Тема: Тема для новичков раздела "Модули и карты доступа"

[basic-topic]

Извините, но гости не могут просматривать ссылки. Регистрация или Логин



В настоящее время на рынке цифрового вещания представлено достаточно большое число систем условного доступа (Conditional access systems). Среди них наибольшую популярность приобрели: VIACCESS, IRDETO, CONAX, MEDIAGUARD, NAGRAVISION. Для большинства конечных пользователей цифровых телекоммуникационных систем CAS воплощаются или в виде смарт-карт, или в виде CAM-модулей, которые вставляются в соответствующий разъем интегрированного приемника - декодера (STB) и позволяют пользователю получать доступ к различным информационным сервисам: телеканалам, радиоканалам, Интернет-ресурсам, телеконференциям, "видео по требованию" (VoD) и другим. Однако реально карточки и модули представляют собой только надводную часть "айсберга" под названием "Система условного доступа".

Многие из современных CAS берут свое начало еще в аналоговых спутниковых системах, в которых они выполняли исключительно роль защиты платных телеканалов от несанкционированного просмотра. В этих системах использовалась достаточно примитивная техника перемешивания строк передаваемого изображения по определенному алгоритму. Данный метод получил название "скремблирование", этот термин используется и в настоящее время. Предполагалось, что только легальные приемники могут восстановить исходное изображение с помощью специального оборудования или программного обеспечения. Однако ошибки и недостатки в используемых алгоритмах, развитие средств вычислительной техники и повышенный интерес множества людей к нелегальному просмотру платных телеканалов привели к взлому большинства этих систем. Дальнейшее развитие CAS связано с использованием комбинации методов скремблирования и алгоритмов шифрования, что позволило несколько увеличить степень защиты телеканалов. Примером такой CAS может служить система Videocrypt, интересной особенностью которой является применение генератора псевдослучайных чисел для получения точек инвертации линий изображения. Стартовое значение генератора передается в интервале гашения луча (VBI), который используется в аналоговом телевидении для передачи такой информации, как телетекст.

Перевод спутникового и эфирного вещания в цифровые форматы, в частности, появление и развитие стандарта DVB, открыло перед производителями систем условного доступа новые возможности и горизонты развития. Однако также существенно расширился и спектр задач, которые должны решаться системами условного доступа. Наряду с такими традиционными требованиями, как надежность, масштабируемость и низкая стоимость, стали актуальными такие понятия, как универсальность и контекстонезависимость, то есть возможность применения CAS для защиты широковещательных каналов с различными типами трафика. В связи с появлением услуг для индивидуальных абонентов, например, "видео по требованию", Интернет, телеконференции, огромное значение стали приобретать методы адресации и аутентификации конечных абонентов. Развитие средств вычислительной техники обусловило также качественные изменения криптографических методов защиты широковещательного канала.

В общем случае, современная система условного доступа представляет собой комплекс программно-аппаратных средств, формирующих несколько взаимосвязанных между собой подсистем. К наиболее важным и присутствующим практически в каждой CAS можно отнести следующие компоненты:

подсистема обслуживания абонентов и управления подпиской (SAS);
подсистема генерации и управления ключами (KMS);
подсистема скремблирования и шифрования транспортного потока (ESS);
подсистема безопасности аппартно-программного обеспечения декодера (SRS).

Основные функции SAS можно описать так называемой моделью ААА (authentication, authorization and accounting): Основная задача аутентификации – это подтверждение подлинности используемых декодерами адресов и идентификаторов, а также защита декодеров и смарт-карт от воздействия потоков команд, формируемых третьей стороной. В большинстве существующих реализаций систем условного доступа задача аутентификации решается применением таких криптографических механизмов, как контрольные суммы, сигнатуры, хэш-функции, дайджесты и другие.

Авторизация представляет собой процесс определения прав пользователя на доступ к заданному информационному сервису и формирование на основе этой информации потоков сообщений, управляющих работой адресуемого декодера. Адресация заключается в присвоении каждому легальному пользователю уникального идентификатора (адреса), в большинстве случаев находящегося в ПЗУ электронного устройства (декодера, смарт-карты и т.д.). Кроме того, пользователь может быть отнесен к различным группам, отличающимся по каким-либо признакам: класс подписки, приоритет, возраст, географическое положение, принадлежность к организациям и т.д. Это позволяет провайдерам информационных сервисов производить как индивидуальные, так и групповые адресные операции, что в некоторых случаях способствует существенному сокращению накладных расходов на передачу адресной информации. Задача выбора размерности групповых и индивидуальных адресов, а также выбора способа кодирования принадлежности пользователя к разным группам одновременно, решается в системах управления абонентами по-разному. Определение прав пользователя происходит на основе информации, получаемой из баз данных, поддерживаемых коммерческими службами и выполняющих, собственно, функции учета (accounting) абонентов. Процедуры активации и дезактивации пользователей могут выполняться различными способами. Наиболее простой способ – это выдача всем легальным пользователям электронного устройства (смарт-карты, PCMCIA-модуля и т.д.), содержащего либо ключи, либо алгоритмы, позволяющие декодировать определенные информационные сервисы. Однако при этом способе достаточно сложно проводить операции дезактивации пользователей и управления подпиской. Более сложной, но в тоже время более гибкой и функциональной, является схема управления пользователями, в которой реализуется возможность удаленного управления легальными декодерами. В этом случае управляющие команды либо передаются декодерам через дополнительный наземный канал связи (телефонная линия, IDSL и др.) – режим OUTBAND, либо "замешиваются" в реальный спутниковый или эфирный транспортный поток – режим INBAND. Режим INBAND более применим в современных CAS, так как не требует наличия наземного канала и дополнительного специализированного оборудования в приемнике, однако к недостаткам этого режима можно отнести использование части транспортного потока для передачи служебной информации и возможность перехвата и анализа передаваемой информации третьей стороной. Решением этих проблем на сегодняшний день является интенсивное применение групповых команд и криптографических методов защиты передаваемой информации.

В европейском стандарте DVB для передачи команд и информации SAS предусмотрен и зарезервирован специальный тип информационного потока – EMM (Entitlement management message) и специальная сервисная таблица CAT (Conditional access table), содержащая дескрипторы всех EMM потоков присутствующих в данном транспортном потоке. Структура и содержание EMM не определяются стандартом DVB и зависят от конкретной системы условного доступа, однако в большинстве случаев EMM содержит следующие команды:

активация/дезактивация карты,
разрешение/запрещение доступа к информационному сервису,
изменение/продление подписки,
обновление операционного ключа.

Для защиты от несанкционированного доступа EMM обычно шифруется алгоритмами симметричной (DES) или асимметричной (RSA) криптографии.

Таблицы ECM (Entitlement control message) также зарезервированы стандартом DVB для нужд систем условного доступа. В этих таблицах обычно передаются зашифрованные ключи (CW), необходимые для непосредственного декодирования транспортного потока. В общем случае в ECM, кроме зашифрованных ключей, передается еще идентификатор CAS, идентификатор провайдера информационного сервиса, дата, класс подписки, номер операционного ключа и значение ХЭШ-функции. После проверки прав доступа авторизованный декодер использует хранящийся в его памяти операционный ключ с определенным в ECM-таблице номером и некоторые принятые данные для вычисления значения ХЭШ-функции, которое сравнивается со значением, передаваемым в ECM- таблице. Положительный результат сравнения означает, что использованный операционный ключ актуален и может быть использован для вычисления управляющих слов (CW).

Генерация и распространение ключевой информации — это функции подсистемы KMS, формирующей ECM-таблицы. В большинстве современных CAS используется многоуровневая иерархия ключевой информации.

Мастер-ключи (МК)
Операционные ключи (ОК)
Управляющие слова (CW)


Таб. 1. Иерархия ключевой информации.

[повар]

 Здравствуйте подскажите пожалуйста как зарегить Извините, но гости не могут просматривать ссылки. Регистрация или Логин в метабокс 6???? Не получается ввести DRED ID или я его не там смотрю.!! 


На нижнем уровне такой иерархии используются так называемые управляющие слова (control words), которые применяются непосредственно в алгоритме дескремблирования транспортного потока. Эти ключи меняются достаточно часто, обычно через 10-20 с, что необходимо для исключения возможности атак методом полного перебора. Как было отмечено ранее, управляющие ключи передаются в ECM-таблицах в зашифрованном виде. Для их декодирования применяются операционные ключи (operational keys), которые хранятся в энергонезависимой памяти смарт-карты или декодера. Поскольку для декодирования управляющего слова требуется некоторое время, которое зависит от сложности применяемого в CAS криптоалгоритма и мощности вычислительных ресурсов декодера, то для избежания прерывания звука и изображения в этот момент применяется метод “четных и нечетных ключей”. Суть этого метода заключается в том, что фактически в каждый момент времени в оперативной памяти декодера находятся два CW: "четный" и "нечетный", а каждый закодированный транспортный пакет содержит информационный бит, показывающий какой из ключей надо использовать для декодирования этого пакета. Во время смены ключей фактически меняется только один ключ, который в данный момент не используется для декодирования транспортного потока.

Каждая смарт-карта хранит достаточно ограниченный набор операционных ключей, что связано с небольшим размером энергонезависимой памятью, защищенной от несанкционированного доступа. Эти ключи также могут обновляться. Период их обновления может составлять от нескольких часов до нескольких месяцев. Для обновления операционных ключей CAS используют специальные команды, передаваемые в EMM-потоке. Процедура раскодирования операционных ключей в общем похожа на процедуру получения управляющих слов, однако, в ней используются мастер-ключи. Кроме того, в некоторых CAS для раскодирования CW и OK применяются различные криптоалгоритмы. Мастер-ключи (МК) относятся к самому верхнему уровню ключевой иерархии, являются самыми секретными и хранятся в самой защищенной области энергонезависимой памяти смарт-карты. Эти ключи получаются легальным пользователем вместе со смарт-картой и практически никогда не меняются.

Надежность всей системы условного доступа находится в непосредственной зависимости от надежности всех компонентов, входящих в состав этой системы. Так, например, преимущества, вносимые использованием в CAS устойчивых, проверенных временем криптографических алгоритмов, не смогут спасти от взлома систему, в которой для получения секретных ключей используются "плохие" генераторы случайных чисел. Поэтому немаловажное значение имеет такая функция KMS, как генерация ключевой информации. Существует несколько специальных требований и ограничений, которые оказывают влияние на проектирование генератора практически устойчивых случайных чисел. Основное требование (и ограничение), налагаемое на генератор это то, что он не может быть основан только на одном источнике или на малом числе источников случайной величины. Дополнительно к этому источники не должны быть очень удаленными и не должны быть, с аппаратной и программной точек зрения, очень специфичными. Также генератор должен обладать следующими свойствами:

устойчивость к анализу входных данных,
устойчивость к манипуляциям входными данными,
устойчивость к анализу выходных данных,
защищенность внутренних состояний генератора от любого анализа и восстановления с помощью различных методов,
возможность проверки корректности работы генератора.

В общем случае все возможные шаги должны быть сделаны для уверенности в том, что информация о состоянии генератора никогда не утекает во внешний мир. Любая возможность утечки информации, с помощью которой можно предсказать выходные данные генератора, должна восприниматься как катастрофическая ошибка в проектировании KMS.

Важнейшей, фундаментальной частью любой системы условного доступа является алгоритм скремблирования или шифрования транспортного потока, который нельзя путать с алгоритмами кодирования ключевой информации. Стандарт DVB предусматривает поддержку различных алгоритмов скремблирования, однако рекомендует использовать собственный метод CSA (Common Scrambling Algorithm). Этот алгоритм разработан специально для применения в широковещательных DVB-каналах и поэтому используется в большинстве современных систем условного доступа. Алгоритм CSA не является общедоступным, его детали предоставляются только авторизованным производителям и провайдерам систем условного доступа. Кроме CSA широкое распространение получили различные "быстрые" модификации алгоритма DES. Наиболее существенным недостатком обоих алгоритмов является относительно маленькая длина ключа: номинально в обоих случаях она составляет 64 бита, а реально 56 бит для DES и 48 бит для CSA . Учитывая современную степень развития вычислительной техники, можно утверждать, что оба алгоритма являются потенциально уязвимыми для атак методом полного перебора и поэтому не подходят для защиты информации повышенной степени секретности. Особенно эффективно этот метод применяется при разделении множества возможных значений ключа на несколько подмножеств, перебор значений которых осуществляется параллельно на нескольких вычислительных платформах. В результате общее время перебора находится в обратной зависимости от числа выделяемых подмножеств. Бороться с этим недостатком разработчики CAS пытаются путем уменьшения периода смены управляющих слов, что в свою очередь приводит к увеличению требуемой для передачи сервисной информации полосы пропускания канала связи и соответственно увеличению расходов на эксплуатацию CAS.

Важным аспектом системы условного доступа является разработка безопасных программно-аппаратных средств, позволяющих авторизованному пользователю дескремблировать и дешифрировать получаемую информацию. Термин "безопасность" означает в данном контексте, что программно-аппаратные средства декодера должны быть надежно защищены от несанкционированного воздействия на них третьей стороной. Такое воздействие может выражаться в попытках доступа к внутренней памяти декодера или смарт-карты, анализа протокола обмена между декодером и смарт-картой, эмуляции работы смарт-карты или декодера. Успешный результат таких попыток может с большой вероятностью привести к краху системы условного доступа и огромным финансовым потерям провайдеров.

Одним из основных компонентов технических средств является декодер системы условного доступа, который может представлять собой:

только программную эмуляцию,
только аппаратную реализацию,
программную эмуляцию с поддержкой смарт-карт,
дополнительный декодер, устанавливаемый в специальный разъем интегрированного приемника.

В зависимости от реализации декодер может выполнять алгоритмы дескремблирования либо аппаратными средствами, либо программными, может содержать в своей памяти всю информацию, необходимую для декодирования сервисов, включая секретные ключи, либо содержать только алгоритм дескремблирования и протокол обмена со смарт-картой, в памяти которой находится секретная информация.


Рис. 2. Общая схема процесса декодирования

[Metabox1]

повар
Как Вы собираетесь на Метабокс6 смотреть Триколор ?
В ресивере нет Слота под САМ, модуль DRE вставлять некуда, есть только картоприемник, Вам нуже Метабокс7 + DRE CAM для этой цели.


Каждый из этих вариантов имеет специфические особенности, позволяющие наиболее эффективно и гибко построить декодирующую часть системы условного доступа. Так, например, аппаратная реализация является наиболее быстрым и надежным способом декодирования. Однако приемник с аппаратным декодером будет специализирован под конкретный алгоритм кодирования, что существенно уменьшает функциональность приемника и привязывает его к нескольким провайдерам, использующим эту кодировку. В случае взлома такой системы процедура обновления или восстановления декодирующей части системы условного доступа будет заключаться в замене аппаратных составляющих, что в большинстве случаев либо невозможно, либо связано с большими финансовыми затратами.

Наиболее гибкой и надежной является комбинированная программно-аппаратная реализация, основанная, например, на COMMON INTERFACE (CI) – технологии, широко поддерживаемой разработчиками DVB-оборудования. Доступ к кодированным сервисам осуществляется с использованием дополнительного декодера, устанавливаемого в предусмотренный для этой цели в приемнике разъем. За этим устройством закрепилось название “ Модуль условного доступа” – Conditional Access Module (CAM). В европейском стандарте цифрового вещания DVB заложен принцип аппаратной совместимости модулей условного доступа, предназначенных для различных типов кодировки. Эта возможность реализуется в наличии универсального интерфейса в большинстве цифровых приемников (ресиверов). Таким образом, для просмотра программ в различных системах условного доступа необходимо заменить только модуль условного доступа одной системы кодирования на другой. CI-модули условного доступа производятся для большинства типов систем кодирования, использующихся для дескремблирования DVB-трансляций (Irdeto, Betacrypt, Viaccess, Mediaguard/Seca, CryptoWork, Nagravision, Conax). Абонентская смарт-карта устанавливается в модуль и хранит секретную информацию. Модуль условного доступа является электронным устройством, функционирующим в соответствии с заложенной в нем программой. Программные и технические средства модуля условного доступа обеспечивают выполнение следующих операций:

дескремблирование сервисов, транслируемых в определенной кодировке;
контроль прав пользователя и управление подпиской, осуществляемые посредством обмена информацией со смарт-картой (рис.3.).



Рис. 3. Диаграмма потоков данных
1 — скремблированный транспортный поток
2 — поток команд управления декодером
3 — дескремблированный транспортный поток
4 — поток команд управления ключами ECM
6 — ключи для дескремблирования транспортного потока


CI-интерфейс основан на технологии “клиент-сервер”, приложения (на модуле), как клиент, используют ресурсы, предоставляемые сервером (хостом). CI-процесс, выполняющийся на DVB-приемнике, реализует предоставление ресурсов, то есть функции хоста. На аппаратном уровне обменом различными транзакциями между модулем и ресивером управляет специализированный контроллер CI-интерфейса, который позволяет CI-процессу осуществлять адресный доступ к двум независимым модулям условного доступа. К недостаткам данной реализации можно отнести сложность и высокую стоимость декодирующего оборудования. Наиболее уязвимым местом данной реализации является организация обмена между модулем и смарт-картой. В немалой степени этому способствует развитие и распространение таких эмуляторов, как PHOENIX и SEASON.

Интерфейс PHOENIX представляет собой программно-аппаратное средство эмуляции работы модуля декодера, а интерфейс SEASON предназначен для эмуляции работы смарт-карты. Использование этих интерфейсов позволяет отследить все данные, пересылаемые между модулем и смарт-картой, с целью их последующего анализа и извлечения секретной информации. Таким образом, появляется проблема организации защищенного протокола обмена между модулем декодирования и смарт-картой.

В настоящее время неизвестно ни одной системы условного доступа, для которой не существовало бы методов ее преодоления или обхождения. Стоимость, сложность, необходимые вычислительные ресурсы, требуемое время и принципы этих методов могут существенно различаться, однако все они приводят к одному конечному итогу – краху системы условного доступа. Большинство специалистов, работающих или проводящих исследования в сфере защиты информации, сходятся во мнении, что нельзя создать абсолютно надежную систему защиты информации. Данное утверждение, несомненно, является справедливым и для систем условного доступа к сервисам транспортного потока стандарта DVB. Однако представляется вполне возможным создание такой системы, взлом которой был бы экономически нецелесообразным, то есть затраты на преодоление системы защиты которой были бы много выше стоимости информации, полученной в результате взлома.

Извините, но гости не могут просматривать ссылки. Регистрация или Логин

[повар]

Спасибо за ответ. а как можно открыть остальные каналы??? какую карту надо покупать? 

[Metabox1]

Спасибо за ответ. а как можно открыть остальные каналы??? какую карту надо покупать? 

Какие именно каналы ?
Сейчас без карты, просто на ЭМУ можно смотреть ТПС 13Е, Полсат 13Е, FreeX-TV 13E, Премьеру 19Е и т. д.

[abk]

Не открываются платные каналы у Триколора.(Бесплатный Триколор-ОК).  Ресивер Metabox 7 CICA с DRE модулем и картой. DRE модуль зарегистрировал по 12 знач. номеру карты и активировал карточку доступа к платным каналам.
Может надо номер прописать в ресивере. Как?

[DVBS]

Не открываются платные каналы у Триколора.(Бесплатный Триколор-ОК).  Ресивер Metabox 7 CICA с DRE модулем и картой. DRE модуль зарегистрировал по 12 знач. номеру карты и активировал карточку доступа к платным каналам.
Может надо номер прописать в ресивере. Как?

активация может сутки проходить,оставь ресивер включенным на платном канале на сутки!

[Johny]

Здравствуйте!
У меня лежит хумакс ва фокс и подумал ради интереса какую нибудь карту туда сделать самому!
И если что нибудь знаете про голд карт (заводская ) - её может как нибудь прошить или как подставку под чашку? Просто я искал под неё софт но он что то старый очень.

Посоветуйте пожалуста!

Спасибо большое!!!!

[Kires]

Имеется карта на пакет Орион Экспресс,активирован на Вантеидже 111.Хотел поставить в Опен Х800,но с ходу не показывает.Кто подскажет что надо сделать?

[joker2™]

Имеется карта на пакет Орион Экспресс,активирован на Вантеидже 111.Хотел поставить в Опен Х800,но с ходу не показывает.Кто подскажет что надо сделать?

в меню  условный доступ выбрать ирдето