« 池田信夫さんへの返事 | トップページ | のだめとか・・・ »

2008.08.23

池田信夫さんへの返事その2

池田信夫さんへの返事の続きです。

せっかくgooID無しでコメントできるようにして頂いたのでコメントで書こうかと思ったのですが、長くなってしまったのでやはりTBにさせて頂きました。失礼
逐語的にコメントをするとどんどん膨れ上がっていくだけなので、適宜トピックごとにまとめてあります。

MULTI2は後付け?
既に猪口冷斗さん、hibirthさんからコメントが付いていますが、CSデジタルの頃から使われています。
地上デジタルになっても技術的な面では特に大きな変更はありませんし、新たな脆弱性が持ち込まれたという事もありません。
変わったのは技術面ではなく、社会的、経済的な環境だけです。

なぜストリーム(TS)が共通の鍵(Ks)で暗号化されているのか
前回にも書きましたが、「放送」だからです。
現在、一つの暗号ストリームを多数の鍵で復号できる暗号というのは(広くは)知られていません(私が知らないだけかもしれませんが)。

メールで用いられているPGPやgpgなどでは、複数の相手が復号できる暗号メールが送れますが、それは、本文は一つのテンポラリな共通鍵で暗号化し、その共通鍵を相手ごとの公開鍵で別々に暗号化し、それらを全てまとめて送っているのです。
受け取った人は、自分の公開鍵で暗号化されている部分を復号してテンポラリな共通鍵を取り出し、本文を復号する事が可能になっています。

DVDで用いられているCSSも同様にMaster Keyの数だけDisk Keyを暗号化したものがディスクに収められています。

いずれの場合も、送ろうとする情報そのものは全ての受け手に共通の鍵で暗号化され、その鍵を相手ごとに違う鍵で暗号化して送るという形で、複数の相手が復号できる暗号を実現しています。

それなら同じ仕組みでやればいいんじゃない?
相手が多すぎます。
現在B-CASカードが4千万枚以上出ているらしいですが、それぞれのID(6Byte)とカード固有の鍵で暗号化されたKs(8Byte)を送ろうとすると、560MB必要です。
現在のARIBの規定である100msごとのECM送出を行うには44.5Gbps(地上デジタルの12セグなら2666チャンネル分)が必要です。
これはあくまでも計算値であって、当然ヘッダだとか色々付きますから実際にはこの倍は必要かもしれません。
また、現在は4千万枚でも、将来はもっと増えます。
普及率が上がるというのももちろんですが、有償放送であれば、契約の無くなったIDは送らないという事もできますが、地上デジタルではどのカードが生きている(使われている)のか捨てられたのかが判断できませんから、発行したIDは永遠に送り続ける必要があります。
普及率100%になっても、機器の入れ替えなどでB-CASカードは増え続けますし減りませんから、送出が必要なIDは単調に増加し続けます。

ECMの送信頻度を落とせば帯域は少なくて済むよね?
100msに1回ではなく266秒に1回ECM送信するようにすれば、1チャンネル分で済みますが、自分のIDの鍵が出てくるまで最長4分かかります。
チャンネル変えて絵が出るまで4分かかるようなテレビは受け入れられるでしょうか?

それに、このような手段を取ったとしても、「IDが知れた時にデコードできなくする」事ができるだけで、不正なIDを知ることができるとは限りません。
サーバに44.5Gbpsだか16.8Mbpsを送り続けるのは無理なので、サーバ側にあるB-CASカードのIDをクライアントに通知して、そのIDに該当するものだけをサーバに送らせるような仕組みにはなるでしょうが、目的は転送量を減らす事だけですから、何も正直に自分のB-CASカードのIDだけを晒す必要は無い訳で、たとえば01 02 03 04 05 06というIDのカードを持っているのなら上位5Byteが01 02 03 04 05であるものを全部送らせても構わない訳です。
このIDを持つカードを全部止めてしまうと、善良な255台を巻き込む事になってしまいますから、実務上これだけの情報ではID停止は不可能でしょう。

結局、個別のIDごとに別々に暗号化した鍵を配るというのは、労多くして得るものはほとんどありません。

ICカードにしたのは(メーカの|B-CAS社の)陰謀?
契約情報をICカードに分離する事により、専用チューナだけではなく、テレビやビデオ、HDDレコーダにチューナを内蔵できるようになり、録画設定や視聴などでも利便性が大幅に上がりました。
また、機器を買い換えた時にも契約変更(ID変更)は必要なく、単にカードを挿しかえるだけで済みますし、利用者にとってもメリットは大きいです。
このメリットは過小評価すべきではないと思います。

ただ、機器本体とICカードのプロトコルに付いては、ちょっと問題があったと言えるでしょう。
一番の問題は生のKs(復号されたKs)がICカードから出てくる点です。
デコードチップにも別の鍵を持つようにしておいて、それをICカードと共有し、Ksをその鍵で再暗号化してからデコードチップに返すような実装になっていれば、このような問題は起きなかったのではないかと思います。
もちろん、その共有鍵も放送波による更新の仕組みを作って、共有鍵が漏れた場合はリボケーションできるようにしておく必要があるでしょう。
間違いは分離したことではなく、プロトコルの設計に問題があったと。
まぁ、この辺はARIBやB-CAS社が決めた事じゃないでしょうが。

あと、時代の流れというか技術的な発展の面から言えば、鍵長も1024bitとか、長いものにすべきだったでしょうね。
これはまだ問題にはなってませんが。

|

« 池田信夫さんへの返事 | トップページ | のだめとか・・・ »

日記・コラム・つぶやき」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/4003/42253227

この記事へのトラックバック一覧です: 池田信夫さんへの返事その2:

« 池田信夫さんへの返事 | トップページ | のだめとか・・・ »