Conditional Access (CA)
Total Page:16
File Type:pdf, Size:1020Kb
Netzsicherheit Teil 6: Pay-TV Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk 2 Lehrstuhl für Netz- und Datensicherheit Ziele Conditional Access Autorisierter Benutzer Nichtautorisierter Benutzer Autorisierter Benutzer Pay-TV Jörg Schwenk 3 Lehrstuhl für Netz- und Datensicherheit Funktionsweise Conditional Access Audio/Video verschlüsselt + Zugriffsbedingungen (in ECM) CNN 2 Überprüfe, ob die Zugriffs- rechte mit den Zugriffsbedin- gungen übereinstimmen. Zugriffs- Wenn ja, entschlüssele! Rechte Pay-TV Jörg Schwenk 4 Lehrstuhl für Netz- und Datensicherheit Funktionsweise Conditional Access . Scrambling / Verschlüsselung . Analog: Das Videosignal wird in einen FIFO-Puffer geladen und unter Kontrolle eines kryptograph. Schlüssels CW modifiziert. Digital: Der MPEG-2-TS wird durch den DVB Common Scrambling-Algorithmus mit dem Schlüssel („Kontrollwort“) CW verschlüsselt. Schlüsselmanagement / Conditional Access . CW wird (verschlüsselt mit einem Service-Schlüssel SK) in einer ECM übertragen, zusammen mit Zugriffsbedingungen. SK wird (verschlüsselt mit einem persönlichen Schlüssel PK oder einem Gruppenschlüssel GK) in einer EMM übertragen, zusammen mit Zugriffsrechten. Stimmen Bedingungen und Rechte überein, so gibt die Chipkarte CW frei. Pay-TV Jörg Schwenk 5 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access Pay-TV-Anbieter Kunde Video CSA CSACW(Video) CSA Video Scrambling CW CA CW E D E D Pay-TV Jörg Schwenk 6 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access Pay-TV-Anbieter Kunde Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D SK SK E D Pay-TV Jörg Schwenk 7 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access Pay-TV-Anbieter Kunde Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D SK SK EMM = E (SK) E PK D PK PK Pay-TV Jörg Schwenk 8 Lehrstuhl für Netz- und Datensicherheit Verschlüsselung im „Consumer Electronics“-Bereich . Neue, sehr spezifische Bedrohungen . Der einzelne Kunde hat kein Interesse daran, seine kryptographischen Schlüssel (SK, GK, PK) geheimzuhalten. Marketingstrategien und Sicherheitsanforderungen sind oft unvereinbar. Geräte und Chipkarten werden preisgünstig und unkontrollierbar abgegeben. Großes Potential an versierten Hackern mit „einfachen“, aber effektiven Angriffen. Frühestes Beispiel für „Seitenkanalangriffe“ in der Praxis . Forschungsgebiet seit 2006: Rational Cryptography . Angreifer sind nicht per Definition „böse“, sondern jeder Teilnehmer kann abhängig von einer „Gewinnfunktion“ gut oder böse sein. Pay-TV Jörg Schwenk 9 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk 10 Lehrstuhl für Netz- und Datensicherheit Scrambling / Conditional Access Pay-TV-Anbieter Kunde Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D SK SK EMM = E (SK) E PK D PK PK Pay-TV Jörg Schwenk 11 Lehrstuhl für Netz- und Datensicherheit Videocrypt Pay-TV Jörg Schwenk 12 Lehrstuhl für Netz- und Datensicherheit Mehr Infos zu Videocrypt Pay-TV Jörg Schwenk 13 Lehrstuhl für Netz- und Datensicherheit Nagravision/Syster Pay-TV Jörg Schwenk 14 Lehrstuhl für Netz- und Datensicherheit Mehr Infos zu Nagravision/Syster Pay-TV Jörg Schwenk 15 Lehrstuhl für Netz- und Datensicherheit Nagravision/Syster . Angriffe auf das analoge Scrambling . Der PSND1-Dekoder für die SECAM-Version des Nagravision-Systems rekonstruiert(e) gescrambeltes Audio/Video in Echtzeit. Quelle: http://www.eurosat.com/eurosat/nagra/psnd1-e.html Pay-TV Jörg Schwenk 16 Lehrstuhl für Netz- und Datensicherheit Nagravision/Syster Angriffe auf das analoge Scrambling (2): PC-Basierte Angriffe . Pentium 166 Mhz . Videokarte mit „Framegrabber“ . Funktioniert für Nagravision/Syster und Videocrypt . Illegal bei Entschlüsselung deutscher Sender Quellen: http://www.multimania.com/freetw/help/freetv.htm; http://www.leodom-gruppe.de/wissenschaft/decodieren.htm Pay-TV Jörg Schwenk 17 Lehrstuhl für Netz- und Datensicherheit Gliederung . Funktionsweise Conditional Access (CA) . Angriffe auf das analoge Scrambling . Videocrypt (BSkyB Analog) . Nagravision (Premiere Analog) . Angriffe auf das Schlüsselmanagement . Videocrypt . Irdeto/BetaResearch . Digitales Fernsehen und der Common Scrambling Algorithmus . MPEG-2 Transportformat und DVB . Der CSA . Broadcast Encryption . Traitor Tracing . Kurzeinführung „Digital Watermarking“ Pay-TV Jörg Schwenk 18 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA Pay-TV-Anbieter Kunde Video CSA CSACW(Video) CSA Video Scrambling CW CA CW ECM = ESK(CW) E D SK SK EMM = E (SK) E PK D PK PK Pay-TV Jörg Schwenk 19 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement Videocrypt Deaktivierung einer Chipkarte durch „negative Adressierung“ EMM=ECM CW . Alle Karten besitzen das gleiche „Geheimnis“ . Deaktivierung einer Hash Karte nur in Kooperation mit dieser möglich . Folge: MAC Okay? . „Infinite Life“-Attacke . Descrambling ohne Chipkarte möglich Adr1 Adr2 Adr3 Adr4 Pay-TV Jörg Schwenk 20 Lehrstuhl für Netz- und Datensicherheit Geschichte der Videocrypt-Hacks 2.24 The *REAL* History of Hacks On VideoCrypt . 2.24a Hack 01: The McCormac Hack . 2.24b Hack 02: The Infinite Lives Hack Quelle: . 2.24c Hack 03: The KENtucky Fried Chip Hack . 2.24d Hack 04: The 07 Ho Lee Fook (8752/8051) http://www.iol.ie/~kooltek/faq.html, . 2.24e Hack 05: The 07 Ho Lee Fook (PIC16C54) 16.8.97 . 2.24f Hack 06: The 07 Ho Lee Fook (PIC16C84) . 2.24g Hack 07: The 07 Season Program . 2.24h Hack 08: The 09 Ho Lee Fook (temporary) . 2.24i Hack 09: The Phoenix / Genesis Blocker . 2.24j Hack 10: The Stable 09 Ho Lee Fook . 2.24k Hack 11: The 09 Battery Card . 2.24l Hack 12: The 09 Season Program . 2.24m Hack 13: The Sam Chisum Hack On Sky 10 PPV . 2.24n Hack 14: The Sky 10 Commercial Phoenix Hack . 2.24o Hack 15: The Megatek 10 Battery Card . 2.24p Hack 16: The Judgment Night PPV Hack . 2.24q Hack 17: The Christmas 1996 Phoenix . 2.24r Hack 18: Season 10 . 2.24s Hack 19: Phoenix 3.50 . 2.24t Hack 20: SkyPIC 10 . 2.24u Hack 21: Sky 10/11 Blocker Pay- TV Jörg Schwenk 21 Lehrstuhl für Netz- und Datensicherheit CA im Entertainment-Bereich . Angriffe auf das Schlüsselmanagement . Blocker filtern Befehle zum Deaktivieren der Chipkarte aus. Pay-TV Jörg Schwenk 22 Lehrstuhl für Netz- und Datensicherheit Videocrypt-Hacks: Der Season-Hack Der „geheime“ PRF-Algorithmus wurde im PC nachpro- grammiert Kerkhoffs ! Pay-TV Jörg Schwenk 23 Lehrstuhl für Netz- und Datensicherheit Videocrypt-Hacks: Der Lötkolben-Hack Quelle: M. Kuhn Pay-TV Jörg Schwenk 24 Lehrstuhl für Netz- und Datensicherheit Sicherheit von NDS VideoGuard: Komplexität des ASIC The best technology available. Custom-designed hardware components include NDS- specific circuits based on high density components to prevent device analysis and re-engineering. http://www.nds.com/ conditional_access/ videoguard_security.html Pay-TV Jörg Schwenk 25 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement Eurocrypt (Nagra, Canal+, Viaccess, ...) Aktivierung einer Chipkarte durch „positive Adressierung“ CW . ECM wird mit SK ECM verschlüsselt EMM übertragen SK . SK wird mit den verschiedenen GKi verschlüsselt in EMM GK1 GK2 übertragen . GKi wird mit den verschiedenen SKj verschlüsselt in EMM übertragen PK1 PK2 PK3 PK4 Pay-TV Jörg Schwenk 26 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA Deaktivierung einer Chipkarte durch „positive Adressierung“ CW . Zum Deaktivieren von ECM Karte 4 müssen GK2 und SK ausgetauscht SK EMM werden. EMM1 enthält neuen GK2 verschlüsselt mit GK1 GK2 PK3. EMM2 enthält neuen SK verschlüsselt mit GK1 . EMM enthält neuen SK 3 PK verschlüsselt mit GK2 PK1 PK2 PK3 4 Pay-TV Jörg Schwenk 27 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA Optimierung der „positiven CW Adressierung“ ECM . n Kunden, m-ärer Baum der Tiefe t SK EMM . n mt-1 . m(t-1)-1 = m log m n - 1 . Funktion (n fest) GK1 GK2 x logxn = (x/ln x) ln n hat Minimum bei x=e . Daher m = 2 oder m = 3 optimal. PK1 PK2 PK3 PK4 Pay-TV Jörg Schwenk 28 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA „Positive Adressierung“ in der Praxis . ECM enthält . ID-Nummer des Kanals, für den sie bestimmt ist . Rechte, die für diesen Kanal benötigt werden (in der Reihenfolge Pay-per-Channel, Prebooked PPV, Impulsive PPV) . Gesichert mit MACSK(ID, Rechte) . EMM-U enthält . Nummer der Gruppe, der die Karte zugeordnet wird . Schlüssel der Gruppe, der die Karte zugeordnet wird . Verschlüsselt mit PKi . Gesichert mit MACPKi(Daten) Pay-TV Jörg Schwenk 29 Lehrstuhl für Netz- und Datensicherheit Schlüsselmanagement/CA „Positive Adressierung“ in der Praxis . EMM-G enthält . Adresse der Gruppe, für die die EMM bestimmt ist . Bitmap der Gruppe . Berechtigung, die die