CSS, Content Scramble System — система защиты цифрового медиаконтента на DVD-носителях. Система крайне неустойчива к взлому. Из-за ограничений на экспорт криптографических технологий из США длина ключа шифрования ограничена 40 битами, что крайне мало. Более того, из-за найденной уязвимости эффективная длина ключа примерно равна 16 битам — то есть все возможные варианты могут быть перебраны на современном компьютере всего за несколько секунд, что обуславливается примитивным методом защиты. В 2005 на смену CSS пришла более надёжная AACS.
История создания
Спецификация DVD была готова в декабре 1995 года. Производителям DVD-плееров и DVD-приводов было необходимо наличие значительного количества фильмов и музыки на DVD. Однако киностудии заметили, что DVD-диски были бы идеальным источником для копирования фильмов: цифровая информация не будет терять своего качества при перезаписи (видеокассеты не позволяли этого из-за защиты аналогового выхода ). От потребовали предоставления соответствующей защиты от копирования. В результате DVD Consortium создал Техническую Рабочую Группу по Защите от Копирования (англ. Copy Protection Technical Working Group, CPTWG). 29 октября 1996 году CPTWG объявила о создании CSS, которую в основном разработали компании Toshiba и Matsushita Electric Industrial. Для лицензирования использования CSS была создана некоммерческая организация Ассоциация по Контролю Копирования DVD (англ. Copy Control Association, DVD CCA).
История взломов
Первая программа для обхода CSS появилась в Интернете в ноябре 1997 года под названием softDVDcrack. Эта программа фактически ломала не CSS, а проигрыватель Zoran. Zoran вскоре исправил ошибки во взломанной версии проигрывателя, но в сети оставались копии старой версии. Процесс взлома был довольно сложный, поэтому массового распространения программа не получила. После этого было ещё множество подобных приложений. Однако крах CSS ассоциируется с появлением в ноябре 1999 года программы DeCSS. Её написал норвежский школьник Йон Йохансен (Jon Johansen) на основе обратной разработки кода проигрывателя , проведённой командой немецких программистов MoRE (Masters of Reverse Engineering). Компания Xing, как оказалось, не закодировала ключ для разблокирования защищённых DVD. DeCSS отличается от всех предшествующих программ тем, что она дешифрует CSS, а не перехватывает поток видео из лицензированного проигрывателя. Более того, любой компьютер, который в состоянии воспроизвести фильм с DVD, сможет достаточно легко взломать CSS с помощью DeCSS. Поэтому DeCSS быстро распространилась по миру, даже несмотря на незаконность в некоторых государствах размещения кода DeCSS на веб-сайтах.
Алгоритм CSS
В действие алгоритма CSS вовлечены несколько компонентов: DVD-диск, DVD-привод, проигрыватель и хост. При этом все они должны быть лицензированы DVD Copy Control Association (DVD CCA) для использования CSS. Алгоритм CSS состоит из двух частей: аутентификация и шифрование.
Аутентификация
- DVD-привод запрашивает у хоста 2-битовый идентификатор аутентификации (англ. Authentication Grant ID). Это значение используется для названия аутентификационной сессии.
- Происходит взаимная аутентификация между DVD-приводом и хостом. Хост генерирует случайную последовательность из 40 бит и посылает её DVD-приводу. DVD-привод шифрует эту последовательность с помощью CSS хеш-функции (англ. CSS hash), получает 80-битное значение, так называемый ключ вызова (англ. Challenge Key), и отправляет его хосту. Хост сам расшифровывает ответ и сравнивает его со сгенерированной последовательностью. При совпадении значений хост доверяет DVD-приводу, так как считается что только лицензированные устройства и программы могут знать секретную хеш функцию CSS. Производится обратная операция (хост и DVD-привод меняются ролями) после чего DVD-привод доверяет или не доверяет хосту в зависимости от результата сравнения.
- Генерируется ключ шины (англ. Bus Key). Хост и DVD-привод комбинируют использовавшиеся при аутентификации случайные последовательности, и при помощи хеш функции CSS каждый получает ключ шины. С помощью этого ключа шифруется дальнейшая передача ключей между хостом и DVD-приводом. Этот ключ никогда не передаётся по шине.
- Происходит аутентификация проигрывателя и DVD-диска. Каждый лицензированный проигрыватель имеет один или несколько ключей проигрывателя (англ. Player Key) из списка из 409 ключей. На защищённом диске в невидимой области хранится ключ диска (англ. Disk Key), зашифрованный каждым из 409 ключей, и ключ аутентификации (англ. Authentication Key), то есть ключ диска, зашифрованный самим собой. Эти ключи составляют 2048-байтовый блок. Блок отправляется проигрывателю. Проигрыватель знает в какой области находится ключ диска, зашифрованный его ключом, и расшифровывает значение в этой области. Затем, чтобы проверить подлинность ключа, он расшифровывает ключ аутентификации с помощью найденного ключа диска и сравнивает результат с ключом диска. При совпадения ключей аутентификация считается успешной. В обратном случае проигрыватель проделывает все операции со следующим известным ему ключом проигрывателя и так далее. Ключ диска используется в дальнейшем.
Дешифрование
Данные DVD-диска зашифрованы по секторам. Информация о том, зашифрован сектор или нет, хранится в заголовке сектора. Зашифрованы только секторы, несущие потоковую информацию (видео, изображение, звук), остальные, например отвечающие за навигацию, не зашифрованы. Шифрование данных основано на побитовом сложении с псевдослучайной последовательностью битов и взаимнооднозначной табличной подстановке байтов. Для реализации псевдослучайной последовательности используются линейные регистры сдвига с обратной связью (англ. Linear Feedback Shift Register, LFSR)
- Проигрыватель запрашивает у DVD-привода ключ наименования (англ. Title Key). Затем, чтобы получить ключ наименования, он расшифровывает полученные данные с помощью ключа диска.
- Регистры сдвига CSS заполняются байтами ключа наименования. В алгоритме CSS участвуют два линейных регистра сдвига с обратной связью: 17-битовый и 25-битовый. Перед заполнением ключ наименования побитово складывается с ключом сектора (англ. Sector Key). Ключ сектора содержится в байтах с 80 по 84 сектора. После сложения, первый и второй байт ключа наименования заполняют 17-битовый регистр, а остальные заполняют 25-битный. В четвёртый бит каждого регистра сдвига вставляется логическая единица, чтобы предотвратить нулевое зацикливание.
- Регистры сдвига проходят восемь тактов и каждый выдаёт выходной байт. В качестве обратной связи в регистрах сдвига используется функция «Исключающее Или». В случае 17-битного регистра на вход её подаются биты 1 и 15, а выход подаётся на бит 17 и является выходом регистра сдвига. В случае 25-битного регистра на вход функции подаются биты 1, 4, 5 и 15, а выход подаётся на бит 25 и на выход регистра.
- Выходы регистров складываются между собой определённым образом. Перед сложением выход 17-битового регистра побитово инвертируется. Байты выхода регистров складываются обычным восьми битовым сложением, и к ним прибавляется бит переполнения от предыдущего сложения, а полученный бит переполнения (девятый бит суммы) идёт на вход следующего сложения. Результат образует общий выход регистров сдвига. В общем случае выход каждого регистра сдвига может быть либо инвертированным либо нет. Отсюда следует что регистры сдвига могут работать в четырёх режимах. Для шифрования данных используется режим шифрования данных.
- Байт зашифрованных данных проходит табличную взаимно однозначную подстановку и складывается с общим выходом регистров сдвига. Результат может быть воспроизведён.
Регистры сдвига CSS
В CSS используются два линейных регистра сдвига с обратной связью (англ. Linear Feedback Shift Register). Сдвиг в регистрах происходит слева направо. Выходным битом является значение функции обратной связи. В четвертый бит каждого регистра при начальном заполнении регистра сдвига выставляется логическая единица.
Режимы шифрования
CSS имеет четыре режима шифрования. Режим выбирается в зависимости от того, какая информация шифруется. Режим влияет на то, происходит инверсия выхода определённого регистра сдвига или нет.
Режим шифрования | LSFR-17 | LSFR-25 |
---|---|---|
Аутентификация | инвертирован | неинвертирован |
Шифрование ключа шины | неинвертирован | неинвертирован |
Шифрование ключа наименования | неинвертирован | инвертирован |
Шифрование данных | инвертирован | неинвертирован |
Функция искажения CSS
При шифровании ключа диска и ключа наименования помимо регистров сдвига используется функция искажения (англ. Mangling Function).
Байты A1—A5 являются входом функции искажения, в них подставляются байты ключа который шифруется. Байты С1—С5 это выход функции. Байты B1—B5 — промежуточные значения. Байты k1—k5 это байты общего выхода регистров сдвига в соответствующем режиме. Регистры сдвига изначально заполняются ключом, с помощью которого происходит шифрование. Символом F обозначена взаимнооднозначная замена байта по таблице. Плюс обозначает побитовое сложение байтов. Выход функции искажения является шифрованным ключом.
Виды ключей
Система обладала следующими видами ключей:
- Ключи DVD-проигрывателя (англ. Player Keys). Каждый производитель лицензировал свой ключ (один из 409 имеющихся) для использования в своих DVD-проигрывателях у DVD Copy Control Association — организации, основанной DVD Forum.
- Ключи диска (англ. Disk Keys), зашифрованные с помощью ключей DVD-проигрывателей. Каждый DVD-проигрыватель расшифровывал ключ диска с помощью своего ключа проигрывателя.
- Ключи наименования (англ. Title Keys) — ключи, зашифрованные с помощью ключа диска и требующиеся для расшифрования отдельных фрагментов данных.
Ключи диска и наименований записывались в -области диска, чтобы сделать невозможным их непосредственное копирование.
Уязвимости системы и возможные атаки
- Секретность алгоритма. В криптографии принято считать шифры с секретным алгоритмом шифрования более слабыми, чем шифры с открытым алгоритмом. В открытом шифре более вероятно обнаружение уязвимостей на этапе разработки и их исправление. При огласке же секретного алгоритма система теряет криптостойкость, обеспечивавшуюся секретностью алгоритма, и исправить алгоритм после начала широкого его использования проблематично. Соглашение о неразглашении внутреннего устройства CSS, заключаемое при получении лицензии, не исключает возможности разглашения. Использование же CSS в большом количестве программ и устройств повышало риск рассекречивания алгоритма при помощи обратной разработки.
- Длина ключа. Ключи диска в CSS имеют длину 40 бит. Ключ такой длины можно подобрать на современном персональном компьютере за время порядка суток. Однако разработчики CSS исходили из предположения, что такая атака будет достаточно затратной, чтобы использоваться в массовом копировании дисков; единичные случаи взломов они не исключали.
- Атака (сложность 240): Полный перебор.
- Выход линейных регистров сдвига. При известных нескольких байтах общего выхода регистров сдвига можно узнать начальное состояние регистров сдвига, а значит, и ключ, которым заполнялись регистры.
- Атака 1 (сложность 216): Для осуществления атаки надо знать 6 байт общего выхода регистров сдвига.
- Предположить начальное состояния регистра LFSR-17
- Получить 4 байта выхода из LSFR-17
- Зная выход LSFR-17, при помощи побитового сложения с 4 байтами общего выхода (которые известны) получить выход LSFR-25
- На основе выхода выяснить начальное состояние LSFR-25, "прокрутив" его на 4 байта назад
- Выдать ещё 2 байта и сравнить с оставшимися 2 известными байтами общего выхода
- При несовпадении начать заново
- Атака 2 (сложность 217): Для осуществления атаки надо знать 5 байт общего выхода регистров сдвига. Данная атака практичнее предыдущей, так как узнать 5 байт выхода регистров сдвига можно из атаки на функцию искажения.
- Предположить начальное состояния регистра LFSR-17
- Получить 3 байта выхода из LSFR-17
- Получить 3 байта выхода LSFR-25 (тем же способом что и в Атаке 1). Для выяснения начального состояния LSFR-25 требуется знание ещё одного бита
- Предположить значение недостающего бита
- Выбрать значение бита, которому соответствует начальное состояние с логической единицей в четвёртом бите (признак начального состояния)
- Если в оба значения подходят, то проверить и то, и другое
- Выдать ещё два байта и сравнить их с известными байтами выхода
- При несовпадении начать заново
- Атака 1 (сложность 216): Для осуществления атаки надо знать 6 байт общего выхода регистров сдвига.
- Функция искажения
Из известного входа и выхода функции искажения (A и C) можно узнать 5 байт выхода регистров сдвига (k)- Атака (сложность 28): Для осуществления необходимо знать вход A и выход C функции искажения. Предполагается также, что правило взаимно однозначной подстановки F тоже известно
- Предположить значение k5
- Поочередно выяснить все неизвестные значения k и B
- Сравнить известное значение C1 и полученное из найденных k1 и B1
- Повторить все действия при несовпадении
- Атака (сложность 28): Для осуществления необходимо знать вход A и выход C функции искажения. Предполагается также, что правило взаимно однозначной подстановки F тоже известно
- Ключ аутентификации
Ключ аутентификации — это ключ диска, зашифированный с помощью ключа диска. Эта информация облегчает нахождение ключа диска из ключа аутентификации- Атака (сложность 225) Ключ аутентификации, то есть вход функции искажения A, считается известным. Найденные значения C будут являться ключом диска. Данная атака словарная, поэтому необходимо построить несколько таблиц:
1) Сопоставление каждой паре B1 и k2 (при известных A1 и A2) соответствующего C2
2) Сопоставление каждому начальному состоянию LSFR-25 первого, второго и пятого из 5 байтов его выхода- Предположить значение B2 и начальное состояние регистра LSFR-17
- Найти k1 и k5 (C1 и C2 известны, ими заполняется LSFR-17)
- Найти возможные для выбранного B1 и C2 все возможные k2 (найдётся не больше восьми)
- Найти первый, второй и пятый байт выхода регистра LSFR-25 (выход LSFR-17 можем получить, общий выход равен k и известен)
- Восстановить по второй таблице начальное состояние регистра LSFR-25 и тем самым получить значение C3, C4 и C5.
- По аналогии с атакой функции искажения найти B2 и проверить, возможно ли такое значение при данных A1,A2 и k2
- При несовпадении начать алгоритм заново
- Атака (сложность 225) Ключ аутентификации, то есть вход функции искажения A, считается известным. Найденные значения C будут являться ключом диска. Данная атака словарная, поэтому необходимо построить несколько таблиц:
См. также
Примечания
- Frank A. Stevenson. Cryptanalysis of Contents Scrambling System . Дата обращения: 16 ноября 2009. Архивировано 2 июня 2012 года.
- Архивированная копия . Дата обращения: 26 ноября 2009. 1 июля 2013 года. Technical Opinion regarding CSS
- Taylor J. DVD Demystified . Дата обращения: 2 октября 2017. 25 апреля 2018 года.
- Operating Systems: Design and Implementation. Lecturer: Gregory Kesden . Дата обращения: 19 ноября 2009. 8 января 2019 года.
- Cryptography in Home Entertainment — A look at content scrambling in DVDs . Дата обращения: 16 ноября 2009. Архивировано 2 июня 2012 года.
- Scott Mueller. Upgrading and repairing PCs, с. 744 от 14 апреля 2018 на Wayback Machine.
Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер
U etogo termina sushestvuyut i drugie znacheniya sm CSS znacheniya CSS Content Scramble System sistema zashity cifrovogo mediakontenta na DVD nositelyah Sistema krajne neustojchiva k vzlomu Iz za ogranichenij na eksport kriptograficheskih tehnologij iz SShA dlina klyucha shifrovaniya ogranichena 40 bitami chto krajne malo Bolee togo iz za najdennoj uyazvimosti effektivnaya dlina klyucha primerno ravna 16 bitam to est vse vozmozhnye varianty mogut byt perebrany na sovremennom kompyutere vsego za neskolko sekund chto obuslavlivaetsya primitivnym metodom zashity V 2005 na smenu CSS prishla bolee nadyozhnaya AACS Istoriya sozdaniyaSpecifikaciya DVD byla gotova v dekabre 1995 goda Proizvoditelyam DVD pleerov i DVD privodov bylo neobhodimo nalichie znachitelnogo kolichestva filmov i muzyki na DVD Odnako kinostudii zametili chto DVD diski byli by idealnym istochnikom dlya kopirovaniya filmov cifrovaya informaciya ne budet teryat svoego kachestva pri perezapisi videokassety ne pozvolyali etogo iz za zashity analogovogo vyhoda Ot potrebovali predostavleniya sootvetstvuyushej zashity ot kopirovaniya V rezultate DVD Consortium sozdal Tehnicheskuyu Rabochuyu Gruppu po Zashite ot Kopirovaniya angl Copy Protection Technical Working Group CPTWG 29 oktyabrya 1996 godu CPTWG obyavila o sozdanii CSS kotoruyu v osnovnom razrabotali kompanii Toshiba i Matsushita Electric Industrial Dlya licenzirovaniya ispolzovaniya CSS byla sozdana nekommercheskaya organizaciya Associaciya po Kontrolyu Kopirovaniya DVD angl Copy Control Association DVD CCA Istoriya vzlomovPervaya programma dlya obhoda CSS poyavilas v Internete v noyabre 1997 goda pod nazvaniem softDVDcrack Eta programma fakticheski lomala ne CSS a proigryvatel Zoran Zoran vskore ispravil oshibki vo vzlomannoj versii proigryvatelya no v seti ostavalis kopii staroj versii Process vzloma byl dovolno slozhnyj poetomu massovogo rasprostraneniya programma ne poluchila Posle etogo bylo eshyo mnozhestvo podobnyh prilozhenij Odnako krah CSS associiruetsya s poyavleniem v noyabre 1999 goda programmy DeCSS Eyo napisal norvezhskij shkolnik Jon Johansen Jon Johansen na osnove obratnoj razrabotki koda proigryvatelya provedyonnoj komandoj nemeckih programmistov MoRE Masters of Reverse Engineering Kompaniya Xing kak okazalos ne zakodirovala klyuch dlya razblokirovaniya zashishyonnyh DVD DeCSS otlichaetsya ot vseh predshestvuyushih programm tem chto ona deshifruet CSS a ne perehvatyvaet potok video iz licenzirovannogo proigryvatelya Bolee togo lyuboj kompyuter kotoryj v sostoyanii vosproizvesti film s DVD smozhet dostatochno legko vzlomat CSS s pomoshyu DeCSS Poetomu DeCSS bystro rasprostranilas po miru dazhe nesmotrya na nezakonnost v nekotoryh gosudarstvah razmesheniya koda DeCSS na veb sajtah Algoritm CSSV dejstvie algoritma CSS vovlecheny neskolko komponentov DVD disk DVD privod proigryvatel i host Pri etom vse oni dolzhny byt licenzirovany DVD Copy Control Association DVD CCA dlya ispolzovaniya CSS Algoritm CSS sostoit iz dvuh chastej autentifikaciya i shifrovanie Autentifikaciya DVD privod zaprashivaet u hosta 2 bitovyj identifikator autentifikacii angl Authentication Grant ID Eto znachenie ispolzuetsya dlya nazvaniya autentifikacionnoj sessii Proishodit vzaimnaya autentifikaciya mezhdu DVD privodom i hostom Host generiruet sluchajnuyu posledovatelnost iz 40 bit i posylaet eyo DVD privodu DVD privod shifruet etu posledovatelnost s pomoshyu CSS hesh funkcii angl CSS hash poluchaet 80 bitnoe znachenie tak nazyvaemyj klyuch vyzova angl Challenge Key i otpravlyaet ego hostu Host sam rasshifrovyvaet otvet i sravnivaet ego so sgenerirovannoj posledovatelnostyu Pri sovpadenii znachenij host doveryaet DVD privodu tak kak schitaetsya chto tolko licenzirovannye ustrojstva i programmy mogut znat sekretnuyu hesh funkciyu CSS Proizvoditsya obratnaya operaciya host i DVD privod menyayutsya rolyami posle chego DVD privod doveryaet ili ne doveryaet hostu v zavisimosti ot rezultata sravneniya Generiruetsya klyuch shiny angl Bus Key Host i DVD privod kombiniruyut ispolzovavshiesya pri autentifikacii sluchajnye posledovatelnosti i pri pomoshi hesh funkcii CSS kazhdyj poluchaet klyuch shiny S pomoshyu etogo klyucha shifruetsya dalnejshaya peredacha klyuchej mezhdu hostom i DVD privodom Etot klyuch nikogda ne peredayotsya po shine Proishodit autentifikaciya proigryvatelya i DVD diska Kazhdyj licenzirovannyj proigryvatel imeet odin ili neskolko klyuchej proigryvatelya angl Player Key iz spiska iz 409 klyuchej Na zashishyonnom diske v nevidimoj oblasti hranitsya klyuch diska angl Disk Key zashifrovannyj kazhdym iz 409 klyuchej i klyuch autentifikacii angl Authentication Key to est klyuch diska zashifrovannyj samim soboj Eti klyuchi sostavlyayut 2048 bajtovyj blok Blok otpravlyaetsya proigryvatelyu Proigryvatel znaet v kakoj oblasti nahoditsya klyuch diska zashifrovannyj ego klyuchom i rasshifrovyvaet znachenie v etoj oblasti Zatem chtoby proverit podlinnost klyucha on rasshifrovyvaet klyuch autentifikacii s pomoshyu najdennogo klyucha diska i sravnivaet rezultat s klyuchom diska Pri sovpadeniya klyuchej autentifikaciya schitaetsya uspeshnoj V obratnom sluchae proigryvatel prodelyvaet vse operacii so sleduyushim izvestnym emu klyuchom proigryvatelya i tak dalee Klyuch diska ispolzuetsya v dalnejshem Deshifrovanie Dannye DVD diska zashifrovany po sektoram Informaciya o tom zashifrovan sektor ili net hranitsya v zagolovke sektora Zashifrovany tolko sektory nesushie potokovuyu informaciyu video izobrazhenie zvuk ostalnye naprimer otvechayushie za navigaciyu ne zashifrovany Shifrovanie dannyh osnovano na pobitovom slozhenii s psevdosluchajnoj posledovatelnostyu bitov i vzaimnoodnoznachnoj tablichnoj podstanovke bajtov Dlya realizacii psevdosluchajnoj posledovatelnosti ispolzuyutsya linejnye registry sdviga s obratnoj svyazyu angl Linear Feedback Shift Register LFSR Proigryvatel zaprashivaet u DVD privoda klyuch naimenovaniya angl Title Key Zatem chtoby poluchit klyuch naimenovaniya on rasshifrovyvaet poluchennye dannye s pomoshyu klyucha diska Registry sdviga CSS zapolnyayutsya bajtami klyucha naimenovaniya V algoritme CSS uchastvuyut dva linejnyh registra sdviga s obratnoj svyazyu 17 bitovyj i 25 bitovyj Pered zapolneniem klyuch naimenovaniya pobitovo skladyvaetsya s klyuchom sektora angl Sector Key Klyuch sektora soderzhitsya v bajtah s 80 po 84 sektora Posle slozheniya pervyj i vtoroj bajt klyucha naimenovaniya zapolnyayut 17 bitovyj registr a ostalnye zapolnyayut 25 bitnyj V chetvyortyj bit kazhdogo registra sdviga vstavlyaetsya logicheskaya edinica chtoby predotvratit nulevoe zaciklivanie Registry sdviga prohodyat vosem taktov i kazhdyj vydayot vyhodnoj bajt V kachestve obratnoj svyazi v registrah sdviga ispolzuetsya funkciya Isklyuchayushee Ili V sluchae 17 bitnogo registra na vhod eyo podayutsya bity 1 i 15 a vyhod podayotsya na bit 17 i yavlyaetsya vyhodom registra sdviga V sluchae 25 bitnogo registra na vhod funkcii podayutsya bity 1 4 5 i 15 a vyhod podayotsya na bit 25 i na vyhod registra Vyhody registrov skladyvayutsya mezhdu soboj opredelyonnym obrazom Pered slozheniem vyhod 17 bitovogo registra pobitovo invertiruetsya Bajty vyhoda registrov skladyvayutsya obychnym vosmi bitovym slozheniem i k nim pribavlyaetsya bit perepolneniya ot predydushego slozheniya a poluchennyj bit perepolneniya devyatyj bit summy idyot na vhod sleduyushego slozheniya Rezultat obrazuet obshij vyhod registrov sdviga V obshem sluchae vyhod kazhdogo registra sdviga mozhet byt libo invertirovannym libo net Otsyuda sleduet chto registry sdviga mogut rabotat v chetyryoh rezhimah Dlya shifrovaniya dannyh ispolzuetsya rezhim shifrovaniya dannyh Bajt zashifrovannyh dannyh prohodit tablichnuyu vzaimno odnoznachnuyu podstanovku i skladyvaetsya s obshim vyhodom registrov sdviga Rezultat mozhet byt vosproizvedyon Registry sdviga CSSRegistry sdviga CSS V CSS ispolzuyutsya dva linejnyh registra sdviga s obratnoj svyazyu angl Linear Feedback Shift Register Sdvig v registrah proishodit sleva napravo Vyhodnym bitom yavlyaetsya znachenie funkcii obratnoj svyazi V chetvertyj bit kazhdogo registra pri nachalnom zapolnenii registra sdviga vystavlyaetsya logicheskaya edinica Rezhimy shifrovaniyaCSS imeet chetyre rezhima shifrovaniya Rezhim vybiraetsya v zavisimosti ot togo kakaya informaciya shifruetsya Rezhim vliyaet na to proishodit inversiya vyhoda opredelyonnogo registra sdviga ili net Rezhim shifrovaniya LSFR 17 LSFR 25Autentifikaciya invertirovan neinvertirovanShifrovanie klyucha shiny neinvertirovan neinvertirovanShifrovanie klyucha naimenovaniya neinvertirovan invertirovanShifrovanie dannyh invertirovan neinvertirovanFunkciya iskazheniya CSSFunkciya iskazheniya CSS Pri shifrovanii klyucha diska i klyucha naimenovaniya pomimo registrov sdviga ispolzuetsya funkciya iskazheniya angl Mangling Function Bajty A1 A5 yavlyayutsya vhodom funkcii iskazheniya v nih podstavlyayutsya bajty klyucha kotoryj shifruetsya Bajty S1 S5 eto vyhod funkcii Bajty B1 B5 promezhutochnye znacheniya Bajty k1 k5 eto bajty obshego vyhoda registrov sdviga v sootvetstvuyushem rezhime Registry sdviga iznachalno zapolnyayutsya klyuchom s pomoshyu kotorogo proishodit shifrovanie Simvolom F oboznachena vzaimnoodnoznachnaya zamena bajta po tablice Plyus oboznachaet pobitovoe slozhenie bajtov Vyhod funkcii iskazheniya yavlyaetsya shifrovannym klyuchom Vidy klyuchejSistema obladala sleduyushimi vidami klyuchej Klyuchi DVD proigryvatelya angl Player Keys Kazhdyj proizvoditel licenziroval svoj klyuch odin iz 409 imeyushihsya dlya ispolzovaniya v svoih DVD proigryvatelyah u DVD Copy Control Association organizacii osnovannoj DVD Forum Klyuchi diska angl Disk Keys zashifrovannye s pomoshyu klyuchej DVD proigryvatelej Kazhdyj DVD proigryvatel rasshifrovyval klyuch diska s pomoshyu svoego klyucha proigryvatelya Klyuchi naimenovaniya angl Title Keys klyuchi zashifrovannye s pomoshyu klyucha diska i trebuyushiesya dlya rasshifrovaniya otdelnyh fragmentov dannyh Klyuchi diska i naimenovanij zapisyvalis v oblasti diska chtoby sdelat nevozmozhnym ih neposredstvennoe kopirovanie Uyazvimosti sistemy i vozmozhnye atakiSekretnost algoritma V kriptografii prinyato schitat shifry s sekretnym algoritmom shifrovaniya bolee slabymi chem shifry s otkrytym algoritmom V otkrytom shifre bolee veroyatno obnaruzhenie uyazvimostej na etape razrabotki i ih ispravlenie Pri oglaske zhe sekretnogo algoritma sistema teryaet kriptostojkost obespechivavshuyusya sekretnostyu algoritma i ispravit algoritm posle nachala shirokogo ego ispolzovaniya problematichno Soglashenie o nerazglashenii vnutrennego ustrojstva CSS zaklyuchaemoe pri poluchenii licenzii ne isklyuchaet vozmozhnosti razglasheniya Ispolzovanie zhe CSS v bolshom kolichestve programm i ustrojstv povyshalo risk rassekrechivaniya algoritma pri pomoshi obratnoj razrabotki Dlina klyucha Klyuchi diska v CSS imeyut dlinu 40 bit Klyuch takoj dliny mozhno podobrat na sovremennom personalnom kompyutere za vremya poryadka sutok Odnako razrabotchiki CSS ishodili iz predpolozheniya chto takaya ataka budet dostatochno zatratnoj chtoby ispolzovatsya v massovom kopirovanii diskov edinichnye sluchai vzlomov oni ne isklyuchali Ataka slozhnost 240 Polnyj perebor Vyhod linejnyh registrov sdviga Pri izvestnyh neskolkih bajtah obshego vyhoda registrov sdviga mozhno uznat nachalnoe sostoyanie registrov sdviga a znachit i klyuch kotorym zapolnyalis registry Ataka 1 slozhnost 216 Dlya osushestvleniya ataki nado znat 6 bajt obshego vyhoda registrov sdviga Predpolozhit nachalnoe sostoyaniya registra LFSR 17 Poluchit 4 bajta vyhoda iz LSFR 17 Znaya vyhod LSFR 17 pri pomoshi pobitovogo slozheniya s 4 bajtami obshego vyhoda kotorye izvestny poluchit vyhod LSFR 25 Na osnove vyhoda vyyasnit nachalnoe sostoyanie LSFR 25 prokrutiv ego na 4 bajta nazad Vydat eshyo 2 bajta i sravnit s ostavshimisya 2 izvestnymi bajtami obshego vyhoda Pri nesovpadenii nachat zanovo Ataka 2 slozhnost 217 Dlya osushestvleniya ataki nado znat 5 bajt obshego vyhoda registrov sdviga Dannaya ataka praktichnee predydushej tak kak uznat 5 bajt vyhoda registrov sdviga mozhno iz ataki na funkciyu iskazheniya Predpolozhit nachalnoe sostoyaniya registra LFSR 17 Poluchit 3 bajta vyhoda iz LSFR 17 Poluchit 3 bajta vyhoda LSFR 25 tem zhe sposobom chto i v Atake 1 Dlya vyyasneniya nachalnogo sostoyaniya LSFR 25 trebuetsya znanie eshyo odnogo bita Predpolozhit znachenie nedostayushego bita Vybrat znachenie bita kotoromu sootvetstvuet nachalnoe sostoyanie s logicheskoj edinicej v chetvyortom bite priznak nachalnogo sostoyaniya Esli v oba znacheniya podhodyat to proverit i to i drugoe Vydat eshyo dva bajta i sravnit ih s izvestnymi bajtami vyhoda Pri nesovpadenii nachat zanovo Funkciya iskazheniya Iz izvestnogo vhoda i vyhoda funkcii iskazheniya A i C mozhno uznat 5 bajt vyhoda registrov sdviga k Ataka slozhnost 28 Dlya osushestvleniya neobhodimo znat vhod A i vyhod C funkcii iskazheniya Predpolagaetsya takzhe chto pravilo vzaimno odnoznachnoj podstanovki F tozhe izvestno Predpolozhit znachenie k5 Poocheredno vyyasnit vse neizvestnye znacheniya k i B Sravnit izvestnoe znachenie C1 i poluchennoe iz najdennyh k1 i B1 Povtorit vse dejstviya pri nesovpadenii Klyuch autentifikacii Klyuch autentifikacii eto klyuch diska zashifirovannyj s pomoshyu klyucha diska Eta informaciya oblegchaet nahozhdenie klyucha diska iz klyucha autentifikacii Ataka slozhnost 225 Klyuch autentifikacii to est vhod funkcii iskazheniya A schitaetsya izvestnym Najdennye znacheniya C budut yavlyatsya klyuchom diska Dannaya ataka slovarnaya poetomu neobhodimo postroit neskolko tablic 1 Sopostavlenie kazhdoj pare B1 i k2 pri izvestnyh A1 i A2 sootvetstvuyushego C2 2 Sopostavlenie kazhdomu nachalnomu sostoyaniyu LSFR 25 pervogo vtorogo i pyatogo iz 5 bajtov ego vyhoda Predpolozhit znachenie B2 i nachalnoe sostoyanie registra LSFR 17 Najti k1 i k5 C1 i C2 izvestny imi zapolnyaetsya LSFR 17 Najti vozmozhnye dlya vybrannogo B1 i C2 vse vozmozhnye k2 najdyotsya ne bolshe vosmi Najti pervyj vtoroj i pyatyj bajt vyhoda registra LSFR 25 vyhod LSFR 17 mozhem poluchit obshij vyhod raven k i izvesten Vosstanovit po vtoroj tablice nachalnoe sostoyanie registra LSFR 25 i tem samym poluchit znachenie C3 C4 i C5 Po analogii s atakoj funkcii iskazheniya najti B2 i proverit vozmozhno li takoe znachenie pri dannyh A1 A2 i k2 Pri nesovpadenii nachat algoritm zanovoSm takzheTehnicheskie sredstva zashity avtorskih prav AACS DVD DeCSSPrimechaniyaFrank A Stevenson Cryptanalysis of Contents Scrambling System neopr Data obrasheniya 16 noyabrya 2009 Arhivirovano 2 iyunya 2012 goda Arhivirovannaya kopiya neopr Data obrasheniya 26 noyabrya 2009 1 iyulya 2013 goda Technical Opinion regarding CSS Taylor J DVD Demystified neopr Data obrasheniya 2 oktyabrya 2017 25 aprelya 2018 goda Operating Systems Design and Implementation Lecturer Gregory Kesden neopr Data obrasheniya 19 noyabrya 2009 8 yanvarya 2019 goda Cryptography in Home Entertainment A look at content scrambling in DVDs neopr Data obrasheniya 16 noyabrya 2009 Arhivirovano 2 iyunya 2012 goda Scott Mueller Upgrading and repairing PCs s 744 ot 14 aprelya 2018 na Wayback Machine