Netzsicherheit. Teil 7: CSS und DeCSS. Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Transkript

1 Netzsicherheit Teil 7: CSS und DeCSS Prof. Dr. DVD-Kopierschutz 1. DVD-Aufbau und Kopierschutz (ohne CSS) 2. CSS und DeCSS Überblick Die Schieberegister LFSR1 und LFSR2 Angriffe auf die Datenverschlüsselung Key Management Angriffe auf das Key Management Wo kommt die Information her? 2 1

2 Region Code One other detail: Each DVD contains a region code that indicates the region of the world in which it is intended to be viewed. Each player knows the region in which it was to be sold. If the region code of the player doesn t match the region code on the DVD, the player won t deliver the data. This is to help the MPAA ensure that DVDs don t leak out into parts of the world ahead of the first showing, &c. 3 Macrovision 4 2

3 Copy Generation Management System Kopier-Regeln beliebiges kopieren nie kopieren einmal kopieren nicht mehr kopieren Implementierung Bit-Paar im Header eine MPEG Streams Nachteile CGMS-Bits überleben die Umwandlung Digital -> Analog nicht leichte Entfernung der CGMS-Bits möglich 5 DVD-Dateisystem ISO 9660 Dateisystem Einsatz schon bei CD s Nachteile: geringe Verzeichnisstruktur (8) nur 8 Zeichen für Dateiname Nur 3 Zeichen für Datei-Endung UDF Dateisystem basiert auf ISO Norm Standard für DVD einfach und mehrfach beschreibbare Medien Plattformunabhängig 6 3

4 DVD-Dateisystem Einsatz bei DVD-ROM/Video jede DVD hat UDF, aber meistens im ISO 9660 Mantel <=> UDF-Bridge (M-UDF + ISO 9660) 7 DVD-Dateisystem prinzipiell wie DVD-ROM feste Verzeichnisstruktur Erkennung als DVD- Video anhand des VIDEO_TS - Verzeichnisses 8 4

5 DVD-Dateisystem Formatierung der Nutzdaten 9 DVD-Dateisystem Was wird verschlüsselt? Datenframe besteht aus 2064 Byte 4 Byte, ID-Feld 6 Byte, Fehlererkennung 6 Byte, Copyright-Informationen 2048 Byte Nutzdaten Inhalt ID-Feld: 10 5

6 DVD-Dateisystem Was wird verschlüsselt? Datenframe (Sector) besteht aus 2064 Byte 128 Byte unverschlüsselt 11 DVD-Kopierschutz 1. DVD-Aufbau und Kopierschutz (ohne CSS) 2. CSS und DeCSS Überblick Die Schieberegister LFSR1 und LFSR2 Angriffe auf die Datenverschlüsselung Key Management Angriffe auf das Key Management Wo kommt die Information her? 12 6

7 Systemüberblick DVD Player Computer/Host Secret Key DVD Hidden Area Player Keys Secret Key Region Code &c Bus Key Bus Bus Key Per title Title Key Table of Encrypted Disk Keys Disk Key Hash Region Code 13 Die Schlüssel von CSS Authentication Key Dieser geheime Schlüssel (nur einer weltweit?) muss im DVD-Laufwerk und in der DVD Player-Software enthalten sein. Session Key (Bus Key) Dieser Schlüssel wird mit Hilfe der beiden beim Challenge-and-Response- Authentisierungsverfahren ausgetauschten Nonces berechnet Player Key K pi Jeder DVD-Player kann einen oder mehrere der 409 Player Keys K pi (i = 1,, 409) enthalten. Disk Key K d Dieser Schlüssel wird für jeden DVD-Titel neu erzeugt, mit allen 409 Player Keys und mit sich selbst verschlüsselt und auf der DVD abgelegt (hash, dk 1, dk 2,..., dk 409 ). Title Key K t Dieser Schlüssel ist im Header der einzelnen Files auf der DVD, mit K d verschlüsselt, abgelegt. XOR-verknüpft mit dem Sector Key dient er zur Entschlüsselung eines Sektors der Datei. Sector Key Jeder Sektor enthält einen 128-byte Plaintext Header. Die Bytes des Headers jedes Sektors bilden den Sector Key (im Klartext). 14 7

8 Überblick über den Ablauf Step 1: Gegenseitige Authentisierung Challenge-and-Response-Protokoll. Dabei wird der Session Key/Bus Key berechnet. (Einsatzgebiet unklar, spielt für die Sicherheit keine Rolle.) Step 2: Berechnung des Disk Key K d repeat wähle den nächsten im DVD-Player gespeicherten Player Key K pi K d = D A (dk i, K pi ) until K d = D A (hash, K d ) Step 3: Ein Sektor wird von der DVD gelesen. Step 4: Der Title key für diesen Sektor wird mit dem Disk key entschlüsselt. Step 5: Der Sektor wird mit dem XOR von Title key und Sector key entschlüsselt. 15 Linear Feedback Shift Register (LFSR) Pseudozufälliger Bitstrom Der zufällige Bitstrom im One-Time-Pad wird in der Praxis durch einen pseudozufälligen Bitstrom ersetzt. Linear Feedback Shift Register (LFSR) Linear rückgekoppelte Schieberegister sind eine effiziente Methode, um Pseudozufallsfolgen zu erzeugen. Rückkopplung erfolgt über eine lineare (d.h. als Matrix darstellbare) Funktion, i.d.r. das XOR bestimmter Bits. Vorteil 1: Als Geheimnis wird nur ein kurzer Startwert ( Seed ) benötigt. Vorteil 2: Sie produzieren lange, statistisch gute Bitfolgen. Nachteil: Sie sind kryptographisch nicht so stark, der Seed kann aus relativ wenigen bekannten Ausgabebits berechnet werden. (Nonlinear) Feedback Shift Registers Die Rückkopplung ist nichtlinear, um die kryptographischen Eigenschaften zu verbessern. 16 8

9 Generisches FSR output Feedback Feedback-Funktion taps Das Register wird mit einem geheimen Initialwert (Seed) geladen. In jedem Takt wird die Feedback-Funktion ausgewertet; Input sind dabei die Bits des Registers, die durch Taps mit der Funktion verbunden sind. Das Ergebnisbit der Funktion wird in das erste (linke) Bit des Registers geschoben; alle anderen Bitwerte werden um eine Position nach rechts verschoben. Das letzte (rechte) Bit ist das Ausgabe-Bit. 17 CSS: LFSR-17 garbage 17 4 Feedback 15 1 taps Exclusive Or (XOR) output Bit 4 wird mit dem Wert 1 vorbelegt (Vermeidung von Nullzyklen). Die restlichen 16 Bit werden mit 2 Byte des CSS-Schlüssels belegt. Im Gegensatz zum Standardfall wird die Ausgabe der Feedback-Funktion auch als Ausgabe des Registers verwendet; dies ist kryptographisch gleichwertig. 18 9

10 CSS: LFSR-25 garbage 25 Feedback taps Exclusive Or (XOR) output Bit 4 wird mit dem Wert 1 vorbelegt (Vermeidung von Nullzyklen). Die restlichen 24 Bit werden mit 3 Byte des CSS-Schlüssels belegt. Auch hier wird, im Gegensatz zum Standardfall, die Ausgabe der Feedback- Funktion auch als Ausgabe des Registers verwendet. 19 key key CSS: LFSR Addition LFSR-17 8 ticks 1 byte Optional bit-wise inverter 1 byte LFSR-25 8 ticks Optional bit-wise inverter carry-out from prior addition + 8-bit add Output byte carry-out 20 10

11 LFSR Output Inversion Bit-wise Invert Output Of LFSR LFSR-17 LFSR-25 Authentication Yes Yes Disk key No No Title Key No Yes Data Yes No 21 CSS: Data Decryption NOT(LFSR 17) + LFSR25 + carry-out byte Exclusive Or (XOR) Output data byte Input data byte Table-based substitution byte LFSR-17 wird initialisiert mit den Bytes 0 und 1 des Title key, XORed mit den Bytes 80 und 81 des Sektor-Headers. LFSR-25 wird initialisiert mit den Bytes 2, 3 und 4 des Title key, XORed mit den Bytes 82, 83 und 84 des Sektor-Headers. Jedes Output-Byte von LFSR-17 wird bitweise invertiert, bevor es mit einem Output-Byte von LFSR-25 addiert wird. Input-Daten von Ver- und Entschlüsselung werden Tabellen-basiert substituiert

12 O(2 16 )-Attacke mit 6 bekannten Outputbytes XOR carry XOR + 8-bit add Output O(2 16 )-Attacke mit 5 bekannten Outputbytes XOR carry XOR + 8-bit add Output

13 CSS: Key Decryption LFSR 17 + LFSR25 + carry-out 5 Bytes Mangling Function Disk Key Encrypted Disk Key 5 Bytes LFSR-17 wird initialisiert mit den Bytes 0 und 1 des Device key. LFSR-25 wird initialisiert mit den Bytes 2, 3 und 4 des Device key. Die ersten 5 Bytes des Outputs der beiden LFSR fließen in die Mangling-Funktion (nächste Folie) ein. Die 5 Bytes des verschlüsselten Disk key fließen ebenfalls ein. (Title key wird analog entschlüsselt; LFSRs werden mit Disk Key initialisiert, LFSR25 wird invertiert) 25 CSS: Key Decryption Ciphertext Plaintext 26 13

14 CSS: Key Decryption Ciphertext Plaintext 27 CSS: Key Decryption Ciphertext Plaintext 28 14

15 CSS: Key Decryption Ciphertext Plaintext 29 CSS: Key Decryption Ciphertext Plaintext 30 15

16 CSS: Key Decryption Ciphertext Plaintext 31 CSS: Key Decryption Ciphertext Plaintext 32 16

17 CSS: Key Decryption Ciphertext Plaintext 33 CSS: Key Decryption Ciphertext Plaintext 34 17

18 CSS: Key Decryption Ciphertext Plaintext 35 CSS: Hash Decryption hash K d 36 18

19 CSS: Hash Decryption Ziel: Löse die Fixpunktgleichung K d = D A ( hash, K d ) mit Komplexität < O(2 40 ). Vorberechnung (Komplexität 16*2 16 ): for (K2=0x0, K2<=0xFF, K2++){ B(2)=A(1)^F(A(2))^K2; for (B(1)=0x0, B(1)<=0xFF, B(1)++{ C(2)=B(1)^F(B(2))^K2; speichere (K2,B(1),C(2)); } } Sortiere die Liste nach (C(2), B(1)); 37 CSS: Hash Decryption 1. Rate den Startwert (C(1), C(2)) von LFSR1 und berechne die ersten 5 Output-Bytes O 1 (1), O 1 (2), O 1 (3), O 1 (4), O 1 (5) (Komplexität O(2 16 )). 2. Rate B(1) und führe die Berechnungen auf den nachfolgenden Folien durch (Komplexität O(2 8 ))

20 CSS: Hash Decryption hash K d 39 CSS: Hash Decryption hash K d 40 20

21 CSS: Hash Decryption hash K d 41 CSS: Hash Decryption hash K d 42 21

22 CSS: Hash Decryption 3. Verwende die Tabelle, um für die jetzt berechneten Werte von B(1) und C(2) zulässige Werte für K2 zu finden; im Schnitt gibt es davon einen Wert (also keine Erhöhung der Gesamtkomplexität des Algorithmus). 43 CSS: Hash Decryption hash K d 44 22

23 CSS: Hash Decryption Jetzt könnte B(2) berechnet werden; das bringt aber nichts 4. Für die zulässigen Werte für K2 berechne aus [O 1 (1) und K1], [O 1 (2) und K2], [O 1 (5) und K5] die Werte O 2 (1), O 2 (2) und die zwei möglichen Werte für O 2 (5). 5. Durch Erzeugen und Sortieren einer (nur einmal anzulegenden) Tabelle der Größe 2 24, die für jeden Startwert von LFSR2 die zugehörigen Werte O 2 (1), O 2 (2) und O 2 (5) enthält, kann man nun auch den Startwert von LFSR2 und damit C(3), C(4), C(5) erhalten. 45 CSS: Hash Decryption hash K d 46 23

24 CSS: Hash Decryption hash K d 47 CSS: Hash Decryption hash K d 48 24

25 CSS: Hash Decryption hash K d 49 CSS: Hash Decryption hash K d 50 25

26 CSS: Hash Decryption hash K d 51 CSS: Hash Decryption hash K d 52 26

27 CSS: Hash Decryption 6. Wir testen, ob wir C(1), C(2), B(1), {K2} und die richtige Variante von O2(5) geraten haben, indem wir den berechneten Wert von K2 mit dem geratenen vergleichen. 7. Die verbleibenden Werte testen wir mit der Gleichung K d = D A ( hash, K d ). 8. Die verbleibenden (in der Praxis wenigen) Möglichkeiten können durch probeweise Entschlüsselung der Videodaten verifiziert werden. 53 Woher kommt die Information? c-anonymous.c void CSSdescramble(unsigned char *sec,unsigned char *key) { unsigned int t1,t2,t3,t4,t5,t6; unsigned char *end=sec+0x800; } t1=key[0]^sec[0x54] 0x100; t2=key[1]^sec[0x55]; t3=(*((unsigned int *)(key+2)))^(*((unsigned int *)(sec+0x56))); t4=t3&7; t3=t3*2+8-t4; sec+=0x80; t5=0; while(sec!=end) { t4=csstab2[t2]^csstab3[t1]; t2=t1>>1; t1=((t1&1)<<8)^t4; t4=csstab5[t4]; t6=(((((((t3>>3)^t3)>>1)^t3)>>8)^t3)>>5)&0xff; t3=(t3<<8) t6; t6=csstab4[t6]; t5+=t6+t4; *sec++=csstab1[*sec]^(t5&0xff); t5>>=8; } 54 27

28 Quellen für DeCSS Anonymes Posting c-anonymous.c Axboe, Jens, dvd Linux patch, Fawcus, D. and Roberts, Mark, css-auth package, December, Schneider, Bruce, Applied Cryptography, 2ed, Wiley, 1996, p Stevenson, Frank A., Cryptanalysis of Content Scrambling System, 8 Nov. 1999, as updated 13 Nov. 1999, 2.cs.cmu.edu/~dst/DeCSS/FrankStevenson/analysis.html Gallery of CSS Descramblers, 2.cs.cmu.edu/~dst/DeCSS/Gallery/ DeCSS Central, Gregory Kesden, Carnegie Mellon University, / Fall