Netzsicherheit - Ruhr University Bochum · 2012-11-02 · Forschungsgebiet seit 2006: Rational Cryptography Angreifer sind nicht per Definition „böse“, sondern jeder Teilnehmer

Netzsicherheit

Teil 6: Pay-TV

Prof. Dr. Jörg Schwenk

Lehrstuhl für Netz- und Datensicherheit

Pay-TV Jörg Schwenk

Lehrstuhl für Netz- und Datensicherheit 2

Gliederung Funktionsweise Conditional Access (CA)

Angriffe auf das analoge Scrambling

Videocrypt (BSkyB Analog)

Nagravision (Premiere Analog)

Angriffe auf das Schlüsselmanagement

Videocrypt

Irdeto/BetaResearch

Digitales Fernsehen und der Common Scrambling Algorithmus

MPEG-2 Transportformat und DVB

Der CSA

Broadcast Encryption

Traitor Tracing

Kurzeinführung „Digital Watermarking“



Ziele Conditional Access

Autorisierter

Benutzer

Autorisierter Benutzer

Nichtautorisierter

Benutzer



Funktionsweise Conditional Access

CNN 2

Audio/Video verschlüsselt

+ Zugriffsbedingungen (in ECM)

Zugriffs-

Rechte

Überprüfe, ob die Zugriffs-

rechte mit den Zugriffsbedin-

gungen übereinstimmen.

Wenn ja, entschlüssele!



Funktionsweise Conditional Access Scrambling / Verschlüsselung

Analog: Das Videosignal wird in einen FIFO-Puffer geladen und

unter Kontrolle eines kryptograph. Schlüssels CW modifiziert.

Digital: Der MPEG-2-TS wird durch den DVB Common

Scrambling-Algorithmus mit dem Schlüssel („Kontrollwort“) CW

verschlüsselt.

Schlüsselmanagement / Conditional Access

CW wird (verschlüsselt mit einem Service-Schlüssel SK) in einer

ECM übertragen, zusammen mit Zugriffsbedingungen.

SK wird (verschlüsselt mit einem persönlichen Schlüssel PK

oder einem Gruppenschlüssel GK) in einer EMM übertragen,

zusammen mit Zugriffsrechten.

Stimmen Bedingungen und Rechte überein, so gibt die

Chipkarte CW frei.



Scrambling / Conditional Access

CW

Video Video CSACW(Video) CSA CSA

E

E

D

D

Pay-TV-Anbieter Kunde

Scrambling

CA CW




CW CW


SK

ECM = ESK(CW) E

E

D

D


Scrambling

CA

SK




CW CW


SK

SK

ECM = ESK(CW)

EMM = EPK(SK)

E

E

D

D

PK PK


Scrambling

CA



Verschlüsselung im „Consumer

Electronics“-Bereich Neue, sehr spezifische Bedrohungen

Der einzelne Kunde hat kein Interesse daran, seine kryptographischen Schlüssel (SK, GK, PK) geheimzuhalten.

Marketingstrategien und Sicherheitsanforderungen sind oft unvereinbar.

Geräte und Chipkarten werden preisgünstig und unkontrollierbar abgegeben.

Großes Potential an versierten Hackern mit „einfachen“, aber effektiven Angriffen.

Frühestes Beispiel für „Seitenkanalangriffe“ in der Praxis

Forschungsgebiet seit 2006: Rational Cryptography Angreifer sind nicht per Definition „böse“, sondern jeder

Teilnehmer kann abhängig von einer „Gewinnfunktion“ gut oder böse sein.








Videocrypt

Irdeto/BetaResearch



Der CSA


Traitor Tracing





CW CW


SK

SK

ECM = ESK(CW)

EMM = EPK(SK)

E

E

D

D

PK PK


Scrambling

CA



Videocrypt



Mehr Infos zu Videocrypt



Nagravision/Syster



Mehr Infos zu Nagravision/Syster



Nagravision/Syster Angriffe auf das analoge Scrambling

Der PSND1-Dekoder für die SECAM-Version des

Nagravision-Systems rekonstruiert(e) gescrambeltes Audio/Video in Echtzeit.

Quelle: http://www.eurosat.com/eurosat/nagra/psnd1-e.html



Nagravision/Syster Angriffe auf das

analoge Scrambling

(2): PC-Basierte

Angriffe

Pentium 166 Mhz

Videokarte mit

„Framegrabber“

Funktioniert für

Nagravision/Syster und

Videocrypt

Illegal bei

Entschlüsselung

deutscher Sender

Quellen: http://www.multimania.com/freetw/help/freetv.htm; http://www.leodom-gruppe.de/wissenschaft/decodieren.htm








Videocrypt

Irdeto/BetaResearch



Der CSA


Traitor Tracing




Schlüsselmanagement/CA

CW CW


SK

SK

ECM = ESK(CW)

EMM = EPK(SK)

E

E

D

D

PK PK


Scrambling

CA



Schlüsselmanagement Videocrypt

Deaktivierung einer

Chipkarte durch

„negative Adressierung“

Alle Karten besitzen das

gleiche „Geheimnis“

Deaktivierung einer

Karte nur in Kooperation

mit dieser möglich

Folge:

„Infinite Life“-Attacke

Descrambling ohne

Chipkarte möglich

Adr1 Adr2 Adr3 Adr4

Hash

CW EMM=ECM

MAC Okay?



Geschichte der Videocrypt-Hacks 2.24 The *REAL* History of Hacks On VideoCrypt

2.24a Hack 01: The McCormac Hack

2.24b Hack 02: The Infinite Lives Hack

2.24c Hack 03: The KENtucky Fried Chip Hack

2.24d Hack 04: The 07 Ho Lee Fook (8752/8051)

2.24e Hack 05: The 07 Ho Lee Fook (PIC16C54)

2.24f Hack 06: The 07 Ho Lee Fook (PIC16C84)

2.24g Hack 07: The 07 Season Program

2.24h Hack 08: The 09 Ho Lee Fook (temporary)

2.24i Hack 09: The Phoenix / Genesis Blocker

2.24j Hack 10: The Stable 09 Ho Lee Fook

2.24k Hack 11: The 09 Battery Card

2.24l Hack 12: The 09 Season Program

2.24m Hack 13: The Sam Chisum Hack On Sky 10 PPV

2.24n Hack 14: The Sky 10 Commercial Phoenix Hack

2.24o Hack 15: The Megatek 10 Battery Card

2.24p Hack 16: The Judgment Night PPV Hack

2.24q Hack 17: The Christmas 1996 Phoenix

2.24r Hack 18: Season 10

2.24s Hack 19: Phoenix 3.50

2.24t Hack 20: SkyPIC 10

2.24u Hack 21: Sky 10/11 Blocker

Quelle:

http://www.iol.ie/~kooltek/faq.html,

16.8.97



CA im Entertainment-Bereich


Blocker filtern Befehle zum Deaktivieren der Chipkarte aus.



Videocrypt-Hacks: Der Season-Hack

Der „geheime“

PRF-Algorithmus

wurde im PC

nachpro-

grammiert

Kerkhoffs !



Videocrypt-Hacks: Der Lötkolben-Hack

Quelle: M. Kuhn



Sicherheit von NDS VideoGuard:

Komplexität des ASIC

The best technology

available.

Custom-designed hardware

components include NDS-

specific circuits based on

high density components to

prevent device analysis and

re-engineering.

http://www.nds.com/

conditional_access/

videoguard_security.html



Schlüsselmanagement Eurocrypt

(Nagra, Canal+, Viaccess, ...) Aktivierung einer

Chipkarte durch

„positive Adressierung“

ECM wird mit SK

verschlüsselt

übertragen

SK wird mit den

verschiedenen GKi

verschlüsselt in EMM

übertragen

GKi wird mit den

verschiedenen SKj

verschlüsselt in EMM

übertragen PK1 PK2 PK3 PK4

GK1 GK2

SK

CW ECM

EMM



Schlüsselmanagement/CA Deaktivierung einer

Chipkarte durch

„positive Adressierung“

Zum Deaktivieren von

Karte 4 müssen GK2

und SK ausgetauscht

werden.

EMM1 enthält neuen

GK2 verschlüsselt mit

PK3.

EMM2 enthält neuen SK

verschlüsselt mit GK1

EMM3 enthält neuen SK

verschlüsselt mit GK2 PK1 PK2 PK3

PK4

GK1 GK2

SK

CW ECM

EMM




Optimierung der

„positiven

Adressierung“

n Kunden, m-ärer Baum

der Tiefe t

n mt-1

m(t-1)-1 = m log m n - 1

Funktion (n fest)

x logxn = (x/ln x) ln n

hat Minimum bei x=e

Daher m = 2 oder m = 3

optimal.

PK1 PK2 PK3 PK4

GK1 GK2

SK

CW ECM

EMM




„Positive Adressierung“ in der Praxis

ECM enthält

ID-Nummer des Kanals, für den sie bestimmt ist

Rechte, die für diesen Kanal benötigt werden (in der Reihenfolge

Pay-per-Channel, Prebooked PPV, Impulsive PPV)

Gesichert mit MACSK(ID, Rechte)

EMM-U enthält

Nummer der Gruppe, der die Karte zugeordnet wird

Schlüssel der Gruppe, der die Karte zugeordnet wird

Verschlüsselt mit PKi

Gesichert mit MACPKi(Daten)




„Positive Adressierung“ in der Praxis

EMM-G enthält

Adresse der Gruppe, für die die EMM bestimmt ist

Bitmap der Gruppe

Berechtigung, die die in der Bitmap markierten Mitglieder der Gruppe

erhalten sollen

Verschlüsselt mit GKi

Gesichert mit MACGKi(Daten)

1001010111101101 Gruppe 17 SPORT MACGKi



Angriffe Schlüsselmanagement

Piratenkarten emulieren

das ECM/CW I/O-Verhalten

der Originalkarten

SK muss der Piratenkarte

bekannt sein

Datenformate ECM müssen

bekannt sein

Bei Wechsel des SK: Update

des neuen SK über die 10er-

Tastatur

Quelle: http://www.eurosat.com/eurosat/images/bpsceuro.gif




Programmierbarer Chipkartenemulator iCard Komplette Software der iCard kann erneuert werden

Bei häufigem Wechsel von SK kann auch ein GKi mit abgespeichert werden (halbanonym)

Heute: Programmierbare „leere“ Chipkarten (alles in SW)

Quelle: http://thoic.com/icard/frameger.html




PC/Dekoder-Schnittstelle mit

seriellem Kabel (SEASON-

Interface)

ermöglichen die Simulation der

Chipkarte durch einen PC (für

VIACCESS, MediaGuard,

Irdeto,...)

Das SEASON-Programm

benötigt aktuelle

kryptographische Schlüssel

Key-Datenbanken im Internet

http://www.multisat.de/season/season.html




Standard-Chipkarten als Piratenkarten: Reaktivierung von Originalkarten Fall 1: Schwäche des

MAC-Algorithmus (Programmierfehler)

Fall 2: GKi bekannt oder kann auf Karte geladen werden

Fall 3: PKi bekannt oder kann auf die Karte geladen werden

Bild: Chipkartenleser zur Reprogrammierung von Originalkarten

http://www.multisat.de/mp2000/index.html




Reaktivierung von Originalkarten (MOSC): Wie kann das funktionieren? Auslesen oder Schreiben

von Schlüsseln durch Buffer Overflow

SK kann auf Karte geschrieben werden: Ausschalten durch „Produktwechsel“

GKi oder PKi kann auf Karte geschrieben werden: „Autoupdate“-Karten CardWizard: z.B. unter http://www.irde.to/all4free/




Varianten der

Schlüsselhierarchie

für mehrere

„Produkte“

Gruppen sind fest,

mehrere SK

PK1 PK2 PK3 PK4

GK1 GK2

SK1

CW ECM

EMM SK2

CW




Varianten der

Schlüsselhierarchie

für mehrere

„Produkte“

Gruppen sind bzgl. SK

optimiert

Mehrere unabhängige

Anbieter pro Karte

möglich (Analogon

root/user unter Unix)

PK1 PK2 PK3 PK4

GK1 GK2

SK

CW ECM

EMM








Videocrypt

Irdeto/BetaResearch



Der CSA


Traitor Tracing




Digitales Fernsehen: MPEG-2

Daten werden in Transportpaketen (188 Bytes)

transportiert

Zeitmultiplex verschiedener Audio/Video/Datenströme

Einzelne Pakete des gleichen Stroms haben gleiche

PID



Digitales Fernsehen: MPEG-2

Übertragung der Transportpakete im Zeitmultiplex

Zusammenfassung von PID-Strömen zu „Services“

mittels Tabellen („Service Information“, SI)

Tabellen bilden eine Art „Dateisystem“ für das

MPEG-2-System

„root“-Verzeichnis hat feste, allgemein bekannte PID

PID = 1 (Video)

PID = 2 (Audio)

PID = 1 (Video)

PID = 1 (Video)

PID = 1 (Video)

PID = 3 (Daten)

PID = 17 (Audio)

...

...

PID = 1 (Video)

PID = 3 (Daten)

PID = 2 (Audio)

Service 1:

PID = 1 (Video)

PID = 17 (Audio)

Service 2:



Digitales Fernsehen: Pay-TV nach

DVB ECM-Datenstrom jeweils an einen „Service“ gebunden

Wenn ein bestimmter Service (Audio/Video/Daten) über SI

ausgewählt wurde („EPG“), filtert die Set-Top-Box die

zugehörigen ECMs und sendet sie an die Karte.

EMM-Datenstrom ist unabhängig von den „Services“

Karte muss der Set-Top-Box ihre Adressen (individuell,

Gruppen) mitteilen, damit diese die EMMs filtern kann.

PID = 1 (Video)

PID = 2 (Audio)

PID = 1 (Video)

PID = 1 (Video)

PID = 1 (Video)

PID = 3 (ECM)

PID= 213 (EMM)

...

...

PID = 1 (Video)

PID = 3 (ECM)

PID = 2 (Audio)

Pay-TV 1:

PID= 213 (EMM)

EMM:



Digitales Fernsehen: DVB-

Verschlüsselung Minimale (Synchronisations-) Information zur

Verschlüsselung im MPEG-TS-Header

Weitere Informationen in den ECMs

ECM-Varianten:

enthält nur nächstes CW (even/odd)

enthält aktuelles und nächstes CW

TS_scrambling_control-Belegung Bedeutung

00 TS-Nutzlast ist nicht verschlüsselt

01 Reserviert für zukünftigen DVB-Gebrauch

10 Nutzlast ist mit einem geraden CW verschlüsselt

11 Nutzlast ist mit einem ungeraden CW verschlüsselt



Digitales Fernsehen: DVB-

Verschlüsselung CSA








Videocrypt

Irdeto/BetaResearch



Der CSA


Traitor Tracing




Broadcast Encryption Gesucht: Schlüsselmanagement für Nutzermenge U,

mit dem es möglich ist

eine Nachricht genau an alle Nutzer TU über ein

Rundfunkmedium zu senden,

so dass es auch gegen jede Koalition SU von k

Angreifern mit ST= sicher ist („k-resilient“),

und die Anzahl der Schlüssel (insgesamt/pro Nutzer) minimal

ist.

Vorüberlegung: Um Teilmenge TU eindeutig zu

bezeichnen, sind |U| Bits erforderlich.

Nur in Spezialfällen ist hier eine Verbesserung möglich.



Broadcast Encryption k-resilientes Basisschema

für jede Teilmenge B mit höchstens k Nutzern:

wähle einen Schlüssel KB

KB wird jedem Nutzer gegeben, der nicht zu B gehört

Schlüssel für T: KT = ⊕BU-T KB

Sicherheit

Den Mitgliedern jeder Teilmenge S U-T mit höchstens k

Nutzern fehlt der Schlüssel KS zur XOR-Berechnung

Anzahl der Schlüssel

Anzahl der i-Teilmengen der Menge U, |U|=n, ist

Anzahl aller Schlüssel:

i

n

k

i i

n

0



Broadcast Encryption: Beispiel 1-resilientes Basisschema

für jeden Nutzer Ui:

wähle einen Schlüssel Ki

Ki wird jedem Nutzer Uj mit j ≠ i gegeben

der Schlüssel für T ist das XOR aller Schlüssel Kj, Uj U-T.

Anzahl der Schlüssel

Anzahl der 1-Teilmengen der Menge U, |U|=n, ist n.

Anzahl aller Schlüssel: n

Sicherheit

Den Mitgliedern jeder Teilmenge S={Ki} U-T mit höchstens

1 Nutzern fehlt der Schlüssel Ki zur XOR-Berechnung



Broadcast Encryption: Beispiel U = {U1, U2, U3, U4}

Schlüsselmenge für U1: M1 = {K2, K3, K4}




T = {U1, U3}, dann ist KT = K2 ⊕ K4

Sicherheit: U2 fehlt K2, U4 fehlt K4

T = {U1, U2}, dann ist KT = K3 ⊕ K4



Broadcast Encryption 1-resilientes Basisschema

Nutzer muss n-1 Schlüssel speichern

Verbesserung durch kryptographische Annahmen

Annahme 1: Es gibt Einwegfunktionen

Dann gibt es pseudozufällige Funktion f : {0,1}a → {0,1}2a

s

sl = linke

Hälfte von f(s)

sr = rechte

Hälfte von f(s)

sll = linke

Hälfte von f(sl) srr = rechte

Hälfte von f(sr) srl slr



Broadcast Encryption Annahme 1: Es gibt Einwegfunktionen

Schlüsselzuweisung für Nutzer x wie folgt:

Entferne den Pfad von x zur Wurzel aus dem Baum

Weise x die Werte zu, mit denen die verbleibenden

Teilbäume beschriftet sind

Damit kann x die Beschriftung aller Blätter bis auf sein

eigenes rekonstruieren.

log2n Schlüssel

sr

sll x



Broadcast Encryption Annahme 2: Die Berechnung von p-ten Wurzeln

modulo N=PQ ist praktisch unmöglich

geheim, nur dem Schlüsselmanagementzentrum bekannt:

Primzahlen P, Q,

Zahl g, wobei <g> in ℤN möglichst groß sein soll.

öffentlich bekannt:

Modulus N

Liste ( (1, p1), (2, p2), ..., (n, pn) ) mit der Bedeutung, dass die

Primzahl pi dem Nutzer i zugeordnet und paarweise

teilerfremd zu allen anderen Primzahlen pj ist.

nur Nutzer i bekannt: gi = gpi mod N

Schlüssel für Gruppe TU:

gpT mod N mit pT= iT pi





Berechnung des Schlüssels durch Nutzer iT:

Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen

könnte, dann könnte er auch g berechnen.

Beweis:

Ng iTj jp

i mod}{





Berechnung des Schlüssels durch Nutzer iT:

Sicherheit: Wenn ein Nutzer jT den Schlüssel berechnen

könnte, dann könnte er auch g berechnen.

Beweis: ∏i∈Tpi und pj sind teilerfremd. Mit dem erweiterten

Euklidischen Algorithmus kann man sie darstellen als

1 = a⋅∏i∈Tpi + b⋅pj .

Also ist g = (g∏pi )a⋅ (gpj)b

Ng iTj jp

i mod}{



Broadcast Encryption Konstruktion von k-resilienten Systemen aus den 1-

resilienten Grundbausteinen: Parameter L, m

U

1,

.

.

.,

m

S

f1

fL

...

∀S ∃fi injektiv

auf S




resilienten Grundbausteinen: Parameter L, m

Funktionen f1,...,fL: U → {1,...,m}

(zufällig gewählt oder konstruiert)

Es muss gelten: Für jedes SU mit

|S|=k gibt es mindestens eine

Funktion fi so dass

für alle x,yS gilt: fi(x)fi(y)

(d.h. fi ist auf S injektiv).

Stichwort: Perfect Hash Functions

(Die Parameter L und m sind noch

geeignet zu wählen.)

U

1,

.

.

.,

m

S

f1

fL

...

fi injektiv

auf S




resilienten Grundbausteinen: Schlüsselverteilung

Für (i,j) mit i{1,...,L} und j{1,...,m}

konstruiere jeweils ein unabhängiges

1-resilientes BE-System R(i,j).

(Es gibt also insgesamt L⋅m 1-resiliente Systeme.)

Jeder Nutzer x U erhält die

Schlüssel für x im System R(i,fi(x))

für i{1,...,L}.

(Jeder Nutzer erhält die Schlüssel

für L dieser Systeme.)

U

1,

.

.

.,

m

S

f1

fL

...

fi injektiv

auf S




resilienten Grundbausteinen: Verschlüsselung

Um eine geheime Nachricht M an eine

Menge T zu senden, zerlege diese in

L Teilnachrichten M1...ML=M.

Mi wird für j=1,...,m verschlüsselt mit

kTi,j aus R(i,j), und die m

Kryptogramme ci,j werden per Broadcast

versendet.

Jeder Nutzer x T erhält so alle

Teilnachrichten Mi und kann die

Nachricht M berechnen:

Mi = D(kTi,fi(x),ci,j)

U

1,

.

.

.,

m

S

f1

fL

...

fi injektiv

auf S




resilienten Grundbausteinen: Sicherheit

Gegeben sei eine Angreifermenge S.

Dann gibt es eine Funktion fi, die für

S injektiv ist.

Für jedes 1-resiliente System R(i,j),

mit dem Mi verschlüsselt wird, ist

höchstens 1 Angreifer aus S vorhanden.

Da die einzelnen Schemata 1-resilient sind,

können die Angreifer so Mi nicht berechnen.

M bleibt somit geheim.

U

1,

.

.

.,

m

S

f1

fL

...

fi injektiv

auf S




resilienten Grundbausteinen: Wahl von L und m

Für m = 2k2 und L = k log n

ist die Wahrsch., dass eine zufällig

gewählte Funktion fi auf einer Menge

S injektiv ist, mindestens

Die Wahrsch., dass es kein solches fi

gibt, ist 1/4L = 1/n2k.

Die Wahrsch., dass es für jede k-Menge S ein solches fi gibt,

ist

4

3

4

)1(1

1

21

2

k

kk

m

k

kk nnk

n 11

11

2

U

1,

.

.

.,

m

S

f1

fL

...

fi injektiv

auf S








Videocrypt

Irdeto/BetaResearch



Der CSA


Traitor Tracing




Traitor Tracing Definition: A k-resilient Traitor Tracing Scheme is defined as follows

1. The content is encrypted using a session key S.

2. The session key is split into r partial keys s1,...,sr using a (m,r)-

Threshold scheme [Sha79].

3. The set of decryption keys PK contains r elements k1,...,kr The

partial key si is encrypted under the decryption key ki. All these

cryptograms together will form the enabling block for the content.

4. Each authorized user u gets a personal set PK(u)PK of decryption

keys. This set contains m decryption keys from PK and will thus

allow him to decrypt m shares. He then can reconstruct S using the

(m,r)-Threshold scheme and decrypt the content.

5. There exists a Traitor Tracing Algorithm which on input an arbitrary

personal key set PK(u) found in a pirate device outputs the identity

of at least one traitor out of a coalition of at most k traitors.



Traitor Tracing Beispiel: Ein 1-resilientes Traitor Tracing Schema

Nutzer sind Punkte in affiner Ebene

Schlüssel Geraden in Parallelenklassen (hier 2)

Jeder Nutzer erhält die Schlüssel, deren Geraden durch

seinen Punkt gehen. 1 2 3

4 6

7 8 9

5

l11

l12

l13

l21 l22 l23



Traitor Tracing Was nicht passieren darf

k Angreifer U1,...,Uk kombinieren die Schlüssel aus ihren Mengen PK(U1),...,PK(Uk) so zu einer neuen Menge PK(*), dass der Tracing-Algorithmus einen unschuldigen Nutzer U‘ als Ergebnis liefert. („Framing“)

Allgemeinstes Resultat: P. Erdös, P. Frankl and Z. Furedi: Families of Finite Sets in Which No Set is Covered by the Union of r Others. Israel J. Math. 51, 1985, pp. 79-89.

Was optimiert werden soll

|PK|

|PK(U)|

Länge des Enabling Block








Videocrypt

Irdeto/BetaResearch



Der CSA


Traitor Tracing




Digitale Wasserzeichen Idee: Bette die digitale Information in das „Rauschen“

von Multimedia-Daten (Audio, Bilder, Video) ein.

Die Qualität der Daten darf nicht wahrnehmbar

beeinträchtigt werden („Invisibility“)

Das Wasserzeichen kann öffentlich detektierbar sein

(„public“), oder nur bei Kenntnis eines „Schlüssels“

(„secret“).

Wird das Wasserzeichen entfernt, so leidet die

Qualität der Multimedia-Daten erheblich

(„robustness“).



Steganographie Idee: Bette die digitale Information in das „Rauschen“

von Multimedia-Daten (Audio, Bilder, Video) ein.

Die Qualität der Daten darf nicht wahrnehmbar

beeinträchtigt werden („Invisibility“)

Die Stego-Daten dürfen nicht detektierbar sein.

(Robustheit wird NICHT gefordert: Wenn der Verdacht

besteht, dass eine Datei Stego-Daten enthält, können

diese durch einen Transformation der Datei gelöscht

werden.)



Steganographie Die Idee ist leider schwer umzusetzen, denn die Stego-

Daten können sichtbar gemacht werden:

Originalbild (links), gefiltert ohne Stago-Daten (Mitte), gefiltert mit halber

Kapazität an Stego-Daten.

Andreas Westfeld, Andreas Pfitzmann:

Attacks on Steganographic Systems. S. 61–76 in Andreas Pfitzmann (Hrsg.):

Information Hiding. Third International Workshop, IH'99, Dresden, Germany



DW: Das Verfahren von Cox et. al. Ingemar J Cox, Joe Kilian, Tom Leighton, and Talal

Shamoon: Secure Spread Spectrum Watermarking for

Multimedia. NEC Research Institute Technical Report

95-10.

Idee: Bette die digitale Information als minimale

Änderungen in die wichtigsten Koeffizienten eines

Bildes ein.

Was sind die „wichtigsten Koeffizienten“?



DW: Das Verfahren von Cox et. al.

„Bavarian Couple“ ohne (links) und mit (rechts) digitalem Wasserzeichen.




Der Peak ungefähr bei WZ 200 zeigt an, dass gesuchte WZ im Bild

enthalten ist.




Rescaling: Das WZ ist immer noch detektierbar.




JPEG-Kompression: Sowohl links (10% Qualität, 0% Smoothing) als auch

rechts (5% Qualität, 0% Smoothing) bleibt das WZ detektierbar.




Dithering: das WZ bleibt detektierbar.




Drucken, Photokopieren, Scannen, Skalieren: das WZ bleibt detektierbar.



DW: Das Verfahren von Cox et. al. Idee: Bette die digitale Information in die wichtigsten

Koeffizienten der DCT-transformierten Version des

Bildes ein.



Die Diskrete Cosinus-Transformation (DCT)

Idee: Transformiere das Bild oder einen Ausschnitt des

Bildes (hier: 8x8-Blöcke) so, dass die „wichtigsten“

Informationen „links oben“ stehen.

http://www.mh1.de/Papers/MpegOverview/Mpeg_Ueberblick.pdf





Beispiel:

Block von 8x8 Pixeln (links), Koeffizientenmatrix (rechts)





Beispiel:

Koeffizientenmatrix minus 128 (links),

Koeffizientenmatrix nach der

DCT-Transformation (rechts)




Warum stehen links oben nun die „wichtigsten“ Werte?

Bedeutung der DCT-Koeffizienten




Einbettung des Wasserzeichens:

Wähle eine Zufallsfolge X = {xi | i = 1, ... 1000 } von kleinen

Zahlen aus. Dies ist das Wasserzeichen.

Transformiere das gesamte Bild (nicht nur 8x8-Blöcke) mittels

DCT.

Füge in die 1000 wichtigsten DCT-Koeffizienten vi des Bildes das

Wasserzeichen nach einer der unten stehenden Vorschriften ein: vi‘ = vi + xi

vi‘ = vi (1 + xi)

Wende die inverse DCT-Transformation an.



DW: Das Verfahren von Cox et. al. Detektion des Wasserzeichens:

Transformiere das gesamte, mit Wasserzeichen versehene Bild

mittels DCT.

Transformiere das gesamte Originalbild (ohne WZ) mittels DCT.

Subtrahiere die beiden Koeffizientenmatrizen voneinander, um

eine Folge X* zu erhalten.

Vergleiche die Ähnlichkeit von X und X* durch Berechnung von

(„⋅“ bezeichnet die Skalarmultiplikation der beiden Vektoren).

*

**),(

XX

XXXXSim




Der Ähnlichkeitswert liegt beim Vergleich mit zufällig gewählten WZ nahe

Null, beim „echten“ WZ weit darüber. (Vgl. Seitenkanalattacken).



DW: Angriffe Idee StirMark:

Verzerre das Bild

lokal.

Fabien A. P. Petitcolas and

Ross J. Anderson:

Evaluation of copyright

marking systems.

Proceedings of IEEE

Multimedia Systems'99,

vol. 1, pp. 574-579, 7-11

June 1999, Florence, Italy.

Documents

Netzsicherheit - Ruhr University Bochum · 2012-11-02 · Forschungsgebiet seit 2006: Rational Cryptography Angreifer sind nicht per Definition „böse“, sondern jeder Teilnehmer