Netzsicherheit
Teil 6: Pay-TV
Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk 2 Lehrstuhl für Netz- und Datensicherheit Ziele Conditional Access
Autorisierter Benutzer
Nichtautorisierter Benutzer
Autorisierter Benutzer
Pay-TV Jörg Schwenk 3 Lehrstuhl für Netz- und Datensicherheit Funktionsweise Conditional Access
Audio/Video verschlüsselt + Zugriffsbedingungen (in ECM)
CNN 2 Überprüfe, ob die Zugriffs- rechte mit den Zugriffsbedin- gungen übereinstimmen. Zugriffs- Wenn ja, entschlüssele! Rechte
Pay-TV Jörg Schwenk 4 Lehrstuhl für Netz- und Datensicherheit Funktionsweise Conditional Access . Scrambling / Verschlüsselung . Analog: Das Videosignal wird in einen FIFO-Puffer geladen und unter Kontrolle eines kryptograph. Schlüssels CW modifiziert. . Digital: Der MPEG-2-TS wird durch den DVB Common Scrambling-Algorithmus mit dem Schlüssel („Kontrollwort“) CW verschlüsselt. . Schlüsselmanagement / Conditional Access . CW wird (verschlüsselt mit einem Service-Schlüssel SK) in einer ECM übertragen, zusammen mit Zugriffsbedingungen. . SK wird (verschlüsselt mit einem persönlichen Schlüssel PK oder einem Gruppenschlüssel GK) in einer EMM übertragen, zusammen mit Zugriffsrechten. . Stimmen Bedingungen und Rechte überein, so gibt die Chipkarte CW frei.
Pay-TV Jörg Schwenk 5 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access
Pay-TV-Anbieter Kunde
Video CSA CSACW(Video) CSA Video Scrambling CW CA CW E D
E D
Pay-TV Jörg Schwenk 6 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access
Pay-TV-Anbieter Kunde
Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D
SK SK E D
Pay-TV Jörg Schwenk 7 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access
Pay-TV-Anbieter Kunde
Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D
SK SK EMM = E (SK) E PK D
PK PK
Pay-TV Jörg Schwenk 8 Lehrstuhl für Netz- und Datensicherheit Verschlüsselung im „Consumer Electronics“-Bereich . Neue, sehr spezifische Bedrohungen . Der einzelne Kunde hat kein Interesse daran, seine kryptographischen Schlüssel (SK, GK, PK) geheimzuhalten. . Marketingstrategien und Sicherheitsanforderungen sind oft unvereinbar. . Geräte und Chipkarten werden preisgünstig und unkontrollierbar abgegeben. . Großes Potential an versierten Hackern mit „einfachen“, aber effektiven Angriffen. . Frühestes Beispiel für „Seitenkanalangriffe“ in der Praxis . Forschungsgebiet seit 2006: Rational Cryptography . Angreifer sind nicht per Definition „böse“, sondern jeder Teilnehmer kann abhängig von einer „Gewinnfunktion“ gut oder böse sein.
Pay-TV Jörg Schwenk 9 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk 10 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access
Pay-TV-Anbieter Kunde
Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D
SK SK EMM = E (SK) E PK D
PK PK
Pay-TV Jörg Schwenk 11 Lehrstuhl für Netz- und Datensicherheit Videocrypt
Pay-TV Jörg Schwenk 12 Lehrstuhl für Netz- und Datensicherheit Mehr Infos zu Videocrypt
Pay-TV Jörg Schwenk 13 Lehrstuhl für Netz- und Datensicherheit Nagravision/Syster
Pay-TV Jörg Schwenk 14 Lehrstuhl für Netz- und Datensicherheit Mehr Infos zu Nagravision/Syster
Pay-TV Jörg Schwenk 15 Lehrstuhl für Netz- und Datensicherheit Nagravision/Syster . Angriffe auf das analoge Scrambling
. Der PSND1-Dekoder für die SECAM-Version des Nagravision-Systems rekonstruiert(e) gescrambeltes Audio/Video in Echtzeit.
Quelle: http://www.eurosat.com/eurosat/nagra/psnd1-e.html
Pay-TV Jörg Schwenk 16 Lehrstuhl für Netz- und Datensicherheit Nagravision/Syster Angriffe auf das analoge Scrambling (2): PC-Basierte Angriffe . Pentium 166 Mhz . Videokarte mit „Framegrabber“ . Funktioniert für Nagravision/Syster und Videocrypt . Illegal bei Entschlüsselung deutscher Sender
Quellen: http://www.multimania.com/freetw/help/freetv.htm; http://www.leodom-gruppe.de/wissenschaft/decodieren.htm
Pay-TV Jörg Schwenk 17 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk 18 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA
Pay-TV-Anbieter Kunde
Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D
SK SK EMM = E (SK) E PK D
PK PK
Pay-TV Jörg Schwenk 19 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement Videocrypt
Deaktivierung einer Chipkarte durch „negative Adressierung“ EMM=ECM CW . Alle Karten besitzen das gleiche „Geheimnis“ . Deaktivierung einer Hash Karte nur in Kooperation mit dieser möglich . Folge: MAC Okay? . „Infinite Life“-Attacke . Descrambling ohne Chipkarte möglich
Adr1 Adr2 Adr3 Adr4
Pay-TV Jörg Schwenk 20 Lehrstuhl für Netz- und Datensicherheit Geschichte der Videocrypt-Hacks 2.24 The *REAL* History of Hacks On VideoCrypt . 2.24a Hack 01: The McCormac Hack . 2.24b Hack 02: The Infinite Lives Hack Quelle: . 2.24c Hack 03: The KENtucky Fried Chip Hack . 2.24d Hack 04: The 07 Ho Lee Fook (8752/8051) http://www.iol.ie/~kooltek/faq.html, . 2.24e Hack 05: The 07 Ho Lee Fook (PIC16C54) 16.8.97 . 2.24f Hack 06: The 07 Ho Lee Fook (PIC16C84) . 2.24g Hack 07: The 07 Season Program . 2.24h Hack 08: The 09 Ho Lee Fook (temporary) . 2.24i Hack 09: The Phoenix / Genesis Blocker . 2.24j Hack 10: The Stable 09 Ho Lee Fook . 2.24k Hack 11: The 09 Battery Card . 2.24l Hack 12: The 09 Season Program . 2.24m Hack 13: The Sam Chisum Hack On Sky 10 PPV . 2.24n Hack 14: The Sky 10 Commercial Phoenix Hack . 2.24o Hack 15: The Megatek 10 Battery Card . 2.24p Hack 16: The Judgment Night PPV Hack . 2.24q Hack 17: The Christmas 1996 Phoenix . 2.24r Hack 18: Season 10 . 2.24s Hack 19: Phoenix 3.50 . 2.24t Hack 20: SkyPIC 10 . 2.24u Hack 21: Sky 10/11 Blocker Pay- TV Jörg Schwenk 21 Lehrstuhl für Netz- und Datensicherheit CA im Entertainment-Bereich
. Angriffe auf das Schlüsselmanagement . Blocker filtern Befehle zum Deaktivieren der Chipkarte aus.
Pay-TV Jörg Schwenk 22 Lehrstuhl für Netz- und Datensicherheit Videocrypt-Hacks: Der Season-Hack
Der „geheime“ PRF-Algorithmus wurde im PC nachpro- grammiert Kerkhoffs !
Pay-TV Jörg Schwenk 23 Lehrstuhl für Netz- und Datensicherheit Videocrypt-Hacks: Der Lötkolben-Hack
Quelle: M. Kuhn
Pay-TV Jörg Schwenk 24 Lehrstuhl für Netz- und Datensicherheit Sicherheit von NDS VideoGuard: Komplexität des ASIC
The best technology available. Custom-designed hardware components include NDS- specific circuits based on high density components to prevent device analysis and re-engineering.
http://www.nds.com/ conditional_access/ videoguard_security.html
Pay-TV Jörg Schwenk 25 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement Eurocrypt (Nagra, Canal+, Viaccess, ...) Aktivierung einer Chipkarte durch „positive Adressierung“ CW . ECM wird mit SK ECM verschlüsselt EMM übertragen SK . SK wird mit den
verschiedenen GKi verschlüsselt in EMM GK1 GK2 übertragen
. GKi wird mit den verschiedenen SKj verschlüsselt in EMM übertragen PK1 PK2 PK3 PK4
Pay-TV Jörg Schwenk 26 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA Deaktivierung einer Chipkarte durch „positive Adressierung“ CW . Zum Deaktivieren von ECM
Karte 4 müssen GK2 und SK ausgetauscht SK EMM werden.
. EMM1 enthält neuen GK2 verschlüsselt mit GK1 GK2 PK3.
. EMM2 enthält neuen SK verschlüsselt mit GK1 . EMM enthält neuen SK 3 PK verschlüsselt mit GK2 PK1 PK2 PK3 4
Pay-TV Jörg Schwenk 27 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA Optimierung der „positiven CW Adressierung“ ECM . n Kunden, m-ärer Baum der Tiefe t SK EMM . n mt-1
. m(t-1)-1 = m log m n - 1 . Funktion (n fest) GK1 GK2 x logxn = (x/ln x) ln n hat Minimum bei x=e . Daher m = 2 oder m = 3 optimal. PK1 PK2 PK3 PK4
Pay-TV Jörg Schwenk 28 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA „Positive Adressierung“ in der Praxis . ECM enthält . ID-Nummer des Kanals, für den sie bestimmt ist . Rechte, die für diesen Kanal benötigt werden (in der Reihenfolge Pay-per-Channel, Prebooked PPV, Impulsive PPV)
. Gesichert mit MACSK(ID, Rechte) . EMM-U enthält . Nummer der Gruppe, der die Karte zugeordnet wird . Schlüssel der Gruppe, der die Karte zugeordnet wird . Verschlüsselt mit PKi
. Gesichert mit MACPKi(Daten)
Pay-TV Jörg Schwenk 29 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA „Positive Adressierung“ in der Praxis . EMM-G enthält . Adresse der Gruppe, für die die EMM bestimmt ist . Bitmap der Gruppe . Berechtigung, die die in der Bitmap markierten Mitglieder der Gruppe erhalten sollen . Verschlüsselt mit GKi
. Gesichert mit MACGKi(Daten)
Gruppe 17 1001010111101101 SPORT MACGKi
Pay-TV Jörg Schwenk 30 Lehrstuhl für Netz- und Datensicherheit Angriffe Schlüsselmanagement . Piratenkarten emulieren das ECM/CW I/O-Verhalten der Originalkarten . SK muss der Piratenkarte bekannt sein . Datenformate ECM müssen bekannt sein . Bei Wechsel des SK: Update des neuen SK über die 10er- Tastatur
Quelle: http://www.eurosat.com/eurosat/images/bpsceuro.gif
Pay-TV Jörg Schwenk 31 Lehrstuhl für Netz- und Datensicherheit Angriffe Schlüsselmanagement . Programmierbarer Chipkartenemulator iCard . Komplette Software der iCard kann erneuert werden . Bei häufigem Wechsel von SK kann auch ein GKi mit abgespeichert werden (halbanonym) . Heute: Programmierbare „leere“ Chipkarten (alles in SW)
Quelle: http://thoic.com/icard/frameger.html
Pay-TV Jörg Schwenk 32 Lehrstuhl für Netz- und Datensicherheit Angriffe Schlüsselmanagement . PC/Dekoder-Schnittstelle mit seriellem Kabel (SEASON- Interface) . ermöglichen die Simulation der Chipkarte durch einen PC (für VIACCESS, MediaGuard, Irdeto,...) . Das SEASON-Programm benötigt aktuelle kryptographische Schlüssel . Key-Datenbanken im Internet
http://www.multisat.de/season/season.html
Pay-TV Jörg Schwenk 33 Lehrstuhl für Netz- und Datensicherheit Angriffe Schlüsselmanagement . Standard-Chipkarten als Piratenkarten: Reaktivierung von Originalkarten . Fall 1: Schwäche des MAC-Algorithmus (Programmierfehler) . Fall 2: GKi bekannt oder kann auf Karte geladen werden . Fall 3: PKi bekannt oder kann auf die Karte geladen werden Bild: Chipkartenleser zur Reprogrammierung von Originalkarten http://www.multisat.de/mp2000/index.html
Pay-TV Jörg Schwenk 34 Lehrstuhl für Netz- und Datensicherheit Angriffe Schlüsselmanagement . Reaktivierung von Originalkarten (MOSC): Wie kann das funktionieren? . Auslesen oder Schreiben von Schlüsseln durch Buffer Overflow . SK kann auf Karte geschrieben werden: Ausschalten durch „Produktwechsel“ . GKi oder PKi kann auf Karte geschrieben werden: „Autoupdate“- Karten CardWizard: z.B. unter http://www.irde.to/all4free/
Pay-TV Jörg Schwenk 35 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA Varianten der Schlüsselhierarchie CW CW für mehrere ECM „Produkte“ SK2 SK1 EMM . Gruppen sind fest, mehrere SK GK1 GK2
PK1 PK2 PK3 PK4
Pay-TV Jörg Schwenk 36 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA Varianten der Schlüsselhierarchie CW für mehrere ECM „Produkte“ SK EMM . Gruppen sind bzgl. SK optimiert . Mehrere unabhängige GK1 GK2 Anbieter pro Karte möglich (Analogon root/user unter Unix)
PK1 PK2 PK3 PK4
Pay-TV Jörg Schwenk 37 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk 38 Lehrstuhl für Netz- und Datensicherheit Digitales Fernsehen: MPEG-2 . Daten werden in Transportpaketen (188 Bytes) transportiert . Zeitmultiplex verschiedener Audio/Video/Datenströme . Einzelne Pakete des gleichen Stroms haben gleiche PID
Pay-TV Jörg Schwenk 39 Lehrstuhl für Netz- und Datensicherheit Digitales Fernsehen: MPEG-2 . Übertragung der Transportpakete im Zeitmultiplex . Zusammenfassung von PID-Strömen zu „Services“ mittels Tabellen („Service Information“, SI) . Tabellen bilden eine Art „Dateisystem“ für das MPEG-2-System . „root“-Verzeichnis hat feste, allgemein bekannte PID
PID = 1 PID = 1 PID = 2 PID = 1 PID = 1 PID = 3 PID = 17 ... (Video) (Video) (Audio) (Video) (Video) (Daten) (Audio) ...
Service 1: Service 2: PID = 1 PID = 2 PID = 3 PID = 1 PID = 17 (Video) (Audio) (Daten) (Video) (Audio)
Pay-TV Jörg Schwenk 40 Lehrstuhl für Netz- und Datensicherheit Digitales Fernsehen: Pay-TV nach DVB . ECM-Datenstrom jeweils an einen „Service“ gebunden . Wenn ein bestimmter Service (Audio/Video/Daten) über SI ausgewählt wurde („EPG“), filtert die Set-Top-Box die zugehörigen ECMs und sendet sie an die Karte. . EMM-Datenstrom ist unabhängig von den „Services“ . Karte muss der Set-Top-Box ihre Adressen (individuell, Gruppen) mitteilen, damit diese die EMMs filtern kann.
PID = 1 PID = 1 PID = 2 PID = 1 PID = 1 PID = 3 PID= 213 ... (Video) (Video) (Audio) (Video) (Video) (ECM) (EMM) ...
Pay-TV 1: EMM: PID = 1 PID = 2 PID = 3 PID= 213 (Video) (Audio) (ECM) (EMM)
Pay-TV Jörg Schwenk 41 Lehrstuhl für Netz- und Datensicherheit Digitales Fernsehen: DVB- Verschlüsselung . Minimale (Synchronisations-) Information zur Verschlüsselung im MPEG-TS-Header . Weitere Informationen in den ECMs . ECM-Varianten: . enthält nur nächstes CW (even/odd) . enthält aktuelles und nächstes CW
TS_scrambling_control-Belegung Bedeutung 00 TS-Nutzlast ist nicht verschlüsselt 01 Reserviert für zukünftigen DVB-Gebrauch 10 Nutzlast ist mit einem geraden CW verschlüsselt 11 Nutzlast ist mit einem ungeraden CW verschlüsselt
Pay-TV Jörg Schwenk 42 Lehrstuhl für Netz- und Datensicherheit Digitales Fernsehen: DVB- Verschlüsselung CSA
Pay-TV Jörg Schwenk 43 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk 44 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Gesucht: Schlüsselmanagement für Nutzermenge U, mit dem es möglich ist . eine Nachricht genau an alle Nutzer TU über ein Rundfunkmedium zu senden, . so dass es auch gegen jede Koalition SU von k Angreifern mit ST= sicher ist („k-resilient“), . und die Anzahl der Schlüssel (insgesamt/pro Nutzer) minimal ist. . Vorüberlegung: Um Teilmenge TU eindeutig zu bezeichnen, sind |U| Bits erforderlich. . Nur in Spezialfällen ist hier eine Verbesserung möglich.
Pay-TV Jörg Schwenk 45 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . k-resilientes Basisschema . für jede Teilmenge B mit höchstens k Nutzern:
. wähle einen Schlüssel KB
. KB wird jedem Nutzer gegeben, der nicht zu B gehört
. Schlüssel für T: KT = ⊕BU-T KB . Sicherheit . Den Mitgliedern jeder Teilmenge S U-T mit höchstens k
Nutzern fehlt der Schlüssel KS zur XOR-Berechnung . Anzahl der Schlüssel n . Anzahl der i-Teilmengen der Menge U, |U|=n, ist k i . Anzahl aller Schlüssel: n i0 i
Pay-TV Jörg Schwenk 46 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption: Beispiel . 1-resilientes Basisschema
. für jeden Nutzer Ui:
. wähle einen Schlüssel Ki . Ki wird jedem Nutzer Uj mit j ≠ i gegeben
. der Schlüssel für T ist das XOR aller Schlüssel Kj, Uj U-T. . Anzahl der Schlüssel . Anzahl der 1-Teilmengen der Menge U, |U|=n, ist n. . Anzahl aller Schlüssel: n . Sicherheit
. Den Mitgliedern jeder Teilmenge S={Ki} U-T mit höchstens 1 Nutzern fehlt der Schlüssel Ki zur XOR-Berechnung
Pay-TV Jörg Schwenk 47 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption: Beispiel
. U = {U1, U2, U3, U4}
. Schlüsselmenge für U1: M1 = {K2, K3, K4}
. Schlüsselmenge für U2: M1 = {K1, K3, K4}
. Schlüsselmenge für U3: M1 = {K1, K2, K4}
. Schlüsselmenge für U4: M1 = {K1, K2, K3}
. T = {U1, U3}, dann ist KT = K2 ⊕ K4
. Sicherheit: U2 fehlt K2, U4 fehlt K4
. T = {U1, U2}, dann ist KT = K3 ⊕ K4
Pay-TV Jörg Schwenk 48 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . 1-resilientes Basisschema . Nutzer muss n-1 Schlüssel speichern . Verbesserung durch kryptographische Annahmen . Annahme 1: Es gibt Einwegfunktionen . Dann gibt es pseudozufällige Funktion f : {0,1}a → {0,1}2a s
sl = linke sr = rechte Hälfte von f(s) Hälfte von f(s)
sll = linke srr = rechte s s Hälfte von f(sl) lr rl Hälfte von f(sr)
Pay-TV Jörg Schwenk 49 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Annahme 1: Es gibt Einwegfunktionen . Schlüsselzuweisung für Nutzer x wie folgt: . Entferne den Pfad von x zur Wurzel aus dem Baum . Weise x die Werte zu, mit denen die verbleibenden Teilbäume beschriftet sind . Damit kann x die Beschriftung aller Blätter bis auf sein eigenes rekonstruieren.
. log2n Schlüssel sr
sll x
Pay-TV Jörg Schwenk 50 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich . geheim, nur dem Schlüsselmanagementzentrum bekannt: . Primzahlen P, Q,
. Zahl g, wobei
. Liste ( (1, p1), (2, p2), ..., (n, pn) ) mit der Bedeutung, dass die Primzahl pi dem Nutzer i zugeordnet und paarweise teilerfremd zu allen anderen Primzahlen pj ist. pi . nur Nutzer i bekannt: gi = g mod N . Schlüssel für Gruppe TU: pT . g mod N mit pT= iT pi
Pay-TV Jörg Schwenk 51 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich . Berechnung des Schlüssels durch Nutzer iT:
p jT{i} j gi mod N
. Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen könnte, dann könnte er auch g berechnen. . Beweis:
Pay-TV Jörg Schwenk 52 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Annahme 2: Die Berechnung von p-ten Wurzeln modulo N=PQ ist praktisch unmöglich . Berechnung des Schlüssels durch Nutzer iT:
p jT{i} j gi mod N
. Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen könnte, dann könnte er auch g berechnen.
. Beweis: ∏i∈Tpi und pj sind teilerfremd. Mit dem erweiterten Euklidischen Algorithmus kann man sie darstellen als
1 = a⋅∏i∈Tpi + b⋅pj . Also ist g = (g∏pi )a⋅ (gpj)b
Pay-TV Jörg Schwenk 53 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Parameter L, m
S 1, . ∀S ∃f injektiv U i . auf S ., m
f1 ...
fL
Pay-TV Jörg Schwenk 54 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Parameter L, m
. Funktionen f1,...,fL: U → {1,...,m} (zufällig gewählt oder konstruiert) 1, . Es muss gelten: Für jedes SU mit S . |S|=k gibt es mindestens eine U fi injektiv . Funktion fi so dass auf S ., für alle x,yS gilt: fi(x)fi(y) m (d.h. f ist auf S injektiv). i f1 . Stichwort: Perfect Hash Functions ...
. (Die Parameter L und m sind noch fL geeignet zu wählen.)
Pay-TV Jörg Schwenk 55 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Schlüsselverteilung . Für (i,j) mit i{1,...,L} und j{1,...,m} konstruiere jeweils ein unabhängiges 1-resilientes BE-System R(i,j). S 1, . (Es gibt also insgesamt L⋅m U f injektiv 1-resiliente Systeme.) i . auf S ., . Jeder Nutzer x U erhält die m Schlüssel für x im System R(i,f(x)) i f1 für i{1,...,L}. ... (Jeder Nutzer erhält die Schlüssel f für L dieser Systeme.) L
Pay-TV Jörg Schwenk 56 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Verschlüsselung . Um eine geheime Nachricht M an eine Menge T zu senden, zerlege diese in 1, L Teilnachrichten M1...ML=M. S . . M wird für j=1,...,m verschlüsselt mit i U fi injektiv . i,j kT aus R(i,j), und die m auf S ., Kryptogramme ci,j werden per Broadcast m versendet. f1 . Jeder Nutzer x T erhält so alle ... Teilnachrichten M und kann die i fL Nachricht M berechnen: i,fi(x) Mi = D(kT ,ci,j)
Pay-TV Jörg Schwenk 57 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Sicherheit . Gegeben sei eine Angreifermenge S. . Dann gibt es eine Funktion f, die für i 1, S injektiv ist. S . . Für jedes 1-resiliente System R(i,j), U fi injektiv . auf S mit dem Mi verschlüsselt wird, ist ., höchstens 1 Angreifer aus S vorhanden. m
. Da die einzelnen Schemata 1-resilient sind, f1 ... können die Angreifer so Mi nicht berechnen. M bleibt somit geheim. fL
Pay-TV Jörg Schwenk 58 Lehrstuhl für Netz- und Datensicherheit Broadcast Encryption . Konstruktion von k-resilienten Systemen aus den 1- resilienten Grundbausteinen: Wahl von L und m . Für m = 2k2 und L = k log n ist die Wahrsch., dass eine zufällig S 1, gewählte Funktion fi auf einer Menge . S injektiv ist, mindestens U fi injektiv . auf S ., k 1 k(k 1) 3 1 1 2 m 2 m 4k 4 f1 ... . Die Wahrsch., dass es kein solches fi gibt, ist 1/4L = 1/n2k. fL
. Die Wahrsch., dass es für jede k-Menge S ein solches fi gibt, ist n 1 1 1 1 2k k k n n
Pay-TV Jörg Schwenk 59 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk 60 Lehrstuhl für Netz- und Datensicherheit Traitor Tracing Definition: A k-resilient Traitor Tracing Scheme is defined as follows 1. The content is encrypted using a session key S.
2. The session key is split into r partial keys s1,...,sr using a (m,r)- Threshold scheme [Sha79].
3. The set of decryption keys PK contains r elements k1,...,kr The partial key si is encrypted under the decryption key ki. All these cryptograms together will form the enabling block for the content. 4. Each authorized user u gets a personal set PK(u)PK of decryption keys. This set contains m decryption keys from PK and will thus allow him to decrypt m shares. He then can reconstruct S using the (m,r)-Threshold scheme and decrypt the content. 5. There exists a Traitor Tracing Algorithm which on input an arbitrary personal key set PK(u) found in a pirate device outputs the identity of at least one traitor out of a coalition of at most k traitors.
Pay-TV Jörg Schwenk 61 Lehrstuhl für Netz- und Datensicherheit Traitor Tracing Beispiel: Ein 1-resilientes Traitor Tracing Schema . Nutzer sind Punkte in affiner Ebene . Schlüssel Geraden in Parallelenklassen (hier 2) . Jeder Nutzer erhält die Schlüssel, deren Geraden durch seinen Punkt gehen. 1 2 3 l11
5 l 4 12 6
l21 l22 l23
l13 7 8 9
Pay-TV Jörg Schwenk 62 Lehrstuhl für Netz- und Datensicherheit Traitor Tracing Was nicht passieren darf
. k Angreifer U1,...,Uk kombinieren die Schlüssel aus ihren Mengen PK(U1),...,PK(Uk) so zu einer neuen Menge PK(*), dass der Tracing-Algorithmus einen unschuldigen Nutzer U‘ als Ergebnis liefert. („Framing“) . Allgemeinstes Resultat: P. Erdös, P. Frankl and Z. Furedi: Families of Finite Sets in Which No Set is Covered by the Union of r Others. Israel J. Math. 51, 1985, pp. 79-89. Was optimiert werden soll . |PK| . |PK(U)| . Länge des Enabling Block
Pay-TV Jörg Schwenk 63 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“
Pay-TV Jörg Schwenk 67 Lehrstuhl für Netz- und Datensicherheit Digitale Wasserzeichen Idee: Bette die digitale Information in das „Rauschen“ von Multimedia-Daten (Audio, Bilder, Video) ein. . Die Qualität der Daten darf nicht wahrnehmbar beeinträchtigt werden („Invisibility“) . Das Wasserzeichen kann öffentlich detektierbar sein („public“), oder nur bei Kenntnis eines „Schlüssels“ („secret“). . Wird das Wasserzeichen entfernt, so leidet die Qualität der Multimedia-Daten erheblich („robustness“).
Pay-TV Jörg Schwenk 68 Lehrstuhl für Netz- und Datensicherheit Steganographie Idee: Bette die digitale Information in das „Rauschen“ von Multimedia-Daten (Audio, Bilder, Video) ein. . Die Qualität der Daten darf nicht wahrnehmbar beeinträchtigt werden („Invisibility“) . Die Stego-Daten dürfen nicht detektierbar sein. . (Robustheit wird NICHT gefordert: Wenn der Verdacht besteht, dass eine Datei Stego-Daten enthält, können diese durch einen Transformation der Datei gelöscht werden.)
Pay-TV Jörg Schwenk 69 Lehrstuhl für Netz- und Datensicherheit Steganographie Die Idee ist leider schwer umzusetzen, denn die Stego- Daten können sichtbar gemacht werden:
Originalbild (links), gefiltert ohne Stago-Daten (Mitte), gefiltert mit halber Kapazität an Stego-Daten. Andreas Westfeld, Andreas Pfitzmann: Attacks on Steganographic Systems. S. 61–76 in Andreas Pfitzmann (Hrsg.): Information Hiding. Third International Workshop, IH'99, Dresden, Germany
Pay-TV Jörg Schwenk 70 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al. Ingemar J Cox, Joe Kilian, Tom Leighton, and Talal Shamoon: Secure Spread Spectrum Watermarking for Multimedia. NEC Research Institute Technical Report 95-10. Idee: Bette die digitale Information als minimale Änderungen in die wichtigsten Koeffizienten eines Bildes ein. . Was sind die „wichtigsten Koeffizienten“?
Pay-TV Jörg Schwenk 71 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al.
„Bavarian Couple“ ohne (links) und mit (rechts) digitalem Wasserzeichen.
Pay-TV Jörg Schwenk 72 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al.
Der Peak ungefähr bei WZ 200 zeigt an, dass gesuchte WZ im Bild enthalten ist.
Pay-TV Jörg Schwenk 73 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al.
Rescaling: Das WZ ist immer noch detektierbar.
Pay-TV Jörg Schwenk 74 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al.
JPEG-Kompression: Sowohl links (10% Qualität, 0% Smoothing) als auch rechts (5% Qualität, 0% Smoothing) bleibt das WZ detektierbar.
Pay-TV Jörg Schwenk 75 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al.
Dithering: das WZ bleibt detektierbar.
Pay-TV Jörg Schwenk 76 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al.
Drucken, Photokopieren, Scannen, Skalieren: das WZ bleibt detektierbar.
Pay-TV Jörg Schwenk 77 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al. Idee: Bette die digitale Information in die wichtigsten Koeffizienten der DCT-transformierten Version des Bildes ein.
Pay-TV Jörg Schwenk 78 Lehrstuhl für Netz- und Datensicherheit Die Diskrete Cosinus-Transformation (DCT) Idee: Transformiere das Bild oder einen Ausschnitt des Bildes (hier: 8x8-Blöcke) so, dass die „wichtigsten“ Informationen „links oben“ stehen.
http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf
Pay-TV Jörg Schwenk 79 Lehrstuhl für Netz- und Datensicherheit Die Diskrete Cosinus-Transformation (DCT) Beispiel:
Block von 8x8 Pixeln (links), Koeffizientenmatrix (rechts)
http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf
Pay-TV Jörg Schwenk 80 Lehrstuhl für Netz- und Datensicherheit Die Diskrete Cosinus-Transformation (DCT) Beispiel:
Koeffizientenmatrix minus 128 (links), Koeffizientenmatrix nach der DCT-Transformation (rechts)
http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf
Pay-TV Jörg Schwenk 81 Lehrstuhl für Netz- und Datensicherheit Die Diskrete Cosinus-Transformation (DCT) Warum stehen links oben nun die „wichtigsten“ Werte?
Bedeutung der DCT-Koeffizienten
Pay-TV Jörg Schwenk 82 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al. Einbettung des Wasserzeichens:
. Wähle eine Zufallsfolge X = {xi | i = 1, ... 1000 } von kleinen Zahlen aus. Dies ist das Wasserzeichen. . Transformiere das gesamte Bild (nicht nur 8x8-Blöcke) mittels DCT.
. Füge in die 1000 wichtigsten DCT-Koeffizienten vi des Bildes das Wasserzeichen nach einer der unten stehenden Vorschriften ein: . vi‘ = vi + xi . vi‘ = vi (1 + xi) . Wende die inverse DCT-Transformation an.
Pay-TV Jörg Schwenk 83 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al. Detektion des Wasserzeichens: . Transformiere das gesamte, mit Wasserzeichen versehene Bild mittels DCT. . Transformiere das gesamte Originalbild (ohne WZ) mittels DCT. . Subtrahiere die beiden Koeffizientenmatrizen voneinander, um eine Folge X* zu erhalten. . Vergleiche die Ähnlichkeit von X und X* durch Berechnung von X X * Sim(X , X*) X X * („⋅“ bezeichnet die Skalarmultiplikation der beiden Vektoren).
Pay-TV Jörg Schwenk 84 Lehrstuhl für Netz- und Datensicherheit DW: Das Verfahren von Cox et. al.
Der Ähnlichkeitswert liegt beim Vergleich mit zufällig gewählten WZ nahe Null, beim „echten“ WZ weit darüber. (Vgl. Seitenkanalattacken).
Pay-TV Jörg Schwenk 85 Lehrstuhl für Netz- und Datensicherheit DW: Angriffe Idee StirMark: Verzerre das Bild lokal.
Fabien A. P. Petitcolas and Ross J. Anderson: Evaluation of copyright marking systems. Proceedings of IEEE Multimedia Systems'99, vol. 1, pp. 574-579, 7-11 June 1999, Florence, Italy.
Pay-TV Jörg Schwenk 86 Lehrstuhl für Netz- und Datensicherheit