WO2010076163A1 - Procédés de transmission, de réception et d'identification, processeur de sécurité et support d'enregistrement d'informations pour ces procédés - Google Patents

Procédés de transmission, de réception et d'identification, processeur de sécurité et support d'enregistrement d'informations pour ces procédés Download PDF

Info

Publication number
WO2010076163A1
WO2010076163A1 PCT/EP2009/067025 EP2009067025W WO2010076163A1 WO 2010076163 A1 WO2010076163 A1 WO 2010076163A1 EP 2009067025 W EP2009067025 W EP 2009067025W WO 2010076163 A1 WO2010076163 A1 WO 2010076163A1
Authority
WO
WIPO (PCT)
Prior art keywords
transmission
additional data
security processor
delay
information
Prior art date
Application number
PCT/EP2009/067025
Other languages
English (en)
Inventor
Quentin Chieze
David Leporini
Original Assignee
Viaccess
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess filed Critical Viaccess
Priority to CN200980152601.1A priority Critical patent/CN102265634B/zh
Priority to RU2011132011/08A priority patent/RU2542934C2/ru
Priority to PL09796678T priority patent/PL2371120T3/pl
Priority to EP09796678.2A priority patent/EP2371120B1/fr
Priority to US13/142,888 priority patent/US9258612B2/en
Priority to ES09796678T priority patent/ES2785997T3/es
Priority to CA2751425A priority patent/CA2751425A1/fr
Publication of WO2010076163A1 publication Critical patent/WO2010076163A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/45Management operations performed by the client for facilitating the reception of or the interaction with the content or administrating data related to the end-user or to the client device itself, e.g. learning user preferences for recommending movies, resolving scheduling conflicts
    • H04N21/462Content or additional data management, e.g. creating a master electronic program guide from data received from the Internet and a Head-end, controlling the complexity of a video stream by scaling the resolution or bit-rate based on the client capabilities
    • H04N21/4623Processing of entitlement messages, e.g. ECM [Entitlement Control Message] or EMM [Entitlement Management Message]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/4367Establishing a secure communication between the client and a peripheral device or smart card
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/442Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
    • H04N21/44236Monitoring of piracy processes or activities

Definitions

  • the invention relates to a method for transmitting additional data by a security processor to an external device.
  • the invention also relates to:
  • a security processor is a component capable of carrying out protection processing of a system, in particular cryptographic operations such as encryption or decryption operations, and storage of sensitive data. As such, this component is itself particularly secure to make any attempt at cryptanalysis difficult.
  • the security processor is connected to one or more external devices which are therefore less secure against attempts at cryptanalysis. These external equipment therefore provide it with data to be processed such as cryptograms. The security processor processes this data and then transmits the result of this processing to the external equipment. It is therefore understood that the analysis of the operation of these external equipment does not give information on the cryptographic operations performed by the security processor.
  • the security processor and the external equipment communicate by exchanging information frames via a communication interface.
  • An information frame consists of a succession of bits.
  • the transmission of the frames between the security processor and the external equipment is asynchronous.
  • an information frame is composed of a particular pattern of bits signaling the start of the frame and another particular pattern of bits signaling the end of the frame.
  • the structure of this frame is usually defined by a standard. Compliance with this standard on the side of the security processor and external equipment makes it possible to exchange information between these two entities through the standardized interface.
  • This standard defines the position of the fields contained in the frame as well as the coding used to transmit the bits of information composing the frame. For example, the interface between the security processor and the external equipment to which it is directly connected complies with the ISO 7816 standard.
  • the security processor may be irremovably incorporated within an external equipment. In this case, we speak of security processor "buried". The security processor is then for example in the form of a hardware component dedicated to these functions. The security processor is often also simply removably connected to external equipment. In this case, it is often in the form of a smart card.
  • the external equipment may be the equipment to which the security processor is directly connected or any equipment, external to the security processor, with which the security processor exchanges information. In the latter case, it is not necessary for the external equipment to be directly connected to the security processor.
  • the external equipment may be connected to the security processor through other external equipment.
  • the invention therefore aims at transmitting data furtively between a security processor and an external device connected to each other via an asynchronous information transmission link.
  • the above method makes it possible to transmit the additional data without modifying the content or the structure of the information frames sent by the security processor to the external equipment. Nor does it require the transmission of additional frames of information with respect to frames of information that would in any case be transmitted. It is therefore difficult to identify how the additional data is transmitted. Moreover, this allows the extra data to be sent to the external equipment in addition to those contained in the information frame without using more bandwidth. In this sense, this therefore makes it possible to increase the globally available bandwidth for the transmission of information between the security processor and the external equipment.
  • Embodiments of this method of transmission may include one or more of the following features: a the method comprises decrypting, by the security processor, confidential information, and encapsulating this confidential information decrypted in the frame of information delayed; Confidential Information is a control word used to decipher confusing multimedia content; B the process comprises:
  • B for a predetermined value of the additional data, the transmission of the information frame to the external equipment is canceled; B the method comprises: - determining the delay to be applied to delay the start of transmission of the information frame according to the additional data, and
  • the method comprises constructing the information frame independently of the additional data.
  • the random draw of the delay used to delay the start of the transmission of the frame in a group chosen according to the value of the additional data makes it even more difficult to identify the hidden channel; the possibility of canceling a transmission makes it possible to inhibit certain functions of the security processor;
  • the absence of the additional data in the delayed information frame amounts to an increase in the available bandwidth between the security processor and the external equipment.
  • the subject of the invention is also a method of reception by the external equipment of the supplementary data transmitted by the security processor by means of the above transmission method, in which the method comprises obtaining the value of the additional data transmitted from the delay used to delay the information frame.
  • Embodiments of this receiving method may include the following feature when each additional data is transmitted in response to a request, which requests are transmitted at a predetermined interval: a the method comprises:
  • the subject of the invention is also a method for identifying a security processor, this method comprising:
  • the security processor transmits, by the security processor, of an identification data function of an identifier of this security processor, to an external device, the identifier of the security processor making it possible to uniquely identify this processor security among all the security processors that can be used,
  • This method of identifying a security processor is particularly effective because it is difficult to identify how the security processor transmits information on its identifier to the external equipment.
  • the embodiments of this identification method may include the following feature: the reception of the identification data is carried out by means of the reception method above.
  • the subject of the invention is also a method for transmitting additional data by an external device to a security processor, in which the transmission of the additional data is performed by delaying the start of a transmission of a data frame. information from the external equipment to the security processor, a delay depending on the value of the additional data.
  • the invention also relates to a security processor comprising a module for transmitting additional data to an external device.
  • This transmission module is able to perform the transmission of the additional data by delaying the start of a transmission of an information frame, from the security processor to the external equipment, a delay depending on the value of this additional data.
  • the invention also relates to an information recording medium comprising instructions for the execution of the above methods, when these instructions are executed by an electronic computer.
  • FIG. 1 is a schematic illustration of a scrambled multimedia content broadcasting system
  • FIG. 2 is a schematic illustration of a listening table used in the system of FIG.
  • FIG. 3 is a flowchart of a method for identifying a security processor implemented in the system of FIG. 1;
  • FIG. 4 and 5 are timing diagrams illustrating a particular aspect of the method of FIG. 3;
  • FIG. 6 is a graph illustrating an exemplary content of the listening table of FIG. 2;
  • FIGS. 7 and 8 are diagrammatic illustrations of two frames of information transmitted to a security processor of the system of FIG. 1. In these figures, the same references are used to designate the same elements.
  • FIG. 1 shows a system 2 for broadcasting scrambled multimedia content.
  • the multimedia content contains video and / or audio.
  • the multimedia content is a movie or a television show.
  • System 2 comprises a transmitter 4 of scrambled multimedia contents.
  • the transmitter 4 comprises:
  • a scrambler 6 suitable for receiving the undisclosed multimedia content and for outputting the scrambled multimedia content using a control word CW; a control word generator 8 supplying the scrambler 6 with the words control to use, and
  • ECM message generator 10 Entitlement Control Message
  • the ECM messages comprise at least one cryptogram CW * of the CW control word used to scramble the multimedia content.
  • the control word is changed at regular intervals.
  • the time interval during which the control word remains unchanged is a cryptoperiod.
  • cryptoperiods last less than 1 minute. For example, the cryptoperiod lasts ten seconds.
  • Outputs of the scrambler 6 and the generator 10 are connected to respective inputs of a multiplexer 12.
  • the multiplexer 12 multiplexes the scrambled media content with ECM messages generated to obtain multiplexed multimedia content.
  • the multiplexed multimedia content is broadcast on a network 14 for transmitting information.
  • the network 14 is a packet-switched network such as the Internet.
  • the network 14 may also consist of several networks of different types connected to each other.
  • the network 14 may be composed, for a part, of a satellite network of the DVB-S type and, for a second part, of the Internet network.
  • the multicliplexed multimedia content thus broadcast is intended to be received by subscriber terminals.
  • subscriber terminals then demultiplex the multiplexed media content to obtain ECM messages on the one hand, and scrambled multimedia content on the other hand, and then subject the ECM messages to their associated security processors, which process them accordingly. access rights previously obtained and that they memorize. If necessary, these security processors subsequently return the decrypted CW control word to the terminals, which can thus descramble the multimedia content before displaying it in clear on a screen.
  • the expression "in clear” indicates that the unscrambled multimedia content displayed on the screen is directly intelligible by a human being. Rather than such subscriber terminals, only “hacker" terminals have been shown in Figure 1.
  • hackerser terminals are used to display the multimedia content in clear without fulfilling the corresponding subscription, thus without obtaining the access rights that legitimately allow it.
  • they obtain the CW unscrambled control words from a service, itself a hacker, provided on the network.
  • the two pirated terminals 18 and 20 shown are, for example, identical. Thus, only the terminal 18 is described in more detail.
  • the terminal 18 is connected to a screen 21 such as a television screen.
  • the terminal 18 is equipped with: a decoder 22 connected to the network 14 for receiving the multimedia content multiplexed and broadcast by the transmitter 4, and a descrambler 24.
  • the decoder 22 demultiplexes the multimedia content in order to extract the scrambled multimedia content.
  • the descrambler 24 descrambles or decrypts the scrambled media content using the CW control word. For this, this descrambler 24 must receive the control word CW in clear.
  • the terminal 18 is connected to a control word sharing device 30.
  • the terminal 18 is connected to the device 30 via the network 14.
  • the device 30 is equipped with a decoder 32 and an authentic security processor 34 directly connected to the decoder 32.
  • authentic security is a security processor that has been obtained legally against a subscription to the services of the operator who broadcasts the multimedia content.
  • This processor 34 is therefore structurally identical to those contained in the subscriber terminals.
  • the access rights to the multimedia content are also regularly updated in the processor 34 as long as the price of the subscription is set. This update is done as for security processors connected to subscriber terminals.
  • the decoder 32 demultiplexes the multiplexed multimedia content broadcast by the transmitter 4 to extract the ECM messages. These ECM messages are then transmitted to the security processor 34 which then decrypts the cryptogram CW * to obtain the control word CW. Then, the processor 34 transmits to the decoder 32 an information frame containing the control word CW as it would have if it were connected to a subscriber terminal.
  • the security processor 34 is a chip card releasably connected to the decoder 32 via a communication interface according to the ISO 7816 standard.
  • the decoder 32 is therefore an external device to which the processor 34 transmits Datas.
  • the processor 34 comprises an electronic calculator 36 adapted to execute instructions recorded on an information recording medium.
  • the computer 36 is connected to a memory 38 which contains the instructions necessary for carrying out the method of FIG. 3.
  • these instructions encode a module 40 for transmitting additional data on a hidden channel.
  • the memory 38 also comprises: an identifier UA of the security processor, and the cryptographic keys and the access titles necessary for the decryption of the cryptograms CW *.
  • the identifier UA makes it possible to uniquely identify the processor 34 among all the authentic security processors used in the system 2.
  • the decoder 32 is equipped with a diffuser 44 of control words .
  • This diffuser 44 broadcasts the control word transmitted by the processor 34 to external devices that have registered, for example, in a mailing list maintained by the device 30.
  • the pirated terminals 18 and 20 are registered on this list to receive the CW control words decrypted by the processor 34.
  • a listening station 50 is also included in this list and thus also forms an external equipment to which the processor 34 transmits the decrypted control words.
  • the station 50 is designed to listen to the information broadcast by the device 30 in order to identify the processor 34 used by this device 30.
  • the station 50 comprises: a module 52 for receiving both multiplexed multimedia content broadcast by the transmitter 4 and control words broadcast by the device 30, a decoder 54 capable of demultiplexing the multimedia content, and a processing module 56 for obtaining the data transmitted by the processor 34 on the hidden channel.
  • the module 52, the decoder 54 and the module 56 are typically software modules implemented in a computer 58.
  • This computer 58 is connected to a memory 60.
  • the memory 60 contains the instructions necessary for the execution of the method of FIG. they are executed by the computer 58.
  • This memory 60 also comprises a listening table 62.
  • FIG. 2 shows in more detail the table 62.
  • the table 62 comprises three columns 64 to 66.
  • the first column 64 is intended to contain ECM message identifiers.
  • column 64 contains ECMi and ECM identifiers 2 of two different ECM messages.
  • Column 65 contains times t e transmission of ECM messages identified by the identifiers contained in column 64. For example, here, column 65 contains the instants t e i and t e2 . Finally, the column 66 contains the times t r of reception of the CW control words broadcast by the device 30. For example, the column 66 contains the instants t M and t r2 associated respectively with the identifiers ECMi and ECM 2 .
  • the station 50 subscribes to the mailing list of the device 30 to receive the control words. decrypted and broadcast by this device.
  • the station 50 builds the instant t e transmission by the transmitter 4 of the ECM message for each cryptoperiod. For example, station 50 generates the instant t e transmission of an ECM message in each cryptoperiod with the same periodicity as that used to issue the ECM messages. Indeed, ECM messages are issued periodically, usually just before the end of the previous cryptoperiod. It is not necessary for the instant t e to correspond exactly to the instant at which the transmitter 4 broadcasts the ECM message. It suffices that the sequence of instants t e generated has the same periodicity as that used to emit the ECM messages.
  • the transmission periodicity of the ECM messages is deduced from the periodicity with which the control words broadcast by the device 30 are received.
  • a phase 72 for sending a request for identification of the processor 34 is carried out. and receiving the corresponding response. More specifically, during a step 74, the scrambled multimedia content broadcast by the transmitter 4 is multiplexed with an ECMi message containing a request Ri.
  • the request Ri targets a small group of security processors. This group is restricted in the sense that it contains fewer security processors than is possible in the system 2. More precisely, this request aims to know if the processor 34 belongs to the group Gi or not. For example, the group Gi consists of the set of security processors whose UA identifier begins with a bit at "1".
  • This message ECMi is broadcast to all the external equipment connected to the network 14.
  • this multiplexed multimedia content is thus received by the device 30 and the pirated terminals 18 and 20.
  • a step 78 the hacker terminals 18, demultiplex the received multimedia content to extract the scrambled multimedia content.
  • the device demultiplexes the received multimedia content to extract the ECMi message.
  • the module 56 of the station 50 builds the time t e i for sending the message ECMi.
  • the instant t e i is recorded in table 62.
  • the instant t e i is constructed by adding to the previous instant t e constructs the duration of a cryptoperiod.
  • the decoder 32 of the device 30 transmits the message ECMi to the processor 34.
  • step 84 in response to the receipt of this ECMi message, the processor 34 determines whether or not this message includes a request such as the request Ri. If so, it proceeds to a step 86 of calculating additional data D and a delay ⁇ .
  • This data D is the response to the request Ri.
  • the data D is a Boolean datum since there are only two possible responses to the request Ri, that is to say either the processor 34 belongs to the group Gi or it does not belong to this group.
  • step 86 begins with an operation 88 in which the processor 34 determines whether its identifier UA begins with a 1-bit.
  • the data D is therefore taken equal to 1 and, during an operation 90, is associated with a predetermined constant duration di.
  • the data D which is taken equal to 0 is associated with a predetermined constant duration d 0 .
  • the duration do is zero and the duration di is greater than the jitter of the signals transmitted by the processor 34 to the station 50.
  • the jitter is also better known by the term "jitter”.
  • the duration di is greater than 1 ms.
  • the durations do and di are the two possible durations of a delay ⁇ .
  • a step 96 the processor 34 subsequently builds a frame containing the decrypted CW control word. This frame complies with the ISO 7816 standard.
  • step 98 the processor 34 delays the transmission, to the decoder 32, of the frame built in step 96, the delay ⁇ of duration di or do function of the value of the data D calculated during The two cases that can occur during step 98 are shown in more detail in the timing diagrams of Figures 4 and 5 which are described below.
  • the frame After having waited for the delay ⁇ , the frame is immediately broadcast on the network 14.
  • the hacker terminals 18 and 20 as well as the station 50 receive the frame containing the control word decrypted by the processor 34.
  • the decoder 22 of the pirated terminals extracts the CW control word from the received frame and transmits it to the descrambler 24 which can then descramble the received scrambled multimedia content.
  • the station 50 marks the time t M of reception of the frame containing the control word CW. This time t r i is recorded in the table 62 associated with the identifier of the message ECMi.
  • Phase 72 is completed and a new phase 106 for sending a new request and for receiving the corresponding response begins.
  • This phase 106 is identical to the phase 72 except that the message ECM sent is an ECM message 2 containing a request R 2 which targets a group G 2 .
  • the group G 2 is constructed so that the intersection with the group d is empty, and its meeting with the group d corresponds to all the security processors that can be used in the system 2.
  • the group G 2 is constituted by all the processors whose UA identifier begins with a zero bit.
  • the times of transmission of this message ECM 2 and reception of the decrypted control word are recorded as times t e2 and ⁇ 2 in the table 62.
  • Phases 72 and 106 are repeated several times each. For example, they are each repeated more than ten times and, preferably, more than a hundred times. For example, the phases 72 and 106 are repeated alternately. This saves a lot of time instants t e t r transmission and reception corresponding to R and R 2 queries. These instants are recorded in the table 62.
  • FIG. 6 graphically represents a part of the contents of the table 62 obtained by alternately repeating the phases 72 and 106.
  • each vertical bar represents the response time to a query.
  • the hatched bars represent the response times to the request Ri while the white bars represent the response times to the request R 2 .
  • the height of each of these bars is a function of the response time.
  • the response time is equal to the difference between times t e and t r recorded for the same ECM message in table 62.
  • the difference between the times t e and t r in response to the same request varies each time this request is sent.
  • This variation is due to uncertainties in the propagation time of the message ECM and the broadcast control word CW deciphered, as well as intermediate messages, that is to say, exchanged in the time interval delimited by the exchange of previous, through the network 14. These variations can also be due to uncertainties in the calculation time of the processor 34.
  • the module 56 proceeds to a phase 108 for obtaining the data D by processing the times recorded in the table 62. For example, during an operation 110 the module 56 calculates the average R m i of the response times to the request Ri. In step 110, the module 56 also calculates the average R m 2 of the response times to the request R 2 . Then, during an operation 112, the module 56 determines whether the average response time to the request Ri is greater than the average response time to the request R 2 . If so, it performs an operation 114 in which it is established that the delay ⁇ has duration di, and that the data D transmitted in response to the request Ri is therefore equal to 1.
  • the position 50 determines that the processor 34 belongs to the group d.
  • an operation 116 is carried out during which it is established that the delay ⁇ has the duration do, and that the data D transmitted in response to the request Ri is equal to 0. This means that the processor 34 belongs to group G 2 . Indeed, as indicated above, the transmission of the information frame by the processor 34 is delayed by the delay di when this processor belongs to the target group by the received request.
  • the average values R m i and R m 2 are represented in FIG. 6 by horizontal dashed lines.
  • steps 72 to 108 are repeated by targeting G 3 and G 4 during phases 72 and 106, respectively.
  • These groups G 3 and G 4 are constructed in such a way that the intersection of these two groups is zero and that the union of these two groups is equal to the group G 2 .
  • Figure 4 shows a timing diagram of the transmission and reception of a response to a request.
  • the ECM message containing the request is emitted by the transmitter 4.
  • the message containing the request arrives at a time t Re at the device 30.
  • the difference between the times t Re and t ee corresponds to the transport time of the ECM message from the transmitter 4 to the processor 34.
  • processor 34 processes the received ECM message. This treatment ends at time t ⁇ .
  • the difference between the instants t ⁇ and t Re corresponds to the computation time necessary for the processor 34 to process the ECM message.
  • This calculation time includes in particular that of the decryption of the cryptogram CW * and that of the subsequent construction of the frame containing the control word CW decrypted.
  • the transmission of the frame containing the decrypted CW control word is delayed by the delay ⁇ whose duration is calculated as a function of the data D during the step 86.
  • the frame is immediately transmitted by the processor 34 to the decoder 32.
  • the frame thus transmitted arrives at a time t RC at the listening station 50.
  • This instant t RC is recorded as an instant t r by the module 56.
  • the difference between the times t RC and t ec corresponds to the transport time of this frame from the processor 34 to the station 50.
  • FIG. 7 shows an ECM message without request.
  • this ECM message further comprises a field 130 containing the cryptogram CW * and having a cryptographic redundancy 132 called MAC (Message Authentication Code) and coded on 128 bits.
  • MAC Message Authentication Code
  • This cryptographic redundancy makes it possible to check the integrity of the ECM message. It is typically constructed by applying a hash function to the content of the ECM message and in particular by taking into account the cryptogram CW * .
  • FIG. 8 shows an ECM message containing a request.
  • this request is hidden in the MAC field of the ECM message.
  • this MAC field starts here with two successive bits at zero. This is recognized by the processor 34 as indicating the presence of a request in this field.
  • the request is encoded using the following 62 bits.
  • the last 64 bits of the MAC field then contain a signature of the 64-bit encoded message instead of 128. This makes it possible to check the integrity of this ECM message anyway.
  • the request Ri is for example in the form of a bit vector intended to be compared one by one with the bits of the identifier UA.
  • the request Ri is coded in the form of a succession of 62 bits of which only the first bit is equal to "1". This code is interpreted by the processor 34 as defining a group of security processors for which the most significant bit of the identifier UA is equal to "1".
  • the content of the MAC field is encrypted with a key known to the security processors.
  • the processors decipher the contents of the MAC field with this key before using this content.
  • each request can define a lower bound B, n f and an upper bound Bsup. If the UA identifier of the processor 34 is contained in the segment [B ⁇ nf ; B SU p], then the response D to the received request is "yes" and the transmission of a subsequent information frame is delayed by a delay ⁇ of duration di. Otherwise, the transmission of the subsequent information frame is not delayed.
  • a query can target, if necessary, a single card.
  • the group is restricted to a single security processor.
  • the message ECMi will target only the identifier UA of the card 34.
  • the restricted groups may be designed to identify, one after the other, the bits of the identifier UA. For example, a first request targets the security processors whose first bit of the identifier UA is equal to 1. Then a second request targets the security processors whose second bit of the identifier UA is equal to 1 and so on. By doing so, it is possible to identify which bits of the identifier UA equal to 1 and therefore the corresponding security processor.
  • the delay ⁇ can take more than two different values.
  • the request contains a bit vector which must be combined with the identifier UA by the processor 34.
  • the combination operation consists, for example, in performing the XOR operation between this bit vector and the identifier UA.
  • the result of this combination determines the value of the delay ⁇ to be used to delay the transmission of the information frame.
  • another vector is used.
  • the repetition of the phases 72 and 106 for a large number of different vectors then makes it possible, by a process, to identify or define more precisely the identity of the processor 34. Even if the delay ⁇ is limited to two possible values, it It is not necessary for one of these values to be zero.
  • the device 30 may use several authentic security processors to decrypt the cryptograms CW * . It is assumed that the decrypted control word is only broadcast by the security processor which was the fastest to decrypt the cryptogram CW * . Frames transmitted by other security processors that have been slower are not broadcast to the listening station. In this case, it is possible to construct a strategy for identifying each of the security processors used by the control word sharing device 30. For example, in the case where the device 30 uses two different security processors, at least three groups Gi, G 2 , G 3 are created such that the two by two union of these groups corresponds to all the security processors used. in the system 2. This identifies at least one group and at most two groups to which the security processors belong.
  • the Gi group which groups all the processors except processors 1 to 3; the group G 2 which groups all the processors except the processors 4 to
  • the phases 72, 106 and 108 are implemented to identify to which group belong the processors used by the device 30. Since the transmission of the control word by the processor is not delayed. security that does not belong to the group targeted by the request received, this response is broadcast before that of the processor that belongs to the target group. Under these conditions, the listening station receives only the response of the processor that does not belong to the target group. Therefore, for the station 50 to receive a response that indicates that the processors belong to the target group, it is necessary that the two processors belong simultaneously to this group.
  • the queries target groups d and G 2 the response received is "no".
  • the request targets the group G 3 the answer received is "yes", that is to say that the targeted processors belong to this group G 3 . Then we divide group G 3 into three new groups G 4 , G 5 and G 6 .
  • Groups G 4 , G 5 and G 6 group, respectively, the processors 1 2 3 4, 1 2 5 6 and 3 4 5 6.
  • station 50 determines that the processors used by device 30 belong to group G 5 . Then the group G 5 is divided into three groups G 7 , G 8 and G 9 respectively corresponding to the processors 1 2 5, 2 5 6 and 1 5 6. After broadcasting the corresponding requests and processing the responses, the station 50 determines that the processors used by the device 30 belong to groups G 7 and G 9 .
  • the shared processors are therefore the processors 1 and 5.
  • the listener is processed to try to determine as precisely as possible the value of the identifier UA of the processor used by the device 30.
  • the vector since the vector also fulfills another function (cryptogram of the control word, cryptographic redundancy, ...) of a field of the ECM message, it is more difficult to detect.
  • Another way to hide requests is to simply not send a request.
  • the transmission of the additional data is for example triggered at a fixed time each day. Another possibility is to trigger the transmission of this additional data at a time that is determined by the security processor according to the additional data to be transmitted.
  • the data to be transmitted is also encoded by the instant at which it is transmitted.
  • a request is first transmitted, then the delay ⁇ corresponding to the data D to be transmitted in response to this request is systematically applied to the delay of several predetermined subsequent information frames. For example, all the frames of information transmitted during a predetermined time interval after the reception of this request are delayed by the delay ⁇ without this delay on the following frames being triggered by the reception of a new request.
  • groups of several possible delays are constructed. For example, groups Ji and J 2 corresponding, respectively, to ranges [nu; n i2 ] and [n 2i ; n 22 ] possible delays are built.
  • the groups Ji and J 2 are distinct and, preferably, their intersection is empty. Then, the group in which the delay ⁇ is to be selected is determined according to the data D. Finally, the delay ⁇ to be used to delay the transmission of the information frame is randomly drawn in the previously determined group. Thus, following a same request, the delay used to delay the transmission of a subsequent information frame will not be identical. On the other hand, the listening station can discriminate between the belonging of the delay to the group Ji or J 2 and thus obtain the data D.
  • the delay ⁇ to be used is an infinite delay, which corresponds to canceling the transmission of the information frame. It is possible initially to record all the response times to the requests in the table 62 and, secondly, to treat this table later when it became necessary, for example, to identify a security processor .
  • the response to a request does not need to be transmitted immediately, delaying or not the transmission of the next information frame.
  • the delay ⁇ is used only to delay the transmission of the n- ith information frame transmitted by the security processor after receiving the request, where ⁇ is strictly greater than one.
  • Interleaved frames i.e., the frame immediately following receipt of the request at the (n-1) -th frame are not used to code the response to the request.
  • the response transmitted by the security processor is not necessarily transmitted using a single information frame.
  • the response to a request is formed of several data, each data corresponding to a particular value of the delay ⁇ . In this case, several frames of information are needed to transmit the complete response.
  • a single request can trigger the sending on the hidden channel of several data.
  • additional data as described herein with respect to the method of Figure 3 can be applied in other contexts than that of tracing traitor.
  • the additional data transmitted may correspond to other data than data relating to the identifier UA of the security processor.
  • the delay can also be applied to other information frames than those containing the decrypted CW control word.
  • Queries sent to the security processor can be embedded in messages other than ECM messages. For example, these queries are embedded in EMM messages.
  • the security processor can be integrated or simply removably connected to the descrambler.
  • the descrambler can itself be integrated or removably connected to the decoder.
  • the network used to broadcast the multiplexed multimedia content may also be a satellite network.
  • the listening station 50 It is not necessary for the listening station 50 to include a decoder in the particular case described with reference to FIGS. 1 and 3.
  • the tracing method described with reference to FIG. 3 also applies to known attacks. under the name of "card sharing". In these attacks, each hacker terminal transmits the ECM message it receives to the device 30 that processes it with the processor 34 and returns the corresponding response.
  • the listening station 50 also receives the multiplexed multimedia content and demultiplexes it to extract the ECM message by means of the decoder 54. Next, it sends the extracted ECM message to the device 30. Subsequently, the device 30 transmits, at the station 50, the control word obtained by the processor 34 by decrypting the cryptogram CW * contained in this ECM message.
  • the station 50 Since the station 50 itself sends the ECM message to the device 30 it can directly measure the instant t e transmission of this message. For example, the instant t e is taken equal to the instant of reception As an alternative, the instant t e is contained in the ECM message itself.
  • the implementation of the hidden channel as described here can also be adapted to furtively transmit additional data from an external equipment to the security processor. For that, it is enough to apply what has been described previously by inverting the roles of the external equipment and the security processor. For example, such a hidden channel could be used by the transmitter 4 and / or the external equipment 32 to furtively transmit requests.

Abstract

L'invention concerne un procédé de transmission d'une donnée supplémentaire d'un processeur de sécurité vers un équipement externe, dans lequel la transmission de la donnée supplémentaire est réalisée en retardant (98) le début d'une transmission d'une trame d'informations, du processeur de sécurité vers l'équipement externe, d'un délai fonction de la valeur de cette donnée supplémentaire.

Description

PROCEDES DE TRANSMISSION, DE RECEPTION ET D'IDENTIFICATION, PROCESSEUR DE SÉCURITÉ ET SUPPORT D'ENREGISTREMENT D'INFORMATIONS POUR CES PROCEDES
L'invention concerne un procédé de transmission d'une donnée supplémentaire par un processeur de sécurité vers un équipement externe. L'invention concerne également :
- un procédé de réception de la donnée supplémentaire ainsi transmise,
- un procédé d'identification d'un processeur de sécurité utilisant ce procédé de transmission, et
- un procédé de transmission d'une donnée supplémentaire d'un équipement externe vers un processeur de sécurité.
Enfin, l'invention concerne un processeur de sécurité et un support d'enregistrement d'informations pour la mise en œuvre de ces procédés. Un processeur de sécurité est un composant apte à réaliser des traitements de protection d'un système, notamment des opérations cryptographiques telles que des opérations de chiffrement ou de déchiffrement, et de mémorisation des données sensibles. A ce titre, ce composant est lui- même particulièrement sécurisé pour rendre difficile toute tentative de cryptanalyse. Le processeur de sécurité est raccordé à un ou plusieurs équipements externes qui sont donc moins sécurisés contre les tentatives de cryptanalyse. Ces équipements externes lui fournissent donc des données à traiter telles que des cryptogrammes. Le processeur de sécurité traite ces données puis transmet le résultat de ce traitement aux équipements externes. On comprend donc que l'analyse du fonctionnement de ces équipements externes ne donne pas d'informations sur les opérations cryptographiques réalisées par le processeur de sécurité.
Le processeur de sécurité et l'équipement externe communiquent en s'échangeant des trames d'informations par l'intermédiaire d'une interface de communication. Une trame d'informations se compose d'une succession de bits. Typiquement, la transmission des trames entre le processeur de sécurité et l'équipement externe est asynchrone. Ainsi, une trame d'informations se compose d'un motif particulier de bits signalant le début de la trame et d'un autre motif particulier de bits signalant la fin de la trame. La structure de cette trame est généralement définie par une norme. Le respect de cette norme du côté du processeur de sécurité et de l'équipement externe rend possible l'échange d'informations entre ces deux entités au travers de l'interface normalisée. Cette norme définit la position des champs contenus dans la trame ainsi que le codage utilisé pour transmettre les bits d'informations composant la trame. Par exemple, l'interface entre le processeur de sécurité et l'équipement externe auquel il est directement raccordé est conforme à la norme ISO 7816. Le processeur de sécurité peut être incorporé de façon inamovible à l'intérieur d'un équipement externe. Dans ce cas, on parle de processeur de sécurité « enfoui ». Le processeur de sécurité se présente alors par exemple sous la forme d'un composant matériel dédié à ces fonctions. Le processeur de sécurité est souvent également simplement connecté de façon amovible à un équipement externe. Dans ce cas, il se présente souvent sous la forme d'une carte à puce.
L'équipement externe peut être l'équipement auquel le processeur de sécurité est directement raccordé ou tout équipement, extérieur au processeur de sécurité, avec lequel le processeur de sécurité échange des informations. Dans ce dernier cas, il n'est pas nécessaire que l'équipement externe soit directement raccordé au processeur de sécurité. Par exemple, l'équipement externe peut être raccordé au processeur de sécurité par l'intermédiaire d'autres équipements externes. II existe des situations où il est souhaitable d'échanger une donnée supplémentaire entre le processeur de sécurité et un équipement externe auquel il est raccordé, sans modifier le contenu de la trame d'informations transmise ni sa structure. Par exemple, une des raisons pour procéder ainsi est de transmettre une donnée supplémentaire de façon furtive, c'est-à-dire de façon quasiment indécelable par une personne malveillante qui écouterait et analyserait les échanges d'informations entre le processeur de sécurité et cet équipement externe. En effet, une telle personne extrait et analyse le contenu des trames d'informations conformément à ce qui est prévu par la norme. Dès lors, si la donnée supplémentaire est transmise sans modifier ni la structure de la trame ni son contenu, il y a peu de chance que cette personne détecte la transmission de cette donnée supplémentaire. On dit alors que la donnée supplémentaire est transmise sur un canal caché ou canal subliminal.
L'invention vise donc à transmettre une donnée de façon furtive entre un processeur de sécurité et un équipement externe raccordés l'un à l'autre par l'intermédiaire d'une liaison asynchrone de transmission d'informations.
Elle a donc pour objet un procédé de transmission d'une donnée supplémentaire d'un processeur de sécurité vers un équipement externe, dans lequel la transmission de la donnée supplémentaire est réalisée en retardant le début d'une transmission d'une trame d'informations, du processeur de sécurité vers l'équipement externe, d'un délai fonction de cette donnée supplémentaire.
Le procédé ci-dessus permet de transmettre la donnée supplémentaire sans modifier le contenu ou la structure des trames d'informations envoyées par le processeur de sécurité vers l'équipement externe. Il ne nécessite pas non plus la transmission de trames supplémentaires d'informations par rapport aux trames d'informations qui seraient de toute façon transmises. Il est donc difficile d'identifier comment est transmise la donnée supplémentaire. De plus, cela permet d'envoyer à l'équipement externe la donnée supplémentaire en plus de celles contenues dans la trame d'informations sans utiliser davantage de bande passante. En ce sens, ceci permet donc d'augmenter la bande passante globalement disponible pour la transmission d'informations entre le processeur de sécurité et l'équipement externe.
Enfin, l'élimination du canal caché ainsi créé est rendue difficile par le fait qu'il est difficile de supprimer les trames d'informations puisque celles-ci véhiculent des informations qui sont, par ailleurs, souvent nécessaires au bon fonctionnement d'un système sécurisé. Les modes de réalisation de ce procédé de transmission peuvent comporter une ou plusieurs des caractéristiques suivantes : a le procédé comprend le déchiffrement, par le processeur de sécurité, d'une information confidentielle, et l'encapsulation de cette information confidentielle déchiffrée dans la trame d'informations retardée ; a l'information confidentielle est un mot de contrôle permettant de déchiffrer un contenu multimédia embrouillé ; B le procédé comprend :
- le choix d'un groupe de délais possibles en fonction de la valeur de la donnée supplémentaire parmi plusieurs groupes différents de délais possibles,
- le tirage aléatoire du délai utilisé pour retarder le début de la transmission de la trame d'informations uniquement dans le groupe choisi en fonction de la valeur de la donnée supplémentaire ;
B pour une valeur prédéterminée de la donnée supplémentaire, la transmission de la trame d'informations vers l'équipement externe est annulée ; B le procédé comprend : - la détermination du délai à appliquer pour retarder le début de la transmission de la trame d'informations en fonction de la donnée supplémentaire, et
- l'utilisation de délais fonctions de la même valeur de la donnée supplémentaire pour retarder systématiquement le début de la transmission de plusieurs trames d'informations prédéterminées;
B la trame d'informations, dont le début de la transmission est retardé, est choisie en fonction de la valeur de la donnée supplémentaire à transmettre ;
B le procédé comprend la construction de la trame d'informations indépendamment de la donnée supplémentaire. Ces modes de réalisation du procédé de transmission présentent en outre les avantages suivants :
- retarder les trames d'informations contenant les informations confidentielles déchiffrées par le processeur de sécurité rend l'élimination du canal caché plus difficile car ces trames d'informations peuvent difficilement être filtrées par une personne malveillante ;
- le tirage aléatoire du délai utilisé pour retarder le début de la transmission de la trame dans un groupe choisi en fonction de la valeur de la donnée supplémentaire rend encore plus difficile l'identification du canal caché ; - la possibilité d'annuler une transmission permet d'inhiber certaines fonctionnalités du processeur de sécurité ;
- le fait de retarder la transmission de plusieurs trames d'informations d'un même délai permet ensuite, par un traitement statistique par l'équipement externe, de s'affranchir des aléas sur les temps de calcul et de transport de la trame d'informations ;
- l'absence de la donnée supplémentaire dans la trame d'informations retardée revient à une augmentation de la bande passante disponible entre le processeur de sécurité et l'équipement externe.
L'invention a également pour objet un procédé de réception par l'équipement externe de la donnée supplémentaire transmise par le processeur de sécurité à l'aide du procédé de transmission ci-dessus, dans lequel le procédé comporte l'obtention de la valeur de la donnée supplémentaire transmise à partir du délai utilisé pour retarder la trame d'informations.
Les modes de réalisation de ce procédé de réception peuvent comporter la caractéristique suivante lorsque chaque donnée supplémentaire est transmise en réponse à une requête, ces requêtes étant transmises à intervalle prédéterminé: a le procédé comporte :
- la construction d'un instant d'émission d'une requête en fonction de l'intervalle prédéterminé,
- le marquage de l'instant de réception de la trame d'informations transmise en réponse à la requête, et
- l'obtention de la valeur de la donnée supplémentaire à partir de la différence entre l'instant de réception marqué et l'instant d'émission construit.
L'invention a également pour objet un procédé d'identification d'un processeur de sécurité, ce procédé comportant :
- la transmission, par le processeur de sécurité, d'une donnée d'identification fonction d'un identifiant de ce processeur de sécurité, vers un équipement externe, l'identifiant du processeur de sécurité permettant d'identifier de façon unique ce processeur de sécurité parmi l'ensemble des processeurs de sécurité susceptibles d'être utilisés,
- la réception, par l'équipement externe, de la donnée d'identification transmise, - la détermination d'un groupe restreint d'identifiants possibles pour ce processeur de sécurité à partir de cette donnée d'identification , et
- dans lequel la transmission par le processeur de sécurité de la donnée d'identification est réalisée à l'aide du procédé de transmission ci-dessus.
Ce procédé d'identification d'un processeur de sécurité est particulièrement efficace car il est difficile d'identifier comment le processeur de sécurité transmet des informations sur son identifiant à l'équipement externe.
Les modes de réalisation de ce procédé d'identification peuvent comporter la caractéristique suivante : a la réception de la donnée d'identification est réalisée à l'aide du procédé de réception ci-dessus.
L'invention a également pour objet un procédé de transmission d'une donnée supplémentaire par un équipement externe vers un processeur de sécurité, dans lequel la transmission de la donnée supplémentaire est réalisée en retardant le début d'une transmission d'une trame d'informations de l'équipement externe vers le processeur de sécurité, d'un délai fonction de la valeur de la donnée supplémentaire.
L'invention a également pour objet un processeur de sécurité comportant un module de transmission d'une donnée supplémentaire vers un équipement externe. Ce module de transmission est apte à réaliser la transmission de la donnée supplémentaire en retardant le début d'une transmission d'une trame d'informations, du processeur de sécurité vers l'équipement externe, d'un délai fonction de la valeur de cette donnée supplémentaire.
Enfin, l'invention a également pour objet un support d'enregistrement d'informations comportant des instructions pour l'exécution des procédés ci- dessus, lorsque ces instructions sont exécutées par un calculateur électronique. L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple non limitatif et faite en se référant aux dessins sur lesquels :
- la Figurel est une illustration schématique d'un système de diffusion de contenu multimédia embrouillé,
- la Figure 2 est une illustration schématique d'une table d'écoute utilisée dans le système de la Figure 1 , - la Figure 3 est un organigramme d'un procédé d'identification d'un processeur de sécurité mis en œuvre dans le système de la Figure 1 ,
- les Figures 4 et 5 sont des chronogrammes illustrant un aspect particulier du procédé de la Figure 3, - la Figure 6 est un graphe illustrant un exemple de contenu de la table d'écoute de la Figure 2 ;
- les Figures 7 et 8 sont des illustrations schématiques de deux trames d'informations transmises vers un processeur de sécurité du système de la Figure 1. Dans ces figures, les mêmes références sont utilisées pour désigner les mêmes éléments.
Dans la suite de cette description, les caractéristiques et fonctions bien connues de l'homme du métier ne sont pas décrites en détail. De plus, la terminologie utilisée est celle des systèmes d'accès conditionnels à des contenus multimédias embrouillés. Pour plus d'informations sur cette terminologie, le lecteur peut se reporter au document suivant :
« Functional Model of Conditional Access System », EBU Review-
Technical European Broadcasting Union, Bruxel, BE, n° 266,
21 Décembre 1995. La Figure 1 représente un système 2 de diffusion de contenus multimédias embrouillés. Le contenu multimédia contient de la vidéo et/ou de l'audio. Par exemple, le contenu multimédia est un film ou une émission de télévision. Ces systèmes sont bien connus et seuls les éléments essentiels à la compréhension de ce qui va suivre sont décrits en détail. Le système 2 comprend un émetteur 4 de contenus multimédias embrouillés. A cet effet, l'émetteur 4 comporte:
- un embrouilleur 6 propre à recevoir le contenu multimédia non embrouillé et à délivrer en sortie le contenu multimédia embrouillé à l'aide d'un mot de contrôle CW, - un générateur 8 de mots de contrôle fournissant à l'embrouilleur 6 les mots de contrôle à utiliser, et
- un générateur 10 de messages ECM (Entitlement Control Message). On rappelle ici simplement que les messages ECM comportent au moins un cryptogramme CW* du mot de contrôle CW utilisé pour embrouiller le contenu multimédia.
Le mot de contrôle est changé à intervalle régulier. L'intervalle de temps pendant lequel le mot de contrôle demeure inchangé est une cryptopériode.
Classiquement, les cryptopériodes durent moins de 1 minute. Par exemple, la cryptopériode dure dix secondes. Des sorties de l'embrouilleur 6 et du générateur 10 sont raccordées à des entrées respectives d'un multiplexeur 12. Le multiplexeur 12 multiplexe le contenu multimédia embrouillé avec les messages ECM générés pour obtenir un contenu multimédia multiplexe. Le contenu multimédia multiplexe est diffusé sur un réseau 14 de transmission d'informations. Par exemple, le réseau 14 est un réseau à commutation de paquets tel que le réseau Internet. Le réseau 14 peut aussi être constitué de plusieurs réseaux de type différent raccordés les uns aux autres. Par exemple, le réseau 14 peut être composé, pour une partie, d'un réseau satellitaire du type DVB-S et, pour une deuxième partie, du réseau Internet.
Le contenu multimédia mutliplexé ainsi diffusé est destiné à être reçu par des terminaux d'abonnés. Ces terminaux d'abonnés démultiplexent alors le contenu multimédia multiplexe pour obtenir, d'une part les messages ECM, et d'autre part le contenu multimédia embrouillé, et soumettent ensuite les messages ECM à leurs processeurs de sécurité associés, qui les traitent en fonction des droits d'accès préalablement obtenus et qu'ils mémorisent. Le cas échéant, ces processeurs de sécurité retournent ultérieurement le mot de contrôle CW déchiffré aux terminaux, qui peuvent ainsi désembrouiller le contenu multimédia avant de l'afficher en clair sur un écran. L'expression « en clair » indique que le contenu multimédia désembrouillé affiché sur l'écran est directement intelligible par un être humain. Plutôt que de tels terminaux d'abonnés, seuls ont été représentés des terminaux « pirates » sur la Figure 1 . Ces terminaux pirates sont utilisés pour afficher en clair le contenu multimédia sans s'acquitter de l'abonnement correspondant, donc sans obtenir les droits d'accès le permettant légitimement. Typiquement, ils obtiennent les mots de contrôle désembrouillés CW auprès d'un service, lui-même pirate, fourni sur le réseau. Sur la Figure 1 , les deux terminaux pirates 18 et 20 représentés sont, par exemple, identiques. Ainsi, seul le terminal 18 est décrit plus en détail.
Le terminal 18 est raccordé à un écran 21 tel qu'un écran de télévision. Le terminal 18 est équipé : - d'un décodeur 22 raccordé au réseau 14 pour recevoir le contenu multimédia multiplexe et diffusé par l'émetteur 4, et d'un désembrouilleur 24.
Le décodeur 22 démultiplexe le contenu multimédia afin d'en extraire le contenu multimédia embrouillé. Le désembrouilleur 24 désembrouillé ou déchiffre le contenu multimédia embrouillé en utilisant le mot de contrôle CW. Pour cela, ce désembrouilleur 24 doit recevoir le mot de contrôle CW en clair. A cette fin, le terminal 18 est raccordé à un dispositif 30 de partage de mot de contrôle. Par exemple, ici, le terminal 18 est raccordé au dispositif 30 par l'intermédiaire du réseau 14. Le dispositif 30 est équipé d'un décodeur 32 et d'un processeur 34 de sécurité authentique directement raccordé au décodeur 32. Par « processeur de sécurité authentique » on désigne un processeur de sécurité qui a été obtenu légalement en contre partie d'un abonnement aux services de l'opérateur qui diffuse les contenus multimédias. Ce processeur 34 est donc structurellement identique à ceux contenus dans les terminaux d'abonnés. Les droits d'accès au contenu multimédia sont également régulièrement mis à jour dans le processeur 34 tant que le prix de l'abonnement est réglé. Cette mise à jour se fait comme pour les processeurs de sécurité connectés à des terminaux d'abonnés.
Le décodeur 32 démultiplexe le contenu multimédia multiplexe diffusé par l'émetteur 4 pour en extraire les messages ECM. Ces messages ECM sont alors transmis au processeur de sécurité 34 qui déchiffre alors le cryptogramme CW* pour obtenir le mot de contrôle CW. Ensuite, le processeur 34 transmet au décodeur 32 une trame d'informations contenant le mot de contrôle CW comme il l'aurait fait s'il était connecté à un terminal d'abonné.
Ici, le processeur de sécurité 34 est une carte à puce raccordée de façon amovible au décodeur 32 par l'intermédiaire d'une interface de communication conforme à la norme ISO 7816. Le décodeur 32 est donc un équipement externe vers lequel le processeur 34 transmet des données.
Le processeur 34 comprend un calculateur électronique 36 apte à exécuter des instructions enregistrées sur un support d'enregistrement d'informations. A cet effet, le calculateur 36 est raccordé à une mémoire 38 qui contient les instructions nécessaires à l'exécution du procédé de la figure 3. En particulier, ces instructions codent un module 40 de transmission de données supplémentaires sur un canal caché. La mémoire 38 comprend également : un identifiant UA du processeur de sécurité, et - les clés cryptographiques et les titres d'accès nécessaires au déchiffrement des cryptogrammes CW*.
L'identifiant UA permet d'identifier de façon unique le processeur 34 parmi l'ensemble des processeurs de sécurité authentiques utilisés dans le système 2. Contrairement aux terminaux d'abonnés, le décodeur 32 est équipé d'un diffuseur 44 de mots de contrôle. Ce diffuseur 44 diffuse le mot de contrôle transmis par le processeur 34 vers des équipements externes qui se sont inscrits, par exemple, dans une liste de diffusion maintenue par le dispositif 30. Les terminaux pirates 18 et 20 sont inscrits sur cette liste pour recevoir les mots de contrôles CW déchiffrés par le processeur 34. Ici, un poste 50 d'écoute est également inscrit dans cette liste et forme donc également un équipement externe auquel le processeur 34 transmet les mots de contrôle déchiffrés.
Le poste 50 est conçu pour écouter les informations diffusées par le dispositif 30 afin d'identifier le processeur 34 utilisé par ce dispositif 30. A cet effet, le poste 50 comprend : un module 52 de réception à la fois du contenu multimédia multiplexe diffusé par l'émetteur 4 et des mots de contrôle diffusés par le dispositif 30, un décodeur 54 propre à démultiplexer le contenu multimédia, et - un module 56 de traitement pour obtenir les données transmises par le processeur 34 sur le canal caché.
Le module 52, le décodeur 54 et le module 56 sont typiquement des modules logiciels implémentés dans un ordinateur 58. Cet ordinateur 58 est raccordé à une mémoire 60. La mémoire 60 contient les instructions nécessaires pour l'exécution du procédé de la Figure 3 lorsqu'elles sont exécutées par l'ordinateur 58. Cette mémoire 60 comprend également une table 62 d'écoute.
La Figure 2 représente plus en détail la table 62. La table 62 comprend trois colonnes 64 à 66. La première colonne 64 est destinée à contenir des identifiants de messages ECM. Par exemple, la colonne 64 contient des identifiants ECMi et ECM2 de deux messages ECM différents.
La colonne 65 contient des instants te d'émission des messages ECM identifiés par les identifiants contenus dans la colonne 64. Par exemple, ici, la colonne 65 contient les instants tei et te2. Enfin, la colonne 66 contient les instants tr de réception des mots de contrôle CW diffusés par le dispositif 30. Par exemple, la colonne 66 contient les instants tM et tr2 associés respectivement aux identifiants ECMi et ECM2.
Le fonctionnement du système 2 va maintenant être décrit plus en détail en regard du procédé de la Figure 3. Initialement, lors d'une étape 70, le poste 50 s'abonne à la liste de diffusion du dispositif 30 pour recevoir les mots de contrôle déchiffrés et diffusés par ce dispositif.
Puis, lors d'une étape 71 le poste 50 construit l'instant te d'émission par l'émetteur 4 du message ECM pour chaque cryptopériode. Par exemple, le poste 50 génère l'instant te d'émission d'un message ECM dans chaque cryptopériode avec la même périodicité que celle utilisée pour émettre les messages ECM. En effet, les messages ECM sont émis périodiquement, généralement juste avant la fin de la cryptopériode précédente. Il n'est pas nécessaire que l'instant te corresponde exactement à l'instant auquel l'émetteur 4 diffuse le message ECM. Il suffit que la suite des instants te générés présente la même périodicité que celle utilisée pour émettre les messages ECM. Eventuellement, la périodicité d'émission des messages ECM est déduite de la périodicité avec laquelle sont reçus les mots de contrôle diffusés par le dispositif 30. Ensuite, on procède à une phase 72 d'émission d'une requête d'identification du processeur 34 et de réception de la réponse correspondante. Plus précisément, lors d'une étape 74, le contenu multimédia embrouillé diffusé par l'émetteur 4 est multiplexe avec un message ECMi contenant une requête Ri. La requête Ri cible un groupe restreint d de processeurs de sécurité. Ce groupe est restreint dans le sens où il contient moins de processeurs de sécurité que ce qui est possible dans le système 2. Plus précisément, cette requête vise à savoir si le processeur 34 appartient ou non au groupe Gi. Par exemple, le groupe Gi est constitué par l'ensemble des processeurs de sécurité dont l'identifiant UA débute par un bit à « 1 ». Ce message ECMi est diffusé vers l'ensemble des équipements externes raccordés au réseau 14.
Lors d'une étape 76, ce contenu multimédia multiplexe est donc reçu par le dispositif 30 et par les terminaux pirates 18 et 20.
Lors d'une étape 78, les terminaux pirates 18, 20 démultiplexent le contenu multimédia reçu pour en extraire le contenu multimédia embrouillé. Le dispositif 30 démultiplexe le contenu multimédia reçu pour en extraire le message ECMi.
Lors d'une étape 80, le module 56 du poste 50 construit l'instant tei d'émission du message ECMi. L'instant tei est enregistré dans la table 62. Par exemple, l'instant tei est construit en ajoutant au précédent instant te construit la durée d'une cryptopériode.
En parallèle, lors d'une étape 82, le décodeur 32 du dispositif 30 transmet le message ECMi au processeur 34.
Lors d'une étape 84, en réponse à la réception de ce message ECMi, le processeur 34 détermine si ce message comporte ou non une requête telle que la requête Ri. Dans l'affirmative, il procède à une étape 86 de calcul d'une donnée supplémentaire D et d'un délai Δ. Cette donnée D est la réponse à la requête Ri. Ici, la donnée D est une donnée booléenne puisqu'il n'existe que deux réponses possibles à la requête Ri, c'est-à-dire soit le processeur 34 appartient au groupe Gi soit il n'appartient pas à ce groupe. Par exemple l'étape 86 débute par une opération 88 lors de laquelle le processeur 34 détermine si son identifiant UA commence par un bit à 1. Dans l'affirmative, la donnée D est donc prise égale à 1 et, lors d'une opération 90, se voit associer une durée constante prédéterminée di.Dans le cas contraire, lors d'une opération 92, la donnée D, qui est prise égale à 0, se voit associer une durée constante prédéterminée d0. Par exemple la durée do est nulle et la durée di est choisie supérieure à la gigue des signaux transmis par le processeur 34 vers le poste 50. La gigue est également plus connue sous le terme anglais de « jitter ». Par exemple, la durée di est supérieure à 1 ms. Les durées do et di sont les deux durées possibles d'un délai Δ. Ensuite, à l'issue de l'étape 86 ou dans le cas où le message ECM reçu par le processeur 34 ne comporte pas de requête, il est procédé à une étape 94 de déchiffrement du cryptogramme CW*.
Lors d'une étape 96, le processeur 34 construit ultérieurement une trame contenant le mot de contrôle CW déchiffré. Cette trame est conforme à la norme ISO 7816.
Puis, lors d'une étape 98, le processeur 34 retarde la transmission, vers le décodeur 32, de la trame construite lors de l'étape 96, du délai Δ de durée di ou do fonction de la valeur de la donnée D calculée lors de l'étape 86. Les deux cas qui peuvent se produire lors de l'étape 98 sont représentés plus en détails sur les chronogrammes des Figures 4 et 5 qui sont décrits plus loin.
Après avoir attendu le délai Δ, la trame est immédiatement diffusée sur le réseau 14. Lors d'une étape 100, les terminaux pirates 18 et 20 ainsi que le poste 50 reçoivent la trame contenant le mot de contrôle déchiffré par le processeur 34.
Lors d'une étape 102, le décodeur 22 des terminaux pirates extrait le mot de contrôle CW de la trame reçue et le transmet au désembrouilleur 24 qui peut alors désembrouiller le contenu multimédia embrouillé reçu. En parallèle, lors d'une étape 104, le poste 50 marque l'instant tM de réception de la trame contenant le mot de contrôle CW. Cet instant tri est enregistré dans la table 62 associée à l'identifiant du message ECMi.
La phase 72 s'achève et une nouvelle phase 106 d'émission d'une nouvelle requête et de réception de la réponse correspondante débute. Cette phase 106 est identique à la phase 72 à l'exception du fait que le message ECM émis est un message ECM2 contenant une requête R2 qui cible un groupe G2. Par exemple, le groupe G2 est construit de façon à ce que l'intersection avec le groupe d soit vide, et sa réunion avec le groupe d corresponde à l'ensemble des processeurs de sécurité utilisables dans le système 2. Ici, le groupe G2 est constitué par l'ensemble des processeurs dont l'identifiant UA commence par un bit à zéro. Les instants d'émission de ce message ECM2 et de réception du mot de contrôle déchiffré sont enregistrés en tant qu'instants te2 et ^2 dans la table 62.
Les phases 72 et 106 sont réitérées plusieurs fois chacune. Par exemple, elles sont réitérées chacune plus de dix fois et, de préférence, plus de cent fois. Par exemple, les phases 72 et 106 sont réitérées en alternance. Cela permet d'enregistrer un grand nombre de fois les instants te d'émission et tr de réception correspondant aux requêtes Ri et R2. Ces instants sont enregistrés dans la table 62. La Figure 6 représente graphiquement une partie du contenu de la table 62 obtenu en réitérant en alternance les phases 72 et 106. Dans ce graphique, chaque barre verticale représente le temps de réponse à une requête. Les barres hachurées représentent les temps de réponse à la requête Ri tandis que les barres blanches représentent les temps de réponse à la requête R2. La hauteur de chacune de ces barres est fonction du temps de réponse. Le temps de réponse est égal à la différence entre les instants teet tr enregistrés pour le même message ECM dans la table 62.
Comme illustré sur ce graphique, la différence entre les instants te et tr en réponse à la même requête varie à chaque fois que cette requête est envoyée. Cette variation est due à des aléas dans le temps de propagation du message ECM et du mot de contrôle CW diffusé déchiffré, ainsi que des messages intercalaires, c'est-à-dire échangés dans l'intervalle de temps délimité par l'échange des précédents, au travers du réseau 14. Ces variations peuvent également être dues à des aléas dans le temps de calcul du processeur 34.
Après que les phases 72 et 106 aient été réitérées un grand nombre de fois, le module 56 procède à une phase 108 d'obtention de la donnée D en traitant les instants enregistrés dans la table 62. Par exemple, lors d'une opération 110, le module 56 calcule la moyenne Rmi des temps de réponse à la requête Ri. Lors de l'étape 110, le module 56 calcule également la moyenne Rm2 des temps de réponse à la requête R2. Ensuite, lors d'une opération 112, le module 56 détermine si le temps moyen de réponse à la requête Ri est supérieur au temps moyen de réponse à la requête R2. Dans l'affirmative, il procède à une opération 114 lors de laquelle il est établi que le délai Δ a pour durée di, et que la donnée D transmise en réponse à la requête Ri est donc égale à 1. Dans ce cas, le poste 50 détermine que le processeur 34 appartient au groupe d. Dans le cas contraire, il est procédé à une opération 116 lors de laquelle il est établi que le délai Δ a pour durée do, et que la donnée D transmise en réponse à la requête Ri est donc égale à 0. Cela signifie que le processeur 34 appartient au groupe G2. En effet, comme indiqué précédemment, l'émission de la trame d'informations par le processeur 34 est retardée du délai di lorsque ce processeur appartient au groupe ciblé par la requête reçue.
Les valeurs moyennes Rmi et Rm2 sont représentées sur la Figure 6 par des traits horizontaux en pointillés.
A l'issue des phases 76 à 108, on a donc réussi à identifier à quel groupe d ou G2 le processeur 34 appartient. Ici le processeur 34 appartient au groupe G2.
Ensuite, les étapes 72 à 108 sont réitérées en ciblant lors des phases 72 et 106, respectivement, des groupes G3 et G4. Ces groupes G3 et G4 sont construits de manière à ce que l'intersection de ces deux groupes soit nulle et que la réunion de ces deux groupes soit égale au groupe G2. Ainsi, il est possible de déterminer progressivement par recoupements successifs l'identité du processeur 34 jusqu'à arriver à l'identifier de façon unique parmi l'ensemble des processeurs utilisable dans le système 2.
La Figure 4 représente un chronogramme de l'émission et de la réception d'une réponse à une requête. A l'instant tee, le message ECM contenant la requête est émis par l'émetteur 4. Il peut exister un décalage entre les instants tee et te comme représenté dans les figures 4 et 5. Ce décalage est constant. Le message contenant la requête arrive à un instant tRe au dispositif 30. La différence entre les instants tRe et tee correspond au temps de transport du message ECM de l'émetteur 4 jusqu'au processeur 34.
A partir de l'instant tRe, le processeur 34 traite le message ECM reçu. Ce traitement se termine à l'instant tτ. La différence entre les instants tτ et tRe correspond au temps de calcul nécessaire au processeur 34 pour traiter le message ECM. Ce temps de calcul comprend notamment celui du déchiffrement du cryptogramme CW* et celui de la construction ultérieure de la trame contenant le mot de contrôle CW déchiffré.
Dans le cas où le processeur 34 appartient au groupe ciblé par la requête reçue, l'émission de la trame contenant le mot de contrôle CW déchiffré est retardée du délai Δ dont la durée est calculée en fonction de la donnée D lors de l'étape 86. Après avoir attendu ce délai Δ, à l'instant tec, la trame est immédiatement transmise par le processeur 34 vers le décodeur 32. Ensuite, la trame ainsi transmise arrive à un instant tRC au poste 50 d'écoute. Cet instant tRC est enregistré en tant qu'instant tr par le module 56. La différence entre les instants tRC et tec correspond au temps de transport de cette trame du processeur 34 jusqu'au poste 50.
Les temps de transport ainsi que les temps de traitement peuvent varier de façon pseudo-aléatoire. Dans ces conditions, seul un traitement statistique des délais de réponse aux requêtes tel que décrit en regard de la phase 108 permet d'obtenir la donnée supplémentaire transmise sur le canal caché. La Figure 5 représente le même chronogramme que la Figure 4 mais dans le cas particulier où le processeur n'appartient pas au groupe ciblé par la requête. Le délai Δ est donc nul.
Le fait de retarder l'émission d'une trame d'informations ne modifie pas le contenu ou la structure de cette trame. Ce retard est donc très difficilement perceptible par un utilisateur non averti. Ainsi, le procédé de la Figure 3 permet de transmettre de façon extrêmement discrète des données supplémentaires du processeur 34 vers un équipement externe.
Toutefois, pour que la transmission de données supplémentaires du processeur 34 vers un équipement externe reste furtive, il est également nécessaire de masquer au mieux les requêtes contenues dans les messages ECM. A cet effet, la Figure 7 représente un message ECM dépourvu de requête. Classiquement, ce message ECM comporte en outre un champ 130 contenant le cryptogramme CW* et comportant une redondance cryptographique 132 appelée MAC (pour Message Authentication Code) et codée sur 128 bits. Cette redondance cryptographique permet de vérifier l'intégrité du message ECM. Elle est typiquement construite en appliquant une fonction de hachage au contenu du message ECM et en particulier en prenant en compte le cryptogramme CW*.
La Figure 8 représente un message ECM contenant une requête. Ici, cette requête est masquée dans le champ MAC du message ECM. Par exemple, ce champ MAC débute ici par deux bits successifs à zéro. Ceci est reconnu par le processeur 34 comme indiquant la présence d'une requête dans ce champ. Ici, la requête est codée à l'aide des 62 bits suivants. Les 64 derniers bits du champ MAC contiennent alors une signature du message codée sur 64 bits au lieu de 128. Cela permet de vérifier quand même l'intégrité de ce message ECM.
La requête Ri se présente par exemple sous la forme d'un vecteur de bits destinés à être comparés un à un aux bits de l'identifiant UA. Par exemple, ici, la requête Ri est codée sous la forme d'une succession de 62 bits dont seul le premier bit est égal à « 1 ». Ce code est interprété par le processeur 34 comme définissant un groupe de processeurs de sécurité pour lequel le bit de poids le plus fort de l'identifiant UA est égal à « 1 ».
De préférence, le contenu du champ MAC est chiffré avec une clé connue des processeurs de sécurité. Ainsi, les processeurs déchiffrent le contenu du champ MAC avec cette clé avant d'utiliser ce contenu. De nombreux autres modes de réalisation sont possibles. Par exemple, chaque requête peut définir une borne inférieure B,nf et une borne supérieure Bsup. Si l'identifiant UA du processeur 34 est contenu dans le segment [Bιnf ; BSUp], alors la réponse D à la requête reçue est « oui » et l'émission d'une trame d'informations ultérieure est retardée d'un délai Δ de durée di. Dans le cas contraire, la transmission de la trame d'informations ultérieure n'est pas retardée.
Une requête peut cibler, si nécessaire, une seule carte. Dans ce cas, le groupe est restreint à un seul processeur de sécurité. Par exemple, dans ce cas, le message ECMi ciblera uniquement l'identifiant UA de la carte 34. Les groupes restreints peuvent être conçus pour identifier, les uns après les autres, les bits de l'identifiant UA. Par exemple, une première requête cible les processeurs de sécurité dont le premier bit de l'identifiant UA est égale à 1 . Puis une deuxième requête cible les processeurs de sécurité dont le deuxième bit de l'identifiant UA est égale à 1 et ainsi de suite. En procédant ainsi, on arrive à identifier quels sont les bits de l'identifiant UA égaux à 1 et donc le processeur de sécurité correspondant. Le délai Δ peut prendre plus de deux valeurs différentes. Par exemple, la requête contient un vecteur de bits qui doit être combiné avec l'identifiant UA par le processeur 34. L'opération de combinaison consiste par exemple à réaliser l'opération XOR entre ce vecteur de bits et l'identifiant UA. Le résultat de cette combinaison détermine alors la valeur du délai Δ à utiliser pour retarder l'émission de la trame d'informations. Ensuite, lors de la phase 106, un autre vecteur est utilisé. La réitération des phases 72 et 106 pour un grand nombre de vecteurs différents permet, ensuite, par un traitement d'identifier ou de cerner plus précisément l'identité du processeur 34. Même si le délai Δ est limité à deux valeurs possibles, il n'est pas nécessaire que l'une de ces valeurs soit nulle.
En variante, le dispositif 30 peut utiliser plusieurs processeurs de sécurité authentiques pour déchiffrer les cryptogrammes CW*. On suppose que le mot de contrôle déchiffré est uniquement diffusé par le processeur de sécurité qui a été le plus rapide à déchiffrer le cryptogramme CW*. Les trames transmises par les autres processeurs de sécurité qui ont été plus lents ne sont pas diffusées vers le poste d'écoute. Dans ce cas, il est possible de construire une stratégie permettant d'identifier chacun des processeurs de sécurité utilisés par le dispositif 30 de partage de mot de contrôle. Par exemple, au cas où le dispositif 30 utilise deux processeurs de sécurité différents, on crée au moins trois groupes Gi, G2, G3 telle que l'union deux à deux de ces groupes corresponde à l'ensemble des processeurs de sécurité utilisés dans le système 2. Ceci permet d'identifier au moins un groupe et au plus deux groupes auxquels les processeurs de sécurité appartiennent. On peut donc délimiter ensuite un ensemble plus restreint auquel les deux processeurs de sécurité appartiennent. En divisant de nouveau cet ensemble plus restreint en trois groupes de façon similaire et en identifiant le ou les groupes auxquels les processeurs partagés appartiennent, on arrive petit à petit à identifier les deux processeurs de sécurité utilisés par le dispositif 30. Par exemple, on suppose que le système 2 comprend neuf processeurs de sécurité numérotés de 1 à 9. Les processeurs 1 et 5 sont utilisés par le dispositif 30. Initialement, on crée les trois groupes suivants :
- le groupe Gi qui regroupe tous les processeurs sauf les processeurs 1 à 3 ; - le groupe G2 qui regroupe tous les processeurs sauf les processeurs 4 à
6, et
- le groupe G3 qui regroupe tous les processeurs sauf les processeurs 7 à 9.
Ensuite, les phases 72, 106 et 108 sont mises en œuvre pour identifier à quel groupe appartiennent les processeurs utilisés par le dispositif 30. Etant donné que l'on ne retarde pas l'émission du mot de contrôle par le processeur de sécurité qui n'appartient pas au groupe ciblé par la requête reçue, cette réponse est diffusée avant celle du processeur qui appartient au groupe ciblé. Dans ces conditions, le poste d'écoute reçoit uniquement la réponse du processeur qui n'appartient pas au groupe ciblé. Dès lors, pour que le poste 50 reçoive une réponse qui lui indique que les processeurs appartiennent au groupe ciblé, il faut que les deux processeurs appartiennent simultanément à ce groupe. Lorsque les requêtes ciblent les groupes d et G2, la réponse reçue est « non ». Par contre, lorsque la requête cible le groupe G3, la réponse reçue est « oui », c'est-à-dire que les processeurs ciblés appartiennent à ce groupe G3. Ensuite, on partage le groupe G3 en trois nouveaux groupes G4, G5 et G6.
Les groupes G4, G5 et G6 regroupent, respectivement, les processeurs 1 2 3 4, 1 2 5 6 et 3 4 5 6.
En réitérant les étapes 72 à 108 en utilisant cette répartition en groupes, le poste 50 détermine que les processeurs utilisés par le dispositif 30 appartiennent au groupe G5. Ensuite le groupe G5 est divisé en trois groupes G7, G8 et G9 correspondant, respectivement, aux processeurs 1 2 5, 2 5 6 et 1 5 6. Après diffusion des requêtes correspondantes et traitement des réponses, le poste 50 détermine que les processeurs utilisés par le dispositif 30 appartiennent aux groupe G7 et G9. Les processeurs partagés sont donc les processeurs 1 et 5.
Il existe également de nombreuses autres possibilités pour masquer les requêtes dans les messages ECM transmis au processeur de sécurité. Par exemple, plutôt que de transmettre un vecteur de bits à l'intérieur du champ MAC, on utilise le contenu du champ 130 ou du champ 132 comme vecteur de bits. On peut également utilisé le mot de contrôle CW déchiffré par le processeur de sécurité comme vecteur de bits. Ensuite, ce vecteur de bits est combiné à l'identifiant UA du processeur de sécurité. Par exemple, cette combinaison est réalisée à l'aide d'une opération XOR. Le résultat de cette combinaison est codé sous la forme d'un délai utilisé pour retarder l'émission de la trame d'informations contenant le mot de contrôle CW déchiffré. Par exemple, ce délai est égal au résultat de la combinaison entre le vecteur et l'identifiant UA. On réitère ces opérations sur un grand nombre de vecteurs différents. Les réponses à chaque ECM envoyé sont enregistrées dans la table d'écoute. Ensuite, lorsque le nombre d'informations est statistiquement suffisant, la table d'écoute est traitée pour essayer de déterminer le plus précisément possible la valeur de l'identifiant UA du processeur utilisé par le dispositif 30. Dans ce mode de réalisation, puisque le vecteur remplit également une autre fonction (cryptogramme du mot de contrôle, redondance cryptographique, ...) d'un champ du message ECM, celui-ci est plus difficilement détectable. Pour masquer les requêtes, une autre solution consiste à ne tout simplement pas envoyer de requête. Dans ces modes de réalisation, la transmission de la donnée supplémentaire est par exemple déclenchée à heure fixe chaque jour. Une autre possibilité consiste à déclencher la transmission de cette donnée supplémentaire à un instant qui est déterminée par le processeur de sécurité en fonction de la donnée supplémentaire à transmettre. Ainsi, la donnée à transmettre est également codée par l'instant auquel elle est transmise.
Pour limiter le nombre de requêtes transmises au processeur de sécurité, une requête est d'abord transmise, puis le délai Δ correspondant à la donnée D à transmettre en réponse à cette requête est appliqué systématiquement au retardement de plusieurs trames d'informations ultérieures prédéterminées. Par exemple, toutes les trames d'informations émises pendant un intervalle de temps prédéterminé après la réception de cette requête sont retardées par le délai Δ sans que ce retard sur les trames suivantes soit déclenché par la réception d'une nouvelle requête. Pour rendre le délai appliqué à la transmission de la trame d'informations encore plus difficilement perceptible, il est possible de procéder comme suit : des groupes de plusieurs délais possibles sont construits. Par exemple, des groupes Ji et J2 correspondant, respectivement, à des plages [nu ; ni2] et [n2i ; n22] de délais possibles sont construits. Les groupes Ji et J2 sont distincts et, de préférence, leur intersection est vide. Ensuite, le groupe dans lequel doit être choisi le délai Δ est déterminé en fonction de la donnée D. Enfin, le délai Δ à utiliser pour retarder la transmission de la trame d'informations est tiré de façon aléatoire dans le groupe précédemment déterminé. Ainsi, suite à une même requête, le délai utilisé pour retarder la transmission d'une trame d'informations ultérieure ne sera pas identique. Par contre, le poste d'écoute peut discriminer entre l'appartenance du délai au groupe Ji ou J2 et donc obtenir la donnée D.
Si le temps de transport des trames d'informations entre le processeur de sécurité et le poste d'écoute et si le temps de calcul ou de traitement du message ECM sont constants, il n'est pas nécessaire de réitérer plusieurs fois les phases 72 et 106 pour obtenir la donnée D. Une seule mesure du délai Δ est suffisante.
Dans une variante, pour une donnée particulière, le délai Δ à utiliser est un délai infini, ce qui correspond à annuler la transmission de la trame d'informations. II est possible dans un premier temps d'enregistrer l'ensemble des délais de réponse aux requêtes dans la table 62 puis, dans un second temps, de traiter cette table ultérieurement lorsque cela est devenu nécessaire, par exemple, pour identifier un processeur de sécurité.
La réponse à une requête n'a pas besoin d'être transmise immédiatement en retardant ou non la transmission de la prochaine trame d'informations. Par exemple, le délai Δ est utilisé uniquement pour retarder la transmission de la n- ième trame d'informations transmise par le processeur de sécurité après la réception de la requête, où π est strictement supérieur à un. Les trames intercalaires, c'est-à-dire de la trame immédiatement consécutive à la réception de la requête à la (n-1 )-ième trame ne sont pas utilisées pour coder la réponse à la requête.
La réponse transmise par le processeur de sécurité n'est pas nécessairement transmise à l'aide d'une seule trame d'informations. Par exemple, la réponse à une requête est formée de plusieurs données, chaque donnée correspondant à une valeur particulière du délai Δ. Dans ce cas, plusieurs trames d'informations sont nécessaires pour transmettre la réponse complète. Ainsi, une seule requête peut déclencher l'envoie sur le canal caché de plusieurs données.
La transmission furtive de données supplémentaires telle que décrite ici en regard du procédé de la Figure 3 peut être appliquée dans d'autres contextes que celui du traçage de traîtres. Par exemple, la donnée supplémentaire transmise peut correspondre à d'autres données que des données relatives à l'identifiant UA du processeur de sécurité. Le retard peut être également appliqué à d'autres trames d'informations que celles contenant le mot de contrôle CW déchiffré. Les requêtes transmises au processeur de sécurité peuvent être incorporées dans d'autres messages que les messages ECM. Par exemple, ces requêtes sont incorporées dans des messages EMM.
Le processeur de sécurité peut être intégré ou simplement connecté de façon amovible au désembrouilleur. Le désembrouilleur peut lui-même être intégré ou connecté de façon amovible au décodeur.
Le réseau utilisé pour diffuser le contenu multimédia multiplexe peut également être un réseau satellitaire.
Il n'est pas nécessaire que le poste 50 d'écoute comporte un décodeur dans le cas particulier décrit en regard des figures 1 et 3. Le procédé de traçage de traîtres décrit en regard de la Figure 3 s'applique également à des attaques connues sous le nom de « partage de carte ». Dans ces attaques, chaque terminal pirate transmet le message ECM qu'il reçoit au dispositif 30 qui le traite à l'aide du processeur 34 et lui renvoie la réponse correspondante. Dans ce cas, le poste 50 d'écoute reçoit également le contenu multimédia multiplexe et le démultiplexe pour en extraire le message ECM à l'aide du décodeur 54. Ensuite, il envoie le message ECM extrait au dispositif 30. Ultérieurement, le dispositif 30 transmet, au poste 50, le mot de contrôle obtenu par le processeur 34 en déchiffrant le cryptogramme CW* contenu dans ce message ECM. Puisque le poste 50 envoie lui-même le message ECM au dispositif 30 il peut directement mesurer l'instant te d'émission de ce message. Par exemple, l'instant te est pris égale à l'instant de réception du message ECM par le poste 50. En variante, l'instant te est contenu dans le message ECM lui-même.
Enfin, la mise en œuvre du canal caché telle que décrite ici peut également être adaptée pour transmettre de façon furtive des données supplémentaires d'un équipement externe vers le processeur de sécurité. Pour cela, il suffit d'appliquer ce qui a été décrit précédemment en inversant les rôles de l'équipement externe et du processeur de sécurité. Par exemple, un tel canal caché pourrait être utilisé par l'émetteur 4 et/ou l'équipement externe 32 pour transmettre de façon furtive les requêtes.

Claims

REVENDICATIONS
1. Procédé de transmission d'une donnée supplémentaire d'un processeur de sécurité vers un équipement externe, caractérisé en ce que la transmission de la donnée supplémentaire est réalisée en retardant (98) le début d'une transmission d'une trame d'informations, du processeur de sécurité vers l'équipement externe, d'un délai fonction de la valeur de cette donnée supplémentaire.
2. Procédé selon la revendication 1 , dans lequel le procédé comprend le déchiffrement (94) par le processeur de sécurité d'une information confidentielle et l'encapsulation (96) de cette information confidentielle déchiffrée dans la trame d'informations retardée.
3. Procédé selon la revendication 2, dans lequel l'information confidentielle est un mot de contrôle permettant de déchiffrer un contenu multimédia embrouillé.
4. Procédé selon l'une quelconque des revendications précédentes, dans lequel le procédé comprend :
- le choix d'un groupe de délais possibles en fonction de la valeur de la donnée supplémentaire parmi plusieurs groupes différents de délais possibles,
- le tirage aléatoire du délai utilisé pour retarder le début de la transmission de la trame d'informations uniquement dans le groupe choisi en fonction de la valeur de la donnée supplémentaire.
5. Procédé selon l'une quelconque des revendications précédentes, dans lequel pour une valeur prédéterminée de la donnée supplémentaire, la transmission de la trame d'informations vers l'équipement externe est annulée.
6. Procédé selon l'une quelconque des revendications précédentes, dans lequel le procédé comprend : - la détermination (98) du délai à appliquer pour retarder le début de la transmission de la trame d'informations en fonction de la valeur de la donnée supplémentaire, et l'utilisation de délais fonctions de la même valeur de la donnée supplémentaire pour retarder systématiquement le début de la transmission de plusieurs trames d'informations prédéterminées.
7. Procédé selon l'une quelconque des revendications précédentes, dans lequel la trame d'informations, dont le début de la transmission est retardé, est choisie en fonction de la valeur de la donnée supplémentaire à transmettre.
8. Procédé selon l'une quelconque des revendications précédentes, dans lequel le procédé comprend la construction de la trame d'informations indépendamment de la donnée supplémentaire.
9. Procédé de réception par un équipement externe d'une donnée supplémentaire transmise par un processeur de sécurité à l'aide d'un procédé conforme à l'une quelconque des revendications précédentes, caractérisé en ce que le procédé comporte l'obtention (108) de la valeur de la donnée supplémentaire transmise à partir du délai utilisé pour retarder la trame d'informations.
10. Procédé selon la revendication 9 destiné à être mis en œuvre lorsque chaque donnée supplémentaire est transmise en réponse à une requête, ces requêtes étant transmises à intervalle prédéterminé, dans lequel ce procédé comporte : - la construction (80) d'un instant d'émission d'une requête en fonction de l'intervalle prédéterminé,
- le marquage (104) de l'instant de réception de la trame d'informations transmise en réponse à la requête, et
- l'obtention (108) de la valeur de la donnée supplémentaire à partir de la différence entre l'instant de réception marqué et l'instant d'émission construit.
1 1 . Procédé d'identification d'un processeur de sécurité, ce procédé comportant :
- la transmission (98), par le processeur de sécurité, d'une donnée d'identification fonction d'un identifiant de ce processeur de sécurité, vers un équipement externe, l'identifiant du processeur de sécurité permettant d'identifier de façon unique ce processeur de sécurité parmi l'ensemble des processeurs de sécurité susceptibles d'être utilisés, - la réception (104), par l'équipement externe, de la donnée d'identification transmise, et
- la détermination (1 14, 1 16) d'un groupe restreint d'identifiants possibles pour ce processeur de sécurité à partir de cette donnée d'identification ; caractérisé en ce que la transmission par le processeur de sécurité de la donnée d'identification est réalisée à l'aide d'un procédé de transmission conforme à l'une quelconque des revendications 1 à 8.
12. Procédé selon la revendication 11 , dans lequel la réception de la donnée d'identification est réalisée à l'aide d'un procédé de réception conforme à la revendication 10.
13. Procédé de transmission d'une donnée supplémentaire par un équipement externe vers un processeur de sécurité, caractérisé en ce que la transmission de la donnée supplémentaire est réalisée en retardant le début d'une transmission d'une trame d'informations de l'équipement externe vers le processeur de sécurité, d'un délai fonction de la valeur de la donnée supplémentaire.
14. Processeur de sécurité comportant un module (40) de transmission d'une donnée supplémentaire vers un équipement externe, caractérisé en ce que ce module (40) de transmission est apte à réaliser la transmission de la donnée supplémentaire en retardant le début d'une transmission d'une trame d'informations, du processeur de sécurité vers l'équipement externe, d'un délai fonction de la valeur de cette donnée supplémentaire.
15. Support d'enregistrement d'informations, caractérisé en ce qu'il comporte des instructions pour l'exécution d'un procédé conforme à l'une quelconque des revendications 1 à 13, lorsque ces instructions sont exécutées par un calculateur électronique.
PCT/EP2009/067025 2008-12-31 2009-12-14 Procédés de transmission, de réception et d'identification, processeur de sécurité et support d'enregistrement d'informations pour ces procédés WO2010076163A1 (fr)

Priority Applications (7)

Application Number Priority Date Filing Date Title
CN200980152601.1A CN102265634B (zh) 2008-12-31 2009-12-14 一种传送、接收及识别方法,及安全处理器与记录载体
RU2011132011/08A RU2542934C2 (ru) 2008-12-31 2009-12-14 Способ передачи, способ приема и способ идентификации, процессор безопасности и носитель записи данных для этих способов
PL09796678T PL2371120T3 (pl) 2008-12-31 2009-12-14 Sposoby przekazywania, odbioru i identyfikacji, procesor bezpieczeństwa i nośnik do zapisu informacji dla tych sposobów
EP09796678.2A EP2371120B1 (fr) 2008-12-31 2009-12-14 Procédés de transmission, de réception et d'identification, processeur de sécurité et support d'enregistrement d'informations pour ces procédés
US13/142,888 US9258612B2 (en) 2008-12-31 2009-12-14 Transmission, reception and identification methods, security processor and information recording medium for said methods
ES09796678T ES2785997T3 (es) 2008-12-31 2009-12-14 Métodos de transmisión, recepción e identificación, procesador de seguridad y soporte de registro de información para estos métodos
CA2751425A CA2751425A1 (fr) 2008-12-31 2009-12-14 Procedes de transmission, de reception et d'identification, processeur de securite et support d'enregistrement d'informations pour ces procedes

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0807518A FR2940691B1 (fr) 2008-12-31 2008-12-31 Procedes de transmission, de reception et d'identification, processeur de securite et support d'enregistrement d'informations pour ces procedes.
FRFR0807518 2008-12-31

Publications (1)

Publication Number Publication Date
WO2010076163A1 true WO2010076163A1 (fr) 2010-07-08

Family

ID=41026390

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2009/067025 WO2010076163A1 (fr) 2008-12-31 2009-12-14 Procédés de transmission, de réception et d'identification, processeur de sécurité et support d'enregistrement d'informations pour ces procédés

Country Status (10)

Country Link
US (1) US9258612B2 (fr)
EP (1) EP2371120B1 (fr)
CN (1) CN102265634B (fr)
CA (1) CA2751425A1 (fr)
ES (1) ES2785997T3 (fr)
FR (1) FR2940691B1 (fr)
PL (1) PL2371120T3 (fr)
RU (1) RU2542934C2 (fr)
TW (1) TWI448920B (fr)
WO (1) WO2010076163A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2373020A1 (fr) * 2010-03-29 2011-10-05 Irdeto B.V. Suivi de l'utilisation non autorisée de modules sécurisés
EP2504996A1 (fr) * 2009-11-25 2012-10-03 Thirel B.V. Contre-mesures pour lutter contre le partage de carte

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2958103B1 (fr) * 2010-03-23 2012-08-17 Cryptoexperts Sas Procede pour identifier un dispositif mis en oeuvre par un terminal pirate et dispositif associe
US10498782B2 (en) * 2011-12-12 2019-12-03 Samsung Electronics Co., Ltd. Method and apparatus for experiencing a multimedia service
EP3252550B1 (fr) 2016-06-01 2020-02-19 Siemens Aktiengesellschaft Dispositif de commande de securite modulaire avec fonction cryptographique

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996006504A1 (fr) * 1994-08-19 1996-02-29 Thomson Consumer Electronics, Inc. Systeme d'autorisation d'acces utilisant des cartes intelligentes, a securite amelioree
WO1999057901A1 (fr) * 1998-05-07 1999-11-11 Nagracard S.A. Mecanisme d'appariement entre un recepteur et un module de securite
WO2004014075A2 (fr) * 2002-07-27 2004-02-12 Koninklijke Philips Electronics N.V. Stockage de signaux numeriques chiffres
FR2866772A1 (fr) * 2004-02-20 2005-08-26 Viaccess Sa Procede d'appariement d'un terminal recepteur avec une pluralite de cartes de controle d'acces
EP1742474A1 (fr) * 2005-07-07 2007-01-10 Nagracard S.A. Méthode et dispositif de contrôle d'accès à des données chiffrées

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5825889A (en) * 1996-10-15 1998-10-20 Ericsson Inc. Use of duplex cipher algorithms for satellite channels with delay
US5940602A (en) * 1997-06-11 1999-08-17 Advanced Micro Devices, Inc. Method and apparatus for predecoding variable byte length instructions for scanning of a number of RISC operations
GB9929794D0 (en) * 1999-12-16 2000-02-09 Nokia Networks Oy Data transmission apparatus
US7076467B1 (en) * 2000-08-04 2006-07-11 Sony Computer Entertainment America Inc. Network-based method and system for transmitting digital data to a client computer and charging only for data that is used by the client computer user
US20020085536A1 (en) * 2000-12-29 2002-07-04 Rudrapatna Ashok N. System and method for implementing a wireless isochronous data service
US7305704B2 (en) * 2002-03-16 2007-12-04 Trustedflow Systems, Inc. Management of trusted flow system
JP4217964B2 (ja) * 2003-08-20 2009-02-04 ソニー株式会社 情報信号処理装置および情報信号処理方法
RU2271612C1 (ru) * 2004-10-05 2006-03-10 Сергей Маратович Сухман Устройство для передачи данных
US9338767B2 (en) * 2005-12-22 2016-05-10 Qualcomm Incorporated Methods and apparatus of implementing and/or using a dedicated control channel
US20080031136A1 (en) * 2006-08-07 2008-02-07 Gavette Sherman L Round trip time (rtt) proximity detection testing
US20080045145A1 (en) * 2006-08-17 2008-02-21 Fujitsu Limited Radio Relay Communication Method, Radio Base Station, and Radio Relay Station in Radio Communication System
FR2905215B1 (fr) * 2006-08-23 2009-01-09 Viaccess Sa Procede de transmission d'une donnee complementaire a un terminal de reception
FR2905543B1 (fr) 2006-08-30 2009-01-16 Viaccess Sa Processeur de securite et procede et support d'enregistement pour configurer le comportement de ce processeur.
US8112753B2 (en) * 2007-02-27 2012-02-07 Red Hat, Inc. Delaying initiation of virtual machine support process by random delay value generated based on unique ID associated with the virtual machine
CN101184197A (zh) * 2007-03-26 2008-05-21 深圳创维数字技术股份有限公司 一种数字电视用户身份识别的方法及系统
US7869409B2 (en) * 2007-03-26 2011-01-11 Freescale Semiconductor, Inc. System and method for transmitting a multiple format wireless signal
US8189626B2 (en) * 2007-09-21 2012-05-29 Future Wei Technologies, Inc. System and method for multicast and broadcast synchronization in wireless access systems
DE102008058264A1 (de) * 2008-11-19 2010-07-08 IAD Gesellschaft für Informatik, Automatisierung und Datenverarbeitung mbH Messgerät, insbesondere Enegiezähler und Verfahren zur Erkennung von Manipulationen
EP2589171B1 (fr) * 2010-07-02 2016-04-27 Huawei Technologies Co., Ltd. Procédé permettant une répartition précise du temps à un n ud récepteur dans un réseau d'accès

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996006504A1 (fr) * 1994-08-19 1996-02-29 Thomson Consumer Electronics, Inc. Systeme d'autorisation d'acces utilisant des cartes intelligentes, a securite amelioree
WO1999057901A1 (fr) * 1998-05-07 1999-11-11 Nagracard S.A. Mecanisme d'appariement entre un recepteur et un module de securite
WO2004014075A2 (fr) * 2002-07-27 2004-02-12 Koninklijke Philips Electronics N.V. Stockage de signaux numeriques chiffres
FR2866772A1 (fr) * 2004-02-20 2005-08-26 Viaccess Sa Procede d'appariement d'un terminal recepteur avec une pluralite de cartes de controle d'acces
EP1742474A1 (fr) * 2005-07-07 2007-01-10 Nagracard S.A. Méthode et dispositif de contrôle d'accès à des données chiffrées

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
FRANCIS; SIRETT; MAYES; MARKANTONAKIS: "Countermeasures for attacks on satellite TV cards using open receivers", AUSTRALASIAN INFORMATION SECURITY WORKSHOP.: DIGITAL RIGHTSMANAGEMENT, XX, XX, 6 November 2004 (2004-11-06), pages 1 - 6, XP002333719 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2504996A1 (fr) * 2009-11-25 2012-10-03 Thirel B.V. Contre-mesures pour lutter contre le partage de carte
EP2373020A1 (fr) * 2010-03-29 2011-10-05 Irdeto B.V. Suivi de l'utilisation non autorisée de modules sécurisés

Also Published As

Publication number Publication date
FR2940691B1 (fr) 2011-02-25
EP2371120B1 (fr) 2020-02-26
CN102265634B (zh) 2014-12-24
RU2542934C2 (ru) 2015-02-27
CN102265634A (zh) 2011-11-30
TW201025070A (en) 2010-07-01
US9258612B2 (en) 2016-02-09
EP2371120A1 (fr) 2011-10-05
US20110280399A1 (en) 2011-11-17
TWI448920B (zh) 2014-08-11
RU2011132011A (ru) 2013-02-10
ES2785997T3 (es) 2020-10-08
CA2751425A1 (fr) 2010-07-08
FR2940691A1 (fr) 2010-07-02
PL2371120T3 (pl) 2020-07-13

Similar Documents

Publication Publication Date Title
EP2055102B1 (fr) Procédé de transmission d'une donnée complémentaire a un terminal de réception
EP2052539B1 (fr) Méthode de révocation de modules de sécurité utilisés pour sécuriser des messages diffusés
FR2714780A1 (fr) Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification.
WO2007144510A1 (fr) Procedes de diffusion et de reception d'un programme multimedia embrouille, tete de reseau, terminal, recepteur et processeur de securite pour ces procedes
EP2168304B1 (fr) Verification de code mac sans revelation
EP2371120B1 (fr) Procédés de transmission, de réception et d'identification, processeur de sécurité et support d'enregistrement d'informations pour ces procédés
WO2006040482A2 (fr) Dispositif et procede de reception d'informations embrouillees, et unite de desembrouillage, systeme de transmission d'informations et emetteur adaptes pour ce dispositif
EP2567500B1 (fr) Procedes de dechiffrement, de transmission et de reception de mots de controle, support d'enregistrement et serveur de mots de controle pour la mise en oeuvre de ces procedes
EP2659613B1 (fr) Procede de transmission et de reception d'un contenu multimedia
EP2633677B1 (fr) Procede de reception d'un contenu multimedia embrouille a l'aide de mots de controle et captcha
FR2963191A1 (fr) Procede de detection d'une utilisation illicite d'un processeur de securite
EP3380983A2 (fr) Procédé d'identification de processeurs de sécurité
EP3818659A1 (fr) Procede d'obtention d'une succession de cles cryptographiques
EP2098073B1 (fr) Procédé de gestion du nombre de visualisations, processeur de securité et terminal pour ce procédé
WO2011161066A1 (fr) Procede de protection, procede de dechiffrement, support d'enregistrement et terminal pour ce procede de protection
EP3646526B1 (fr) Procédé de réception et de déchiffrement d'un cryptogramme d'un mot de contrôle
FR3072848B1 (fr) Procede de reception et de dechiffrement, par un processeur electronique de securite, d'un cryptogramme d'un mot de controle
EP2223524A1 (fr) Procédé de conditionnement et de contrôle d'accès à des contenus en codage hiérarchique, processeur et émetteur pour ce procédé
EP2066069A1 (fr) Méthode d'enregistrement et de restitution d'un contenu chiffré par une unité de traitement
EP2334007A1 (fr) Procédé de déchiffrement de données par un équipement utilisateur comportant un terminal et un module de sécurité

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200980152601.1

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09796678

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 1054/MUMNP/2011

Country of ref document: IN

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 13142888

Country of ref document: US

Ref document number: 2009796678

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2011132011

Country of ref document: RU

WWE Wipo information: entry into national phase

Ref document number: 2751425

Country of ref document: CA