DRM - Management der Informationssicherheit - Universität ...

IT-Sicherheitsmanagement 

Prof. Dr.-Ing. 

Hannes Federrath 

Digital Rights Management Systeme 


Universität Regensburg 

Lehrstuhl Management der Informationssicherheit 

http://www-sec.uni-regensburg.de/ 

1




Gliederung 

• Einführung 

• Offline-Distribution 

• Fall 1.1: Ungeschützter Inhalt auf Datenträger 

• Fall 1.2: Inhalt auf Datenträger mit Markierungen versehen 

• Fall 1.3: Spezielles nicht-standardkonformes Speicherformat 

• Fall 2: Verschlüsselter Inhalt auf Datenträger 

• Online-Distribution über das Internet 

– Schutzziele 

– Zugangskontrolle 

– Rechtemanagement und Kopierschutz 

• Fall 1: Unverschlüsselter und unmarkierter Inhalt 

• Fall 2: Markierter Inhalt 

• Fall 3: Verschlüsselter und markierter Inhalt 

• Fall 4: Verschlüsselter Inhalt 

• Fazit 

2




What is a DRM system? 

• Combination of 

– technical functions, 

– juristinction, 

– economical features 

• to provide secure distribution of digital content 

Digital Rights Management 

Copy protection and 

conditional access 

New distribution 

opportunities & revenues 

Source: 

IBM 2002 

4




Distribution 

content provider 

Peer-to-Peer-Systems, e.g. WinMX und NapMX, 

eMule, eDonkey 2000 Hybrid und Bot Lite, 

Overnet, KaZaA, KaZaA Lite, Grokster, Piolet, 

Blubster, Gnucleus, Shareaza, XNap, BuddyShare, 

BearShare, Morpheus, LimeWire, Audiogalaxy, 

Filetopia und Filenavigator. 

content provider 

user 

user 

user 

user 

user 

user 

user 

user 

user 

user 

user 

Both, Offline and Online 

common distribution 

super distribution 

5




Rechte an einem Werk 

• Rollen 

– Urheber: Hersteller des Werkes 

– Nutzer: Veröffentlichung, öffentliche Aufführung, … 

(„Nutzungsrechtinhaber“) 

– Konsumenten: Erwerb eines Exemplar des Werkes 

• Urheberrecht entsteht automatisch mit Schaffung des Werkes 

– nicht übertragbar 

– Urheber bis zum Beweis des Gegenteils 

– Registrierung gesetzlich nicht gefordert 

6




Urheberrecht: Rechtliche Grundlagen 

• Nutzungsrechte 

– Vergabe durch den Urheber 

– Arten: einfache und ausschließliche 

– Beschränkung, Übertragung, Rückruf durch Urheber 

• Verwertungsrechte 

– Wiedergabe in körperlicher Form: Vervielfältigung, Verbreitung, 

Ausstellung 

– Wiedergabe in nichtkörperlicher Form: Vortrags-, Aufführungs-, 

Vorführungs-, Senderecht, Recht der Wiedergabe durch Bildoder 

Tonträger bzw. von Funksendungen 

7




Urheberrecht: Rechtliche Grundlagen 

• Schranken des Urheberrechts 

– Vervielfältigung und Verbreitung von Werken (oder Teilen) 

zulässig für Ausbildungs- oder wissenschaftliche Zwecke 

– Nutzung von Werken zum privaten oder sonstigen eigenen 

Gebrauch 

• Interessenvertretung 

– Wahrnehmung der Verwertungsrechte im Auftrag des Urhebers 

– Abschluss von Verträgen 

– Vergabe von Nutzungsrechten 

8




Realisierung 

• Vorgänge 

– Registrierung der Urheberschaft 

– Vergabe von Nutzungsrechten 

– Übertragung von Nutzungsrechten 

– Rückruf von Nutzungsrechten (Urheber) 

– Prüfen der Rechte 

– Nachweis der Urheberschaft bzw. der rechtmäßigen Nutzung 

• Fragestellung 

– Können die zur Wahrung des Urheberschutzes relevanten 

Vorgänge mittels DRM-Systemen umgesetzt werden? 

• Urheberrechte können nicht allein durch Technik geschützt werden 

– Ineinandergreifen von technischen, juristischen und 

ökonomischen Mechanismen 

9




Protection of DRM systems? 

protection by 

technical 

measures 

content 

licensing 

technology 

licensing 

technical 

measures 

juristinctional 

mechanisms 

juristinctional 

mechanisms 

Source: 

Bechthold 2002 

10



















• Fazit 

11




What is the scope of the attacker? 

• More general: What are the security demands? 

– confidentiality of content 

– integrity of content 

– availability of content 

• Confidentiality: 

– protection against piracy 

• copy one content 

• copy every content in a certain time frame 

• break the entire system (copy every message at every time) 

• Integrity: 

– authorized access to content 

– protection of ownership of content 

• Availability: 

– prevention of denial of service attacks 

12




Adversary model 

• Security depends on the supposed strength of the attacker. 

• Resources 

– Money 

– Time 

– Knowledge 

• insider or outsider 

– concerning organizational aspects 

(secrecy of master encryption keys) 

The existence of specialized tools shifts 

the “knowledge” to anybody 

– concerning design secrets 

(e.g. of protection functionality in hard- and software) 

• Who wants to attack a system? 

– Hobbyist (naïve attacker, no financial efforts) 

– Serious attacker (intelligent, probably no financial efforts) 

– Professional attacker (intelligent, financial motivation) 

13




Fall 1.1: Ungeschützter Inhalt auf Datenträger 

• Inhalt beliebig kopierbar: 

– Einlesen, speichern, vervielfältigen 

Fall 1.2: Inhalt auf Datenträger mit Markierungen versehen 

• Idee: 

– CD-Hersteller und Softwarehersteller einigen sich darauf, dass 

nur Spieler ausgeliefert werden, die eine Kopie als solche 

kennzeichnen. 

– Einlesen einer Kopie ist nicht erlaubt — nur das Abspielen. 

• Hoffnung: 

– Kopie von Kopie kann nicht mehr angefertigt werden 

– Durchbrechen der Kopierkette 

• Aber: Wo ist der Unterschied zwischen "Einlesen" und "Abspielen"? 

14





• Idee: 

– Man könnte eine gekennzeichnete Kopie zwar auslesen lassen, 

aber nicht wieder schreiben lassen. 

• Realisierung z.B. durch 

a) Brennerhersteller oder 

b) SW-Hersteller (Brennersoftware) 

• Problem: 

– Nicht alle Brennerhersteller werden sich an Regeln halten. 

• Frage: 

– Wer stellt die Regel auf, wie werden Verstöße geahndet? Wie 

kommt man zu internationalen Regeln? 

• Wenn Clonen des Datenträgers möglich ist, wird einfach das 

Kopierschutzkennzeichen mitkopiert. 

15




Serial Copy Management System 

digital audio player 

digital audio 

digital recorder 

MD, CD-R (Audio), DAT 

Free: copy bit is 

zero 

Protected Original: 

copy bit set 

Copy: content with 

copy bit alternating 

010010101110101110101010011100110010 

010011101111101111101011011101110011 

010011101110101111101010011101110010 

16




Serial Copy Management System 

digital audio player 

digital audio 

digital recorder 

MD, CD-R (Audio), DAT 

Original 010011101111101111101011011101110011 

Copy 010011101110101111101010011101110010 

Reset copy bit to make copies 

Copy 010011101110 

010011101111 

Original 

! 

17





• Spezielle Markierung: 

– Regionalcode bei DVD 

• Schutz wird durch Player (Hardware) realisiert 

• Soll Nutzung auf bestimmte Territorien beschränken 

• Problem auch hier: 

– Region-Code-freie Abspielgeräte 

• Selbst dann, wenn sich alle Brennerhersteller daran halten würden: 

– SW-Hersteller sind nicht kontrollierbar 

– Jeder kann Programm schreiben, das die Kennzeichnung entfernt 

18




Fall 1.3: Spez. nicht-standardkonformes Speicherformat 

• Nutzt unterschiedliche Spezifikation von CD-ROM und CDDA aus. 

– Kompatibilität ist eigentlich durch Standard garantiert. 

• Schutzidee 1: 

– Musik-CD wird vom CD-Hersteller in einem nicht Standardkonformen 

Format geschrieben 

– Einbringen von Fehlerstellen insb. in der Verzeichnisstruktur, die 

nur vom CD-ROM-Laufwerk gelesen wird 

• Problem: 

– Modernere Audio-Spieler nutzen die wegen der 

Massenverbreitung billigeren CD-Laufwerke in ihren Playern. 

• Folge: 

– Nicht Standard-konforme CDs spielen nicht mehr. 

• Kopieren ist durch Clonen meist trotzdem möglich 

– Fehler werden einfach ebenfalls dupliziert 

19





audio player 

OK 

Original 

computer 

Read Error, 

No copies, 

No playing 

20





audio player 

OK 

Original 

computer 

CloneCD 

No Read playing, Error, 

but No copies, copy for 

audio No playing player 

Copy 

audio player 

OK! 

21





• Schutzidee 2: 

– Original-CD enthält Daten, die zwar gelesen, aber bisher nicht 

geschrieben werden können (z.B. Spezielle Spuren) 

• Problem: 

– Irgendein Brennerhersteller wird früher oder später einen 

Brenner anbieten, der auch diese Daten schreiben kann. 

22




Fall 2: Verschlüsselter Inhalt auf Datenträger 

• Vorbemerkung: 

– Das Folgende macht nur Sinn, wenn Clonen des Datenträgers 

nicht möglich ist. 

• Schutzmöglichkeiten am Beispiel DVD 

1. Schlüssel ist im Abspielgerät 

2. Personalcomputer entschlüsselt 

• Verfahren in der Analogwelt 

– Macrovision Kopierschutz 

• Idee 

– Inhalt lässt sich hochqualitativ auf Fernseher ausgeben, 

aber nicht analog aufzeichnen 

– Vorverstärker eines Videorekorders erkennt Kopierschutzsignal 

• Problem 

– Kopierschutzsignal kann leicht aus Analogsignal "herausgefiltert" 

werden 

23




Macrovision Kopierschutz 

DVD player 

analogue video signal 

contains "DRM" signal 

copy in bad 

quality only 

Macrovision 

video recorder 

24




Macrovision Kopierschutz 

DVD player 

analogue video signal 

contains "DRM" signal 

reconstruction 

copy in bad 

quality 

of "correct" 

only 

signal 

non-sensitive pre-amp 

Macrovision 

video recorder 

sensitive pre-amp 

25





• Personalcomputer: 

– muss gewährleisten, 

• dass unverschlüsselte digitale Daten nur an autorisierte 

Abspielprogramme weitergegeben werden und 

• nicht unverschlüsselt abgespeichert werden dürfen 

– praktisch mit heutigen PC-Architekturen nicht machbar 

• Angriff auf digitale Daten: 

– Wer den Schlüssel aus einem Gerät (illegal) auslesen kann, kann 

jeden Inhalt entschlüsseln. 

• Angriffstool bei verschlüsselten DVDs: DeCSS 

• Brute-Force-Angriff auf Medienschlüssel 

26





• Ansätze für die Zukunft: 

– Player: 

– PC: 

• Völlig neue Spielergeneration als Voraussetzung für "neue" 

Datenträger 

• Spezielle Hardware, die im PC eingebaut ist, schützt vor 

Ausführung nicht autorisierter Programme. 

(siehe später) 

27




Zusammenfassung Offline-Distribution 

• Stärke der existierenden Verfahren 

– erschweren das Kopieren, 

– können es aber nicht verhindern 

• Es ist kein System in Sicht, das Kopieren wirklich verhindert. 

• Folge: 

– technisch nicht befriedigend kontrollierbar, wer in welchem 

Umfang urheberrechtlich geschützte Inhalte kopiert 

28



















• Fazit 

29




30




Schutzziele bei der Online-Distribution 

• Schutzziel 

– Inhalte sollen nur von Berechtigten (die für den Inhalt bezahlt 

haben), genutzt werden können 

• Mechanismus 


• Schutzziel 

– Inhalte sollen nur in der vereinbarten Weise genutzt werden 

können 

• Mechanismus 

– DRM-Systeme 

31




Zugangskontrolle 

• IT-System erfragt die Identitäten seiner Kommunikationspartner 

• Zweck 

– Nur mit berechtigten Partnern weiter kommunizieren 

– Verhindert unbefugte Inanspruchnahme von Betriebsmitteln 

Identifikation 

Inhalt 

Dienstanbieter 

Dienstnutzer 

32




Identifikation von IT-Systemen durch IT-Systeme 

• Wenn ein persönliches Gerät 

(Smartcard) eindeutig einem 

Berechtigten zugeordnet ist, kann 

dieses die Authentifizierung 

gegenüber dem IT-System 

übernehmen. 

? 

Zusammenspiel: 

PIN 

Kryptographie 

33




Passwort 

• Identifizierung durch Wissen 

• Unberechtigte Weitergabe des Passworts (Mehrfachnutzung) kann 

nicht verhindert werden 

• Einmalpasswort in Kombination mit Besitz: SecurID 

• geeignet für Punkt-zu-Punkt-Kommunikation 

– nicht geeignet bei der Distribution 

SecurID 

Bild: 

http://www.rsasecurity.com 

34




Challenge-Response-Authentikation 

• Gebräuchlich im Mobilfunk 

• geeignet für Punkt-zu-Punkt-Kommunikation 

– nicht geeignet bei der Distribution 

• Es wird überprüft, ob der Dienstnutzer ein Geheimnis kennt, ohne 

dieses Geheimnis übertragen zu müssen. 

35




Smartcard mit Master-Key 

• Wenn Master-Key bekannt wird, ist das gesamte System 

kompromittiert. 

• Physischer Schutz des Master-Key ist schwierig. 

• In der Praxis viel zu gefährlich 

36




Smartcard mit Master und Session-Key 

• Schlüssel-Hierarchie soll Kompromittierung des Gesamtsystems 

verhindern 

• Es existieren mehrere Master-Keys, mit denen der momentane 

Session-Key verschlüsselt ist. 

• Bei Kompromittierung eines oder weniger Master-Keys werden diese 

von der verteilung der verschlüsselten Session-Keys 

ausgeschlossen. 

37




Design Options for Copy Protection 

• Protect pay-services from unauthorized access 

Content Provider 

Attacker Domain 

Key 

Key 

Content in LoFI 

Content Encryption Distribution Decryption 

Digital 

Analogue 

38





• Protect pay-services from unauthorized access 



Key 

Key 

Content in LoFI 

Content 

Encryption 

Distribution 

Decryption 

Hardware 

Make distributed signal difficult to use or copy 

• timing signals in transmitted signal 

• „copy resistant“ media 

Digital 

Analogue 

39







Content 

Transformation 

Distribution 


Hardware 

integrated 

output device 

digital HiQ signal never leaves the hardware 

Digital 

40




Never! Too dangerous! 



Content 


Distribution 


Content 

HiQ and 

digital 

Software 

Attacker 

Personal Computer 

41



















• Fazit 

42




Fall 1: Unverschlüsselter und unmarkierter Inhalt 

• Kein Schutz: 

– technisch gesehen beliebig kopier- und nutzbar 

• Naiver Mechanismus 

– Filter zur Zugriffsbeschränkung 

• auf illegale Inhalte 

• zur territorialen Zugriffsbeschränkung 

43




Bypassing Rights Protection System (RPS) 

• Filter mechanism 

Client 

Additional 

encryption 

Gateway 

Provider 1 

Access 

blocked by 

gateway 

Proxy 

Server 

illegal 

content 

Provider 2 

44




Fall 2: Markierter Inhalt 

1. Kennzeichnung des Urhebers: 

– Verhindert, dass Inhalte unbemerkt als die eigenen ausgegeben 

werden können. 

– Bzgl. Vergütungsmodellen von untergeordneter Bedeutung. 

2. Kennzeichnung des Käufers: 

– Verhindert, dass Inhalte unbemerkt weitergegeben werden 

können. 

• Schutzidee: 

– Einbringen eines schwer entfernbaren "Watermarks" in den 

Inhalt 

– Für 2.: Setzt individuelle Kopien des Inhalts voraus 

45




Watermarking 



Content 

DRM 

signal 

f 

Distribution 

Detector 

Software 

Content 

HiQ, 

digital and 

with DRM 

signal 

• Watermarking: 

– Goal: Protection of authorship 

– Not: Protection against illegal copying 

– Possible: Detection of copies 

Digital 

46




Watermarking 

Key 

Distribution 

Original 

Embedding 

Copyright (C) 1998 

Document-ID: #A53-229D789 

Author: J.Fitzgerald 

Title: White Christmas 

Attacker 

47




Watermarking 

• Digital-Analog-Wandlung 

• Analog-Digital-Wandlung 

• Re-Sampling 

• Re-Quantisierung 

• Kompression 

• Dithering 

• Rotation 

• Translation 

• Cropping 

• Scaling 

Angreifer 

• Collution Attacks 

Copyright (C) 1998 

Document-ID: #A53-229D789 

Author: J.Fitzgerald 

Title: White Christmas 

48




Security of watermarking systems 

• Theory 

– robustness 

– non-interference 

– detectability 

• Praxis: (attacks by M. Kuhn, F. Petitcolas, 1997) 

– StirMark 

• Software 

• removes watermarks 

• watermark is no longer detectable 

• http://www.cl.cam.ac.uk/~fapp2/watermarking/stirmark/ 

– Mosaic Attack 

• divides web images into a mosaic of tabular cells 

• browser reconstructs the view of the image 

49




Fall 3: Verschlüsselter und markierter Inhalt 

• Ebenfalls Kennzeichnung des Käufers 

– Fingerprinting 

• Schutzidee: 

– Schlüssel wird gekennzeichnet 

– Ermöglicht Verfolgung der Schlüsselweitergabe 

– Individuelle Schlüssel, aber keine individuellen Inhalte 

– Broadcast Encryption, sehr aufwendig 

52




Broadcast encryption 


Master 

encryption 

key 

crypt 

• Nur sicher, wenn verschlüsseltes und 

unverschlüsseltes Signal den Fingerprint 

tragen 

k1 

decrypt 

Client 1 

k2 

decrypt 

Client 2 

individual 

decryption 

keys 

53 

k3 

decrypt 

Client 3 

.




filter 

> LoFi Broadcast, HiFi Encryption 

broadcast 

∆: delta 

key 1 crypt 

Client 1 

key 2 crypt 

Client 2 

key 3 crypt 

Client 3 

. 

• Divide stream into quality layers 

– Everybody gets the low quality layer 

– Paying customers get encrypted layers 

• MP3: 

– division of mp3 stream into quality layers 

• costs are linear in the number of users 

. 

54




Fall 4: Verschlüsselter Inhalt 

• Vorbemerkung: 

– Das Folgende gilt auch für Fall 3. 

• Schutzziel: 

– Es muss sichergestellt werden, dass der Inhalt nur in der 

vorgesehenen Weise genutzt wird. 

• Nutzungsarten: Beispiele: 

– X-mal nutzen (anschauen, anhören, ...) mit X>=1 

– Y-mal kopieren (z.B. auf CD) mit Y>=0 

– nur in Territorium Z nutzbar 

– nur bis zum Zeitpunkt T nutzbar 

• Realisierung 

– DRM-Systeme 

55




DRM-Systeme heute 

• Realisierungsansatz: 

– Inhalt wird um Meta-Daten ergänzt 

– Meta-Daten tragen Informationen über die erlaubten 

Nutzungsarten 

– "Offizielle" Abspielsoftware liest Meta-Daten und gibt Inhalte für 

erlaubte Nutzungsarten frei 

• Problem: 

– Geräte, auf denen Inhalte heute typischerweise genutzt werden: 

• frei programmierbarer Universal-PC 

• umprogrammierbare Set-Top-Box 

56




Frei programmierbarer Universal-PC 

• Angriff: 

– Anstelle der "offiziellen" Nutzungssoftware wird fremde Software 

genutzt, die die Nutzungsmöglichkeiten nicht einschränkt. 

– Das ist nicht verhinderbar! 

• Vorgehen aus Angreifersicht: 

– Reverse Engineering des offiziellen Programms. 

• Beispiele: 

– RealPlayer-Modifikation mit Abspeicherfunktion 

– DRM von Microsoft 

– E-Book-Software von Adobe 

– Abonnenten-TV 

57




Angriffe im Bereich Pay-TV 

Originale Karte 

Reverse Engineering 

Programmieren eines Emulators 

Ausführbare 

PC-Software 

Laden auf 

programmierbare 

Karte 

Modifizierte 

originale 

Karte (MOSC) 

Nachbau der 

Karte (DPSC) 

z.B. Multidec 

+Soft-CI-DLL 

58




Modified Original Smart Cards (MOSC) im Pay-TV 

• Ziel 

– entweder Karten gekündigter Abonnements reaktivieren 

– oder Karten mit eingeschränkter Nutzungsmöglichkeit erweitern 

• Vorgehen 

– Verändern der Inhalte der Smartcards 

• Smartcard 

– 3 Byte lange Seriennummer (individuell) 

– 8 Byte langer Master-Key (für eine Gruppe von Karten gleich) 

• wird bei Initialisierung auf Karte geladen 

• Funktionen 

• Angriffswerkzeuge 

– Authentisierung von Steuernachrichten 

– Entschlüsselung von Programmschlüsseln 

– Smartcard-Schreiber, PC, Angriffsprogramm (z.B. CardWizard) 

59




Pay-TV: Funktionsprinzip 

• Karten empfangen Steuernachrichten 

– Electronic Control Messages (ECM) 

– während des laufenden Programms gesendet 

• Funktion 

– dienen der 

• Aktivierung, Deaktivierung, Funktionserweiterung und 

Aktualisierung 

der Nutzungsmöglichkeiten im laufenden Betrieb 

• Eigenschaften 

– teilnehmerindividuelle ECMs sind möglich, z.B. 

• für Pay-Per-View-Angebote, 

• Aktualisierung der auf der Karte gespeicherten Schlüssel 

– jede ECM besitzt 5 Byte langen Message Authentication Code 

• Geheimnis: Master-Key 

60




Design-Fehler 

• Freischalten der Karte 

– 8 Byte langer Master-Key wird unverschlüsselt zur Karte 

gesendet 

– kann mitprotokolliert werden 

• Ergebnis 

– Nahezu alle ECMs können entschlüsselt werden 

• Angreifer hören ständig ECM-Strom mit und speichern z.B. 

Schlüsselwechsel-Befehle 

• Im Internet kursieren Listen von Master-Keys. 

– Nachbau bzw. Emulation einer Karte möglich 

61




Design-Fehler 

• Authentisierungsprotokoll (1) 

– Angreifer sendet ECM mit gefälschtem MAC an Karte 

– Karte meldet Authentisierungsfehler zurück und 4 Byte des 

korrekten MAC 

– Angreifer findet fehlendes Byte über Durchprobieren der 

verbleibenden 8 Bit 

– betrifft nur erste Kartengenerationen 

• Authentisierungsprotokoll (2) 

– Timing Attack auf Smartcard 

– Rechenzeit unterschied sich sich, wenn ein korrektes oder 

falsches Byte des MAC an Karte geschickt wird 

– Gesamtaufwand 5*2^8=1280 Operationen 

• Ergebnis 

– Es kann eine gültige ECM beliebigen Inhalts an die Karte 

gesendet werden (auch ohne Kenntnis des Master-Keys). 

62




Ablauf des Angriffs 

• Auf PC: 

– Gültige ECM (z.B. Nutzungserweiterung) erzeugen und an Karte 

schicken 

• Set-Top-Box/PC 

– Karte in modifizierter Set-Top-Box/PC mit CAM (Common Access 

Module) nutzen 

– Probleme: 

1. vom Sender gesendete ECM würden MOSC wieder 

deaktivieren 

– Einsatz eines Blockers: Modifikation der Player-Software 

oder als Hardware-Baustein (z.B. Card-Doubler), um 

Strom an ECM zu analysieren und "sperrende" ECM vor 

Karte zu blocken 

2. MOSC muss ECM zum Schlüsselwechsel erhalten 

– eigene (oder fremde) Schlüsselwechsel-Befehle vom 

Blocker aufzeichnen lassen, mit eigenem (oder 

fremdem) Master-Key entschlüsseln 

– auf PC gültige ECM zum Schlüsselwechsel erzeugen 

63




Modified Original Smart Cards (MOSC) 

64




Das DRM-Problem 

• Einem Kunden K einen Inhalt I in einer bestimmten Weise 

zugänglich machen, ihm aber daran hindern, alles damit tun zu 

können. 

Identifikation 

Inhalt I 

Geschützter Bereich von A 

Verfügungsbereich von K 

Dienstanbieter A 

Dienstnutzer K 

65




Frei programmierbarer Universal-PC 

• Ausführungs-Schichtenstruktur 

– Objekte können vor den darunter liegenden Schichten nicht 

effizient geschützt werden. 

• Folge: 

– Auf frei programmieren PCs werden Multimedia-Objekte nie 

wirklich schützbar sein. 

3 4 2 

Schicht 1 

A-SW 

 

A-SW … 

Sy-SW 

HW 

A-SW 

Multimedia-Objekt 

A-SW Anwendungssoftware 

Sy-SW Systemsoftware 

HW Hardware 

66




[Nicht] Frei programmierbarer Universal-PC 

• Abwehr: 

– spezielle Hardware (Tamper Proof Module, TPM), die im PC 

eingebaut ist 

– schützt vor Ausführung nicht autorisierter Programme 

• Folge: 

– Es können nur noch offizielle Programme mit einem geschützten 

Inhalt verwendet werden. 

3 4 2 

Schicht 1 

A-SW 

 

A-SW … 

Sy-SW 

HW 

A-SW 

TPM! 

Multimedia-Objekt 

A-SW Anwendungssoftware 

Sy-SW Systemsoftware 

HW Hardware 

67




[Nicht] Frei programmierbarer Universal-PC 

• Abwehr: 

– spezielle Hardware (Tamper Proof Module, TPM), die im PC 

eingebaut ist 

– schützt vor Ausführung nicht autorisierter Programme 

• Folge: 

– Es können nur noch offizielle Programme mit einem geschützten 

Inhalt verwendet werden. 

• Beachte: 

– Autorisierung muss bis auf Hardware-Treiber-Ebene erfolgen! 

• Grundproblem: 

– Selbst Hardwaremodul bietet nicht ewig Sicherheit. 

• Hoffnung: 

– Zeitraum, über den das Geheimnis geschützt bleibt, ist länger 

als Schutzbedarf des Inhalts 

68




Nicht frei programmierbarer Universal-PC 

• Zu beachten: 

1. Entweder: Inhalte werden in Hardwaremodul entschlüsselt 

2. Oder: Server darf unverschlüsselte Inhalte erst nach 

Autorisierung durch das Hardwaremodul ausgeben. 

– Bei 2. muss Content-Server die Authentizität des 

Hardwaremoduls überprüfen 

– Weder 1. noch 2. momentan in der Spezifikation des 

Hardwaremoduls der TCG (früher TCPA) vorgesehen. 

• Datenschutzsicht 

– Funktionen zur Identitätsprüfung durch Content-Server sind 

wegen der Erstellungsmöglichkeit von Nutzungsprofilen nicht zu 

empfehlen. 

– siehe z.B. Diskussionen bzgl. Prozessor-IDs auf Intel-Chips 

69



















• Fazit 

70




Strength of existing systems 

• Very limited protection 

– Most systems 

• protect against hobbyists 

– DRM systems realized in software 

• no or nearly no protection against serious attacks 

– DRM systems realized in hardware 

• weak protection against serious attacks 

• In the best case: 

– Technical components of DRM systems consist of special adapted 

and well-known IT security functions 

• Worst case: 

– Content contains proprietary DRM signals or functions without 

any special protection 

71




Basic security goals and corresponding technologies 

security goal 

technologies 

conditional 

access / 

authorized 

access 

copy 

prevention 

detection 

encryption 

tamper resistant 

hardware devices 

fingerprinting 

integrity 

protection 

protection of ownership 

watermarking 

72




Secure DRM systems 

• Secure DRM systems connect a DRM signal with the content to 

protect in a way that the content signal is useless without the DRM 

signal. 

• Options: 

– DRM signal is part of the content signal (e.g. in watermarking 

systems) 

– DRM signal is necessary to access/decrypt the encrypted content 

signal 

• Important point: 

– Detection of DRM signal cannot be bypassed 

– Hardware or software encapsulation 

• Software 

– not recommendable 

• Hardware 

– breaking is a matter of time and money 

73

DRM - Management der Informationssicherheit - Universität ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?