HDCP: jak funguje „prolomená“ ochrana proti kopírování?
3.8.2011, Tomáš Ligmajer, článek
Technologie HDCP se již dávno stala běžnou součástí života mnohých z nás, aniž bychom to možná tušili. Prakticky každý, kdo z nějakého důvodu používá HDMI rozhraní k přenosu obrazu či zvuku, má s HDCP co do činění. Týká se to ale i spousty jiných případů.
Kapitoly článku:
- HDCP: jak funguje „prolomená“ ochrana proti kopírování?
- Evoluce HDCP, možnosti použití
- HDCP 2.0 - jde to i bez kabelů
- Pokusy o prolomení a závěrečné shrnutí
V posledních letech se rozmáhá bezdrátový model, umožňující pohodlné propojení televizoru s dalšími přístroji domácí sestavy bez nutnosti použití kabelů. Jelikož se HDCP ochrana velmi osvědčila pro digitální kabelové rozhraní, vznikla revize 2.0, tentokráte pro bezdrátový přenos a standardní protokoly. Stejně jako revize 1.x chrání obsah v poslední části distribučního procesu.
Podobně může vypadat zapojení pomocí WHDI v rodinném domě.
Do roku 2008 byl jediný způsob, jak chránit bezdrátové rozhraní skrz DHCP, proces ART (Approved Retransmission Technology). Ten ovšem nepodporoval spolupráci s ostatními přístroji. Následovala HDCP revize 2.0, jež má v současnosti dostupné 2 specifikace pro různé možnosti přenosu:
- High-bandwidth Digital Content Protection Interface Independent Adaptation (HDCP IIA)
o Podporuje přenos přes libovolný kompatibilní protokol a základní rozhraní: TCP/IP, USB, Wi-Fi
- High-bandwidth Digital Content Protection on Wireless Home Digital Interface (HDCP on WHDI)
o Podporuje WHDI rozhraní
Pro ověřování se využívá průmyslový standard veřejného klíče RSA a pro šifrování standard AES 128. Lze provést kompresi přenášeného obsahu, což umožňuje použít relativně pomalé bezdrátové rozhraní (50–200 Mb/s) nebo rychlejší 5–10 Gb/s. HDCP specifikace 2.0 je kompatibilní s jinými HDCP implementacemi a uživatelé mohou sdružovat různá zařízení, ať už v rámci domácí nebo firemní sítě.
Pro ověřování se využívá průmyslový standard veřejného klíče RSA a pro šifrování standard AES 128. Lze provést kompresi přenášeného obsahu, což umožňuje použít relativně pomalé bezdrátové rozhraní (50–200 Mb/s) nebo rychlejší 5–10 Gb/s. HDCP specifikace 2.0 je kompatibilní s jinými HDCP implementacemi a uživatelé mohou sdružovat různá zařízení, ať už v rámci domácí nebo firemní sítě.
Zařízení a možnosti zapojení
Opět lze využít stromového zapojení, dosahuje až čtyř úrovní a maximálně pojme 32 zařízení. Objevit se v něm mohou tři druhy přístrojů, stejné jako u revize 1.x:
- zdroj (DVD/Blu-ray přehrávač, notebook, PC)
- opakovač (AV přijímač)
- a zobrazovací zařízení (HDTV)
Pomocí HDCP se zašifruje obsah a posílá se vytvořenou strukturou, ať už z jednoho zdroje na více panelů, nebo opačně.
Příklad první: přenos obsahu chráněného HDCP z jednoho zdroje na vice monitorů.
Příklad druhý: vice zdrojů a jeden monitor.
Opakovače mohou plnit funkci tzv. převodníku (converter), k zařízením, která jsou propojena pomocí kabelů, lze přidat i přístroje podporující bezdrátové rozhraní. Bez problémů zvládají převod protokolu a umožňují sdílení informací mezi všemi přístroji v síti.
Zdroj pomocí bezdrátového přenosu posílá obsah do opakovače/převodníku, dojde ke zpracování a přeposlání do zobrazovacího zařízení (třeba přes HDMI).
Stejná situace jako u předchozího obrázku, akorát se změnil způsob přenosu mezi přístroji.
HDCP 2.0 při práci
Specifikace HDCP 2.0 zahrnuje několik důležitých bezpečnostních vylepšení a poskytuje silnou ochranu pro bezdrátový přenos a standardní protokoly. Přidává šifrování pomocí veřejného klíče RSA (algoritmus popsaný pány: Rivest, Shamir a Adleman) do mechanismu ověřování, standard AES-128 (Advanced Encryption Standard) do procesu šifrování obsahu a kontrolu prostředí (locality check), zajišťuje dostupnost všech přístrojů v dané oblasti.
Podívejme se, jaké klíče nyní obsahuje vysílač a přijímač:
- Vysílač – 3072bitový veřejný klíč vydávaný společnosti DCP.
- Přijímač – 1024bitový soukromý klíč, certifikát veřejného klíče od DCP, v něm je zahrnut 1024bitový veřejný klíč a unikátní 40bitové ID přijímače.
- Všechna zařízení sdílejí globální 128bitovou tajnou konstantu potřebnou ke správnému zašifrování obsahu.
Revize 2.0 přidává funkci locality check, pokud je zařízení dostupné, přenos pokračuje.
Ověřovací kroky
- Ověření a výměna klíčů (Authentication and Key Exchange = AEK): HDCP vysílač ověří certifikát veřejného klíče a ID přijímače. Pak si mezi sebou vymění sdílený hlavní klíč. Ten je následně použit k vytvoření komunikace mezi vysílačem a přijímačem, tzv. párovací proces.
- Kontrola prostředí: vysílač na nejvyšší úrovni pošle signál do přijímače a spustí se časovač. Jestliže nedojde k navrácení signálu před vypršením času, sezení se ukončí.
- Výměna klíčů sezení: přijímač je nyní ověřen, vysílač může poslat zašifrovaný sdílený klíč sezení. Tento tajný klíč se použije pro zašifrování a dešifrování obsahu, jenž je následně posílán z vysílače do přijímače.
- Ověření s opakovačem: pokud je přijímač opakovačem, provede se jeden dodatečný ověřovací krok. Vznikne seznam obsahující ID přijímačů, počet úrovní a přístrojů ve stromu. Vysílač podle toho může zjistit, zda byla překročena velikost stromu nebo odebráno některé zařízení.
Pokud se vyslaný signál nestihne vrátit, dojde k ukončení sezení.
Přenos obsahu
Vysílač šifruje data užitím standardu AES 128, jenž poskytuje vysokou ochranu a je dostatečně rychlý pro přenos dat, jelikož pracuje v tzv. counter módu (podporuje souběžné provádění operací). Co se týká ochrany a dodávání klíčů, opět vše zajišťuje společnost DCP, nově lze klíč stáhnout přes internet nebo zakoupit speciální DVD.
