1. Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!
    Verberg deze melding

alphaCrypt classic CI module 3.16

Discussie in 'Digitale TV - DVB-C en CI+' gestart door ajaxmen, 18 okt 2008.

Niet open voor verdere reacties.
  1. OK, snap ik (denk ik). Maar betekend dat dan ook niet dat softcam oplossingen van derden die nu werken dus ook NIET door de overgang naar CI+ worden geraakt? Dan is nml die oplossing van de Anysee USB DVB-C tuners nml nog niet zo gek (zij maken ook gebruik van een embedded softcam ipv een CAM module).

    En is het hele CI+ systeem niet tamelijk compleet onzinning als elke softcam oplossing het kan omzeilen?
     
  2. Laat ik het zo zeggen. In deze situaties zet ik mijn geld op de techneut en niet op een marketing machine.
     
  3. Als Ziggo de Alphacrypt kan uitschakelen kunnen ze dat vast ook met andere softCAMs.
     
  4. Zonet weer interessant antwoord gekregen van SmartDTV, een van de andere CI+ forumleden over welke tv's CI+ kunnen supporten:


    Dear Sir,Thanks for your request.CI+ standard need new SW from iDTV to support new protocol and maybe new hardware tosupport copy protection. As we don't know iDTV architecture, only your iDTV manufacturer can answer to thisquestion.Best regards,Dimitri.SmarDTV Support.ref:00D254j7.50023aAaR:ref
    Staaft met het antwoord wat ik van Philips gekregen heb, nl. dat middels een firmware upgrade CI+ gesupport zal worden (op mijn recente nieuwe 52PFL9703H !!!) omdat de architectuur er inmiddels is.

    Wellicht dat deze televisie reeds de certificaten aan boord heeft....

    BTW Certificaten kunnen wel degelijk gegenereerd worden zonder dat er een TA aanwezig is ! Sterker nog zal het certificaat gewoon te bewerken zijn door de eigenaar mocht deze dat willen. Wat men zal zien is dat de TA
    binnen het netwerk zal kijken of hetzelfde certificaat meerdere keren tegenkomt (gekopieerd!!!) en deze uiteindelijk gaan blocken. De private key bij een device (televisie in deze) komt alleen van de Root CA af !
    Ik zou zeggen....lees onderstaande excerpt uit de draft van CI+......

    9.1 Introduction​
    3 The authentication between a CI+ host and module includes the exchange of certificates. A device
    4 certificate of a host or module serves three purposes.
    5 ​
    prove that the device is compliant with the CI+ standard
    6
    provide an RSA public key of the device. This key is used for verification of the device's
    Diffie-Hellman public key during the authentication protocol, see figure
    791H6.2 and table 792H7 6.1
    8
    convey the device scrambler capabilities
    9 Certificates are also used to verify the integrity of revocation lists that are included in the broadcast.
    10 This verification makes use of the service operator certificate, see section
    Error! Reference source

    11 ​
    not found..

    793H​
    12 9.2 Certificate Management Architecture

    13 The CI+ trust hierarchy is organized as a tree structure with a single Root CA (=Root of Trust,
    ROT). There is only one tree for all participants in CI+, See Figure ​
    794H14 9.1.

    Root CA
    (ROT)
    Brand A Brand B Service Operator
    C
    Host X Module
    Z
    Host Y​
    15​
    Figure ​
    795H16 9.1: Certificate Hierarchy Tree

    17 There are four different types of certificates.
    18 ​
    Root certificate
    19 - issued by the ROT
    20 - self-signed
    21 - only one root certificate exists for all of CI+
    22
    Brand certificate
    23 - issued by the ROT
    24 - signed with the private key of the root certificate
    25 - one certificate of this type exists for each brand
    26
    Device certificate
    27 - issued by the ROT
    28 - signed with the private key of the brand certificate
    29 - each single device has a unique device certificate
    30
    Service operator certificate

    © 2007 Matsushita Electric Industrial Co., Ltd
    © 2007 Koninklijke Philips Electronics N.V
    © 2007 Samsung Electronics Co., Ltd
    © 2007 Sony United Kingdom Ltd
    © 2007 SmarDTV S.A
    © 2007 NEOTION SA​
    86 Draft CI+ Specification V0.8 (2007-12)​
    1 - issued by the ROT
    2 - signed with the private key of the root certificate
    3 - one certificate of this type exists for each service operator
    4 Each certificate contains a public key for which there is a corresponding private key.
    5 Each host and module device shall integrate the following certificate-related information at
    6 manufacturing time.
    7 ​
    the CI+ root certificate
    8
    the brand certificate
    9
    the device certificate
    10
    the private key corresponding to the device certificate (MDQ or HDQ, see table 5.2)
    11 Unlike the other certificates, the service operator certificate is broadcast, it does not have to be
    12 integrated at manufacturing time.

     
  5. Doman

    Doman Forum Member

    Berichten:
    2.675
    Ziggo:
    Internet & Televisie
    Gebied:
    fZiggo
    Meer...
    Lid geworden:
    20 sep 2005
    Ik vraag mij eigenlijk af of ze hier geen problemen mee gaan krijgen? :roll:
    Wat ik zo snel las heeft die Anysee geen officiële irdeto certificering/licentie zoals de Alphacrypt module deze wel heeft?
     
  6. Het staat toch duidelijk in de specificatie van CI+:

    Each host and module device shall integrate the following certificate-related information at manufacturing time.

    • the CI+ root certificate
    • the brand certificate
    • the device certificate
    • the private key corresponding to the device certificate (MDQ or HDQ, see table 5.2)
    Unlike the other certificates, the service operator certificate is broadcast, it does not have to be integrated at manufacturing time.

    Dus alle certificaten, behalve die van in ons geval Ziggo, moeten ingebakken worden.
     
  7. Er moet maar een ding ingebakken worden...... en dat is de CHIPID.
    Op basis daarvan kan met alle gemak met de public key van de Root CA een private certificate gemaakt worden. Diffie en Hellman beschrijven dat proces heel mooi dat ze hebben uitgevonden. En zoals je ziet in mijn dikgedrukte tekst zie je dat ook terugkomen dat er expliciet gebruik van gemaakt gaat worden.

    Diffie-Hellman key exchange (D-H) is a cryptographic protocol that allows two parties that have no prior knowledge of each other to jointly establish a shared secret key over an insecure communications channel. This key can then be used to encrypt subsequent communications using a symmetric key cipher.

    Zie de wiki luitjes.....

    Niet voor niets dat hun methode gebruikt word!!!! Ze hebben er rekening mee gehouden dat er nog apparatuur (devices en modules) achteraf moeten opgenomen in de chain of trust van de ROOT CA. Apparatuur die dan softwarematig en hardwarematig compatible zijn met CI+ kunnen dan alsnog opgenomen worden.

    Begin ik nu mensen te overtuigen of niet ....?
    Ik heb nu een twee vendors die mijn theorie steunen.


    Anoniem, mocht ik er alsnog naast zitten....laat het me weten.
     
  8. Ja, ik heb de CI+ spec gescanned (maar dan de final version :wink: )

    Voor de duidelijkheid, Root Of Trust is hetzelfde als Trust Authority. Zie Abbreviations in 3.3

    TA is dus een partij die apparaten keurt, en certificaten uitgeeft.

    De TA (of ROT) geeft de diverse certificaten uit, dat staat ook in het stukje dat je citeert. Als de TA nog niet bestaat zullen de certificaten ook niet in de TV zitten.

    Een trust authority zal ook nooit een netwerk afscannen, want een TA zit niet op het netwerk. Daarnaast gaat CI+ niet per se uit van een retourgeschikt netwerk, dus netwerk scannen zal niet altijd mogelijk zijn.
     
  9. Het gaat hier niet om de cryptografie, maar om authenticatie.

    Ik wil eerst weten wie jij bent voordat ik een beveiligde verbinding opzet. En als we elkaar niet kennen en vertrouwen, maar wel een wederzijdse vriend hebben die ons beide kent dan kan die voor ons instaan. Die wederzijdse vriend is de TA. die heeft ons beide een paspoort gegeven, en die kunnen we herkennen. Daarna kan er met D-H een versleutelde verbinding opgezet worden zodat derden niet mee kunnen luisteren.

    Een CI+ module zet alleen een versleutelde verbinding op met een partij die hij vertrouwt. En daarvoor zijn toch echt certificaten nodig. En als die niet ingebakken zijn kan iedereen ze gebruiken, en doen alsof hij te vertrouwen is.
     
  10. @digitalekabeltelevisie :

    Op alle punten heb je gelijk.

    Zodra de TA een private key heeft zullen alle certificaten uitgegeven worden. En dankzij Diffie Hellman zullen de televisies die nog niet de private certificaten hebben, toch alsnog opgenomen kunnen worden.

    Toen ik doelde op het blocken van certificaten, is dat mijn inziens het een machtig wapen zou zijn. Het wordt wel degelijk ondersteund...in versie 0.8 dan...

    456H ​
    5.5 Introduction to Revocation (informative)

    The CI+ standard includes revocation as a means to deal with host devices whose security has been
    compromised. The specification distinguishes three mechanisms of revocation:
    1) Host Service Shunning
    2) Host Revocation
    3) Revocation by CAS
    Which revocation mechanism is used depends on the Service Mode. Basic Sevice Mode supports
    Host Service Shunning and Host Revocation. The Registered Service Mode supports Host Service
    Shunning and Revocation by CAS (see Table ​
    457H 5.6).

     
Niet open voor verdere reacties.

Deel Deze Pagina