Анализ преимуществ аппаратного ядра безопасности
Сегодня все основные производители чипсетов предлагают те или иные формы аппаратной защиты, позволяющие обезопасить расшифровку контрольного слова и некоторые другие секретные алгоритмы. Различия в уровнях предлагаемой безопасности создают сложности для выработки единого подхода в использовании аппаратных возможностей разных чипсетов. В то же время аппаратная защита ядра может существенно усилить уровень безопасности и улучшить архитектуру решения.Аппаратное ядро безопасности, реализованное в самых продвинутых из сегодняшних чипсетов, предлагает мощные механизмы защиты от различных инвазивных и неинвазивных типов атак, в том числе от принудительного снижения скорости работы процессоров для внедрения хакерских кодов (glitching), а также от SPA (Simple Power Analysis) и DPA (Differential Power Analysis).
Концентрация усилий на повышении защиты чипсета, а не на создании автономных модулей безопасности позволяет устранить возможные точки доступа для разного рода атак, имеющиеся в съемных модулях защиты, а также в шинах, соединяющих эти модули с самой приставкой.
При тщательной разработке программных алгоритмов безопасности в сочетании с аппаратной защитой ядра расшифрованные ключи и другие секретные данные не проходят через интерфейс соединения со смарт-картой или через легко доступные для анализа интерфейсы реестра. Вместо этого контрольное слово напрямую направляется внутрь чипсета для дескремблирования. Жесткая интеграция дескремблирования и декодирования видео с защитой секретной информации позволяет существенно усилить защиту против шаринга контрольного слова и связанных с этим атак.
Кроме того, при интеграции секретной обработки ключей в аппаратное ядро безопасности чипсета пиратам становится значительно сложнее отслеживать и изменять алгоритмы защиты. В современных сетях с гибридной средой доставки видео, где решение о праве доступа к услугам может переноситься на головной сервер, аппаратная защита ядра приставки обеспечивает условия для надежной идентификации устройства, в том числе работу функции «оклик-отзыв»1. Это позволяет существенно удлинить сроки безопасной работы приставки.
Отделение безопасного ядра от прочих функциональных модулей приставки дает два дополнительных преимущества.
Во-первых, оно снижает возможности записи в STB хакерского или скомпрометированного ПО, позволяющего вмешиваться в процесс защиты контента. Во-вторых, обновление ПО приставки не требует повторной сертификации ее безопасности. Первый фактор усиливает безопасность и делает возможной работу на открытых платформах, таких как Android, а также использование сторонних приложений. Второй фактор упрощает и ускоряет введение обновлений на рынок.
Надежность приставок особенно актуальна сейчас, когда в борьбе за абонентскую базу операторы стремятся включить в спектр своих услуг премиальный и максимально свежий контент. Недостаточная безопасность приставок приводит к повышению стоимости контента и/или вынуждает оператора ограничиться менее привлекательными предложениями.
Аппаратное ядро безопасности требует интегрированного ПО
Для обеспечения комплексной защиты обработки ключей аппаратные средства безопасности, работающие на уровне силикона, должны дополняться программным решением. Аппаратное ядро безопасности — это только важная часть комплексной системы условного доступа, но не ее замена.Очень привлекательны для вещателей бескарточные системы доступа; возможность применения бескарточных абонентских устройств постепенно становится у них стандартным требованием. При их реализации самое правильное — максимально задействовать возможности аппаратной защиты чипсета в рамках работы системы доступа. Мощная комбинация аппаратных и программных средств защиты обеспечивает гибкость и экономическую эффективность решения в сочетании с высоким уровнем защищенности.
Длительный опыт применения бескарточной архитектуры в сетях IPTV подтверждает, что использование в чипсетах приставок безопасного аппаратного ядра позволяет решить проблемы с шарингом контрольного слова и попытками клонировать приемники. В системах безопасности с такой архитектурой ПО отвечает за запрос ключей, прием и хранение получаемых сообщений, синхронизацию дескремблирования и управление пользовательским интерфейсом, но оно отстранено от непосредственной обработки дешифрующих ключей и от дешифровки видео.
Сценарии внедрения бескарточной системы
Пример 1. Программная безопасность для односторонних сетей. Применение чисто программного решения для сетей без обратного канала выглядит интригующе. По сравнению со смарт-картами оно гораздо
дешевле в плане внедрения и апгрейда.Тем не менее пиратам хорошо известна логика защиты контента в платном телевидении и пути прохождения секретной информации, где она уязвима для анализа и возможной модификации. Если ПО работает на незащищенной платформе, квалифицированные взломщики наверняка сумеют шунтировать доступ к логике, определяющей права доступа, и/или извлечь контрольное слово.
При реализации программной защиты с поддержкой со стороны аппаратного ядра безопасности возможности использования эмуляторов и других пиратских устройств, предназначенных для манипуляций с информацией о правах доступа или извлечения контрольного слова, резко сужаются. Аппаратное ядро безопасности может сыграть определяющую роль в успешной реализации бескарточного решения для традиционных однонаправленных сетей.
Пример 2. Вещательная сеть + ШПД. Аппаратное ядро безопасности с гибкой функциональностью будет поддерживать различные алгоритмы скремблирования и схемы проверки прав доступа, используемые в DVB-вещании, в IPTV, при потоковой передаче живого видео и при доставке видео по требованию. Другими словами, одно и то же ядро может использоваться для усиления безопасности вещательных систем доступа, видео по требованию, интегрированных в гибридные STB DRM стриминговых клиентов, а также домашних шлюзов. Оно представляет собой компактное решение, поддерживающее режимы «картинка в картинке», мультирум и позволяющее записывать одну программу, одновременно просматривая другую, причем даже если контент поступает из разных сетей.
Пример 3. Сети платного телевидения с обратным каналом. При распространении платного контента через двунаправленные сети STB отправляют сообщения, подтверждающие их подлинность, на головной сервер СA/DRM. Сервер становится местом принятия решений относительно легитимности абонентских приставок и наличия прав на пользование контентом, и при принятии положительного решения он же формирует информацию, необходимую для организации доступа к контенту.
Сети с обратным каналом предлагают больше возможностей контроля, чем однонаправленные, в частности возможность подтверждений со стороны приставок и проверки неприкосновенности его ПО. Но это не полностью исключает угрозу шаринга контрольного слова и эмуляции клиентского устройства. Если пират способен взломать приставку, пользуясь каким-то изощренным методом, например DPA, или подделать сообщение серверу о подлинности приемного устройства, он вполне может получить доступ к контенту или информации, достаточной для распространения по сети контрольного слова.
Идентификация устройства, выполняемая в диалоге с головными серверами и с применением его аппаратных элементов, оказывается гораздо надежнее, если работает в сочетании с аппаратным ядром безопасности.
Пример 4. Дополнительная к СА схема безопасности. Принцип «двойного корпуса». Применение аппаратного ядра безопасности в сочетании с другими технологиями обеспечивает такой же эффект, как ремень безопасности в сочетании с подушкой безопасности. Если хакерам даже удастся взломать смарт-карты, программное приложение по безопасности или аппаратное ядро безопасности, то, чтобы скомпрометировать всю систему, им понадобится взломать и остальные ее компоненты.
Следует отметить, что данная схема отличается от Simulcrypt, который предусматривает один модуль безопасности, работающий с одной системой CAS/DRM. Параллельная схема предполагает наличие нескольких модулей безопасности, сконфигурированных таким образом, что для доступа к секретной информации требуется взломать их все.
Пример 5. Облачные услуги по OTT-доставке контента. На приемные устройства операторской сети, имеющие аппаратное ядро безопасности, могут быть установлены приложения для защиты от облачного дистрибьютора контента. ОТТ-контент может быть зашифрован таким образом, что в его расшифровке будет задействовано и программное приложение, и аппаратное ядро безопасности, причем каждый элемент генерирует отдельное контрольное слово для дешифровки. Такая схема позволяет облачному оператору обеспечить защиту контента на всех этапах его доставки, а также получить контроль над приемными устройствами в части потребления его услуг. А местный оператор сохраняет функции управления своей сетью и местными сервисами.
Эволюция требований к защите контента в абонентских приставках
Аппаратные ядра безопасности — это новый шаг в защите абонентских приставок. Они существенно усиливают защиту компонента, который в этом сегодня нуждается, — чипсета приемника.Дополнительные преимущества для операторов включают возможность гибкого формирования контентных услуг и их монетизации с использованием современного ПО, экономичность, так как исключают необходимость смарт-карт и CAM-модулей, снижение риска преждевременной замены приставок из-за пиратства и увеличение вероятности раннего получения премиального контента на привлекательных для оператора условиях.
Плюсом такого подхода является также уменьшение связанных с безопасностью ограничений, накладываемых на остальную архитектуру STB и чипсетов, что оставляет больше свободы для инноваций в этой области.
Аппаратное ядро безопасности позволяет поставщикам СAS/DRM предложить схему усиления защиты против шаринга контрольного слова, оболочку безопасности по принципу двойного корпуса и другие привлекательные для клиентов схемы. Усовершенствованные таким образом приемные устройства обеспечивают также более высокий функционал для безопасной доставки контента по гибридным и OTT-сетям, безопасного получения облачных услуг и реализации многоэкранного распространения.
Перевод Анны Бителевой
