufigem Wechsel von SK kann auch ein GKi mit
abgespeichert werden (halbanonym)
 Heute: Programmierbare „leere“ Chipkarten (alles in SW)
Quelle: http://thoic.com/icard/frameger.html
Pay-TV
Jörg Schwenk
32
 PC/Dekoder-Schnittstelle mit
seriellem Kabel (SEASONInterface)
 ermöglichen die Simulation der
Chipkarte durch einen PC (für
VIACCESS, MediaGuard,
Irdeto,...)
 Das SEASON-Programm
benötigt aktuelle
kryptographische Schlüssel
 Key-Datenbanken im Internet
http://www.multisat.de/season/season.html
Pay-TV
Jörg Schwenk
33
 Standard-Chipkarten
als Piratenkarten:
Reaktivierung von
Originalkarten
 Fall 1: Schwäche des
MAC-Algorithmus
(Programmierfehler)
 Fall 2: GKi bekannt
oder kann auf Karte
geladen werden
 Fall 3: PKi bekannt
oder kann auf die Karte
geladen werden
Bild: Chipkartenleser zur Reprogrammierung von Originalkarten
http://www.multisat.de/mp2000/index.html
Pay-TV
Jörg Schwenk
34
 Reaktivierung von
Originalkarten (MOSC):
Wie kann das
funktionieren?
 Auslesen oder Schreiben
von Schlüsseln durch
Buffer Overflow
 SK kann auf Karte
geschrieben werden:
Ausschalten durch
„Produktwechsel“
 GKi oder PKi kann auf
Karte geschrieben
werden: „Autoupdate“Karten
Pay-TV
CardWizard: z.B. unter http://www.irde.to/all4free/
Jörg Schwenk
35
Varianten der
Schlüsselhierarchie
für mehrere
„Produkte“
CW
CW
ECM
SK2
 Gruppen sind fest,
mehrere SK
GK1
PK1
Pay-TV
EMM
SK1
GK2
PK2
Jörg Schwenk
PK3
PK4
36
Varianten der
Schlüsselhierarchie
für mehrere
„Produkte“
CW
ECM
 Gruppen sind bzgl. SK
optimiert
 Mehrere unabhängige GK1
Anbieter pro Karte
möglich (Analogon
root/user unter Unix)
PK1
PK2
Pay-TV
EMM
SK
Jörg Schwenk
GK2
PK3
PK4
37
Gliederung




Videocrypt
Irdeto/BetaResearch


Der CSA
 Traitor Tracing
Pay-TV
Jörg Schwenk
38
Digitales Fernsehen: MPEG-2
 Daten werden in Transportpaketen (188 Bytes)
transportiert
 Zeitmultiplex verschiedener Audio/Video/Datenströme
 Einzelne Pakete des gleichen Stroms haben gleiche
PID
Pay-TV
Jörg Schwenk
39
Digitales Fernsehen: MPEG-2
 Übertragung der Transportpakete im Zeitmultiplex
 Zusammenfassung von PID-Strömen zu „Services“
mittels Tabellen („Service Information“, SI)
 Tabellen bilden eine Art „Dateisystem“ für das
MPEG-2-System
 „root“-Verzeichnis hat feste, allgemein bekannte PID
PID = 1
... (Video)
PID = 1
(Video)
PID = 2
(Audio)
PID = 1
(Video)
Service 1:
PID = 1
(Video)
Pay-TV
PID = 1
(Video)
PID = 3
(Daten)
PID = 17
(Audio)
...
Service 2:
PID = 2
(Audio)
PID = 3
(Daten)
Jörg Schwenk
PID = 1
(Video)
PID = 17
(Audio)
40
Digitales Fernsehen: Pay-TV nach
DVB
 ECM-Datenstrom jeweils an einen „Service“ gebunden
 Wenn ein bestimmter Service (Audio/Video/Daten) über SI
ausgewählt wurde („EPG“), filtert die Set-Top-Box die
zugehörigen ECMs und sendet sie an die Karte.
 EMM-Datenstrom ist unabhängig von den „Services“
 Karte muss der Set-Top-Box ihre Adressen (individuell,
Gruppen) mitteilen, damit diese die EMMs filtern kann.
PID = 1
... (Video)
PID = 1
(Video)
PID = 2
(Audio)
PID = 1
(Video)
Pay-TV 1:
PID = 1
(Video)
Pay-TV
PID = 1
(Video)
PID = 3
(ECM)
PID= 213
(EMM)
...
EMM:
PID = 2
(Audio)
PID = 3
(ECM)
Jörg Schwenk
PID= 213
(EMM)
41
Digitales Fernsehen: DVBVerschlüsselung
 Minimale (Synchronisations-) Information zur
Verschlüsselung im MPEG-TS-Header
 Weitere Informationen in den ECMs
 ECM-Varianten:
 enthält nur nächstes CW (even/odd)
 enthält aktuelles und nächstes CW
TS_scrambling_control-Belegung
00
01
10
11
Pay-TV
Bedeutung
TS-Nutzlast ist nicht verschlüsselt
Reserviert für zukünftigen DVB-Gebrauch
Nutzlast ist mit einem geraden CW verschlüsselt
Nutzlast ist mit einem ungeraden CW verschlüsselt
Jörg Schwenk
42
Digitales Fernsehen: DVBVerschlüsselung
CSA
Pay-TV
Jörg Schwenk
43
Gliederung




Videocrypt
Irdeto/BetaResearch


Der CSA
 Traitor Tracing
Pay-TV
Jörg Schwenk
44
Broadcast Encryption
 Gesucht: Schlüsselmanagement für Nutzermenge U,
mit dem es möglich ist
 eine Nachricht genau an alle Nutzer TU über ein
Rundfunkmedium zu senden,
 so dass es auch gegen jede Koalition SU von  k
Angreifern mit ST= sicher ist („k-resilient“),
 und die Anzahl der Schlüssel (insgesamt/pro Nutzer) minimal
ist.
 Vorüberlegung: Um Teilmenge TU eindeutig zu
bezeichnen, sind |U| Bits erforderlich.
 Nur in Spezialfällen ist hier eine Verbesserung möglich.
Pay-TV
Jörg Schwenk
45
 k-resilientes Basisschema
 für jede Teilmenge B mit höchstens k Nutzern:
 wähle einen Schlüssel KB
 KB wird jedem Nutzer gegeben, der nicht zu B gehört
 Schlüssel für T: KT = ⊕BU-T KB
 Sicherheit
 Den Mitgliedern jeder Teilmenge S  U-T mit höchstens k
Nutzern fehlt der Schlüssel KS zur XOR-Berechnung
 Anzahl der Schlüssel
n
 Anzahl der i-Teilmengen der Menge U, |U|=n, ist  i 
 
k
n
 Anzahl aller Schlüssel:
 

i 0  i 
Pay-TV
Jörg Schwenk
46
Broadcast Encryption: Beispiel
 1-resilientes Basisschema
 für jeden Nutzer Ui:
 wähle einen Schlüssel Ki
 Ki wird jedem Nutzer Uj mit j ≠ i gegeben
 der Schlüssel für T ist das XOR aller Schlüssel Kj, Uj  U-T.
 Anzahl der Schlüssel
 Anzahl der 1-Teilmengen der Menge U, |U|=n, ist n.
 Anzahl aller Schlüssel: n
 Sicherheit
 Den Mitgliedern jeder Teilmenge S={Ki}  U-T mit höchstens
1 Nutzern fehlt der Schlüssel Ki zur XOR-Berechnung
Pay-TV
Jörg Schwenk
47
Broadcast Encryption: Beispiel





U = {U1, U2, U3, U4}
Schlüsselmenge für U1: M1 = {K2, K3, K4}
 T = {U1, U3}, dann ist KT = K2 ⊕ K4
 Sicherheit: U2 fehlt K2, U4 fehlt K4
 T = {U1, U2}, dann ist KT = K3 ⊕ K4
Pay-TV
Jörg Schwenk
48
 1-resilientes Basisschema
 Nutzer muss n-1 Schlüssel speichern
 Verbesserung durch kryptographische Annahmen
 Annahme 1: Es gibt Einwegfunktionen
 Dann gibt es pseudozufällige Funktion f : {0,1}a → {0,1}2a
s
sl = linke
Hälfte von f(s)
sll = linke
Hälfte von f(sl)
Pay-TV
sr = rechte
Hälfte von f(s)
slr
srl
Jörg Schwenk
srr = rechte
Hälfte von f(sr)
49
 Annahme 1: Es gibt Einwegfunktionen
 Schlüsselzuweisung für Nutzer x wie folgt:
 Entferne den Pfad von x zur Wurzel aus dem Baum
 Weise x die Werte zu, mit denen die verbleibenden
Teilbäume beschriftet sind
 Damit kann x die Beschriftung aller Blätter bis auf sein
eigenes rekonstruieren.
 log2n Schlüssel
sr
sll
Pay-TV
x
Jörg Schwenk
50
 Annahme 2: Die Berechnung von p-ten Wurzeln
modulo N=PQ ist praktisch unmöglich
 geheim, nur dem Schlüsselmanagementzentrum bekannt:
 Primzahlen P, Q,
 Zahl g, wobei <g> in ℤN möglichst groß sein soll.
 öffentlich bekannt:
 Modulus N
 Liste ( (1, p1), (2, p2), ..., (n, pn) ) mit der Bedeutung, dass die
Primzahl pi dem Nutzer i zugeordnet und paarweise
teilerfremd zu allen anderen Primzahlen pj ist.
 nur Nutzer i bekannt: gi = gpi mod N
 Schlüssel für Gruppe TU:
pT
 g
Pay-TV
mod N mit pT= iT pi
Jörg Schwenk
51
 Berechnung des Schlüssels durch Nutzer iT:
pj

j

T

{
i
}
gi
mod N
 Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen
könnte, dann könnte er auch g berechnen.
 Beweis:
Pay-TV
Jörg Schwenk
52
 Berechnung des Schlüssels durch Nutzer iT:
pj

j

T

{
i
}
gi
mod N
 Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen
könnte, dann könnte er auch g berechnen.
 Beweis: ∏i∈Tpi und pj sind teilerfremd. Mit dem erweiterten
Euklidischen Algorithmus kann man sie darstellen als
1 = a⋅∏i∈Tpi + b⋅pj .
Also ist g = (g∏pi )a⋅ (gpj)b
Pay-TV
Jörg Schwenk
53
 Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Parameter L, m
S
U
∀S ∃fi injektiv
auf S
1,
.
.
.,
m
f1
...
fL
Pay-TV
Jörg Schwenk
54
 Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Parameter L, m
 Funktionen f1,...,fL: U → {1,...,m}
(zufällig gewählt oder konstruiert)
 Es muss gelten: Für jedes SU mit
|S|=k gibt es mindestens eine
Funktion fi so dass
für alle x,yS gilt: fi(x)fi(y)
(d.h. fi ist auf S injektiv).
 Stichwort: Perfect Hash Functions
 (Die Parameter L und m sind noch
geeignet zu wählen.)
Pay-TV
Jörg Schwenk
S
U
1,
.
fi injektiv .
auf S .,
m
f1
...
fL
55
 Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Schlüsselverteilung
 Für (i,j) mit i{1,...,L} und j{1,...,m}
konstruiere jeweils ein unabhängiges
1-resilientes BE-System R(i,j).
(Es gibt also insgesamt L⋅m
1-resiliente Systeme.)
 Jeder Nutzer x  U erhält die
Schlüssel für x im System R(i,fi(x))
für i{1,...,L}.
(Jeder Nutzer erhält die Schlüssel
für L dieser Systeme.)
Pay-TV
Jörg Schwenk
S
U
1,
.
fi injektiv .
auf S .,
m
f1
...
fL
56
 Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Verschlüsselung
 Um eine geheime Nachricht M an eine
Menge T zu senden, zerlege diese in
L Teilnachrichten M1...ML=M.
 Mi wird für j=1,...,m verschlüsselt mit
kTi,j aus R(i,j), und die m
Kryptogramme ci,j werden per Broadcast
versendet.
 Jeder Nutzer x  T erhält so alle
Teilnachrichten Mi und kann die
Nachricht M berechnen:
Mi = D(kTi,fi(x),ci,j)
Pay-TV
Jörg Schwenk
S
U
1,
.
fi injektiv .
auf S .,
m
f1
...
fL
57
 Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Sicherheit
 Gegeben sei eine Angreifermenge S.
 Dann gibt es eine Funktion fi, die für
S
S injektiv ist.
U
 Für jedes 1-resiliente System R(i,j),
mit dem Mi verschlüsselt wird, ist
höchstens 1 Angreifer aus S vorhanden.
 Da die einzelnen Schemata 1-resilient sind,
können die Angreifer so Mi nicht berechnen.
M bleibt somit geheim.
Pay-TV
Jörg Schwenk
1,
.
fi injektiv .
auf S .,
m
f1
...
fL
58
 Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Wahl von L und m
 Für m = 2k2 und L = k log n
ist die Wahrsch., dass eine zufällig
gewählte Funktion fi auf einer Menge
S injektiv ist, mindestens
k  1
k (k  1) 3
1      1 

2
2
m
4
k
4
 
S
U
1,
.
fi injektiv .
auf S .,
m
f1
...
fL
 Die Wahrsch., dass es kein solches fi
gibt, ist 1/4L = 1/n2k.
 Die Wahrsch., dass es für jede k-Menge S ein solches fi gibt,
ist
n 1
1
1     2 k  1  k
n
k  n
Pay-TV
Jörg Schwenk
59
Gliederung




Videocrypt
Irdeto/BetaResearch


Der CSA
 Traitor Tracing
Pay-TV
Jörg Schwenk
60
Traitor Tracing
Definition: A k-resilient Traitor Tracing Scheme is defined as follows
1. The content is encrypted using a session key S.
2. The session key is split into r partial keys s1,...,sr using a (m,r)Threshold scheme [Sha79].
3. The set of decryption keys PK contains r elements k1,...,kr The
partial key si is encrypted under the decryption key ki. All these
cryptograms together will form the enabling block for the content.
4. Each authorized user u gets a personal set PK(u)PK of decryption
keys. This set contains m decryption keys from PK and will thus
allow him to decrypt m shares. He then can reconstruct S using the
(m,r)-Threshold scheme and decrypt the content.
5. There exists a Traitor Tracing Algorithm which on input an arbitrary
personal key set PK(u) found in a pirate device outputs the identity
of at least one traitor out of a coalition of at most k traitors.
Pay-TV
Jörg Schwenk
61
Traitor Tracing
Beispiel: Ein 1-resilientes Traitor Tracing Schema
 Nutzer sind Punkte in affiner Ebene
 Schlüssel Geraden in Parallelenklassen (hier 2)
 Jeder Nutzer erhält die Schlüssel, deren Geraden durch
seinen Punkt gehen.
1
2
5
4
l21
l11
3
l12
l22
6
l23
l13
7
Pay-TV
Jörg Schwenk
8
9
62
Traitor Tracing
Was nicht passieren darf
 k Angreifer U1,...,Uk kombinieren die Schlüssel aus ihren
Mengen PK(U1),...,PK(Uk) so zu einer neuen Menge
PK(*), dass der Tracing-Algorithmus einen unschuldigen
Nutzer U‘ als Ergebnis liefert. („Framing“)
 Allgemeinstes Resultat: P. Erdös, P. Frankl and Z.
Furedi: Families of Finite Sets in Which No Set is
Covered by the Union of r Others. Israel J. Math. 51,
1985, pp. 79-89.
Was optimiert werden soll
 |PK|
 |PK(U)|
 Länge des Enabling Block
Pay-TV
Jörg Schwenk
63
Gliederung




Videocrypt
Irdeto/BetaResearch


Der CSA
 Traitor Tracing
Pay-TV
Jörg Schwenk
67
Digitale Wasserzeichen
Idee: Bette die digitale Information in das „Rauschen“
von Multimedia-Daten (Audio, Bilder, Video) ein.
 Die Qualität der Daten darf nicht wahrnehmbar
beeinträchtigt werden („Invisibility“)
 Das Wasserzeichen kann öffentlich detektierbar sein
(„public“), oder nur bei Kenntnis eines „Schlüssels“
(„secret“).
 Wird das Wasserzeichen entfernt, so leidet die
Qualität der Multimedia-Daten erheblich
(„robustness“).
Pay-TV
Jörg Schwenk
68
Steganographie
Idee: Bette die digitale Information in das „Rauschen“
von Multimedia-Daten (Audio, Bilder, Video) ein.
 Die Qualität der Daten darf nicht wahrnehmbar
beeinträchtigt werden („Invisibility“)
 Die Stego-Daten dürfen nicht detektierbar sein.
 (Robustheit wird NICHT gefordert: Wenn der Verdacht
besteht, dass eine Datei Stego-Daten enthält, können
diese durch einen Transformation der Datei gelöscht
werden.)
Pay-TV
Jörg Schwenk
69
Steganographie
Die Idee ist leider schwer umzusetzen, denn die StegoDaten können sichtbar gemacht werden:
Originalbild (links), gefiltert ohne Stago-Daten (Mitte), gefiltert mit halber
Kapazität an Stego-Daten.
Andreas Westfeld, Andreas Pfitzmann:
Attacks on Steganographic Systems. S. 61–76 in Andreas Pfitzmann (Hrsg.):
Information Hiding. Third International Workshop, IH'99, Dresden, Germany
Pay-TV
Jörg Schwenk
70
DW: Das Verfahren von Cox et. al.
Ingemar J Cox, Joe Kilian, Tom Leighton, and Talal
Shamoon: Secure Spread Spectrum Watermarking for
Multimedia. NEC Research Institute Technical Report
95-10.
Idee: Bette die digitale Information als minimale
Änderungen in die wichtigsten Koeffizienten eines
Bildes ein.
 Was sind die „wichtigsten Koeffizienten“?
Pay-TV
Jörg Schwenk
71
„Bavarian Couple“ ohne (links) und mit (rechts) digitalem Wasserzeichen.
Pay-TV
Jörg Schwenk
72
Der Peak ungefähr bei WZ 200 zeigt an, dass gesuchte WZ im Bild
enthalten ist.
Pay-TV
Jörg Schwenk
73
Rescaling: Das WZ ist immer noch detektierbar.
Pay-TV
Jörg Schwenk
74
JPEG-Kompression: Sowohl links (10% Qualität, 0% Smoothing) als auch
rechts (5% Qualität, 0% Smoothing) bleibt das WZ detektierbar.
Pay-TV
Jörg Schwenk
75
Dithering: das WZ bleibt detektierbar.
Pay-TV
Jörg Schwenk
76
Drucken, Photokopieren, Scannen, Skalieren: das WZ bleibt detektierbar.
Pay-TV
Jörg Schwenk
77
Idee: Bette die digitale Information in die wichtigsten
Koeffizienten der DCT-transformierten Version des
Bildes ein.
Pay-TV
Jörg Schwenk
78
Die Diskrete Cosinus-Transformation (DCT)
Idee: Transformiere das Bild oder einen Ausschnitt des
Bildes (hier: 8x8-Blöcke) so, dass die „wichtigsten“
Informationen „links oben“ stehen.
http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf
Pay-TV
Jörg Schwenk
79
Beispiel:
Block von 8x8 Pixeln (links), Koeffizientenmatrix (rechts)
Pay-TV
Jörg Schwenk
80
Beispiel:
Koeffizientenmatrix minus 128 (links),
Koeffizientenmatrix nach der
DCT-Transformation (rechts)
Pay-TV
Jörg Schwenk
81
Warum stehen links oben nun die „wichtigsten“ Werte?
Bedeutung der DCT-Koeffizienten
Pay-TV
Jörg Schwenk
82
Einbettung des Wasserzeichens:
 Wähle eine Zufallsfolge X = {xi | i = 1, ... 1000 } von kleinen
Zahlen aus. Dies ist das Wasserzeichen.
 Transformiere das gesamte Bild (nicht nur 8x8-Blöcke) mittels
DCT.
 Füge in die 1000 wichtigsten DCT-Koeffizienten vi des Bildes das
Wasserzeichen nach einer der unten stehenden Vorschriften ein:



vi‘ = vi + xi
vi‘ = vi (1 + xi)
Wende die inverse DCT-Transformation an.
Pay-TV
Jörg Schwenk
83
Detektion des Wasserzeichens:
 Transformiere das gesamte, mit Wasserzeichen versehene Bild
mittels DCT.
 Transformiere das gesamte Originalbild (ohne WZ) mittels DCT.
 Subtrahiere die beiden Koeffizientenmatrizen voneinander, um
eine Folge X* zu erhalten.
 Vergleiche die Ähnlichkeit von X und X* durch Berechnung von
X X*
Sim( X , X *) 
X X*
(„⋅“ bezeichnet die Skalarmultiplikation der beiden Vektoren).
Pay-TV
Jörg Schwenk
84
Der Ähnlichkeitswert liegt beim Vergleich mit zufällig gewählten WZ nahe
Null, beim „echten“ WZ weit darüber. (Vgl. Seitenkanalattacken).
Pay-TV
Jörg Schwenk
85
DW: Angriffe
Idee StirMark:
Verzerre das Bild
lokal.
Fabien A. P. Petitcolas and
Ross J. Anderson:
Evaluation of copyright
marking systems.
Proceedings of IEEE
Multimedia Systems'99,
vol. 1, pp. 574-579, 7-11
June 1999, Florence, Italy.
Pay-TV
Jörg Schwenk
86

nagra hack

Transcription

Documents pareils

XML und Webservice XML- und Webservice

G DATA Security - Greenwich Beteiligungen AG

Exkursion 1001 Orient im Okzident Montag, 09. Juni bis Donnerstag

sportdigital holt portugiesische Liga ins Programm

Kastens Hotel Luisenhof – Ihr Zuhause in Hannover. als pdf zum

Professional cord/cordless animal trimmer Professioneller Tierhaar

Pay-TV Statements

Nutzungsbedingungen Online-Beratung inkl. VideoIdent

2013 TV 60LA6208 TOP FEATURES SMART TV

Balken und Stabtragwerke