nagra hack
Transcription
nagra hack
Netzsicherheit Teil 6: Pay-TV Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement Videocrypt Irdeto/BetaResearch Digitales Fernsehen und der Common Scrambling Algorithmus MPEG-2 Transportformat und DVB Der CSA Broadcast Encryption Traitor Tracing Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 2 Ziele Conditional Access Autorisierter Benutzer Nichtautorisierter Benutzer Autorisierter Benutzer Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 3 Funktionsweise Conditional Access Audio/Video verschlüsselt + Zugriffsbedingungen (in ECM) Überprüfe, ob die Zugriffsrechte mit den Zugriffsbedingungen übereinstimmen. Wenn ja, entschlüssele! Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit CNN 2 ZugriffsRechte 4 Funktionsweise Conditional Access Scrambling / Verschlüsselung Analog: Das Videosignal wird in einen FIFO-Puffer geladen und unter Kontrolle eines kryptograph. Schlüssels CW modifiziert. Digital: Der MPEG-2-TS wird durch den DVB Common Scrambling-Algorithmus mit dem Schlüssel („Kontrollwort“) CW verschlüsselt. Schlüsselmanagement / Conditional Access CW wird (verschlüsselt mit einem Service-Schlüssel SK) in einer ECM übertragen, zusammen mit Zugriffsbedingungen. SK wird (verschlüsselt mit einem persönlichen Schlüssel PK oder einem Gruppenschlüssel GK) in einer EMM übertragen, zusammen mit Zugriffsrechten. Stimmen Bedingungen und Rechte überein, so gibt die Chipkarte CW frei. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 5 Scrambling / Conditional Access Pay-TV-Anbieter Video CSA Kunde CSACW(Video) CSA CW Video Scrambling CA CW Pay-TV E D E D Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 6 Scrambling / Conditional Access Pay-TV-Anbieter Video CSA Kunde CSACW(Video) CSA Video Scrambling CA CW CW E ECM = ESK(CW) D SK SK D E Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 7 Scrambling / Conditional Access Pay-TV-Anbieter Video CSA Kunde CSACW(Video) CSA Video Scrambling CA CW CW E ECM = ESK(CW) D SK SK E EMM = EPK(SK) PK PK Pay-TV D Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 8 Verschlüsselung im „Consumer Electronics“-Bereich Neue, sehr spezifische Bedrohungen Der einzelne Kunde hat kein Interesse daran, seine kryptographischen Schlüssel (SK, GK, PK) geheimzuhalten. Marketingstrategien und Sicherheitsanforderungen sind oft unvereinbar. Geräte und Chipkarten werden preisgünstig und unkontrollierbar abgegeben. Großes Potential an versierten Hackern mit „einfachen“, aber effektiven Angriffen. Frühestes Beispiel für „Seitenkanalangriffe“ in der Praxis Forschungsgebiet seit 2006: Rational Cryptography Angreifer sind nicht per Definition „böse“, sondern jeder Teilnehmer kann abhängig von einer „Gewinnfunktion“ gut oder böse sein. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 9 Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement Videocrypt Irdeto/BetaResearch Digitales Fernsehen und der Common Scrambling Algorithmus MPEG-2 Transportformat und DVB Der CSA Broadcast Encryption Traitor Tracing Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 10 Scrambling / Conditional Access Pay-TV-Anbieter Video CSA Kunde CSACW(Video) CSA Video Scrambling CA CW CW E ECM = ESK(CW) D SK SK E EMM = EPK(SK) PK PK Pay-TV D Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 11 Videocrypt Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 12 Mehr Infos zu Videocrypt Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 13 Nagravision/Syster Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 14 Mehr Infos zu Nagravision/Syster Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 15 Nagravision/Syster Angriffe auf das analoge Scrambling Der PSND1-Dekoder für die SECAM-Version des Nagravision-Systems rekonstruiert(e) gescrambeltes Audio/Video in Echtzeit. Quelle: http://www.eurosat.com/eurosat/nagra/psnd1-e.html Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 16 Nagravision/Syster Angriffe auf das analoge Scrambling (2): PC-Basierte Angriffe Pentium 166 Mhz Videokarte mit „Framegrabber“ Funktioniert für Nagravision/Syster und Videocrypt Illegal bei Entschlüsselung deutscher Sender Quellen: http://www.multimania.com/freetw/help/freetv.htm; http://www.leodom-gruppe.de/wissenschaft/decodieren.htm Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 17 Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement Videocrypt Irdeto/BetaResearch Digitales Fernsehen und der Common Scrambling Algorithmus MPEG-2 Transportformat und DVB Der CSA Broadcast Encryption Traitor Tracing Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 18 Schlüsselmanagement/CA Pay-TV-Anbieter Video CSA Kunde CSACW(Video) CSA Video Scrambling CA CW CW E ECM = ESK(CW) D SK SK E EMM = EPK(SK) PK PK Pay-TV D Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 19 Schlüsselmanagement Videocrypt Deaktivierung einer Chipkarte durch „negative Adressierung“ Alle Karten besitzen das gleiche „Geheimnis“ Deaktivierung einer Karte nur in Kooperation mit dieser möglich Folge: EMM=ECM CW Hash MAC Okay? „Infinite Life“-Attacke Descrambling ohne Chipkarte möglich Adr1 Pay-TV Adr2 Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Adr3 Adr4 20 Geschichte der Videocrypt-Hacks 2.24 The *REAL* History of Hacks On VideoCrypt 2.24a Hack 01: The McCormac Hack 2.24b Hack 02: The Infinite Lives Hack Quelle: 2.24c Hack 03: The KENtucky Fried Chip Hack http://www.iol.ie/~kooltek/faq.html, 2.24d Hack 04: The 07 Ho Lee Fook (8752/8051) 16.8.97 2.24e Hack 05: The 07 Ho Lee Fook (PIC16C54) 2.24f Hack 06: The 07 Ho Lee Fook (PIC16C84) 2.24g Hack 07: The 07 Season Program 2.24h Hack 08: The 09 Ho Lee Fook (temporary) 2.24i Hack 09: The Phoenix / Genesis Blocker 2.24j Hack 10: The Stable 09 Ho Lee Fook 2.24k Hack 11: The 09 Battery Card 2.24l Hack 12: The 09 Season Program 2.24m Hack 13: The Sam Chisum Hack On Sky 10 PPV 2.24n Hack 14: The Sky 10 Commercial Phoenix Hack 2.24o Hack 15: The Megatek 10 Battery Card 2.24p Hack 16: The Judgment Night PPV Hack 2.24q Hack 17: The Christmas 1996 Phoenix 2.24r Hack 18: Season 10 2.24s Hack 19: Phoenix 3.50 2.24t Hack 20: SkyPIC 10 2.24u Hack 21: Sky 10/11 Blocker Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 21 CA im Entertainment-Bereich Angriffe auf das Schlüsselmanagement Blocker filtern Befehle zum Deaktivieren der Chipkarte aus. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 22 Videocrypt-Hacks: Der Season-Hack Der „geheime“ PRF-Algorithmus wurde im PC nachprogrammiert Kerkhoffs ! Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 23 Videocrypt-Hacks: Der Lötkolben-Hack Quelle: M. Kuhn Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 24 Sicherheit von NDS VideoGuard: Komplexität des ASIC The best technology available. Custom-designed hardware components include NDSspecific circuits based on high density components to prevent device analysis and re-engineering. http://www.nds.com/ conditional_access/ videoguard_security.html Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 25 Schlüsselmanagement Eurocrypt (Nagra, Canal+, Viaccess, ...) Aktivierung einer Chipkarte durch CW „positive Adressierung“ ECM wird mit SK verschlüsselt übertragen SK SK wird mit den verschiedenen GKi GK1 verschlüsselt in EMM übertragen GKi wird mit den verschiedenen SKj verschlüsselt in EMM PK1 PK2 PK3 übertragen Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit ECM EMM GK2 PK4 26 Schlüsselmanagement/CA Deaktivierung einer Chipkarte durch „positive Adressierung“ CW Zum Deaktivieren von Karte 4 müssen GK2 und SK ausgetauscht SK werden. EMM1 enthält neuen GK1 GK2 verschlüsselt mit PK3. EMM2 enthält neuen SK verschlüsselt mit GK1 EMM3 enthält neuen SK PK2 PK3 verschlüsselt mit GK2 PK1 Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit ECM EMM GK2 PK4 27 Schlüsselmanagement/CA Optimierung der „positiven Adressierung“ CW n Kunden, m-ärer Baum der Tiefe t n mt-1 m(t-1)-1 = m log m n - 1 Funktion (n fest) x logxn = (x/ln x) ln n hat Minimum bei x=e Daher m = 2 oder m = 3 optimal. PK1 Pay-TV ECM EMM SK GK1 GK2 PK2 Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit PK3 PK4 28 Schlüsselmanagement/CA „Positive Adressierung“ in der Praxis ECM enthält ID-Nummer des Kanals, für den sie bestimmt ist Rechte, die für diesen Kanal benötigt werden (in der Reihenfolge Pay-per-Channel, Prebooked PPV, Impulsive PPV) Gesichert mit MACSK(ID, Rechte) EMM-U enthält Pay-TV Nummer der Gruppe, der die Karte zugeordnet wird Schlüssel der Gruppe, der die Karte zugeordnet wird Verschlüsselt mit PKi Gesichert mit MACPKi(Daten) Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 29 Schlüsselmanagement/CA „Positive Adressierung“ in der Praxis EMM-G enthält Adresse der Gruppe, für die die EMM bestimmt ist Bitmap der Gruppe Berechtigung, die die in der Bitmap markierten Mitglieder der Gruppe erhalten sollen Verschlüsselt mit GKi Gesichert mit MACGKi(Daten) Gruppe 17 1001010111101101 SPORT MACGKi Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 30 Angriffe Schlüsselmanagement Piratenkarten emulieren das ECM/CW I/O-Verhalten der Originalkarten SK muss der Piratenkarte bekannt sein Datenformate ECM müssen bekannt sein Bei Wechsel des SK: Update des neuen SK über die 10erTastatur Quelle: http://www.eurosat.com/eurosat/images/bpsceuro.gif Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 31 Angriffe Schlüsselmanagement Programmierbarer Chipkartenemulator iCard Komplette Software der iCard kann erneuert werden Bei häufigem Wechsel von SK kann auch ein GKi mit abgespeichert werden (halbanonym) Heute: Programmierbare „leere“ Chipkarten (alles in SW) Quelle: http://thoic.com/icard/frameger.html Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 32 Angriffe Schlüsselmanagement PC/Dekoder-Schnittstelle mit seriellem Kabel (SEASONInterface) ermöglichen die Simulation der Chipkarte durch einen PC (für VIACCESS, MediaGuard, Irdeto,...) Das SEASON-Programm benötigt aktuelle kryptographische Schlüssel Key-Datenbanken im Internet http://www.multisat.de/season/season.html Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 33 Angriffe Schlüsselmanagement Standard-Chipkarten als Piratenkarten: Reaktivierung von Originalkarten Fall 1: Schwäche des MAC-Algorithmus (Programmierfehler) Fall 2: GKi bekannt oder kann auf Karte geladen werden Fall 3: PKi bekannt oder kann auf die Karte geladen werden Bild: Chipkartenleser zur Reprogrammierung von Originalkarten http://www.multisat.de/mp2000/index.html Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 34 Angriffe Schlüsselmanagement Reaktivierung von Originalkarten (MOSC): Wie kann das funktionieren? Auslesen oder Schreiben von Schlüsseln durch Buffer Overflow SK kann auf Karte geschrieben werden: Ausschalten durch „Produktwechsel“ GKi oder PKi kann auf Karte geschrieben werden: „Autoupdate“Karten Pay-TV CardWizard: z.B. unter http://www.irde.to/all4free/ Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 35 Schlüsselmanagement/CA Varianten der Schlüsselhierarchie für mehrere „Produkte“ CW CW ECM SK2 Gruppen sind fest, mehrere SK GK1 PK1 Pay-TV EMM SK1 GK2 PK2 Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit PK3 PK4 36 Schlüsselmanagement/CA Varianten der Schlüsselhierarchie für mehrere „Produkte“ CW ECM Gruppen sind bzgl. SK optimiert Mehrere unabhängige GK1 Anbieter pro Karte möglich (Analogon root/user unter Unix) PK1 PK2 Pay-TV EMM SK Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit GK2 PK3 PK4 37 Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement Videocrypt Irdeto/BetaResearch Digitales Fernsehen und der Common Scrambling Algorithmus MPEG-2 Transportformat und DVB Der CSA Broadcast Encryption Traitor Tracing Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 38 Digitales Fernsehen: MPEG-2 Daten werden in Transportpaketen (188 Bytes) transportiert Zeitmultiplex verschiedener Audio/Video/Datenströme Einzelne Pakete des gleichen Stroms haben gleiche PID Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 39 Digitales Fernsehen: MPEG-2 Übertragung der Transportpakete im Zeitmultiplex Zusammenfassung von PID-Strömen zu „Services“ mittels Tabellen („Service Information“, SI) Tabellen bilden eine Art „Dateisystem“ für das MPEG-2-System „root“-Verzeichnis hat feste, allgemein bekannte PID PID = 1 ... (Video) PID = 1 (Video) PID = 2 (Audio) PID = 1 (Video) Service 1: PID = 1 (Video) Pay-TV PID = 1 (Video) PID = 3 (Daten) PID = 17 (Audio) ... Service 2: PID = 2 (Audio) PID = 3 (Daten) Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit PID = 1 (Video) PID = 17 (Audio) 40 Digitales Fernsehen: Pay-TV nach DVB ECM-Datenstrom jeweils an einen „Service“ gebunden Wenn ein bestimmter Service (Audio/Video/Daten) über SI ausgewählt wurde („EPG“), filtert die Set-Top-Box die zugehörigen ECMs und sendet sie an die Karte. EMM-Datenstrom ist unabhängig von den „Services“ Karte muss der Set-Top-Box ihre Adressen (individuell, Gruppen) mitteilen, damit diese die EMMs filtern kann. PID = 1 ... (Video) PID = 1 (Video) PID = 2 (Audio) PID = 1 (Video) Pay-TV 1: PID = 1 (Video) Pay-TV PID = 1 (Video) PID = 3 (ECM) PID= 213 (EMM) ... EMM: PID = 2 (Audio) PID = 3 (ECM) Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit PID= 213 (EMM) 41 Digitales Fernsehen: DVBVerschlüsselung Minimale (Synchronisations-) Information zur Verschlüsselung im MPEG-TS-Header Weitere Informationen in den ECMs ECM-Varianten: enthält nur nächstes CW (even/odd) enthält aktuelles und nächstes CW TS_scrambling_control-Belegung 00 01 10 11 Pay-TV Bedeutung TS-Nutzlast ist nicht verschlüsselt Reserviert für zukünftigen DVB-Gebrauch Nutzlast ist mit einem geraden CW verschlüsselt Nutzlast ist mit einem ungeraden CW verschlüsselt Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 42 Digitales Fernsehen: DVBVerschlüsselung CSA Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 43 Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement Videocrypt Irdeto/BetaResearch Digitales Fernsehen und der Common Scrambling Algorithmus MPEG-2 Transportformat und DVB Der CSA Broadcast Encryption Traitor Tracing Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 44 Broadcast Encryption Gesucht: Schlüsselmanagement für Nutzermenge U, mit dem es möglich ist eine Nachricht genau an alle Nutzer TU über ein Rundfunkmedium zu senden, so dass es auch gegen jede Koalition SU von k Angreifern mit ST= sicher ist („k-resilient“), und die Anzahl der Schlüssel (insgesamt/pro Nutzer) minimal ist. Vorüberlegung: Um Teilmenge TU eindeutig zu bezeichnen, sind |U| Bits erforderlich. Nur in Spezialfällen ist hier eine Verbesserung möglich. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 45 Broadcast Encryption k-resilientes Basisschema für jede Teilmenge B mit höchstens k Nutzern: wähle einen Schlüssel KB KB wird jedem Nutzer gegeben, der nicht zu B gehört Schlüssel für T: KT = ⊕BU-T KB Sicherheit Den Mitgliedern jeder Teilmenge S U-T mit höchstens k Nutzern fehlt der Schlüssel KS zur XOR-Berechnung Anzahl der Schlüssel n Anzahl der i-Teilmengen der Menge U, |U|=n, ist i k n Anzahl aller Schlüssel: i 0 i Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 46 Broadcast Encryption: Beispiel 1-resilientes Basisschema für jeden Nutzer Ui: wähle einen Schlüssel Ki Ki wird jedem Nutzer Uj mit j ≠ i gegeben der Schlüssel für T ist das XOR aller Schlüssel Kj, Uj U-T. Anzahl der Schlüssel Anzahl der 1-Teilmengen der Menge U, |U|=n, ist n. Anzahl aller Schlüssel: n Sicherheit Den Mitgliedern jeder Teilmenge S={Ki} U-T mit höchstens 1 Nutzern fehlt der Schlüssel Ki zur XOR-Berechnung Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 47 Broadcast Encryption: Beispiel U = {U1, U2, U3, U4} Schlüsselmenge für U1: M1 = {K2, K3, K4} Schlüsselmenge für U2: M1 = {K1, K3, K4} Schlüsselmenge für U3: M1 = {K1, K2, K4} Schlüsselmenge für U4: M1 = {K1, K2, K3} T = {U1, U3}, dann ist KT = K2 ⊕ K4 Sicherheit: U2 fehlt K2, U4 fehlt K4 T = {U1, U2}, dann ist KT = K3 ⊕ K4 Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 48 Broadcast Encryption 1-resilientes Basisschema Nutzer muss n-1 Schlüssel speichern Verbesserung durch kryptographische Annahmen Annahme 1: Es gibt Einwegfunktionen Dann gibt es pseudozufällige Funktion f : {0,1}a → {0,1}2a s sl = linke Hälfte von f(s) sll = linke Hälfte von f(sl) Pay-TV sr = rechte Hälfte von f(s) slr srl Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit srr = rechte Hälfte von f(sr) 49 Broadcast Encryption Annahme 1: Es gibt Einwegfunktionen Schlüsselzuweisung für Nutzer x wie folgt: Entferne den Pfad von x zur Wurzel aus dem Baum Weise x die Werte zu, mit denen die verbleibenden Teilbäume beschriftet sind Damit kann x die Beschriftung aller Blätter bis auf sein eigenes rekonstruieren. log2n Schlüssel sr sll Pay-TV x Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 50 Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich geheim, nur dem Schlüsselmanagementzentrum bekannt: Primzahlen P, Q, Zahl g, wobei <g> in ℤN möglichst groß sein soll. öffentlich bekannt: Modulus N Liste ( (1, p1), (2, p2), ..., (n, pn) ) mit der Bedeutung, dass die Primzahl pi dem Nutzer i zugeordnet und paarweise teilerfremd zu allen anderen Primzahlen pj ist. nur Nutzer i bekannt: gi = gpi mod N Schlüssel für Gruppe TU: pT g Pay-TV mod N mit pT= iT pi Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 51 Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich Berechnung des Schlüssels durch Nutzer iT: pj j T { i } gi mod N Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen könnte, dann könnte er auch g berechnen. Beweis: Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 52 Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich Berechnung des Schlüssels durch Nutzer iT: pj j T { i } gi mod N Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen könnte, dann könnte er auch g berechnen. Beweis: ∏i∈Tpi und pj sind teilerfremd. Mit dem erweiterten Euklidischen Algorithmus kann man sie darstellen als 1 = a⋅∏i∈Tpi + b⋅pj . Also ist g = (g∏pi )a⋅ (gpj)b Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 53 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Parameter L, m S U ∀S ∃fi injektiv auf S 1, . . ., m f1 ... fL Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 54 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Parameter L, m Funktionen f1,...,fL: U → {1,...,m} (zufällig gewählt oder konstruiert) Es muss gelten: Für jedes SU mit |S|=k gibt es mindestens eine Funktion fi so dass für alle x,yS gilt: fi(x)fi(y) (d.h. fi ist auf S injektiv). Stichwort: Perfect Hash Functions (Die Parameter L und m sind noch geeignet zu wählen.) Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit S U 1, . fi injektiv . auf S ., m f1 ... fL 55 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Schlüsselverteilung Für (i,j) mit i{1,...,L} und j{1,...,m} konstruiere jeweils ein unabhängiges 1-resilientes BE-System R(i,j). (Es gibt also insgesamt L⋅m 1-resiliente Systeme.) Jeder Nutzer x U erhält die Schlüssel für x im System R(i,fi(x)) für i{1,...,L}. (Jeder Nutzer erhält die Schlüssel für L dieser Systeme.) Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit S U 1, . fi injektiv . auf S ., m f1 ... fL 56 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Verschlüsselung Um eine geheime Nachricht M an eine Menge T zu senden, zerlege diese in L Teilnachrichten M1...ML=M. Mi wird für j=1,...,m verschlüsselt mit kTi,j aus R(i,j), und die m Kryptogramme ci,j werden per Broadcast versendet. Jeder Nutzer x T erhält so alle Teilnachrichten Mi und kann die Nachricht M berechnen: Mi = D(kTi,fi(x),ci,j) Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit S U 1, . fi injektiv . auf S ., m f1 ... fL 57 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Sicherheit Gegeben sei eine Angreifermenge S. Dann gibt es eine Funktion fi, die für S S injektiv ist. U Für jedes 1-resiliente System R(i,j), mit dem Mi verschlüsselt wird, ist höchstens 1 Angreifer aus S vorhanden. Da die einzelnen Schemata 1-resilient sind, können die Angreifer so Mi nicht berechnen. M bleibt somit geheim. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 1, . fi injektiv . auf S ., m f1 ... fL 58 Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1resilienten Grundbausteinen: Wahl von L und m Für m = 2k2 und L = k log n ist die Wahrsch., dass eine zufällig gewählte Funktion fi auf einer Menge S injektiv ist, mindestens k 1 k (k 1) 3 1 1 2 2 m 4 k 4 S U 1, . fi injektiv . auf S ., m f1 ... fL Die Wahrsch., dass es kein solches fi gibt, ist 1/4L = 1/n2k. Die Wahrsch., dass es für jede k-Menge S ein solches fi gibt, ist n 1 1 1 2 k 1 k n k n Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 59 Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement Videocrypt Irdeto/BetaResearch Digitales Fernsehen und der Common Scrambling Algorithmus MPEG-2 Transportformat und DVB Der CSA Broadcast Encryption Traitor Tracing Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 60 Traitor Tracing Definition: A k-resilient Traitor Tracing Scheme is defined as follows 1. The content is encrypted using a session key S. 2. The session key is split into r partial keys s1,...,sr using a (m,r)Threshold scheme [Sha79]. 3. The set of decryption keys PK contains r elements k1,...,kr The partial key si is encrypted under the decryption key ki. All these cryptograms together will form the enabling block for the content. 4. Each authorized user u gets a personal set PK(u)PK of decryption keys. This set contains m decryption keys from PK and will thus allow him to decrypt m shares. He then can reconstruct S using the (m,r)-Threshold scheme and decrypt the content. 5. There exists a Traitor Tracing Algorithm which on input an arbitrary personal key set PK(u) found in a pirate device outputs the identity of at least one traitor out of a coalition of at most k traitors. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 61 Traitor Tracing Beispiel: Ein 1-resilientes Traitor Tracing Schema Nutzer sind Punkte in affiner Ebene Schlüssel Geraden in Parallelenklassen (hier 2) Jeder Nutzer erhält die Schlüssel, deren Geraden durch seinen Punkt gehen. 1 2 5 4 l21 l11 3 l12 l22 6 l23 l13 7 Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 8 9 62 Traitor Tracing Was nicht passieren darf k Angreifer U1,...,Uk kombinieren die Schlüssel aus ihren Mengen PK(U1),...,PK(Uk) so zu einer neuen Menge PK(*), dass der Tracing-Algorithmus einen unschuldigen Nutzer U‘ als Ergebnis liefert. („Framing“) Allgemeinstes Resultat: P. Erdös, P. Frankl and Z. Furedi: Families of Finite Sets in Which No Set is Covered by the Union of r Others. Israel J. Math. 51, 1985, pp. 79-89. Was optimiert werden soll |PK| |PK(U)| Länge des Enabling Block Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 63 Gliederung Funktionsweise Conditional Access (CA) Angriffe auf das analoge Scrambling Videocrypt (BSkyB Analog) Nagravision (Premiere Analog) Angriffe auf das Schlüsselmanagement Videocrypt Irdeto/BetaResearch Digitales Fernsehen und der Common Scrambling Algorithmus MPEG-2 Transportformat und DVB Der CSA Broadcast Encryption Traitor Tracing Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 67 Digitale Wasserzeichen Idee: Bette die digitale Information in das „Rauschen“ von Multimedia-Daten (Audio, Bilder, Video) ein. Die Qualität der Daten darf nicht wahrnehmbar beeinträchtigt werden („Invisibility“) Das Wasserzeichen kann öffentlich detektierbar sein („public“), oder nur bei Kenntnis eines „Schlüssels“ („secret“). Wird das Wasserzeichen entfernt, so leidet die Qualität der Multimedia-Daten erheblich („robustness“). Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 68 Steganographie Idee: Bette die digitale Information in das „Rauschen“ von Multimedia-Daten (Audio, Bilder, Video) ein. Die Qualität der Daten darf nicht wahrnehmbar beeinträchtigt werden („Invisibility“) Die Stego-Daten dürfen nicht detektierbar sein. (Robustheit wird NICHT gefordert: Wenn der Verdacht besteht, dass eine Datei Stego-Daten enthält, können diese durch einen Transformation der Datei gelöscht werden.) Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 69 Steganographie Die Idee ist leider schwer umzusetzen, denn die StegoDaten können sichtbar gemacht werden: Originalbild (links), gefiltert ohne Stago-Daten (Mitte), gefiltert mit halber Kapazität an Stego-Daten. Andreas Westfeld, Andreas Pfitzmann: Attacks on Steganographic Systems. S. 61–76 in Andreas Pfitzmann (Hrsg.): Information Hiding. Third International Workshop, IH'99, Dresden, Germany Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 70 DW: Das Verfahren von Cox et. al. Ingemar J Cox, Joe Kilian, Tom Leighton, and Talal Shamoon: Secure Spread Spectrum Watermarking for Multimedia. NEC Research Institute Technical Report 95-10. Idee: Bette die digitale Information als minimale Änderungen in die wichtigsten Koeffizienten eines Bildes ein. Was sind die „wichtigsten Koeffizienten“? Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 71 DW: Das Verfahren von Cox et. al. „Bavarian Couple“ ohne (links) und mit (rechts) digitalem Wasserzeichen. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 72 DW: Das Verfahren von Cox et. al. Der Peak ungefähr bei WZ 200 zeigt an, dass gesuchte WZ im Bild enthalten ist. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 73 DW: Das Verfahren von Cox et. al. Rescaling: Das WZ ist immer noch detektierbar. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 74 DW: Das Verfahren von Cox et. al. JPEG-Kompression: Sowohl links (10% Qualität, 0% Smoothing) als auch rechts (5% Qualität, 0% Smoothing) bleibt das WZ detektierbar. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 75 DW: Das Verfahren von Cox et. al. Dithering: das WZ bleibt detektierbar. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 76 DW: Das Verfahren von Cox et. al. Drucken, Photokopieren, Scannen, Skalieren: das WZ bleibt detektierbar. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 77 DW: Das Verfahren von Cox et. al. Idee: Bette die digitale Information in die wichtigsten Koeffizienten der DCT-transformierten Version des Bildes ein. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 78 Die Diskrete Cosinus-Transformation (DCT) Idee: Transformiere das Bild oder einen Ausschnitt des Bildes (hier: 8x8-Blöcke) so, dass die „wichtigsten“ Informationen „links oben“ stehen. http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 79 Die Diskrete Cosinus-Transformation (DCT) Beispiel: Block von 8x8 Pixeln (links), Koeffizientenmatrix (rechts) http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 80 Die Diskrete Cosinus-Transformation (DCT) Beispiel: Koeffizientenmatrix minus 128 (links), Koeffizientenmatrix nach der DCT-Transformation (rechts) http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 81 Die Diskrete Cosinus-Transformation (DCT) Warum stehen links oben nun die „wichtigsten“ Werte? Bedeutung der DCT-Koeffizienten Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 82 DW: Das Verfahren von Cox et. al. Einbettung des Wasserzeichens: Wähle eine Zufallsfolge X = {xi | i = 1, ... 1000 } von kleinen Zahlen aus. Dies ist das Wasserzeichen. Transformiere das gesamte Bild (nicht nur 8x8-Blöcke) mittels DCT. Füge in die 1000 wichtigsten DCT-Koeffizienten vi des Bildes das Wasserzeichen nach einer der unten stehenden Vorschriften ein: vi‘ = vi + xi vi‘ = vi (1 + xi) Wende die inverse DCT-Transformation an. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 83 DW: Das Verfahren von Cox et. al. Detektion des Wasserzeichens: Transformiere das gesamte, mit Wasserzeichen versehene Bild mittels DCT. Transformiere das gesamte Originalbild (ohne WZ) mittels DCT. Subtrahiere die beiden Koeffizientenmatrizen voneinander, um eine Folge X* zu erhalten. Vergleiche die Ähnlichkeit von X und X* durch Berechnung von X X* Sim( X , X *) X X* („⋅“ bezeichnet die Skalarmultiplikation der beiden Vektoren). Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 84 DW: Das Verfahren von Cox et. al. Der Ähnlichkeitswert liegt beim Vergleich mit zufällig gewählten WZ nahe Null, beim „echten“ WZ weit darüber. (Vgl. Seitenkanalattacken). Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 85 DW: Angriffe Idee StirMark: Verzerre das Bild lokal. Fabien A. P. Petitcolas and Ross J. Anderson: Evaluation of copyright marking systems. Proceedings of IEEE Multimedia Systems'99, vol. 1, pp. 574-579, 7-11 June 1999, Florence, Italy. Pay-TV Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit 86