HDCP

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 31. ledna 2020; kontroly vyžadují 11 úprav .

HDCP ( High-bandwidth Digital Content Protection ) je technologie ochrany mediálního obsahu vyvinutá společností Intel [ 1] a navržená tak, aby zabránila nelegálnímu kopírování vysoce kvalitního videa přenášeného přes rozhraní DVI (HDCP je volitelná možnost pro toto rozhraní [2] ), DisplayPort (HDCP je pro toto rozhraní volitelný), HDMI , GVIF nebo UDI . Chráněný video signál lze přehrávat pouze na zařízení, které podporuje HDCP.

Šifrovací systém HDCP verze 1.x byl v roce 2010 konečně prolomen (byl obnoven hlavní klíč systému) [3] [4] .

Technologie

HDCP je navržen tak, aby chránil přenos mediálního obsahu mezi HDCP vysílačem a HDCP přijímačem. Technologie také umožňuje použití HDCP opakovačů se zabezpečenými porty pro downstream datový tok (od poskytovatele k zákazníkovi služby). Systém může mít až sedm úrovní opakovačů HDCP a až 128 zařízení kompatibilních s HDCP.

Ochranný systém se skládá ze tří hlavních součástí:

Autentizační protokol
Šifrování dat
Ochrana proti odposlouchávání třetí stranou

Nalezení tajné matrice DCP LLC

Dne 14. září 2010 několik online médií (ZDNet, Engadget) informovalo o faktu otevřeného zveřejnění hlavního klíče HDCP, pomocí kterého můžete vytvářet soukromé klíče pro zařízení HDCP ( soukromé klíče zařízení ) bez pomoci infrastruktury klíčů HDCP operátora ( The Digital Content Protection LLC ) . Zveřejněním hlavního klíče byla neutralizována všechna opatření k odvolání klíčů zařízení, protože místo starého (zrušeného) klíče zařízení lze vždy vygenerovat nový [5] [6] . Není zcela jasné, jak byl hlavní klíč získán, je známo, že ke zveřejnění klíče spolu s návodem k použití došlo prostřednictvím Twitteru a pastebinu . Engadget se domnívá, že útočník mohl použít Crosbyho (2001) metodu.

O 2 dny později, 16. září, Intel (tvůrce HDCP) potvrdil, že tento hlavní klíč je skutečný a že ochrana HDCP byla skutečně porušena [3] [7] [8] . Intel hrozí, že podnikne právní kroky proti každému, kdo vyrábí hardwarová zařízení, která obcházejí ochranu HDCP [9] .

Autentizační protokol

Mezi vysílačem HDCP a přijímačem HDCP se používá ověřovací protokol k ověření, že přijímač je zařízením, které má povoleno přijímat příslušný obsah . Potvrzení – znalost tajné sady klíčů. Každé zařízení HDCP je vybaveno jedinečnou sadou čtyřiceti 56bitových tajných klíčů, nazývaných DPK ( privátní klíče zařízení ), získaných od DCP LLC . Během komunikace zařízení vytvoří sdílené tajemství, které nelze během komunikace odposlouchávat, a toto tajemství je pak použito jako symetrický klíč k dešifrování obsahu HDCP určeného pro ověřené zařízení.

Každé HDCP zařízení ukládá kromě Device Private Keys i odpovídající 40bitový identifikátor - KSV ( anglicky key selection vector , key selection vector ), který stejně jako DPK přijímá od DCP LLC.

Autentizační protokol lze rozdělit do tří částí:

Stanovení sdíleného tajemství
Zpráva opakovače HDCP o vektorech výběru klíčů, připojených přijímačích HDCP
Stanovení počátečního stavu šifry HDCP pro zakódování obsahu rámce (třetí část nastává během vertikálního intervalu , který předchází každému rámci vyžadujícímu šifrování)

První část autentizačního protokolu

Obrázek ukazuje první část autentizačního protokolu. V prvním kroku vysílač HDCP ( zařízení A ) odešle spouštěcí zprávu do přijímače HDCP ( zařízení B ). Zpráva obsahuje KSV vysílače ( Aksv ) a 64bitové pseudonáhodné číslo ( An ) (číslo je generováno funkcí hdcpRngCipher ).

Vysílač může spustit proces ověřování kdykoli, i když ten předchozí právě skončil.

Ve druhém kroku přijímač HDCP odpoví zprávou s KSV přijímače ( Bksv ) a bitem REPEATER , který indikuje, zda je zařízení B opakovačem nebo ne. Vysílač HDCP kontroluje, zda Aksv obsahuje přesně 20 nul a 20 jedniček a není na černé listině.

V této fázi se v obou zařízeních vypočítá společný 56bitový tajný údaj Km a Km' .

Výpočet se provádí následovně:

Ze sady DPK se klíče sečtou podle bitové reprezentace přijatého KSV: pokud je bit roven jedné, použije se odpovídající klíč. Klíče jsou přidány modulo bez přetečení. $2^{{56}}$

Příklad:

Řekněme, že Bksv je 0x5A3. Binární reprezentace je 10110100011.
Zařízení A tedy sečte své tajné klíče na pozicích 0, 1, 5, 7, 8, 10 a vypočítá sdílené tajné Km .

Zařízení B provede podobný výpočet pomocí své vlastní sady tajných klíčů a vektoru volby přijatého ze zařízení A pro výpočet Km' .

Třetí krok používá funkci hdcpBlockCipher k výpočtu Ks , M0 , R0 . Spouštěcí hodnoty pro fungování této funkce jsou Km (nebo Km' ) a zřetězení bitu REPEATER s An ( bit REPEATER označuje, že přijímač HDCP podporuje další přenos HDCP dat, to znamená, že se jedná o opakovač) .

Ks - 56bitový klíč relace pro šifru HDCP
M0 je 64bitová tajná hodnota používaná ve druhé části autentizačního protokolu a také jako pomocný spouštěcí vektor šifry HDCP.
R0' je 16bitová odpověď, kterou video přijímač posílá do HDCP vysílače pro potvrzení úspěchu výměny ověřovací zprávy. Vysílač HDCP musí přečíst R0' nejpozději 100 milisekund po odeslání čísla Aksv do video přijímače, pokud uplynulo více času, pak R0' nelze přečíst.

Pokud byla autentizace úspěšná, pak R0 = R0' , jinak jsou ve většině případů nestejné. Dále s pomocí Ri' získaného během třetí části protokolu bude možné detekovat, že autentizace selhala, v případě, že hodnota R0 chybně indikovala úspěch autentizace.

Druhá část autentizačního protokolu

Druhá část autentizačního protokolu je vyžadována, pokud je přijímač HDCP opakovačem HDCP. Vysílač HDCP vykonává druhou část protokolu pouze tehdy, je -li nastaven bit REPEATER , což znamená, že přijímač HDCP je opakovač HDCP. Tato část protokolu uvádí všechna zařízení KSV připojená k HDCP opakovači downstream: HDCP-chráněné porty, HDCP opakovače, HDCP přijímače. Tento seznam je reprezentován jako souvislá sada bajtů, ve které každý KSV zabírá 5 bajtů zapsaných v přímém pořadí.

Celková délka seznamu KSV = 5 bajtů * počet připojených aktivních HDCP zařízení

Porty chráněné HDCP s neaktivními zařízeními HDCP do sady KSV nic nepřidávají, stejně jako samotný opakovač HDCP, který iniciuje tvorbu seznamu, do ní nepřidává vlastní KSV.

K přidání seznamu KSV přijatého z předchozího opakovače HDCP je vyžadována kontrola integrity. HDCP opakovač, který si vyžádal seznam, vypočítá V a porovná jej s přijatým V' .

V = SHA-1 (seznam KSV || stav B || M0 )

Kde:

Seznam KSV — bitová reprezentace KSV
stav B - bitová reprezentace stavu zařízení B (viz tabulka)
M0 je nějaká tajná hodnota

Všechny bitové reprezentace jsou v přímém pořadí.

Pokud V≠ V' , pak kontrola integrity selže a opakovač HDCP seznam nepřijme. Tím vyprší hlídací časovač a vysílač HDCP bude schopen tuto chybu detekovat.

Kromě sestavování seznamu KSV se topologické informace (počet a hloubka) šíří po stromu zařízení do vysílače HDCP. Počet zařízení ( angl. device count ) se vypočítá jako počet všech HDCP opakovačů a přijímačů od zařízení, které počítá součet. Hloubka pro opakovač HDCP se rovná maximální hodnotě hloubky přijaté z následujících zařízení ve stromu opakovačů HDCP plus jedna. Například pro HDCP opakovač se čtyřmi HDCP downstream cíli je hloubka jedna a počet zařízení čtyři.

Počet zařízení v jednom stromu nesmí překročit 127 a počet úrovní (hloubka) nesmí přesáhnout sedm.

Příklad:

Vysílač HDCP, když detekuje, že byl vysílán bit REPEATER , nastaví 5sekundový hlídací časovač a vyžádá si stav READY HDCP opakovače . Pokud je stavový bit nastaven na 1 (připraveno), vysílač HDCP načte seznam KSV a zkontroluje, zda seznam zařízení nepřekračuje velikost a hloubku specifikovanou specifikací, a poté zkontroluje integritu seznamu výpočtem V . Pokud není splněna některá z podmínek nebo vyprší časovač, ověřování se neprovádí.

Opakovaný pokus se provádí předáním nové hodnoty An a Aksv .

Bitová reprezentace stavu zařízení B

Název pole	Obsazené bity	Popis pole
Rsvd	15:14	Rezervováno. Hodnota je 0.
HDMI_RESERVED_2	13	Rezervováno.
HDMI_MODE	12	Režim HDMI. Když je bit nastaven na jedničku, HDCP přijímač se přepne z režimu DVI do režimu HDMI. Bit se resetuje, když je zařízení zapnuto, restartováno, je připojen nebo odpojen vysílač HDCP nebo přijímač HDCP nepřijal data pro 30 snímků.
MAX_CASCADE_EXCEEDED	jedenáct	Zobrazuje chyby v topologii. Pokud je nastavena na jednu, existuje více než sedm úrovní opakovačů ve stromu zařízení.
HLOUBKA	10:8	Zobrazuje počet úrovní v systému
MAX_DEVS_EXCEEDED	7	Zobrazuje chyby v topologii. Pokud je nastaveno na jedno, je ve stromové struktuře systému více než 127 zařízení.
DEVICE_COUNT	6:0	Celkový počet připojených zařízení. U opakovačů HDCP vždy nula. Toto číslo nezahrnuje samotné opakovače HDCP, ale zařízení k nim připojená.

Třetí část autentizačního protokolu

Třetí část protokolu běží během intervalu vertikálního zatemnění předcházejícího snímku . Každé ze dvou HDCP zařízení vypočítává nová počáteční čísla Ki , Mi a Ri , kde index i představuje číslo rámce, počínaje jedničkou pro první šifrovaný rámec (po dokončení první části ověřovacího protokolu). Index se zvyšuje o jedničku s každým snímkem nebo s každým zašifrovaným snímkem v závislosti na tom, zda je povolen režim ADVANCE_CIPHER . Počítadlo snímků se nezvyšuje, pokud je zařízení HDCP ve stavu HDMI AVMUTE (režim, kdy je zvuk vypnut, pokud dojde ke změnám, které mohou vést k šumu ve zvukovém kanálu [10] ), a nezvyšuje se ani po opuštění tohoto stavu až do prvního zašifrovaného snímku.

Ki je 56bitový klíč používaný k inicializaci šifry HDCP za účelem šifrování nebo dešifrování obsahu HDCP .
Mi je nový 64bitový zdroj pro šifru HDCP.
Ri je 16bitové číslo určené k potvrzení integrity spojení (zvyšuje se každých 128 snímků, počínaje 128).

HDCP vysílač kontroluje Ri' svými vlastními výpočty, aby potvrdil, že video přijímač je schopen správně dekódovat informace. Tato kontrola se provádí minimálně každé dvě sekundy, je také možné číst Ri synchronně při jeho další změně (každých 128 snímků). V tomto případě musí být čtení Ri' dokončeno do jedné milisekundy od okamžiku, kdy vysílač HDCP zahájí tuto akci, pokud z nějakého důvodu operace selže, vysílač HDCP má za to, že přijímač HDCP nebyl ověřen.

Aby se zvýšila pravděpodobnost detekce nesynchronizovaného šifrování, HDCP vysílač a přijímač mohou volitelně podporovat Enhanced Link Verification, ve kterém se provádějí výpočty pro udržení kontroly časování šifry, pokud je přenášen konkrétní pixel.

Režim ADVANCE_CIPHER je volitelný režim, ve kterém se stav šifry a čítač snímků zvyšují po každém snímku v režimu DVI nebo po každém snímku v režimu HDMI (pokud není ve stavu AVMUTE ), bez ohledu na to, zda je šifrování povoleno nebo ne.

Šifrování dat

K šifrování HDCP dochází na vstupu TMDS ( Transition Minimized Differential Signaling , přenos diferenciálního signálu s minimalizací rozdílů úrovní) kodéru a k dešifrování dochází na výstupu dekodéru TMDS. Procedura šifrování sestává z bitového sčítání ( XOR ) datového toku s pseudonáhodnou sekvencí generovanou šifrou HDCP.

Během vertikálního intervalu funkce hdcpBlockCipher připravuje šifru HDCP, aby pro každý pixel vstupního toku vygenerovala klíčově závislou 24bitovou pseudonáhodnou sekvenci. Tyto bity jsou překryty na kanálech TMDS, jak je uvedeno v tabulce pro příklad RGB video streamu.

Šifrované zobrazení streamu

Šifrový výstup	kanál TMDS	Bity video streamu
23:16	2	červená [7:0]
15:8	jeden	zelená [7:0]
7:0	0	Modrá [7:0]

Během intervalu horizontálního zatemnění šifra HDCP znovu přiřadí klíč každých 56 bitů, takže je obtížnější prolomit šifru řádek po řádku.

Šifra HDCP

Celkovou strukturu šifry HDCP lze rozdělit do tří vrstev. První vrstvu tvoří čtyři lineární zpětnovazební posuvné registry ( anglicky linear feedback shift register, LFSR ), jejichž výstup je jeden bit. Pokud je dán klíčový signál opětovného vstupu, pak je tento bit umístěn ve střední vrstvě. Střední vrstva se skládá ze dvou podobných částí. První část, funkce B round , provede jedno kolo blokové šifry pomocí tří 28bitových registrů Bx, By, Bz . Druhá část - funkce K round - je svou strukturou podobná funkci B , ale funguje jako výstup Ky latch (proud 28bitových kulatých klíčů ke kruhové funkci B s frekvencí jedné 28bitové klávesy za hodiny). Ve spodní vrstvě každý cyklus komprimuje čtyři výstupy 28bitových registrů By, Bz, Ky, Kz do 24bitového bloku pseudonáhodné sekvence .

Modul posuvného registru lineární zpětné vazby

Modul lineárního posuvného registru se skládá ze čtyř LFSR různých délek a různých směšovačů ( kombinační funkce ) . Funkce míchání závisí na třech klepnutích ( anglicky tap ) každého registru.

Registrovat polynomy a použité derivace

Registrační číslo	Registrovat polynom	Výstupy používané pro funkci míchání
Registrační číslo	Registrovat polynom	0	jeden	2
3	$x^{{17}}+x^{{15}}+x^{{11}}+x^{{5}}+1$	5	jedenáct	16
2	$x^{{16}}+x^{{15}}+x^{{12}}+x^{{8}}+x^{{7}}+x^{{5}}+1$	5	9	patnáct
jeden	$x^{{14}}+x^{{11}}+x^{{10}}+x^{{7}}+x^{{6}}+x^{{4}}+1$	čtyři	osm	13
0	$x^{{13}}+x^{{11}}+x^{{9}}+x^{{5}}+1$	3	7	12

Funkce shuffle se skládá ze čtyř kaskádových shuffle sítí , z nichž každá obsahuje dva stavové bity . Operace XOR se provádí na jednom z odboček každého ze čtyř registrů , aby se vytvořila vstupní data pro první stupeň sítě. Další registrační odbočky slouží k výběru vstupu do jedné ze sítí. Výstup čtvrté sítě je přidán ( XOR ) jedním klepnutím z každého registru.

Síť s pohybem kanálu

Obrázek schematicky znázorňuje síť s pohybem kanálu. V případě, že síť obsahuje dvojici booleovských hodnot (A, B), vstup je logická hodnota D a výběrový vstup je S, pak hodnota parametru S určuje další stav. Pokud je S nula, pak je výstup A a stav (B, D) je nastaven. Pokud je S jedna, pak výstup je B a stav (A, D) je nastaven.

Ve všech provozních režimech jsou LSFR a funkce prolnutí inicializovány na 56bitové číslo. 60 bitů stavu LSFR používá těchto 56 bitů přímo, plus další čtyři bity. Náhodné sítě jsou inicializovány na stejnou hodnotu.

1bitový výstupní proud funkce blend je jedinými daty získanými z provozu modulu LSFR. Tento tok dodává blokovému modulu materiál pro generování klíčů, pokud je přijat signál k předefinování klíče.

Inicializace posuvných registrů

	Bit	Počáteční hodnota
LFSR3	[16]	Doplnění vstupního bitu [47]
LFSR3	[15:0]	Vstupní bity [55:40]
LFSR2	[patnáct]	Doplnění vstupního bitu [32]
LFSR2	[14:0]	Vstupní bity [39:25]
LFSR1	[13]	Doplnění vstupního bitu [18]
LFSR1	[12:0]	Vstupní bity [24:12]
LFSR0	[12]	Doplnění vstupního bitu [6]
LFSR0	[11:0]	Vstupní bity [11:0]
Náhodné přehrávání sítí	Registrovat A	0
Náhodné přehrávání sítí	Registrovat B	jeden

Blokový modul

Tento modul se skládá ze dvou samostatných součástí nazývaných kruhové funkce . Jedna z komponent, kruhová funkce K, zásobuje druhou komponentu, kruhovou funkci B , proud klíčů. Každá komponenta pracuje s odpovídající sadou tří 28bitových registrů.

Pokud byl přijat signál pro předefinování klíče, pak se bit z výstupního proudu modulu LSFR zapíše do třináctého bitu registru Ky .

S-boxy pro obě kulaté funkce se skládají ze sedmi S-boxů se čtyřmi vstupy a čtyřmi výstupy. Pro kruhovou funkci K jsou S-boxy pojmenovány SK0, SK1.. ,SK6 . Pro kruhovou funkci B jsou S-boxy pojmenovány SB0, SB1.., SB6 . Bit číslo I*7+J registrů Bx nebo Kx je zapsán na I-tý vstup bloku J a bit I*7+J registrů Bz, Kz je přiveden na výstup I bloku J. V tomto případě je bit nula považován za nejméně významný bit.

Difúzní sítě pro kruhovou funkci K jsou uvedeny v tabulce. Je třeba poznamenat, že v žádné difúzní síti nejsou žádné další vstupy pro tuto funkci. Polovina difúzních složek funkce B obsahuje další vstupy, které přijímají bity z registru Ky kruhové funkce K .

Funkce logického ukončení

Registry Ky, Kz, By, Bz tvoří logickou výstupní funkci. Každý z 24 bitů se získá přidáním (XOR) devíti členů, jak ukazuje vzorec níže:

$(B0*K0)\oplus _{2}(B1*K1)\oplus _{2}(B2*K2)\oplus _{2}(B3*K3)\oplus _{2}(B4*K4)\ oplus _{2}(B5*K5)\oplus _{2}(B6*K6)\oplus _{2}B7\oplus _{2}K7$
Kde - XOR , a - logické násobení $\oplus _{2}$ $*$

Příklad: Výstupní bit 0 se vypočítá následovně: $(Bz17*Kz3)\oplus _{2}(Bz26*Kz6)\oplus _{2}(Bz22*Kz0)\oplus _{2}$
$\oplus _{2}(Bz27*Kz9)\oplus _{2}(Bz21*Kz4)\oplus _{2}(Bz18*Kz22)\oplus _{2}$
$\oplus _{2}(Bz2*Kz5)\oplus _{2}By5\oplus _{2}Ky10$

Některé z použitých funkcí

hdcpBlockCipher

Tato sekvence je použita během první části autentizačního protokolu pro generování klíče relace Ks a během vertikálního intervalu předcházejícího zašifrovanému rámci k odvození klíče rámce Ki .

Pořadí činnosti funkce hdcpBlockCipher

Počáteční stavy a výstup hdcpBlockCipher \

Etapa	Akce
jeden	Načtení registrů B a K blokového modulu
2	Vytvoření 48 cyklů registrů
3	Uložení 56 nízkých bitů pro budoucí použití jako Ks, Ki
čtyři	Přesuňte 84 bitů registrů B do K registrů
5	Znovu načíst registr B
6	Inicializace modulu LFSR
7	Žádost o výměnu klíče
osm	Provedení 56 cyklů provozu modulu LFSR a blokového modulu, uložení 64bitové hodnoty Mi během posledních čtyř cyklů
9	Odstranění požadavku na změnu klíče

	Etapa	Takže ty	Počáteční hodnota LFSR (56 bitů)	Počáteční hodnota K	Počáteční hodnota B (65 bitů)	Výstup B (84 bitů)	Funkční výstup
hdcpBlockCipher během ověřování	1-3	48	—	km (56 bitů)	OPAKOVAČ \|\| An	Ks	—
hdcpBlockCipher během ověřování	6-9	56	Ks	Ks (84 bitů)	OPAKOVAČ \|\| An	—	$R0,M0$
hdcpBlockCipher během vertikálního rozsahu	1-3	48	—	Ks (56 bitů)	OPAKOVAČ \|\| $M_{{i-1}}$	$K_{i}$	—
hdcpBlockCipher během vertikálního rozsahu	6-9	56	$Ki$	$Ki$ (84 bitů)	OPAKOVAČ \|\| $M_{{i-1}}$	—	$R_{i},M_{i}$

Pro 8bitová čísla aab je výsledkem zřetězení ab 16bitové číslo, kde a je nejvýznamnější bit a b je nejméně významný bit.

V obou funkcích B a K round lze registry x, y, z chápat jako jeden registr o délce 84 bitů.

Když je požadováno méně než 84 bitů registru, použijí se nejméně významné bity. Pokud je pro inicializaci k dispozici méně než 84 bitů, vyplní se nejméně významné bity a zbývající bity se nastaví na nulu.

Příklad: 65bitový výsledek zřetězení bitu REPEATER a hodnoty An bude zapsán do registrů Bx a By , plus v 9 nejméně významných bitech registru Bz , zatímco horních 19 bitů registru bude vyplněno nulami. Odkud bity Mi a Ri pocházejí, je uvedeno v tabulce výše.

hdcpRngCipher

Tato funkce se používá jako generátor náhodných čísel a funkce musí podporovat metodu, která vám umožní přijímat bity z externího zdroje. Bity musí být externě smíchány s hodnotami registrů (bez výměny). To znamená, že by neměl existovat způsob, jak určit generovanou hodnotu.

Externí zdroj musí mít rozumnou pravděpodobnost nebo entropii . To znamená, že pokud je uvedeno například 1000000 různých cyklů, pak by počet opakujících se čísel mezi 1000000 An neměl překročit 50 %. To odpovídá asi čtyřiceti (za předpokladu, že ) libovolných bitů ze 64. $1000000\cca 2^{{20}}$

Kryptoanalýza

Aby zařízení získala sdílené tajemství, přidají své tajné klíče Ai v závislosti na přijatém klíčovém vektoru. Výsledkem je 56bitový tajný kód Km (vysílač) a Km' (přijímač) a musí být stejné.

Poté, po ověření, přijímač zašifruje příležitost s přijatým klíčem a odešle ji do vysílače. To zase pomocí svého klíče Km zkontroluje , zda je událost zašifrována správně.

Pokud tedy definujeme 40 lineárně nezávislých vektorů (tajných klíčů zařízení), můžeme systém zcela rozbít, protože tyto klíče budou tvořit základ 40rozměrného prostoru tajných klíčů a můžeme sestavit jakoukoli sadu tajných klíčů libovolného zařízení od nich. Na druhou stranu, pokud není všech 40 klíčů lineárně nezávislých, můžeme stále vytvářet určité sady tajných klíčů zahrnutých v nalezeném podprostoru. $A_{1}..A_{{40}}$

Příklad: Předpokládejme, že máme 40 zařízení, u kterých znám jejich klíčové vektory výběru a

(A_{1}\tečky A_{{40}})

sady tajných klíčů , pak v důsledku výměny informací se zařízením,

((A_{1})klávesy\tečky (A_{{40}})klávesy)

který chceme rozlousknout, dostaneme soustavu rovnic:

{\begin{cases}Xkeys*(A_{1})ksv=(A_{1})keys*Xksv\\Xkeys*(A_{2})ksv=(A_{2})keys*Xksv\ \\dots \\Xkeys*(A_{40})ksv=(A_{40})keys*Xksv\\\end{cases}}

jehož vyřešením získáme tajné klíče napadeného zařízení. Vycházíme z předpokladu, že všech 40 klíčových výběrových vektorů ksv je lineárně nezávislých. $(Ai)$

Pokud pokrytý prostor není 40-rozměrný, musí tam být stále mezera. Buď jsou tyto vektory výběru klíčů konstruovány tak, že z nich nebude možné vytvořit základ čtyřicetirozměrného prostoru, nebo potřebujeme více než 40 KSV na pokrytí celého prostoru (každé další zařízení má malou šanci lineární závislosti na již získané množině, přibližně , kde n je rozměr pokrytý prostor) $(Ai)ksv$ ${\frac {1}{2^{{40-n))))$

Správné sady vektoru pro výběr klíče a tajných klíčů zařízení si můžeme vytvořit i sami z lineární kombinace, kterou již známe.

Příklad:

1. Zvolme libovolné zařízení B, pokud B dokáže autentizovat Ai, pak platí rovnost:

(K_{i})m'=(A_{1})keys*Bksv=Bkeys*(A_{i})ksv=(K_{i})m.

2. Nechat

Xksv=a_{1}*(A_{1})ksv+a_{2}*(A_{2})ksv...a_{n}*(A_{n})ksv.

3. Víme, že když zařízení B ověřuje zařízení X , použije se hodnota Km :

Km=Bklíče*Xksv=Bklíče*(a_{1}*(A_{1})ksv+a_{2}*(A_{2})ksv+...+a_{n}(A_{n})ksv) =a_{1}*(A_{1})ksv*Bkeys+...+a_{n}*(A_{n})ksv*Bkeys=a_{1}*(K_{1})m+a+2 *(K_{2})m+...+a_{n}(K_{n})m.

4. To znamená, že když si pamatujeme, že (Ki)'m = Ki pro všechna i , můžeme vypočítat Km' :

Km'=a_{1}*(K_{1})m'+a_{2}*(K_{2})m'+...+a_{n}*(K_{n})m'=a_ {1}*(A_{1})klávesy*Bksv+...+a_{n}*(A_{n})klávesy*Bksv=[a_{1}*(A_{1})klávesy+...+a_ {n}*(A_{n})klíče]*Bksv.

5. Protože volba B byla libovolná, bude to fungovat pro jakékoli B a

Xkeys=a_{1}*(A_{1})keys+...+a_{n}*(A_{n})keys.

Autentizace mezi B a X bude úspěšná. Jediným problémem může být sestavení Xksv tak, aby se skládal z 20 nul a 20 jedniček.

Použití HDCP

Používá se v přehrávačích HD DVD a Blu-ray . Pokud přehrávací zařízení a v případě použití počítače ani software nepodporují HDCP, pak se signál na výstup nepřenese, nebo bude, ale se zhoršenou kvalitou ( příznak Image Constraint Token ) .

Schváleno 4. srpna 2004 americkou Federální komisí pro komunikace ( FCC ) jako „ Digital Output Protection Technology “ .

Tato technologie je podporována systémem Windows Vista .

Podpora HDCP je nezbytným předpokladem pro shodu se značkou „ HD ready “ a její použití je vynuceno zákony USA pro všechny přijímače HD vysílání.

Viz také

AACS
HDTV

Poznámky

↑ Ochrana digitálního obsahu – O DCP , < http://www.digital-cp.com/about_dcp > Archivováno 5. prosince 2009 na Wayback Machine
↑ Specifikace HDCP v1.4 (pdf) (downlink) . Ochrana digitálního obsahu (8. července 2009). Archivováno z originálu 25. února 2012. (neurčitý), Strana 31 0x15, Strana 35
↑ 1 2 Ptačí kiwi. Konec éry. Kryptosystém HDCP byl zcela a kompletně hacknut . Computerra Online (20. září 2010). Získáno 26. září 2019. Archivováno z originálu dne 23. září 2010. (neurčitý)
↑ Nathan Willis. Dopad vydání hlavního klíče HDCP [LWN.net ] . lwn.net (29. září 2010). Staženo 31. ledna 2020. Archivováno z originálu dne 31. ledna 2020.
↑ Adrian Kingsley-Hughes. Ochrana digitálního obsahu s vysokou šířkou pásma (HDCP) může být smrtelně vyřazena (nedostupný odkaz) . ZDNet (14. září 2010). Archivováno z originálu 16. června 2013. (neurčitý)
↑ Lawler, Richard, údajně vydaný „hlavní klíč“ HDCP, trvale odemyká ochranu proti kopírování HDTV . Engadget. Získáno 14. září 2010. Archivováno z originálu 14. září 2010. (neurčitý)
↑ HDTV Code Crack Is Real, Intel potvrzuje , Fox News (16. září 2010). Archivováno z originálu 19. dubna 2012. Staženo 15. ledna 2014.
↑ Intel potvrzuje, že hlavní klíč HDCP je prasklý
↑ Kabelové. " Intel hrozí žalováním každého, kdo používá HDCP Crack Archivováno 22. února 2014 na Wayback Machine ."
↑ Specifikace HDMI 1.3a (PDF), licence HDMI, LLC. (10. listopadu 2006). Archivováno z originálu 29. prosince 2009. Získáno 24. listopadu 2009. , Sekce: 5.3.6 General Control Packet

Odkazy

Organizace Digital Content Protection LLC (anglicky) (odkaz není k dispozici) . — Oficiální web organizace, která technologii licencuje. Archivováno z originálu 25. února 2012.
Digital Content Protection LLC. Specifikace HDCP v1.4 (anglicky) (downlink) . — Specifikace technologie HDCP. Archivováno z originálu 25. února 2012.
Scott A. Crosby. Zjevné nedostatky ověřovacího protokolu HDCP (anglicky) (downlink) . - Chyby zabezpečení v autentizačním protokolu HDCP. Archivováno z originálu 25. února 2012.
Keith Irwin. Čtyři jednoduché kryptografické útoky na HDCP (anglicky) (nedostupný odkaz) . - Čtyři jednoduché útoky na HDCP. Archivováno z originálu 25. února 2012.
Scott Crosby, Ian Goldberg, Robert Johnson, Dawn Song, David Wagner. Kryptoanalýza HDCP (anglicky) (nedostupný odkaz) . — Podrobná kryptoanalýza HDCP. Archivováno z originálu 25. února 2012.

optický disk
obecná informace	optický disk Obraz optického disku , obraz ISO Emulátor optické mechaniky Programy Záznamové technologie Režimy nahrávání Záznam paketů
Typy optických disků	Laserdisc / Laserdisc Kompaktní disk / Kompaktní disk (CD): Audio CD , 5.1 Music Disc , Super Audio CD , Photo CD , CD-R , CD-ROM , CD-RW , CD Video (CDV), Video CD (VCD), Super Video CD , CD+G , CD-Text , CD-ROM XA , CD-Extra , CD-i Bridge , CD-i MiniDisc / MiniDisc : Hi-MD DVD : DVD-Audio , DVD-R , DVD+R , DVD-R DL , DVD+R DL , DVD-RW , DVD+RW , DVD-RW DL , DVD+RW DL , DVD-RAM , DVD-D , DVD ENAV Blu-ray Disc (BD): BD-R , BD-RE , BD-ROM HD DVD CH DVD HD VMD UDO UMD Holografická paměť : HVD 3D optické úložiště dat
Formáty	Duhové knihy Souborové systémy ISO 9660 Joliet skalní hřeben Rozšíření Amiga Rock Ridge El Torito Apple rozšíření ISO9660 HFS , HFS+ Univerzální formát disku Mount Rainier
Ochranné technologie	AACS , HDCP , MMC css RPC SafeDisc StarForce