Common-Scrambling-Algorithmus

Der Common-Scrambling-Algorithmus (CSA) ist das Verschlüsselungsverfahren, welches beim Digitalfernsehen DVB verwendet wird, um den Videodatenstrom zu verschlüsseln.

CSA wurde über mehrere Jahre geheim gehalten. Einige Hinweise kamen über die Patentschrift ans Licht der Öffentlichkeit, wichtige Details blieben jedoch geheim, zum Beispiel der Aufbau der so genannten S-Boxen. Ohne diese Details war eine freie Implementierung des Algorithmus nicht möglich. CSA sollte ursprünglich nur in Hardware implementiert werden, womit es unmöglich schien, die nötigen Details durch Reverse Engineering existierender Implementierungen, zum Beispiel Conditional Access Module (CAM), zu ermitteln.

Im Jahre 2002 erschien ein Programm namens FreeDec, welches den CSA in Software implementierte. Das Programm war nur als binäre Version (auch: Executable) verfügbar. Hacker disassemblierten die Software und ermittelten damit die fehlenden Details. Dadurch wurde es möglich, eine Implementierung von CSA in einer Hochsprache zu verwirklichen.

Seitdem der Algorithmus für CSA vollständig bekannt ist, suchen Kryptoanalytiker nach Schwachstellen des Verfahrens. Wie auch bei anderen Verschlüsselungsverfahren ergibt sich ein Angriffspunkt dadurch, dass Teile des Klartextes als bekannt oder zumindest als sehr wahrscheinlich anzunehmen sind (zum Beispiel MPEG-Header). Aus der Länge des Schlüssels (hier: Control Word) von 64 Bit ergeben sich ${\displaystyle 2^{64}}$ Möglichkeiten der Verschlüsselung. Würde man alle möglichen Schlüsselwörter mit Hilfe eines Computers durchprobieren und dieser für jeden Versuch 1 μs benötigen, dauerte die Suche über 500.000 Jahre. Durch Annahme bestimmter Klartextbytes lassen sich Rückschlüsse auf den verwendeten Schlüssel ziehen, um die Gesamtanzahl möglicher Schlüssel deutlich zu reduzieren.

Nach aktuellem Stand der Kryptoanalyse ist der CSA mittels Regenbogen-Tabelle angreifbar, und zumindest sequenziell entschlüsselbar. ^[1] Dies liegt jedoch an der künstlich verkürzten Schlüssellänge von 48 Bits, statt der vorgesehen 64 Bits als auch der langsamen, zyklischen Schlüsselwechsel die vorhersagbar sind. Aufgrund dessen wird die Nutzung der vollen 64 Bit Schlüssellänge, und spätere Umstieg auf AES empfohlen. ^[2] Ein entsprechendes Tool zur Berechnung der Rainbow-Table wurde ebenfalls veröffentlicht.

• Analysis of the DVB Common Scrambling Algorithm (PDF-Datei; 194 kB)
• libdvbcsa: A free implementation of the DVB Common Scrambling Algorithm
• Erik Tews, Julian Wälde, Michael Weiner: Breaking DVB-CSA West European Workshop on Research in Cryptography WEWoRC 2011, S. 41–45
• Colibri: CSA Rainbow Table Kryptoanalyse und Tools zum Common-Scrambling-Algorithmus

1. ↑ Clibri DVB: CSA Rainbow Table, 16. Dezember 2011 (deutsch)
2. ↑ Clibri DVB: CSA Vollverschlüsselung geknackt, 16. Dezember 2011 (deutsch)