Semesterarbeit zu dem Thema:

Premiere BetaCrypt (Irdeto)

Das (alte) dedizierte Verschlsselungsverfahren auf
der D-BOX

Hochschule Bremen ~ Labor fr Computertechnik

Wintersemester 2004 / 05

Vorgelegt von: Dany Drygalla

Andreas Haase

Hochschullehrer: Prof. Dr. Th. Risse

Seite 1 von 23
1 Inhaltsverzeichnis

1 Inhaltsverzeichnis ...........................................................................................................2
2 Abbildungs- und Tabellenverzeichnis .............................................................................3
3 Einfhrung berblick .................................................................................................4
3.1 Geschichte des Bezahlfernsehens in Deutschland ....................................................4
4 Analoge Verschlsselungsverfahren ...............................................................................5
4.1 Beispiel Nagravision / Syster ..................................................................................5
4.2 Eurocrypt ................................................................................................................6
4.3 Videocrypt I /II .......................................................................................................7
5 Digitale Verschlsselungsverfahren ...............................................................................9
5.1 Allgemeines ............................................................................................................9
5.1.1 DVB................................................................................................................9
5.1.2 Conditional Access System ...........................................................................10
5.1.3 Smartcard......................................................................................................11
5.1.4 Entitlement Management Messages...............................................................12
5.1.5 Entitlement Control Messages .......................................................................12
5.1.6 Common Scrambling Algorithmus (CSA) .....................................................12
5.2 Irdeto / Betacrypt ..................................................................................................13
5.2.1 Nano Codes...................................................................................................16
5.3 Irdeto II.....................................................................................................................17
5.4 Viaccess................................................................................................................17
5.5 Cryptoworks .........................................................................................................17
5.6 SECA....................................................................................................................17
5.7 SECA II ................................................................................................................18
5.8 Nagravision digital................................................................................................18
6 Angriffe auf das Schlsselmanagement System.............................................................20
6.1 Modifizierte originale Smartcards .........................................................................20
6.2 Chipkartenemulator...............................................................................................22
6.3 Season-Interface....................................................................................................22
7 Quellen und Literaturverzeichnis ..................................................................................23

Seite 2 von 23
2 Abbildungs- und Tabellenverzeichnis
Abbildung 1: Beispiel: Nagravision Verschlsselung (Syster) mit 16 Zeilenblcken...............5
Abbildung 2: Theoretische Aufzeichnung eines PAL/D2MAC Signals ...................................6
Abbildung 3: Videocrypt verschlsseltes Bild.........................................................................8
Abbildung 4: Blockschaltbild eines DVB Transport Stream (TS) Paketes...............................9
Abbildung 5: VIACCESS CAM Modul................................................................................11
Abbildung 6: Key Austausch bei Irdeto ................................................................................14
Abbildung 7: Beispiel: geloggte Master-Keys aus dem Satellitensignal bei der IRDETO
. Verschlsselung ..............................................................................................15
Abbildung 8: Irdeto EMM Stream .......................................................................................16
Abbildung 9: Angriffszyklus bei modifizierten originalen Smartcards ..................................21
Abbildung 10: iCard .............................................................................................................22
Abbildung 11: Season-Interface............................................................................................22

Seite 3 von 23
3 Einfhrung berblick 1
3.1 Geschichte des Bezahlfernsehens in Deutschland

Zu Beginn der neunziger Jahre gab es nur einen einzelnen analogen Pay-TV Kanal in
Deutschland. Dieser Kanal war mit dem Verfahren Nagravision I (SYSTER) verschlsselt.
Die Verschlsselung basierte im Prinzip auf einer zuflligen Vertauschung von
normalerweise aufeinander folgenden Bildzeilen. Der Ton wurde noch unverschlsselt
bertragen.
Die ntigen Decoder gab es nicht auf dem freien Markt zu kaufen; Sie waren nur ber
Fernseh-Fachhndler zur Miete erhltlich.
Doch war es im Laufe der Zeit (ca. 1998) mit immer leistungsfhigeren und PCs (etwa ab
dem Leistungsniveau eines Intel Celeron Prozessors mit 400Mhz und 64MB SDRAM) fr
den Privatanwender mglich, die Verschlsselung durch Analyse des verschlsselten Bildes
mit illegal erhltlicher Software in Echtzeit zu umgehen. Die Entwickler machten sich dabei
die Tatsache zu nutze, dass ein unverschlsseltes Fernsehbild als Ganzes zwar viele
unterschiedliche Informationen beherbergt, benachbarte Zeilen jedoch nahezu identische
Informationen (Helligkeit, Farbe) enthalten. Die Software analysierte diese Zeileninhalte und
konnte dadurch die Bildzeilen wieder in die richtige Reihenfolge bringen. Dieses Sortieren
konnte umso besser gelingen, je mehr unterschiedliche Informationen das Bild selbst enthielt.
Im Umkehrschluss bedeutet dies, dass der Sortier-Algorithmus jedoch Schwierigkeiten bei
Fernsehbildern hatte, die als Ganzes nur wenig Unterschiede enthalten, z.B. der Rasen auf
dem Fuballfeld, eine dunkle Szene in einem Film oder der Abspann bei Kinoverfilmungen.
1996 wurde der erste digitale Fernsehsender, DF1, von der Kirch-Gruppe ins Leben gerufen.
Die im Vorfeld massiven Marketing-Manahmen stieen bei den Verbrauchern zu diesem
Zeitpunkt jedoch nur auf geringe Resonanz. Das Verschlsselungssystem basierte auf
IRDETO.
Als Antwort auf die vielen analogen Schwarzseher startete Premiere, zunchst im parallelen
Betrieb mit dem analogen System Nagravision, sein digitales Fernsehprogramm. Zahlende
analoge Kunden sollten unterdessen zu gnstigen Konditionen auf den Umstieg zu
Premiere Digital bewegt werden.

Im Jahr 1999 bernahm Premiere DF1 und dessen Verschlsselungssystem IRDETO.

Premiere hatte jedoch auch finanzielles Interesse daran, seine eigenen Digital-Receiver zu
vertreiben, mit denen nur Premiere und die Free-To-Air Programme empfangbar sein
sollten. Mit dem reinen IRDETO wre dies jedoch nicht mglich gewesen, da es bereits
einige Receiver auf dem freien Markt gab, die IRDETO untersttzten. Anders herum htte ein
Kunde die Mglichkeit, den Receiver von Premiere fr andere (evtl. zuknftige) Pay-TV
Anbieter einzusetzen, wenn diese ebenfalls die IRDETO -Verschlsselung lizensierten.
Deshalb wurde IRDETO von einer Tochtergesellschaft, BetaResearch, zu BetaCrypt
modifiziert. Es gibt jedoch einige IRDETO - Receiver auf dem Markt, die auch in der Lage
sind, BetaCrypt zu dekodieren.

1
http://www.iswitch.ch/ma.pdf

Seite 4 von 23
4 Analoge Verschlsselungsverfahren 2
Die Zeit des analogen Fernsehens neigt sich dem Ende zu. In der Welt des
Satellitenfernsehens geschieht dies viel schneller, als fr den Zuschauer am Kabelanschluss.
Mit dem Wegfall des analogen Fernsehens verschwinden auch die analogen
Verschlsslungssysteme, da diese fr digitale bertragungen nicht mehr gebraucht werden
knnen. Im Gegensatz zu digital codierten bertragungen, wo man nur einen schwarzen
Bildschirm sieht, kann man bei analog codierten bertragungen das codierte Bild tatschlich
sehen. Es drngt sich die Frage auf, wieso man ein digital gesendetes Bild nicht einfach
analog codiert bertrgt. Der Grund liegt im Bildkompressionsverfahren MPEG2, welches
bei digitalen bertragungen eingesetzt wird. MPEG2 verndert das Bild fr den Menschen
zwar nur unscheinbar, fr die analogen Decoder hingegen, gehen wichtige Informationen
verloren, die eine entschlsselte Darstellung eines digital komprimierten und analog codierten
Bildes unmglich machen. Bei analogen Verschlsslungssystemen ist es blich, dass nur das
Bild verschlsselt wird. Den Ton kann man selbst ohne den entsprechenden Decoder hren.
Obwohl analoge Verschlsslungsverfahren heute praktisch keine Rolle mehr spielen, haben
sie vor einigen Jahren noch eine groe Verbreitung gehabt. Dabei wurden in Europa vor allem
drei Systeme eingesetzt: Eurocrypt (vorwiegend in Skandinavien), Nagravision/Syster
(Deutschland/Frankreich u.a.) und Videocrypt I/II (Grobritannien).

4.1 Beispiel Nagravision / Syster 3

Hierbei handelt es sich um eine Schweizer Entwicklung aus dem Hause Kudelski. Das
System arbeitet mit Zeilenvertauschungen. Bei Nagravision werden die Zeilen eines
Halbbildes nach einem bestimmten Schema vertauscht (lineshuffling). Bei einem
Beispielbild von 16 Zeilenblcken, sind bei diesem Verfahren 32768 (2n-1 216-1 = 215)
verschiedene Zeilenpermutationen mglich. Das System holt die Informationen auch aus der
Austastlcke und decodiert ber eine Smartcard. Allerdings ist Nagravision das wohl am
einfachsten zu knackende System berhaupt. Dabei ist weder die Smartcard noch der
Decoder an sich notwendig. Es gengt ein Sat- Receiver (bei Kabelempfang entfllt auch
dieser) und ein Computer mit einer analogen TV- Karte. Der Rechenaufwand bei
Decodierung von Nagravision auf dem Computer ist um ein Vielfaches geringer als bei
Videocrypt. Es wird dabei eine annhernd perfekte Bildqualitt erzielt.

Abbildung 1: Beispiel: Nagravision Verschlsselung (Syster) mit 16 Zeilenblcken

2
http://www.imn.htwk-leipzig.de/%7Edittmann/vorles-mm-02-studenten-folien-2perpage-1.pdf, Seite 64 ff
3
http://www.cl.cam.ac.uk/~mgk25/nagra.pdf

Seite 5 von 23
Die Vorgehensweise des PC-Decoderprogramms ist einfach:
Es sucht im verschlsselten Halbbild nach auseinander liegenden Bildzeilen, die im
unverschlsselten Halbbild nebeneinander liegen knnten. Findet es solche, dann fhrt die
entsprechende Vertauschung dieser Position zum richtigen Bildteil.
Es mssen natrlich mehrere Zeilen analysiert werden, um festzustellen, ob eine vermutete
Permutation auch die richtige ist. Analysiert werden im eigentlichen Sinne z.B. die Luminanz
der einzelnen Bildpixel: Ist die Luminanzdifferenz klein, so ist es wahrscheinlich, dass die
Zeilen beieinander liegen. Damit diese Methode funktioniert, bedarf es gewissen
Voraussetzungen beim Fernsehbild: Nahe bei einander liegende Zeilen mssen eine hnliche,
weiter entfernte eine unterschiedliche Luminanz haben. Dies fhrt bei der Decodierung von
bertragungen von z.B. Fuballspielen zu Problemen, da dort praktisch das gesamte Bild
grn ist.

4.2 Eurocrypt

Die Eurocrypt-Verschlsselung wird nur auf in D2MAC gesendete Signale eingesetzt.

D2MAC (MAC = Multiplex Analog of Components) ist ein halbdigitales, hochwertiges
Fernsehsystem, welches auf PAL aufbaut. D2MAC ist die neuste Version der MAC-
Entwicklungsreihe (A-MAC, B-MAC, C-MAC, D-MAC). D2MAC wurde speziell fr den
Einsatz bei Satellitenbertragungen entwickelt. Es ist in einigen Punkten dem konventionellen
PAL-System berlegen:

Bessere Nutzung der Satelliten- Signalstrke

Digitale Audio-bertragung (Nicam-Stereo)
bertragung zustzlicher Dienste (z.B. Untertitel, Videotext, Eurocrypt)
16:9-Darstellung mglich
Grere Video-Bandbreite ermglicht bessere Bildgenauigkeit/-schrfe

Abbildung 2: Theoretische Aufzeichnung eines PAL/D2MAC Signals

Seite 6 von 23
Dabei macht sich D2MAC die so genannte Time Division Multiplexing-Technologie zu
Nutze. Wie in der Grafik zu sehen ist, werden dabei Audio, Chrominanz und Luminanz
nacheinander, statt gleichzeitig, wie bei PAL, bertragen.

Zurzeit werden noch zwei Unterarten von Eurocrypt verwendet: Eurocrypt-M und Eurocrypt-
S2. Bei letzterer kommt eine 56-bit DES Verschlsselung zum Zug. Die neueste
Entwicklung Eurocrypt-S3 (mit 168-bit Triple-DES) wird seit der Abschaltung des
analogen Canal+ -Signals nicht mehr verwendet.

Eurocrypt bildete dann spter in gewissen Aspekten die Grundlage fr das digitale
Verschlsselungssystem Viaccess.

Die Funktionsweise des Eurocrypt-Systems ist seit langer Zeit bekannt. Dies hat dazu gefhrt,
dass die zum Empfang bentigten DES-Schlssel und die weiteren bentigten Codes
geknackt wurden. Derzeit gibt es aber nur noch eine kleine Anzahl Programme, die in
D2MAC senden, so dass Eurocrypt nicht mehr weiter interessant ist.

4.3 Videocrypt I /II

Die Videocrypt Verschlsselung vollzieht sich auf der Ebene der Bildzeilen. Jede einzelne
Bildzeile wird mehr oder weniger zufllig an einem von 256 mglichen Punkten in zwei
Stcke zerhackt und verschoben. Zustzlich werden diese Codierungsdaten verschlsselt in
der Austastlcke des Bildes mit gesendet. Diese ist Teil des Fernsehbildes, auf dem
Fernseher jedoch nicht sichtbar. In der Austastlcke werden auch andere Daten, wie zum
Beispiel Videotext bertragen. Ist ein Videocrypt-Decoder an den Sat-Receiver
angeschlossen, erkennt dieser die Videocrypt- Daten der Austastlcke und sendet diese an
die eingesteckte Smartcard weiter. In der Smartcard werden die Daten dann durch einen
Algorithmus entschlsselt und dann an den Decoder zurckgeleitet, der die Bildzeilen dann
wieder an den richtigen Ort verschiebt. Die beiden Systeme Videocrypt I/II unterscheiden
sich nur geringfgig durch interne Codierungsmechanismen voneinander. Die meisten
Decoder konnten VC1 und VC2 decodieren. Es existierte noch eine dritte Form von
Videocrypt namens SoftVideocrypt. Programme, welche nur softcodiert gesendet wurden (der
bekannteste war wohl Channel 5 auf Astra) bedurften keiner Smartcard, um decodiert zu wer-
den. Ein VC-Decoder allein reichte schon.
Das Videocrypt-System wurde eigens von Rupert Murdochs Imperium BSkyB entwickelt und
fr dessen Programmplattform verwendet.

Im Laufe der Zeit wurde das System mehrmals geknackt, aber immer wieder durch neue
Kartengenerationen neu abgesichert. Zuletzt galt das System als sicher. Die einzige
Angriffsmglichkeit stellte dann noch eine Brute-Force-Attacke dar, welche aber eher
schlechte Bildqualitt erzielte und dazu auch nur wenige Bilder pro Sekunde erzeugen konnte.
Die Abschaltung des letzten Transponders des analogen Sky- Programms auf Astra bedeutete
auch das Ende von Videocrypt.

Seite 7 von 23
Abbildung 3: Videocrypt verschlsseltes Bild

Seite 8 von 23
5 Digitale Verschlsselungsverfahren 4
5.1 Allgemeines
5.1.1 DVB
Das DVB-(Digital Video Broadcasting-) System ist derzeit der weltweit akzeptierte Standard
fr die digitale bertragung von Fernseh- und Radiosendungen sowie sonstigen Daten, z.B.
Internet per Satellit. Dieser Standard beschreibt im Wesentlichen, welche
Modulationsverfahren auf physikalischer Ebene in Abhngigkeit des bertragungsweges
angewendet werden. Durch die Anwendung unterschiedliche Modulationsverfahren soll
sichergestellt werden, dass fr unterschiedliche bertragungswege jeweils die optimale
bertragungsqualitt und Datenrate verfgbar ist.

Die Video-Signale werden digitalisiert nach MPEG-2. Besonderes Kennzeichen von digitalen
Video-Netzen ist, dass die Daten in Blcken oder Containern (Transport Stream (TS) Pakete)
bertragen werden. Dazu dienen die MPEG-2-Transport-Strme. Dabei werden Blcke 188
Bytes gebildet. Die ersten 4 Bytes davon fungieren als Synchronisations-Byte (Wert 47h), als
Meldebits fr Fehler, ob die Nutzdaten (auch Payload genannt) verschlsselt sind und fr die
Kennzeichnung des Paketes (13 bit PID).

Abbildung 4: Blockschaltbild eines DVB Transport Stream (TS) Paketes

Wesentliche Kennzeichen der digitalen Video-Signale sind:

- durch Komprimierung stark reduzierte Datenrate (von 166 Mbps auf 4 Mbps)
- bertragung als Transport-Strme, in 188 Byte langen Blcken
- Multiplexen, d.h. Zusammenbringen verschiedener Programme (in einen
Transportstrom, Anm. des Autors), bestehend aus Bild, Ton und Daten
- logische Trennung der Kanle mittels Packet Identifier (PID)

4
http://www.tjaekel.de/dvb.htm, 2005-01-23

Seite 9 von 23
5.1.2 Conditional Access System 6
Conditional-Access-Systeme (im Folgenden CAS genannt) werden zum Dekodieren von
Programminhalten beim digitalen Fernsehen auf Kundenseite eingesetzt, um eine selektive
Entschlsselung bezglich einzelner Sender(-gruppen) und Zuschauer zu ermglichen.
Diese CA-Systeme bilden die Schnittstelle zwischen dem verschlsselten DVB-Datenstrom
und der Smartcard des Benutzers (oder Abonnenten). Sinn und Zweck jedes dieser Systeme
ist es, ein gltiges acht Byte langes Kontrollwort (CW) zu generieren, das den Datenstrom
(Die Nutzlast (Payload) im Transport Stream Paket, Anm. des Autors) entschlsselt.
Verschlsselt wurde vorher immer mittels des so genannten Common-Scrambling-
Algorithmus 8.

Unabhngig vom verwendeten CA-System, muss sich zur Entschlsselung immer ein
eindeutiges CW ergeben. Das ermglicht unter anderem die Verwendung von mehreren CA-
Systemen zur Entschlsselung ein und desselben Datenstroms (Simulcrypt). Der eigentliche
Dekodierungsvorgang erfolgt dann unabhngig vom verwendeten CA-System. Dieser Aufbau
ist ntig, um die Empfangsgerte (auch Receiver) unabhngig vom eingesetzten CA-System
bauen zu knnen. Das verwendete Verfahren wird dann mittels eines Conditional-Access-
Modul (CAM) in den Receiver eingesetzt. Die etablierte Schnittstelle fr CAMs ist das
Common Interface. Die Smartcard, die der Kunde von seinem Anbieter erhlt, wird dann
entweder direkt in das CAM eingeschoben, oder in einen Kartenleser, der mit dem CAM in
direkter Verbindung steht. Das CAM hat die Form und Baugre einer PCMCIA-Karte,
findet sich aber auch als Softwarevariante oder als fest eingebaute Hardwarelsung (zum
Beispiel in der D-Box als ASIC, Anm. des Autors).

Zustzlich zur Information, die sich schon auf der Karte des Kunden befindet, senden alle
diese Verfahren noch Steuercodes ber den eingehenden Datenstrom. So ist ein eigener
Teilbereich (PID) reserviert, mittels denen der Anbieter neue Schlssel an die Kundenkarten
verteilen bzw. Kundenkarten aktivieren oder deaktivieren kann. Diese Steuercodes werden
mit Entitlement Management Messages (EMM) und Entitlement Control Messages
bezeichnet. Mit diesen Steuercodes wird das vom Anbieter verschlsselte Control Word fr
den CSA-Descrambler zum Decoder bermittelt. Das Control Word muss verschlsselt zum
CA-System bertragen werden. Ansonsten liee sich dieses Control Word in einem
modifizierten Decoder filtern und unter Umgehung des CT-Systems zum Descrambler leiten.
Die Steuercodes dienen ebenfalls der Fernkonfiguration des Conditional Access Systems,
bzw. der Smartcard und werden in 5.1.4 und 5.1.5 genauer beschrieben.

6
http://de.wikipedia.org/wiki/Conditional_Access_System, 2005-01-25

Seite 10 von 23
 Abbildung 5: VIACCESS CAM Modul

5.1.3 Smartcard
Die Smartcards entsprechen der Beschreibung im ISO7816 Standard.
Die Smartcard ist eine so genannte asynchrone Ausfhrung im Scheckkartenformat. Diese
Karten besitzen einen Mikroprozessor sowie einen EEPROM als Datenspeicher. Asynchron
bedeutet, dass auf die im EEPROM der Karte gespeicherten Daten nur ber den
Mikroprozessor zugegriffen werden kann. Durch diesen Kontrollmechanismus sind die
sensiblen Daten auf dem EEPROM der Karte vor fremden Zugriffen geschtzt. Der
Mikroprozessor enthlt Kryptographische RSA- und DES- Einheiten, mit deren Hilfe
chiffrierte, per Steuercode eingehende Daten, insbesondere neue Schlssel, entschlsselt im
EEPROM abgelegt werden.

Die Smartcard dient im CA-System als Dekodierkarte fr die in den Steuercodes enthaltenen
Daten und enthlt mehrere Schlssel:
- einen signierten Plain Master Key (PMK). Mit Hilfe dieses Schlssels dechiffriert die
Smartcard neue
- Service Keys

blich sind bis zu zehn Service Keys im EEPROM der Smartcard. Mit Hilfe eines gltigen
Service Keys entschlsselt der Mikroprozessor auf der Smartcard das Control Word fr den
CSA-Descrambler.

Warum aber zehn Schlssel, wenn doch ein einziger Service Key zum Entschlsseln des
Control Words gengt? Die Service Keys stellen konkret die primre Berechtigung fr
einzelne Services dar (Ein gltiger Schlssel berechtigt grundstzlich zum Empfang eines
Services (zum Entschlsseln des Control Words), deshalb der Ausdruck Service Key). Ein
Service bedeutet konkret ein einzelnes Programm oder eine Gruppe von Programmen eines
Anbieters. Gibt es nur einen generischen Service Key zum Entschlsseln aller Control Words,
wren also entweder alle Programme eines Anbieters empfangbar oder gar keins, wenn der
Schlssel ungltig ist. Z.B. eine Technik wie Pay per view lsst sich damit nicht sinnvoll
umsetzen, da hier der Service Key nur zur Laufzeit der vorbestellten Sendung gltig sein darf.
Die Vergabe verschiedener Service Keys ermglicht dem Anbieter erst, Programm-Pakete mit
unterschiedlichem Umfang (und Preisen!) dem Kunden zur Verfgung zu stellen.

Seite 11 von 23
5.1.4 Entitlement Management Messages
Mit EMMs werden
- ein einzelner Decoder oder eine Gruppe von Decodern adressiert
- Berechtigungen zum Empfang von einzelnen Kanlen eines Anbieters entzogen oder
vergeben
- die Smartcard aktiviert oder gesperrt
- neue gltige Service Keys auf die Smartcard geschrieben. Mit Hilfe der Service Keys
entschlsselt der Mikroprozessor auf der Smartcard das Control Word fr den CSA-
Descrambler.

EMMs werden ber je einen gesonderten logischen Kanal (PID) im Transport Stream zu der
Smartcard im Decoder bermittelt. Die PIDs von EMMs werden in einer so genannten
Conditional Access Table verwaltet, die jeder Decoder nach dem Einschalten aufbaut. Die
Eintrge fr die Conditional Access Table werden vom Anbieter ebenfalls durch einen
gesonderten logischen Kanal im Transport Stream mit PID 0x01h bertragen. Die EMMs sind
chiffriert und werden mit Hilfe des so genannten Plain Master Key (PMK) vom
Mikroprozessor auf der Smartcard entschlsselt. Dieser Schlssel befindet sich nur auf der
Smartcard. Wrden EMMs im Klartext bertragen, lieen sich smtliche EMM-Steuercodes
genau wie die Service Keys aus dem Transport Stream auslesen. Sind diese bekannt, knnen
smtliche Steuercodes mit Hilfe eines am PC angeschlossenen Kartenlesegertes und
entsprechender Software emuliert werden. Eine gesperrte Karte wre dann in Sekunden
wieder freigeschaltet bzw. mit neuen gltigen Service Keys ausgestattet.

5.1.5 Entitlement Control Messages

ECMs enthalten
- das fr ein Programm aktuell gltige Control Word fr den CSA-Descrambler
- Nummer des Service Keys, mit dem das aktuell gltige Control Word entschlsselt
werden muss.
- Datumsstempel

Wie die EMMs werden auch die ECMs ber einen gesonderten logischen Kanal (eigener PID)
im Transport Stream bertragen. Die PIDs fr die ECMs werden ebenfalls in der Conditional
Access Table verwaltet.

5.1.6 Common Scrambling Algorithmus (CSA)

Der Common Scrambling Algorithmus (kurz: CSA) ist das Verschlsselungsverfahren,
welches beim Digitalfernsehen DVB verwendet wird, um den Videodatenstrom zu
verschlsseln.
CSA wurde ber mehrere Jahre geheim gehalten. Einige Hinweise kamen ber die
Patentschrift ans Licht der ffentlichkeit, wichtige Details blieben jedoch geheim, zum
Beispiel der Aufbau der so genannten S-Boxen. Ohne diese Details war eine freie
Implementierung des Algorithmus' nicht mglich. CSA sollte ursprnglich nur in Hardware
implementiert werden, womit es unmglich schien, die ntigen Details durch Reverse
Engineering existierender Implementierungen, zum Beispiel Conditional Access Module
(kurz: CAM), zu ermitteln.

Seite 12 von 23
Im Jahre 2002 erschien ein Programm namens FreeDec, welches den CSA in Software
implementierte. Das Programm war nur als binre Version verfgbar. Hacker
disassemblierten die Software und ermittelten damit die fehlenden Details. Dadurch wurde es
mglich, eine Implementierung von CSA in einer Hochsprache zu verwirklichen.
Seitdem der Algorithmus fr CSA vollstndig bekannt ist, suchen Kryptoanalytiker nach
Schwachstellen des Verfahrens. Wie auch bei anderen Verschlsselungsverfahren ergibt sich
ein Angriffspunkt dadurch, dass Teile des Klartextes als bekannt oder zumindest als sehr
wahrscheinlich anzunehmen sind (zum Beispiel MPEG-Header). Aus der Lnge des
Schlssels (hier: Control Word) von 64 Bit ergeben sich 2^64 Mglichkeiten der
Verschlsselung. Wrde man alle mglichen Schlsselworte mit Hilfe eines Computers
durchprobieren, und dieser fr jeden Versuch 1 s bentigen, wrde die Suche ber 500.000
Jahre dauern. Durch Annahme bestimmter Klartextbytes lassen sich Rckschlsse auf den
verwendeten Schlssel ziehen, um die Gesamtanzahl mglicher Schlssel deutlich zu
reduzieren.
Sollte es durch Kryptoanalyse mglich sein, den verwendeten Schlssel durch Kenntnis der
Klartextstruktur zu "erraten", wre CSA geknackt und wrde smtliche Conditional Access
Systeme unbrauchbar machen. Dies ist bis heute nicht der Fall. Man bezeichnet dies auch als
Streamhack.9

Die Verschlsselung des CSA besteht im Prinzip aus einer logischen XOR-Verknpfung der
zu verschlsselnden Datenbytes mit einer Pseudozufallszahlenfolge. Die
Pseudozufallszahlenfolge wird von einer Finite State Machine (FSM) erzeugt, wobei das vom
darber liegendem Conditional Access System gelieferte acht Byte lange Control Word (CW)
den Startzustand der FSM festlegt. Auf die Details des CSA soll im Rahmen dieser Arbeit
nicht weiter eingegangen werden. Der interessierte Leser findet eine detaillierte Beschreibung
sowie zwei mgliche Angriffe auf den CSA-Algorithmus unter

http://www.informatik.tu-darmstadt.de/KP/publications/04/csa_04.pdf

5.2 Irdeto / Betacrypt10

Irdeto bzw. Betacrypt ist wohl fr den deutschsprachigen Raum das interessanteste
Verschlsslungsverfahren, da dieses beim Programmanbieter Premiere verwendet wird.
Wichtig fr das Verstndnis ist, dass die Firma Beta Digital, welche auch zur Kirch-Gruppe
gehrt, fr die bertragungstechnik und damit auch fr die Verschlsselung von Premiere
verantwortlich ist. Daher kommt auch der Name Betacrypt.

9
http://de.wikipedia.org/wiki/Common-Scrambling-Algorithmus, 2005-01-25
10
Premiere World Security Part 1, von C.Krtzer. M. Wenzel

Seite 13 von 23
 Abbildung 6: Key Austausch bei Irdeto

Da sich Irdeto und Betacrypt kaum von einander unterscheiden, beschreibe ich in diesem
Kapitel hauptschlich Irdeto. Der einzige markante Unterschied zwischen den Systemen
besteht im so genannten Lndercode, welcher ein Merkmal einer Irdeto-Smartcard ist. Bei
Betacrypt ist dieser GER fr Premiere bzw. TEL (Telekom) fr Mediavision. Beta Digital hat
das Codierungssystem also sozusagen von Irdeto lizenziert und es mit gewissen nderungen
bernommen.
Eine Irdeto-Smartcard ist von auen nur durch den Schriftzug Irdeto und/oder der
charakteristischen Seriennummer zu erkennen, welche meist seitlich auf der Karte
aufgedruckt ist. Die Seriennummer ist auch in der Karte selbst abgespeichert. Nur ein Teil der
Seriennummer, die so genannte Hex-Serial ist fr den Dekodierprozess von Bedeutung. Die
Hex-Serial ist 3 Bytes (=224 verschiedene Mglichkeiten) lang und gengt, um eine Karte
eindeutig identifizieren zu knnen. Dies ist ntig, damit Karten vom Programmanbieter
individuell angesprochen werden knnen. In allen Fernsehverschlsselungsverfahren wird
generell das Hexadezimalsystem verwendet. Im Innern der Karte unterscheidet man
grundstzlich zwei Einheiten: den Prozessor, der die Rechenoperationen durchfhrt und das
EEPROM, das die Daten speichert. Der Prozessor hat zudem spezialisierte Krypto-Einheiten,
welche RSA- und DES-Operationen sehr schnell durchfhren knnen.
Der zweite Wert, der neben der Seriennummer (inkl. Hex-Serial) schon bei der Produktion
auf die Karte geschrieben wird, ist der Hex-Master-Key (kurz HMK). Man knnte ihn als
Hauptschlssel zur Karte bezeichnen. Es ist (ohne Hacker-Techniken) nicht mglich, ihn von
der Karte auszulesen. Er ist 10 Bytes lang, was einen groen Schlsselraum zur Folge hat.
Man unterscheidet nun grundstzlich zwei Arten von Verschlsselungscodes: die einen
Codes, welche vom Programmanbieter ber den Satelliten gesendet werden, und jene, die
schon auf der Karte gespeichert sind.

Seite 14 von 23
Fr die weitere Funktion der Karte sind nun erst einmal Codes vom Provider ber den
Satelliten ntig.
Die Smartcard enthlt bisher nur eine Seriennummer, in welcher auch die Hex-Serial abgelegt
ist und einen HMK. Diese Werte gengen aber noch nicht, um ein Fernsehprogramm
dekodieren zu knnen. Zuerst muss die Karte noch vom Programmanbieter aktiviert werden.
Dies geschieht ber andere Verschlsselungscodes, die ber den Satelliten geschickt werden.
Wird die Karte nun in den Decoder gesteckt, so erhlt man nach einer gewissen Zeit den fr
diese Karte gltigen Masterkey (kurz MK, 8 Bytes), welcher ntig ist, um die Karte zu
aktivieren. Zur Adressierung der verschiedenen Karten wird dabei die Hex-Serial verwendet.
Pro Hex-Serial wird also grundstzlich ein MK bertragen. Der Masterkey wird anschlieend
auf der Karte mit der HMK verrechnet. Daraus ergibt sich der Plainmasterkey (kurz PMK, 8
Bytes). Auch auf die Karte wandert dabei die so genannte Provider-ID (3 Bytes lang). Diese
ermglicht es dem Programmanbieter, fr die nun folgenden Operationen die Karte gezielt
anzusprechen. Die ersten zwei Bytes der Provider-ID werden auch Provider- Gruppe
genannt.

Auswertung eines Irdeto EMM-Streams erzeugt von Master-LOG V3.83

====================================================================

Pay-TV Provider: Prem World Sat C-Cards

PID: 1000

---------------------------------------------------------------------------
Bereich: Master-Keys <12>

HEX-Sr PR Pro-ID MasterKey Date

7EEBE8 10 21EBFE 00D723537F74FDCB1B 0772
7EEBEA 10 21EBFC 00CFDFA1245B69762E 0772
7EEBEC 10 21EBFA 001614DABC6DF5E81B 0772
7EEBF4 10 21EBF3 0029262F60166C3E1A 0772
7EEBF7 10 21EBF0 0047D328B7F1B8615E 0772
7EEBFB 10 21EBEC 001A3557B0ADF4C826 0772

7EEC06 10 21EBE1 00184749C2280AE56B 0772

7EEC08 10 21EBDF 00D259168D3171371D 0772
7EEC0B 10 21EBDC 005A57C214E822B697 0772
7EEC10 10 21EBD7 00C94824DB08863863 0772
7EEC11 10 21EBD6 0074AA10C82FDE9DC9 0772
7EEC12 10 21EBD5 0083B85CDA8B456702 0772

Abbildung 7: Beispiel: geloggte Master-Keys aus dem Satellitensignal bei der IRDETO Verschlsselung11

Interessant ist hierbei, dass ein PMK nicht nur fr eine Provider-ID sondern fr eine ganze
Provider-Gruppe gltig ist. Das entspricht immerhin 256 Karten (=1 Byte in Hex). Dieses ist
eine der grten Schwchen des Irdeto-Systems. Da aber der Programmanbieter jede Karte
einzeln ansprechen mchte, muss er auf das so genannte CB20-Nano zurckgreifen. Das
CB20-Nano ist im Prinzip eine einfache binre Maske, die die individuelle Adressierung
ermglicht.
Dieses ndert jedoch nichts daran, dass ein PMK fr die gesamte Provider-Gruppe gltig ist.
Die einzelnen Signale an die Karte werden mit dem CB20-Nano blo unterdrckt.

11
http://www.iswitch.ch/ma.pdf

Seite 15 von 23
Es gibt noch diverse andere Nanos, die hauptschlich fr die Kartenverwaltung ver-
antwortlich sind. Sie spielen jedoch eher eine nebenschliche Rolle fr die Dekodierung.

Nun sind auf der Karte also HMK, HS, PMK und Provider-ID gespeichert. Die zur konkreten
Entschlsselung des Fernsehprogramms bentigten Schlssel befinden sich aber immer noch
nicht auf der Karte. Dazu mssen erst noch (crypted) Keys vom Programmanbieter auf die
Karte gelangen. Die Keys sind nur mit der Provider-Gruppe adressiert. Im Folgenden
geloggten Datenstrom ist dies gut zu erkennen (2D58xx). Fr xx lsst sich ein beliebiger Wert
einsetzen.

Wenn man den nun empfangenen Key und sein Empfangsdatum (Date) mit dem PMK
verrechnet so erhlt man einen Plainkey (PK, 8 Bytes + 1 Byte fr Keynummer). Pro Provider
(also pro PMK) hat es fr 18 PKs Platz. Meist werden aber nur die geraden Keynummern
verwendet. (In unserem Fall handelt es sich um Key Nr. 08) Die Plainkeys sind die
eigentlichen Dechiffrierschlssel der Fernsehprogramme. Im Prinzip reicht es fr einen
Hacker aus, gltige Plainkeys auf seine Karte zu schreiben, um das Programm zu dekodieren.
Dem wird aber mit Keyupdates entgegengewirkt. Die Plainkeys verfallen nach einer vom
Programmanbieter bestimmten Zeit.

Auch im Datenstrom mitgeloggt wurde hier die zum Key passende Channel-ID
(ChID, 2 Bytes). Die Channel-ID wird zwar nicht zur Decodierung bentigt, verwaltet aber
die Berechtigungen der einzelnen Kanle.

Auswertung eines Irdeto EMM-Streams erzeugt von Master-LOG V3.83

====================================================================
Pay-TV Provider: Prem World Sat C-Cards
PID: 1000
---------------------------------------------------------------------------
Bereich: Keys der eigenen CardGroup <1>

Pr CGroup Key Date D-ID Type ChID

10 2D58xx 08=>083EDFF8CF9E7C52F1 0772 0771 1009 7D27

Plainkey: B252018806244CFD (PMK:BEA7C566DC6C8AB2)

Abbildung 8: Irdeto EMM Stream 12

Jetzt sind alle Daten auf der Karte vorhanden, um das gewnschte Fernsehprogramm
dekodieren zu knnen.

5.2.1 Nano Codes

Nanos sind 2 Bytes lange Befehle die im EMM Datenstrom mit bertragen werden. Das 1.
Byte steht fr die Instruktion und das 2.Byte fr die Lnge des folgenden String.
z.B.:
Datum
Neue ProviderID
Set Key (1. Byte ist die key-number, gefolgt von 8 Bytes des aktuellen key)
Set Multikey 2 keys im selben Kommando

12
http://www.iswitch.ch/ma.pdf

Seite 16 von 23
- Set Multikey 4 keys im selben Kommando
Activate Channel ID (2 Byte chanID, 2 Byte Datumsstempel + 2 Byte Timer)
- CB (20) spricht mehrere Karten innerhalb einer Kartengruppe an.

5.3 Irdeto II
IRDETO-2 ist eine Weiterentwicklung von IRDETO. Der Unterschied zwischen Irdeto2 und
dem Vorgnger besteht in der Verwendung eines so genannten CAM-Key, mittels dessen die
Kommunikation zwischen CAM und der Smartcard verschlsselt ist.

5.4 Viaccess
Dieses System wurde von France Telecom kreiert. Es findet Anwendung bei verschiedenen
Fernsehstationen, unter anderem auch beim Schweizer Fernsehen. Technisch gesehen geht
das Keymanagement hnlich wie bei Mediaguard vonstatten. Viaccess unterscheidet sich von
Mediaguard aber durch einen anderen und vor allem komplexeren Algorithmus. Viaccess
muss der halbdigitalen Eurocrypt- Verschlsselung hneln, welche auch Smartcards
verwendet. Steckt man nmlich eine Eurocrypt-Smartcard in ein Viaccess-CAM, so wird
diese eigenartigerweise erkannt. Viaccess wurde erst anfangs 2001 geknackt. Mittlerweile
existiert auch hier ein Nachfolgesystem namens Viaccess II.

5.5 Cryptoworks
(CAID 0D00h) Cryptoworks wird berwiegend auf Astra und Hotbird eingesetzt und
beispielsweise von MTV2 genutzt. Auch der ORF bietet bereits seit April 2003 seinen
Kunden die Mglichkeit, die ORF-Programme mit Cryptoworks zu entschlsseln. Die alten
BetaCrypt Smartcards werden noch bis Ende 2007 untersttzt.

5.6 SECA13
Es handelt sich hierbei um den Namen der Inhaberfirma (Socit Europenne de Contrle
dAccs) des Systems Mediaguard. Die Entschlsslungsmodule werden von einer Firma
namens Aston hergestellt.

Mediaguard ist eine franzsische Entwicklung. Das System wird hauptschlich von Canal+
verwendet. Canal+ ist ein Programmanbieter, der in ganz Europa prsent ist.

Frankreich CanalSatellite France

Italien Tele + Digitale
Spanien Canal Satlite Digital
Niederlande Canal Digitaal Satelliet
Polen Cyfra +

Der Mediaguard- Algorithmus funktioniert mittels einem 8 Byte langem encrypted

ControlWord [CW] (ber den Satelliten gesendet), mit dem anhand des Primary Key [PK]
und Secondary Key [SK] (jeweils 8 Byte lang), ein auch 8 Byte langes plain (=entschlsselt)
ControlWord erzeugt werden kann. Dabei kann der Primary und der Secondary Keys derselbe
sein. Der PK und SK werden auf der Smartcard mit 00 bis 0F indexiert, so dass insgesamt 16

13
http://www.iswitch.ch/ma.pdf

Seite 17 von 23
verschiedene Keys verwendet werden knnen. Die Keys werden grundstzlich in zwei
Gruppen eingeteilt: die Management Keys [MK] (00 bis 0B) und die Operation Keys [OK]
(0C bis 0E). Der Key 0F kann fr andere Zwecke verwendet werden. Die MKs dienen dem
Keymanagement, whrend die OKs fr die eigentliche Decodierung des Fernsehprogramms
zustndig sind.
Bei den erwhnten Keys handelt sich um so genannte Provider Keys, also solche, die stets nur
einen Provider/Programmanbieter (vgl. Irdeto) betreffen. Es gibt jedoch auch SECA Keys,
welche fr das Providermanagement selbst notwendig sind. Diese sind aber nur bei der
Kartenerstellung wichtig.
Der wichtigste Management Key ist der 01. Er ist vergleichbar mit dem PMK beim Irdeto-
System. Das Pendant zur Irdeto Provider-ID ist die so genannte Programmable Provider User
Address (PPUA, 4 Bytes). Die ersten drei Bytes der PPUA bilden die Shared Address [SA],
das letzte, vierte Byte den Customer Word
Pointer [CUSTWP-Byte]. Die Shared Address ist mit der Provider-Group bei Irdeto
vergleichbar.
Es lassen mittels einer SA nur Gruppen 256 Karten ansprechen, whrend das CUSTWP-
Byte die Adressierung einzelner Karten ermglicht (vgl. Irdeto CB20- Nano). Mit dem
MK01 und der passenden PPUA sind also Updates von OKs mglich.
Es fllt auf, dass das Mediaguard-System nur zweistufig arbeitet. Es gibt nur MKs und OKs.
Bei Irdeto gibt es hingegen HMKs, PMKs und PKs. Dies ist fr Hacker ein ziemlich groer
Nachteil, denn PPUAs und MK01s haben den gleichen Geheimhaltungswert wie HMKs und
Hex-Serials bei Irdeto. Der Grund liegt in der eindeutigen Identifizierbarkeit anhand der
PPUA. Bei Mediaguard werden Karten meist individuell und nicht nur anhand der SA
adressiert.
Weitere Management Keys sind beispielsweise der Key 00, welcher als
Berechtigungsidentifikation bei PayPerView -Ausstrahlungen dienen kann, und der Key 02,
welcher eine zeitliche Begrenzung der Karte (etwa bei Probeabonnenten) ermglicht.

Man kann gewisse Parallelen zwischen Mediaguard und Irdeto erkennen, trotzdem
unterscheiden sich die Systeme vor allem durch ihre internen Algorithmen. Informationen
ber diese zu bekommen ist leider eher schwer, doch wren sie fr das genauere Verstndnis
der Codierungssysteme sehr interessant.

5.7 SECA II
(CAID 0070h) SECA-2 ist der Nachfolger von SECA und wird derzeit in Frankreich, Spanien
und Italien verwendet. SECA-2 ging denselben Weg wie Irdeto zu Irdeto2 und etablierte
einen CAM-Key in der Kommunikation zwischen Smartcard und CAM.

5.8 Nagravision digital14

Nagravision ist eine Entwicklung des Schweizer Unternehmens Kudelski. Das System prahlt
regelrecht mit seinem komplexen Algorithmus. Dieser ist so lang, dass er auf einer
Goldwaferkarte keinen Platz mehr findet. Wie der Name bereits vermuten lsst, ist
Nagravision der digitale Nachfolger des analogen Nagravision/Syster-
Verschlsselungssystems. Trotz aller Bemhungen wurde dieses System im Verlaufe des
Jahres 2002 geknackt. Bisher senden nur einige uninteressante Sender aus Polen und Spanien
in Nagravision.

14
http://www.isat.info/

Seite 18 von 23
Wichtig ist, dass bei den Systemen Conax und Nagravision verschiedene Sicherheitsstufen
existieren. Bisher lieen sich nur Sender knacken, die eine niedrige Sicherheitsstufe einsetzen.
Ein Sender kann auf Wunsch auf eine hhere Sicherheitsstufe wechseln. Die Tatsache, dass
das digitale Teleclub-Paket im Kabelnetz auch in Nagravision verschlsselt ist, aber noch
nicht geknackt wurde, lsst auf eine interessante Zukunft fr die Hacker hoffen.

(CAID 1800h) Nagravision wird seit Oktober 2003 in Deutschland vom Bezahlfernsehsender
Premiere sowie vom Kabel Deutschland-Ableger DigiKabel eingesetzt, nachdem die
Smartcards des alten Verschlsselungssystems BetaCrypt unsicher geworden sind.
Besonderheit bei dem von Premiere eingesetzten Nagravision ist die Tatsache, dass die
eingesetzten Smartcards weiterhin die "Sprache" von IRDETO/BetaCrypt sprechen - der
eigentliche Controlword-Algorithmus aber mit Nagravisionstechnik arbeitet. Dies wurde
erforderlich, um auch alten Dbox Version 1-Besitzern den Zugriff zu ermglichen.

Seite 19 von 23
6 Angriffe auf das Schlsselmanagement System15
6.1 Modifizierte originale Smartcards

Modified Original Smart Cards (MOSC) sind vernderte, originale Smartcards eines PayTV
Anbieters. Ziel dabei ist es, entweder Karten gekndigter Abonnements zu reanimieren oder
Karten mit eingeschrnkter Programmnutzungsmglichkeit von der Einschrnkung zu
befreien. Bei diesem Angriff werden Smartcards (und insbesondere deren Inhalte) nicht etwa
kopiert, sondern verndert.
Im regulren Betrieb empfngt die Smartcard Steuernachrichten (Electronic Control
Messages, ECMs), die whrend des laufenden Programms gesendet werden. Die ECMs
dienen zur Aktivierung, Deaktivierung, Funktionserweiterung und Aktualisierung der
Nutzungsmglichkeiten im laufenden Betrieb.
Jede Smartcard besitzt eine eindeutige, 3 Byte lange Seriennummer, mit der sich die
Smartcard identifiziert. Durch Senden entsprechender ECMs knnen so
teilnehmerindividuelle Steuernachrichten verschickt werden. So werden beispielsweise fr
Pay-Per-View-Angebote zur Freischaltung der jeweiligen Sendung teilnehmerindividuelle
ECMs gesendet. Von Zeit zu Zeit werden auch die auf der Smartcard gespeicherten Schlssel
aktualisiert (hnlich einem regelmigen Passwortwechsel beim Computer).
Auch der 8 Byte lange Master-Key wird beim offiziellen Freischalten einer Karte gesendet
und kann bei der bertragung mitprotokolliert werden, da er unverschlsselt bermittelt wird.
Der Master-Key ist aus Effizienzgrnden nicht teilnehmerindividuell, sondern fr ganze
Kartengruppen gleich. Insofern ist es nicht verwunderlich, dass im Laufe der Zeit Listen mit
Master-Keys im Internet verffentlicht wurden. Kennt man den eigenen Master-Key nicht,
weil er beim Freischalten der Smartcard nicht mitprotokolliert wurde, kann man ihn sehr
wahrscheinlich in einer solchen Liste finden.
Jede Steuernachricht, die an die Smartcard gesendet wird, muss mit einem 5 Byte langen
Message Authentication Code (MAC, eine Prfsumme) versehen sein, in den u.a. auch der
Master-Key eingeht. Die Spezifikation des kryptographischen Verfahrens zur Berechnung des
MAC ist nicht verffentlicht. Somit wre es fr einen Angreifer normalerweise nicht mglich,
gltige Steuernachrichten (z.B. zur Freischaltung nicht bezahlter Sendungen) an die
Smartcard zu schicken, da er den passenden MAC nicht kennt.
Bei den ersten Generationen der Smartcard-Software wurden noch entscheidende Fehler bei
der Gestaltung des Kommunikationsprotokolls gemacht. Sobald ein Angreifer eine nicht
authentisierte Steuernachricht an die Smartcard schickt, meldet diese erwartungsgem einen
Authentisierungsfehler, liefert aber berraschenderweise 4 Byte des gltigen MAC zurck.
Das fehlende Byte (= 8 Bit) muss anschlieend durch Probieren gefunden werden. Hierzu
sind maximal 256 Operationen (28) notwendig, die wenige Sekunden Rechenzeit bentigen.
Bei einem sicheren Verfahren wren jedoch 240 (= 25*8 1012) Operationen (Rechenzeit
mehrere 10 Jahre) ntig, um den gltigen MAC zu finden. Durch diesen Fehler wurde folglich
der Rechenaufwand fr den Angreifer etwa um den Faktor 4.000.000.000 gesenkt. Bei der
folgenden Kartengeneration wurde die beschriebene Schwche behoben. Leider konnte aber
hier eine Timing Attack auf die Smartcard durchgefhrt werden. Man fand heraus, dass sich
die Rechenzeit der Karte bei Prfung des MACs unterscheidet, wenn ein korrektes oder
falsches Byte des MACs an die Karte geschickt wird. Somit war es nun mglich, den
korrekten MAC Byte fr Byte zu ermitteln. Der maximale Gesamtaufwand ist mit 5 *28 =
1280 Operationen immer noch um etwa den Faktor 860.000.000 niedriger als bei einem
sicheren Verfahren.

15
http://thoic.com/icard/frameger.html, http://www.iswitch.ch/ma.pdf

Seite 20 von 23
Mit der Mglichkeit, eine authentische Steuernachricht an die Karte zu senden, war das
unberechtigte Freischalten einer Smartcard mglich, indem zunchst die Smartcard in einen
am PC angeschlossenen Kartenleser gesteckt wurde, anschlieend eine gltige
Steuernachricht am PC erzeugt wurde und der entsprechende Steuercode schlielich an die
Karte gesendet wurde.
Von Zeit zu Zeit werden vom Sender auch Steuernachrichten ausgestrahlt, die eine MOSC
deaktivieren wrden. Deshalb wird mit einem sog. Blocker der Strom an Steuernachrichten
analysiert und die entsprechenden Nachrichten vor Erreichen der Karte geblockt. Solche
Blocker sind entweder als nicht offizielle Patches (Updates von Teilfunktionen einer
Software, normalerweise verwendet, um Programmierfehler zu korrigieren) fr Set-Top-
Boxen mglich oder werden als Hardware-Baustein (z.B. Card-Doubler zum Nutzen mehrerer
nicht notwendigerweise modifizierter Smartcards in demselben Kartenschacht) angeboten.
Manche Steuernachrichten (z.B. Befehle zum Schlsselwechsel) mssen jedoch unbedingt
verarbeitet werden, damit die Sendungen weiterhin entschlsselt werden knnen. Diese sind
dann wieder manuell mit entsprechendem Aufwand in die Karte einzulesen und der Kreislauf
beginnt von vorn.

Abbildung 9: Angriffszyklus bei modifizierten originalen Smartcards

Seite 21 von 23
6.2 Chipkartenemulator

Bei der so genannten iCard kann die komplette Software auf der Karte erneuert werden. Bei
hufigem Wechsel der Schlssel wir einfach die Karte jedes Mal neu programmiert.

Abbildung 10: iCard

6.3 Season-Interface

Das Season Interface ist eine PC Decoder Schnittstelle mit seriellem Kabel. Hierdurch wird
die Simulation der Chipkarte durch einen PC durchgefhrt (z.B. fr VIACCESS,
MediaGuard)
Das Interface bentigt nur noch die aktuellen kryptographischen Schlssel. Diese gibt es im
Internet in sog. Key-Datenbanken.

Abbildung 11: Season-Interface

Seite 22 von 23
7 Quellen und Literaturverzeichnis
http://www.tjaekel.de/dvb.htm, 2005-01-23

http://de.wikipedia.org/wiki/Common-Scrambling-Algorithmus, 2005-01-25

http://de.wikipedia.org/wiki/Conditional_Access_System, 2005-01-25

http://www.infomia.com/wiki,index,goto,Smartcard_System_fr_DVB.html

http://www.moscwizzards.de.vu/ (Modifizieren von Smartcards)

Seite 23 von 23