Adaption eines Conditional Access Systems für Eureka 147 DAB

Transkript

1 Konzepte von Betriebssystem-Komponenten: Schwerpunkt Sicherheit (KVBK) Adaption eines Conditional Access Systems für Eureka 147 DAB (Diplomarbeitsvortrag) Andreas Weißel 1

2 Überblick Conditional Access Systeme HECA - High Efficient Conditional Access Decodermodul Stromchiffrierungen Lineare rückgekoppelte Schieberegister Implementierungen 2

3 Conditional Access Systeme Empfänger (Kunde) Equipment (Software, Hardware) Geld Berechtigungsinformationen Diensteanbieter Conditional Access Kern Datenstrom verschüsselte Nutzdaten Nutzdaten Kundeninformationen Berechtigungsinformationen Broadcast-System 3

4 HECA - High Efficient Conditional Access (1) Sendeseite (Conditional Access Kern) Nutzdaten Verschlüsselung Berechtigungsinformationen Endgerät Broadcast System HECA Multiplexer Kundendaten Verschlüsselung der Daten mit schnell wechselnden "Kontrollwörtern" Kundendaten umfassen Art des Abonnements und Gültigkeitszeitraum Generierung von Berechtigungsinformationen: Freischaltungen, Verlängerungen passive Kündigung 4

5 HECA - High Efficient Conditional Access (2) Broadcast-System Sende System Sender DAB Berechtigungsinformationen verschlüsselte Kontrollwörter verschlüsselte Daten Empfänger Endgerät Drei Nachrichtentypen: Berechtigungsinformationen (Entitlement Management Message - EMM) verschlüsselte Kontrollwörter (Entitlement Control Message - ECM) verschlüsselte Daten Einheitliches Format: SCDL - Smart Card Description Language 5

6 EUREKA 147 DAB Adaption von HECA an Eureka 147 DAB Digital Audio Broadcasting digitales terrestrisches Rundfunksystem fehlerkorrigierende Übertragung digitale Audioprogramme mit unterschiedlicher Bitrate Datendienste (HTML-Seiten, Bilder, Filme...) vorbereitet für den Einsatz von Conditional Access Nettodatenrate max. 1.8 MBit/s Regelbetrieb seit 1998 (u. a. Deutschland) 6

7 HECA - High Efficient Conditional Access (3) Endgerät (Decodermodul) Sende System Broadcast System Decodermodul Descrambler Smart Card entschlüsselte Daten Anwendung Verarbeitung der drei Nachrichtentypen Smart Card als Sicherheitsmodul überprüft und verwaltet Berechtigungsinformationen decodiert bzw. erzeugt Kontrollwörter Descrambler zur Entschlüsselung der Daten 7

8 Decodermodul Library Data-Input-Interface SCDL-Controller Filter (optional) Kontroll- SCDL-Decoder Pos. Liste wörter Neg. Liste RSA 3-DES ECC Descrambler Interface Smart Card Interface Smart Card Reader Data-Output-Interface 8

9 Filter Smart Card ist der Flaschenhals des Systems (niedrige Verarbeitungsgeschwindigkeit und Datenübertragungsrate) Filterung von Nachrichten Nachrichten, die nicht für diese Smart Card codiert sind Nachrichten, die bereits erfolgreich verarbeitet wurden in Abhängigkeit vom erfolgreichen Verarbeiten anderer Nachrichten Realisiert durch Smart Card Id eindeutige Nachrichten-Ids Positiv-Liste (Ids erfolgreich verarbeiteter Nachrichten) Negativ-Liste (Ids nicht erfolgreich verarbeiteter Nachrichten) 9

10 Smart Cards Chipkarte mit Sicherheitslogik Mikrocontroller mit (Krypto-)Coprozessor Speicherplatz 8-64 KBit I/O NPU CPU RAM EEPROM ROM Sicherheit Einsatz kryptographischer Verfahren (Authentisierung, Verschlüsselung) Interne Daten nur über Befehlssatz erreichbar, Zugriffsrechte Schutz vor Angriffen auf die Hardware Messen des Stromverbrauchs (Leistungsanalyse) Speicherdesign (optische Analyse) Ausführungszeit von Kryptoalgorithmen 10

11 Überblick Conditional Access Systeme HECA - High Efficient Conditional Access Decodermodul Stromchiffrierungen Lineare rückgekoppelte Schieberegister Implementierungen 11

12 Stromchiffrierungen Blockchiffrierungen (z.b. DES) verschlüsseln Datenblöcke fester Länge Stromchiffrierungen (stream ciphers) verschlüsseln Bit für Bit: Erzeugen pseudo-zufällige Bitsequenzen mit großer Periode (z.b. "Schlüsselstromsequenz" Klartext Schlüsselstromsequenz = Chiffretext Der Schlüssel initialisiert den Generator Meist einfacheres Design und damit höhere Geschwindigkeit als Blockalgorithmen Bekannte Algorithmen: A5 (GSM), RC4 (SSH), Seal, Wake Häufigste Realisierung: lineare rückgekoppelte Schieberegister Intensiv analysiert; Eigenschaften genau bekannt Effizient in Soft- und Hardware realisierbar Bit) 12

13 Lineare rückgekoppelte Schieberegister (1) Aufbau (Register der Länge L ) b L 1 b L 2 Schieberegister... b 3 b 2 b 1 Ausgabebit b 0 Schlüsselstromsequenz Tap-Bits Bei jeder Taktung: XOR-Verknüpfung der Tap-Bits Shift um 1 nach rechts, dabei Ausgabe des niederwertigsten Bits Ergebnis der XOR-Verknüpfung in speichern b L 1 b 0 Periode abhängig von Tap-Konfiguration (max. 2 L 1) 13

14 Lineare rückgekoppelte Schieberegister (2) 0 Schieberegister Ausgabebit Taps: b 7, b 6, b 3, b 1 und b 0 14

15 Lineare rückgekoppelte Schieberegister (3) 1 Schieberegister Ausgabebit = 0 15

16 Lineare rückgekoppelte Schieberegister (4) Schieberegister Ausgabe bit

17 Lineare rückgekoppelte Schieberegister (5) 0 Schieberegister Ausgabe bit 0 17

18 Lineare rückgekoppelte Schieberegister (6) Schlüssel bestimmt Anfangszustand (Inhalt) und evtl. Tap-Konfiguration Effizienter Algorithmus zur Bestimmung der Tap-Konfiguration Ein einzelnes lineares rückgekoppeltes Schieberegister ist nicht sicher! Kombinationsgeneratoren: Die Ausgabe des Generators ist eine nichtlineare Funktion der Ausgaben eines oder mehrerer Register. taktgesteuerte Generatoren (unregelmäßige Taktung) Korrelationsattacken Gesucht wird eine Korrelation zwischen dem Schlüsselstrom und der Ausgabesequenz mindestens eines Registers. Anfangszustand dieses Registers rekonstruieren Weitere Register untersuchen, bis der gesamte interne Aufbau des Generators offenliegt (divide-and-conquer-attacke). 18

19 Implementierungen Alternating Step Generator unregelmäßige Taktung der Register A und B Attacke auf das Steuerregister möglich; zeitliche Komplexität O 2 L S ( ) S A Takt B Länge der Schieberegister konfigurierbar Tap-Konfigurationen (maximale Periode) abhängig vom Schlüssel Weitere Algorithmen: A5, RC4, Self-Shrinking- und Shrinking-Generator 19

20 A5 (GSM-Verschlüsselungsalgorithmus) Variante A5/1 (USA, Teile Europas) 3 kurze Register (insgesamt 64 Bit) Über eine Mehrheitsfunktion der drei mittleren Register-Bits wird die Taktung der einzelnen Register gesteuert. geheimer Schlüssel auf SIM-Karte (Smart Card) im Handy + Framenummer Effizienteste Attacke (Biryukov, Shamir und Wagner 1999) handelsüblicher PC mit 128 MByte RAM und 4*73 GB Plattenplatz Ermittelt geheimen Schlüssel innerhalb von zwei Minuten. Mithören eines Gesprächs (fast) in Echtzeit möglich! Algorithmus ausreichend sicher ab 128 Bit Gesamt-Registerlänge 20

21 A5 (GSM-Verschlüsselungsalgorithmus) C1 0 Taktsteuerung 21 C C

22 Ausblick Conditional Access System "VIACCESS" der France Telecom nicht erfolgreich. Pilottest für HECA/DAB (200 Zuhörer) Deutsche Telekom AG plant Mitte 2002 Einsatz für DVB ("Digital Video Broadcasting") Datendienste. Integration der Stromchiffrierungen in HECA Realisierung des Decodermoduls in Hardware (ASIC) 22

23 GSM-Verschlüsselung SIM-Karte enthält: K A : geheimer Schlüssel zur Authentisierung und Schlüsselgenerierung A8: Algorithmus zur Erzeugung des Schlüssels A3: Authentisierungsalgorithmus Rand K A A8 SIM- Karte K C TDMA Framenr. Klartext A5 Endgerät Chiffretext 23