„Common-Scrambling-Algorithmus“ – Versionsunterschied
| [gesichtete Version] | [gesichtete Version] |
Keine Bearbeitungszusammenfassung |
FFdecsa |
||
| Zeile 7: | Zeile 7: | ||
Seitdem der [[Algorithmus]] für ''CSA'' vollständig bekannt ist, suchen [[Kryptoanalytiker]] nach Schwachstellen des Verfahrens. Wie auch bei anderen [[Verschlüsselung]]sverfahren ergibt sich ein Angriffspunkt dadurch, dass Teile des [[Klartext (Kryptographie)|Klartext]]es als bekannt oder zumindest als sehr wahrscheinlich anzunehmen sind (zum Beispiel [[Moving Picture Experts Group|MPEG]]-Header). Aus der Länge des [[Schlüssel (Kryptologie)|Schlüssels]] (hier: ''Control Word'') von 64 Bit ergeben sich 2<sup>64</sup> Möglichkeiten der [[Verschlüsselung]]. Würde man alle möglichen Schlüsselwörter mit Hilfe eines Computers durchprobieren und dieser für jeden Versuch 1 μs benötigen, dauerte die Suche über 500.000 Jahre. Durch Annahme bestimmter Klartextbytes lassen sich Rückschlüsse auf den verwendeten Schlüssel ziehen, um die Gesamtanzahl möglicher Schlüssel deutlich zu reduzieren. |
Seitdem der [[Algorithmus]] für ''CSA'' vollständig bekannt ist, suchen [[Kryptoanalytiker]] nach Schwachstellen des Verfahrens. Wie auch bei anderen [[Verschlüsselung]]sverfahren ergibt sich ein Angriffspunkt dadurch, dass Teile des [[Klartext (Kryptographie)|Klartext]]es als bekannt oder zumindest als sehr wahrscheinlich anzunehmen sind (zum Beispiel [[Moving Picture Experts Group|MPEG]]-Header). Aus der Länge des [[Schlüssel (Kryptologie)|Schlüssels]] (hier: ''Control Word'') von 64 Bit ergeben sich 2<sup>64</sup> Möglichkeiten der [[Verschlüsselung]]. Würde man alle möglichen Schlüsselwörter mit Hilfe eines Computers durchprobieren und dieser für jeden Versuch 1 μs benötigen, dauerte die Suche über 500.000 Jahre. Durch Annahme bestimmter Klartextbytes lassen sich Rückschlüsse auf den verwendeten Schlüssel ziehen, um die Gesamtanzahl möglicher Schlüssel deutlich zu reduzieren. |
||
Nach aktuellem Stand der [[Kryptoanalyse]] ist der CSA mittels [[Rainbow Table|Regenbogen-Tabelle]] angreifbar und zumindest sequenziell entschlüsselbar. <ref> Colibri DVB: [http://colibri-dvb.info/csa_rainbow_table.htm CSA Rainbow Table], 16. Dezember 2011 (deutsch) </ref> Dies liegt jedoch an der künstlich verkürzten Schlüssellänge von 48 Bits statt der vorgesehenen 64 Bits und an den langsamen, zyklischen Schlüsselwechseln, die vorhersagbar sind. Deshalb wird die Nutzung der vollen 64 Bit Schlüssellänge und der spätere Umstieg auf [[Advanced Encryption Standard|AES]] empfohlen. |
Nach aktuellem Stand der [[Kryptoanalyse]] ist der CSA mittels [[Rainbow Table|Regenbogen-Tabelle]] angreifbar und zumindest sequenziell entschlüsselbar. <ref> Colibri DVB: [http://colibri-dvb.info/csa_rainbow_table.htm CSA Rainbow Table], 16. Dezember 2011 (deutsch) </ref> Dies liegt jedoch an der künstlich verkürzten Schlüssellänge von 48 Bits statt der vorgesehenen 64 Bits und an den langsamen, zyklischen Schlüsselwechseln, die vorhersagbar sind. Deshalb wird die Nutzung der vollen 64 Bit Schlüssellänge und der spätere Umstieg auf [[Advanced Encryption Standard|AES]] empfohlen.<ref name="colibri">Colibri DVB: [http://colibri-dvb.info/DVB_TS_Vollverschluesselung_geknackt.pdf CSA Vollverschlüsselung geknackt] (PDF; 1,2 MB), 16. Dezember 2011 (deutsch) </ref> Ein entsprechendes Programm zur Berechnung der Regenbogen-Tabelle wurde ebenfalls veröffentlicht.<ref name="colibri" /> |
||
== Einzelnachweise == |
== Einzelnachweise == |
||
| Zeile 13: | Zeile 13: | ||
== Weblinks == |
== Weblinks == |
||
;Literatur |
|||
* [http://sec.cs.kent.ac.uk/cms2004/Program/CMS2004final/p5a1.pdf Analysis of the DVB Common Scrambling Algorithm] (PDF-Datei; 194 kB) |
|||
* [http:// |
* [http://sec.cs.kent.ac.uk/cms2004/Program/CMS2004final/p5a1.pdf Analysis of the DVB Common Scrambling Algorithm], 2004 (PDF-Datei; 194 kB) |
||
* Erik Tews, Julian Wälde, Michael Weiner: [http://www.uni-weimar.de/cms/fileadmin/medien/medsicherheit/WEWoRC2011/files/conference_record3.pdf ''Breaking DVB-CSA''] (PDF; 4,4 MB) West European Workshop on Research in Cryptography WEWoRC 2011, S. 41–45 |
* Erik Tews, Julian Wälde, Michael Weiner: [http://www.uni-weimar.de/cms/fileadmin/medien/medsicherheit/WEWoRC2011/files/conference_record3.pdf ''Breaking DVB-CSA''] (PDF; 4,4 MB) West European Workshop on Research in Cryptography WEWoRC 2011, S. 41–45 |
||
;Software |
|||
* |
* [http://colibri-dvb.info/csa_rainbow_table.htm CSA Rainbow Table]: Kryptoanalyse und Tools zum Common-Scrambling-Algorithmus |
||
* [http://www.videolan.org/developers/libdvbcsa.html libdvbcsa: A free implementation of the DVB Common Scrambling Algorithm] |
|||
* [https://github.com/gfto/tsdecrypt/tree/master/FFdecsa FFdecsa is a fast implementation of a CSA decryption algorithm for MPEG TS packets] |
|||
[[Kategorie:Kryptologisches Verfahren]] |
[[Kategorie:Kryptologisches Verfahren]] |
||
Version vom 24. April 2017, 22:21 Uhr
Der Common-Scrambling-Algorithmus (CSA) ist das Verschlüsselungsverfahren, welches beim Digitalfernsehen DVB verwendet wird, um den Videodatenstrom zu verschlüsseln.
CSA wurde über mehrere Jahre geheim gehalten. Einige Hinweise kamen über die Patentschrift ans Licht der Öffentlichkeit, wichtige Details blieben jedoch geheim, zum Beispiel der Aufbau der so genannten S-Boxen. Ohne diese Details war eine freie Implementierung des Algorithmus nicht möglich. CSA sollte ursprünglich nur in Hardware implementiert werden, womit es unmöglich schien, die nötigen Details durch Reverse Engineering existierender Implementierungen, zum Beispiel Conditional Access Module (CAM), zu ermitteln.
Im Jahre 2002 erschien ein Programm namens FreeDec, welches den CSA in Software implementierte. Das Programm war nur als binäre Version (auch: Executable) verfügbar. Hacker disassemblierten die Software und ermittelten damit die fehlenden Details. Dadurch wurde es möglich, eine Implementierung von CSA in einer Hochsprache zu verwirklichen.
Seitdem der Algorithmus für CSA vollständig bekannt ist, suchen Kryptoanalytiker nach Schwachstellen des Verfahrens. Wie auch bei anderen Verschlüsselungsverfahren ergibt sich ein Angriffspunkt dadurch, dass Teile des Klartextes als bekannt oder zumindest als sehr wahrscheinlich anzunehmen sind (zum Beispiel MPEG-Header). Aus der Länge des Schlüssels (hier: Control Word) von 64 Bit ergeben sich 264 Möglichkeiten der Verschlüsselung. Würde man alle möglichen Schlüsselwörter mit Hilfe eines Computers durchprobieren und dieser für jeden Versuch 1 μs benötigen, dauerte die Suche über 500.000 Jahre. Durch Annahme bestimmter Klartextbytes lassen sich Rückschlüsse auf den verwendeten Schlüssel ziehen, um die Gesamtanzahl möglicher Schlüssel deutlich zu reduzieren.
Nach aktuellem Stand der Kryptoanalyse ist der CSA mittels Regenbogen-Tabelle angreifbar und zumindest sequenziell entschlüsselbar. [1] Dies liegt jedoch an der künstlich verkürzten Schlüssellänge von 48 Bits statt der vorgesehenen 64 Bits und an den langsamen, zyklischen Schlüsselwechseln, die vorhersagbar sind. Deshalb wird die Nutzung der vollen 64 Bit Schlüssellänge und der spätere Umstieg auf AES empfohlen.[2] Ein entsprechendes Programm zur Berechnung der Regenbogen-Tabelle wurde ebenfalls veröffentlicht.[2]
Einzelnachweise
- ↑ Colibri DVB: CSA Rainbow Table, 16. Dezember 2011 (deutsch)
- ↑ a b Colibri DVB: CSA Vollverschlüsselung geknackt (PDF; 1,2 MB), 16. Dezember 2011 (deutsch)
Weblinks
- Literatur
- Analysis of the DVB Common Scrambling Algorithm, 2004 (PDF-Datei; 194 kB)
- Erik Tews, Julian Wälde, Michael Weiner: Breaking DVB-CSA (PDF; 4,4 MB) West European Workshop on Research in Cryptography WEWoRC 2011, S. 41–45
- Software
- CSA Rainbow Table: Kryptoanalyse und Tools zum Common-Scrambling-Algorithmus
- libdvbcsa: A free implementation of the DVB Common Scrambling Algorithm
- FFdecsa is a fast implementation of a CSA decryption algorithm for MPEG TS packets