„Common-Scrambling-Algorithmus“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][gesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
Xqbot (Diskussion | Beiträge)
Passive Sichter, Bots
920.214 Bearbeitungen
K Bot: Trage fehlendes <references /> nach
MorbZ-Bot (Diskussion | Beiträge)
139.578 Bearbeitungen
K Bot: Füge Dateiinformationen hinzu
Zeile 7: Zeile 7:
Seitdem der [[Algorithmus]] für ''CSA'' vollständig bekannt ist, suchen [[Kryptoanalytiker]] nach Schwachstellen des Verfahrens. Wie auch bei anderen [[Verschlüsselung]]sverfahren ergibt sich ein Angriffspunkt dadurch, dass Teile des [[Klartext (Kryptographie)|Klartext]]es als bekannt oder zumindest als sehr wahrscheinlich anzunehmen sind (zum Beispiel [[Moving Picture Experts Group|MPEG]]-Header). Aus der Länge des [[Schlüssel (Kryptologie)|Schlüssels]] (hier: ''Control Word'') von 64 Bit ergeben sich <math>2^{64}</math> Möglichkeiten der [[Verschlüsselung]]. Würde man alle möglichen Schlüsselwörter mit Hilfe eines Computers durchprobieren und dieser für jeden Versuch 1 μs benötigen, dauerte die Suche über 500.000 Jahre. Durch Annahme bestimmter Klartextbytes lassen sich Rückschlüsse auf den verwendeten Schlüssel ziehen, um die Gesamtanzahl möglicher Schlüssel deutlich zu reduzieren.
Seitdem der [[Algorithmus]] für ''CSA'' vollständig bekannt ist, suchen [[Kryptoanalytiker]] nach Schwachstellen des Verfahrens. Wie auch bei anderen [[Verschlüsselung]]sverfahren ergibt sich ein Angriffspunkt dadurch, dass Teile des [[Klartext (Kryptographie)|Klartext]]es als bekannt oder zumindest als sehr wahrscheinlich anzunehmen sind (zum Beispiel [[Moving Picture Experts Group|MPEG]]-Header). Aus der Länge des [[Schlüssel (Kryptologie)|Schlüssels]] (hier: ''Control Word'') von 64 Bit ergeben sich <math>2^{64}</math> Möglichkeiten der [[Verschlüsselung]]. Würde man alle möglichen Schlüsselwörter mit Hilfe eines Computers durchprobieren und dieser für jeden Versuch 1 μs benötigen, dauerte die Suche über 500.000 Jahre. Durch Annahme bestimmter Klartextbytes lassen sich Rückschlüsse auf den verwendeten Schlüssel ziehen, um die Gesamtanzahl möglicher Schlüssel deutlich zu reduzieren.


Nach aktuellem Stand der [[Kryptoanalyse]] ist der CSA mittels [[Rainbow Table|Regenbogen-Tabelle]] angreifbar, und zumindest sequenziell entschlüsselbar. <ref> Colibri DVB: [http://colibri.net63.net/csa_rainbow_table.htm CSA Rainbow Table], 16. Dezember 2011 (deutsch) </ref> Dies liegt jedoch an der künstlich verkürzten Schlüssellänge von 48 Bits, statt der vorgesehen 64 Bits als auch der langsamen, zyklischen Schlüsselwechsel die vorhersagbar sind. Aufgrund dessen wird die Nutzung der vollen 64 Bit Schlüssellänge, und spätere Umstieg auf [[Advanced Encryption Standard|AES]] empfohlen. <ref> Colibri DVB: [http://colibri.net63.net/DVB_TS_Vollverschluesselung_geknackt.pdf CSA Vollverschlüsselung geknackt], 16. Dezember 2011 (deutsch) </ref> Ein entsprechendes Tool zur Berechnung der Rainbow-Table wurde ebenfalls veröffentlicht.
Nach aktuellem Stand der [[Kryptoanalyse]] ist der CSA mittels [[Rainbow Table|Regenbogen-Tabelle]] angreifbar, und zumindest sequenziell entschlüsselbar. <ref> Colibri DVB: [http://colibri.net63.net/csa_rainbow_table.htm CSA Rainbow Table], 16. Dezember 2011 (deutsch) </ref> Dies liegt jedoch an der künstlich verkürzten Schlüssellänge von 48 Bits, statt der vorgesehen 64 Bits als auch der langsamen, zyklischen Schlüsselwechsel die vorhersagbar sind. Aufgrund dessen wird die Nutzung der vollen 64 Bit Schlüssellänge, und spätere Umstieg auf [[Advanced Encryption Standard|AES]] empfohlen. <ref> Colibri DVB: [http://colibri.net63.net/DVB_TS_Vollverschluesselung_geknackt.pdf CSA Vollverschlüsselung geknackt] (PDF; 1,2&nbsp;MB), 16. Dezember 2011 (deutsch) </ref> Ein entsprechendes Tool zur Berechnung der Rainbow-Table wurde ebenfalls veröffentlicht.


== Einzelnachweise ==
== Einzelnachweise ==
Zeile 15: Zeile 15:
* [http://sec.cs.kent.ac.uk/cms2004/Program/CMS2004final/p5a1.pdf Analysis of the DVB Common Scrambling Algorithm] (PDF-Datei; 194 kB)
* [http://sec.cs.kent.ac.uk/cms2004/Program/CMS2004final/p5a1.pdf Analysis of the DVB Common Scrambling Algorithm] (PDF-Datei; 194 kB)
* [http://www.videolan.org/developers/libdvbcsa.html libdvbcsa: A free implementation of the DVB Common Scrambling Algorithm]
* [http://www.videolan.org/developers/libdvbcsa.html libdvbcsa: A free implementation of the DVB Common Scrambling Algorithm]
* Erik Tews, Julian Wälde, Michael Weiner: [http://www.uni-weimar.de/cms/fileadmin/medien/medsicherheit/WEWoRC2011/files/conference_record3.pdf ''Breaking DVB-CSA''] West European Workshop on Research in Cryptography WEWoRC 2011, S. 41–45
* Erik Tews, Julian Wälde, Michael Weiner: [http://www.uni-weimar.de/cms/fileadmin/medien/medsicherheit/WEWoRC2011/files/conference_record3.pdf ''Breaking DVB-CSA''] (PDF; 4,4&nbsp;MB) West European Workshop on Research in Cryptography WEWoRC 2011, S. 41–45
* Colibri: [http://colibri.net63.net/csa_rainbow_table.htm CSA Rainbow Table] Kryptoanalyse und Tools zum Common-Scrambling-Algorithmus
* Colibri: [http://colibri.net63.net/csa_rainbow_table.htm CSA Rainbow Table] Kryptoanalyse und Tools zum Common-Scrambling-Algorithmus


Version vom 12. März 2013, 19:42 Uhr

Der Common-Scrambling-Algorithmus (CSA) ist das Verschlüsselungsverfahren, welches beim Digitalfernsehen DVB verwendet wird, um den Videodatenstrom zu verschlüsseln.

CSA wurde über mehrere Jahre geheim gehalten. Einige Hinweise kamen über die Patentschrift ans Licht der Öffentlichkeit, wichtige Details blieben jedoch geheim, zum Beispiel der Aufbau der so genannten S-Boxen. Ohne diese Details war eine freie Implementierung des Algorithmus nicht möglich. CSA sollte ursprünglich nur in Hardware implementiert werden, womit es unmöglich schien, die nötigen Details durch Reverse Engineering existierender Implementierungen, zum Beispiel Conditional Access Module (CAM), zu ermitteln.

Im Jahre 2002 erschien ein Programm namens FreeDec, welches den CSA in Software implementierte. Das Programm war nur als binäre Version (auch: Executable) verfügbar. Hacker disassemblierten die Software und ermittelten damit die fehlenden Details. Dadurch wurde es möglich, eine Implementierung von CSA in einer Hochsprache zu verwirklichen.

Seitdem der Algorithmus für CSA vollständig bekannt ist, suchen Kryptoanalytiker nach Schwachstellen des Verfahrens. Wie auch bei anderen Verschlüsselungsverfahren ergibt sich ein Angriffspunkt dadurch, dass Teile des Klartextes als bekannt oder zumindest als sehr wahrscheinlich anzunehmen sind (zum Beispiel MPEG-Header). Aus der Länge des Schlüssels (hier: Control Word) von 64 Bit ergeben sich Möglichkeiten der Verschlüsselung. Würde man alle möglichen Schlüsselwörter mit Hilfe eines Computers durchprobieren und dieser für jeden Versuch 1 μs benötigen, dauerte die Suche über 500.000 Jahre. Durch Annahme bestimmter Klartextbytes lassen sich Rückschlüsse auf den verwendeten Schlüssel ziehen, um die Gesamtanzahl möglicher Schlüssel deutlich zu reduzieren.

Nach aktuellem Stand der Kryptoanalyse ist der CSA mittels Regenbogen-Tabelle angreifbar, und zumindest sequenziell entschlüsselbar. [1] Dies liegt jedoch an der künstlich verkürzten Schlüssellänge von 48 Bits, statt der vorgesehen 64 Bits als auch der langsamen, zyklischen Schlüsselwechsel die vorhersagbar sind. Aufgrund dessen wird die Nutzung der vollen 64 Bit Schlüssellänge, und spätere Umstieg auf AES empfohlen. [2] Ein entsprechendes Tool zur Berechnung der Rainbow-Table wurde ebenfalls veröffentlicht.

Einzelnachweise

  1. Colibri DVB: CSA Rainbow Table, 16. Dezember 2011 (deutsch)
  2. Colibri DVB: CSA Vollverschlüsselung geknackt (PDF; 1,2 MB), 16. Dezember 2011 (deutsch)
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Common-Scrambling-Algorithmus&oldid=115310906