DE60306815T2 - Verfahren und system zur gewährleistung der integrität einer software, die zu einem daten-ver-/ent-schlüsselungsmodul gesendet wird; und speichermedium um das verfahren zu verwirklichen - Google Patents

Verfahren und system zur gewährleistung der integrität einer software, die zu einem daten-ver-/ent-schlüsselungsmodul gesendet wird; und speichermedium um das verfahren zu verwirklichen Download PDF

Info

Publication number
DE60306815T2
DE60306815T2 DE60306815T DE60306815T DE60306815T2 DE 60306815 T2 DE60306815 T2 DE 60306815T2 DE 60306815 T DE60306815 T DE 60306815T DE 60306815 T DE60306815 T DE 60306815T DE 60306815 T2 DE60306815 T2 DE 60306815T2
Authority
DE
Germany
Prior art keywords
encryption
decoder
transmitted
decryption module
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60306815T
Other languages
English (en)
Other versions
DE60306815D1 (de
Inventor
Christian Benardeau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Logiways France
Original Assignee
Logiways France
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Logiways France filed Critical Logiways France
Application granted granted Critical
Publication of DE60306815D1 publication Critical patent/DE60306815D1/de
Publication of DE60306815T2 publication Critical patent/DE60306815T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8166Monomedia components thereof involving executable data, e.g. software
    • H04N21/8186Monomedia components thereof involving executable data, e.g. software specially adapted to be executed by a peripheral of the client device, e.g. by a reprogrammable remote control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/235Processing of additional data, e.g. scrambling of additional data or processing content descriptors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26606Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing entitlement messages, e.g. Entitlement Control Message [ECM] or Entitlement Management Message [EMM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/435Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/435Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream
    • H04N21/4351Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream involving reassembling additional data, e.g. rebuilding an executable program from recovered modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/81Monomedia components thereof
    • H04N21/8166Monomedia components thereof involving executable data, e.g. software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates
    • H04N21/8352Generation of protective data, e.g. certificates involving content or source identification data, e.g. Unique Material Identifier [UMID]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)

Description

  • Die Erfindung betrifft ein Verfahren und ein System zur Sicherstellung der Integrität mindestens eines Datenverarbeitungsprogrammes zur Ausführung durch ein Verschlüsselungs-/Entschlüsselungsmodul, wobei das genannte mindestens eine Datenverarbeitungsprogramm von einem Sender an einen Decoder, der mit dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul ausgestattet ist, über ein Informationsfernübertragungsnetz übertragen wird.
  • Genauer betrifft die Erfindung ein Verfahren, in dem der Sender ausführt:
    • a) einen Schritt zur Verschlüsselung von Informationssignalen, die zum Decoder übertragen werden,
    • b) einen Schritt zur Übertragung einer Meldung an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders, die die dafür erforderliche Information enthält, dass der Decoder die Informationssignale entschlüsselt, die im Schritt a) übertragen wurden, und
    • c) einen Schritt zur Übertragung des genannten mindestens einen Datenverarbeitungsprogramms an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders, während der Decoder ausführt:
    • d) einen Schritt zur Entschlüsselung von Informationssignalen, die vom Sender im Schritt a) übertragen wurden, mit Hilfe der Information, die zu diesem Zweck in der im Schritt b) übertragenen Meldung vorgesehen wurde.
  • Derartige Verfahren sind beispielsweise in Gebührensystemen zur Ausstrahlung von Fernsehsendungen erforderlich. In diesen Systemen übermittelt der Sender nämlich zur Aktualisierung der Decoder häufig Programmkorrekturen, die dazu bestimmt sind, von jedem der Decoder ausgeführt zu werden, um ihre Funktionsweise zu aktualisieren. Eine Programmkorrektur ist ein kleines, von einem Elektronenrechner ausführbares Programm, das dazu dient, bestimmte Parameter oder Teile eines größeren Programmes zu ändern, das von demselben Rechner ausgeführt werden kann. Diese Programmkorrekturen sind auch unter dem englischen Begriff „Patch" bekannt.
  • Herkömmlicherweise ist jeder Decoder mit einem Verschlüsselungs-/Entschlüsselungsmodul ausgestattet, das geeignet ist, die Signale zu verschlüsseln und/oder zu entschlüsseln, die vom Sender übertragen werden, um die übertragenen Fernsehsendungen zu entschlüsseln. Dieses Modul wird üblicherweise Sicherheitsmodul genannt, da es die Aufgabe hat, den Informationsaustausch zwischen Sender und Decoder abzusichern. Dieses Verschlüsselungs-/Entschlüsselungsmodul ist ebenfalls in der Lage, die Programmkorrekturen auszuführen, die es empfängt.
  • Das Verschlüsselungs-/Entschlüsselungsmodul liegt in Form eines autonomen Moduls vor. Heutzutage ist dieses Verschlüsselungs-/Entschlüsselungsmodul beispielsweise in eine Chipkarte integriert, die in den Decoder eingeführt werden muss, damit dieser korrekt funktioniert.
  • Heutzutage gibt es zahlreiche Decoder, die in betrügerischer Absicht gebaut wurden, um Gebührenfernsehsendungen zu empfangen, ohne zu bezahlen. Diese Decoder werden Piratendecoder genannt. Da der Teil zur Verschlüsselung/Entschlüsselung der empfangenen Signale der komplexeste ist, kombinieren diese Piratendecoder meistens ein authentisches Verschlüsselungs-/Entschlüsselungsmodul mit einer gefälschten Vorrichtung zur Betätigung dieses Moduls. Die gefälschte Betätigungsvorrichtung übermittelt dem authentischen Verschlüsselungs-/Entschlüsselungsmodul die erforderlichen Informationen, damit dieses die Gebührenfernsehsendungen entschlüsseln kann, auch wenn diese Informationen illegal erworben wurden.
  • Zur Bekämpfung derartiger Piratendecoder bestand für eine gewisse Zeit die Lösung darin, über den Sender spezielle Programmkorrekturen, sogenannte Antipiraterie-Programmkorrekturen, zu senden. Diese Antipiraterie-Programmkorrekturen dienen dazu, die Funktionsweise des authentischen Verschlüsselungs-/Entschlüsselungsmoduls derart zu ändern, dass der Piratendecoder als Ganzes unbrauchbar wird. Beispielsweise kann eine Antipiraterie-Programmkorrektur nach Ausführung durch das authentische Verschlüsselungs-/Entschlüsselungsmodul die Stellen von Speicherbereichen ändern, in die die vom authentischen Verschlüsselungs-/Entschlüsselungsmodul entschlüsselten Informationen gespeichert werden, oder für die Entschlüsselung der Fernsehsendungen erforderliche Informationen an einer anderen Speicherstelle aufsuchen.
  • Die neuesten Piratendecoder jedoch sind jetzt in der Lage, die Antipiraterie-Programmkorrekturen zu unterdrücken, bevor sie vom authentischen Verschlüsselungs-/Entschlüsselungsmodul empfangen werden. Dadurch werden die Antipiraterie-Programmkorrekturen nicht vom authentischen Verschlüsselungs-/Entschlüsselungsmodul ausgeführt.
  • Die Erfindung beabsichtigt, diesem Nachteil Abhilfe zu schaffen, indem sie ein Verfahren vorschlägt, in dem die Unterdrückung eines Programmes, das an einen Decoder gesendet wird, erschwert wird.
  • Die Erfindung hat also ein Verfahren zum Gegenstand, wie es oben beschrieben wurde, gekennzeichnet
    • – dadurch, dass der Sender in die im Schritt b) übertragene Meldung eine zusätzliche Information einfügt, die geeignet ist, dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul zu prüfen zu erlauben, dass es tatsächlich das oder jedes im Schritt c) übertragene Datenverarbeitungsprogramm empfangen hat,
    • – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul aufgrund der zusätzlichen Information, die vom Sender in die im Schritt b) übertragene Meldung eingefügt wurde, prüft, ob es tatsächlich das oder jedes im Schritt c) übertragene Datenverarbeitungsprogramm empfangen hat, und
    • – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul in dem Fall, dass das Programm nicht empfangen wurde oder nicht jedes Programm empfangen wurde, den Schritt d) sperrt.
  • Im obigen Verfahren empfängt das authentische Verschlüsselungs-/Entschlüsselungsmodul, mit dem der Decoder ausgestattet ist, die Meldung, die die zur Entschlüsselung der verschlüsselten Informationssignale, die der Sender überträgt, erforderliche Information enthält. Diese Meldung enthält außerdem eine Information, die ihm zu prüfen erlaubt, dass ihm alle vom Sender übertragenen Programmkorrekturen mitgeteilt wurden.
  • Sobald das authentische Verschlüsselungs-/Entschlüsselungsmodul aufgrund der zusätzlichen Information, die in die im Schritt b) übertragene Meldung eingeführt wurde, feststellt, dass eine Programmkorrektur fehlt, handelt dieses authentische Verschlüsselungs-/Entschlüsselungsmodul so, dass die Entschlüsselung der im Schritt a) übertragenen Informationen verhindert wird.
  • Dieses Verfahren erschwert die Unterdrückung der im Schritt c) übertragenen Programmkorrekturen.
  • Wenn nämlich der Piratendecoder die Meldung durchlässt, die die zusätzliche Information zur Prüfung der Anwesenheit aller übertragenen Programmkorrekturen enthält, wird diese durch das authentische Verschlüsselungs-IEntschlüsselungsmodul empfangen. Das Verschlüsselungs-/Entschlüsselungsmodul ist dann in der Lage, die Unterdrückung einer Programmkorrektur festzustellen und verhindert in Reaktion darauf die Entschlüsselung der Informationssignale, die im Schritt a) übertragen wurden, d. h. beispielsweise der Fernsehsendungen.
  • Wenn also der Piratendecoder die Meldung durchlässt, die die zusätzliche Information enthält, muss er ebenfalls alle Programmkorrekturen durchlassen, die im Schritt c) übertragen wurden.
  • Außerdem kann der Piratendecoder nicht einfach geändert werden, um auch die Meldung zu unterdrücken, die die zusätzliche Information enthält, die im Schritt b) übermittelt wurde. Diese Meldung enthält nämlich ebenfalls die Informationen, die zur Entschlüsselung der Signale erforderlich sind, die im Schritt a) übertragen werden. Wenn dementsprechend diese Meldung unterdrückt wird, ist die Entschlüsselung der Informationssignale unmöglich, die im Schritt a) übertragen werden.
  • Dementsprechend können die Piratendecoder dank eines derartigen Verfahrens nicht mehr einfach bestimmte empfangene Informationsmeldungen oder Programmkorrekturen unterdrücken und müssen auf den Inhalt der Meldung zurückgreifen, die im Schritt b) übertragen wird, was erheblich komplizierter ist, als die einfache Unterdrückung bestimmter empfangener Meldungen.
  • Nach anderen Merkmalen des erfindungsgemäßen Verfahrens:
    • – verschlüsselt der Sender die im Schritt b) übertragene Meldung und entschlüsselt das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul die im Schritt b) übertragene Meldung, um die Ausführung des Schrittes d) zuzulassen;
    • – führt der Sender aus: e) einen Schritt zur Erstellung einer ersten Kennung des oder jedes Datenverarbeitungsprogramms, das im Schritt c) übertragen wird, und f) einen Schritt zum Einfügen dieser Kennung in die Meldung, die im Schritt b) übertragen wird, und führt das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul aus: g) einen Schritt zur Rekonstruktion der Kennung des oder jedes Datenverarbeitungsprogramms aufgrund des oder jedes empfangenen Datenverarbeitungsprogramms; h) einen Schritt zum Vergleich der im Schritt g) rekonstruierten Kennung mit der Kennung, die vom Sender im Schritt f) eingefügt wurde, und i) wenn die im Schritt g) rekonstruierte Kennung nicht der im Schritt f) in die im Schritt b) übertragene Meldung eingefügten entspricht, einen Schritt zur Sperrung des Schrittes d), j) wenn die im Schritt g) rekonstruierte Kennung der im Schritt f) in die im Schritt b) übertragene Meldung eingefügten Kennung entspricht, einen Schritt zur Validierung der Integrität des oder jedes Datenverarbeitungsprogrammes;
    • – umfasst der Schritt e) zur Sicherstellung der Integrität einer Gesamtheit mehrerer Datenverarbeitungsprogramme jeweils zur Ausführung durch das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul einen Vorgang zur Erstellung einer einzigen Kennung für die genannte Gesamtheit mehrerer im Schritt c) zu übertragender Datenverarbeitungsprogramme aufgrund von Informationen über jedes der Programme der genannten Gesamtheit und besteht der Schritt g) darin, denselben Vorgang auszuführen, wie er im Schritt e) ausgeführt wurde, um eine einzige Kennung zu rekonstruieren, die der entspricht, die im Schritt e) erstellt wurde, wenn die genannte, vom Decoder empfangene Gesamtheit mit derjenigen identisch ist, die der Sender gesendet hat;
    • – werden die Schritte d), g), h), i) und j) von demselben Verschlüsselungs-/Entschlüsselungsmodul ausgeführt;
    • – führt ein selbständiges erstes Verschlüsselungs-/Entschlüsselungsmodul ausschließlich die Schritte d), h), i) und j) aus und führt ein zweites selbständiges und vom ersten Verschlüsselungs-/Entschlüsselungsmodul unabhängiges Verschlüsselungs-/Entschlüsselungsmodul, das mit dem Decoder fest verbunden ist, mindestens den Schritt g) aus;
    • – führt der Sender außerdem aus: k) einen zweiten Schritt zur Erstellung einer zweiten Kennung des oder jedes Datenverarbeitungsprogrammes, das im Schritt c) übertragen wird, wobei diese zweite Kennung im Schritt c) zusammen mit dem oder jedem entsprechenden Datenverarbeitungsprogramm übertragen wird, und
    • – umfasst der vom zweiten Verschlüsselungs-/Entschlüsselungsmodul ausgeführte Schritt g):
    • – einen Vorgang zur Rekonstruktion der zweiten zusammen mit dem oder jedem Programm übertragenen Kennung,
    • – nur wenn die rekonstruierte zweite Kennung der im Schritt c) zusammen mit dem oder jedem Programm übertragenen entspricht, einen Vorgang zur Rekonstruktion der ersten, in die im Schritt b) übertragene Meldung eingefügten Kennung und zur Übertragung dieser rekonstruierten ersten Kennung an das erste Verschlüsselungs-/Entschlüsselungsmodul, damit dieses erste Verschlüsselungs-/Entschlüsselungsmodul zum Schritt h) übergehen kann;
    • – werden die erste und die zweite Kennung aus derselben Kennung des oder jedes Datenverarbeitungsprogramms gewonnen, indem dieselbe Kennung mit Hilfe eines ersten bzw. eines zweiten unterschiedlichen Verschlüsselungsschlüssels verschlüsselt wird;
    • – führt das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul das genannte mindestens eine Datenverarbeitungsprogramm jedesmal aus, wenn seine Integrität im Schritt j) validiert wurde.
  • Die Erfindung hat ebenfalls ein Informationsspeichermedium zum Gegenstand, das Anweisungen zur Ausführung eines erfindungsgemäßen Verfahrens trägt, wenn die genannten Anweisungen durch den Sender ausgeführt werden.
  • Die Erfindung hat ebenfalls ein Informationsspeichermedium zum Gegenstand, das Anweisungen zur Ausführung eines erfindungsgemäßen Verfahrens trägt, wenn die genannten Anweisungen durch das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul auszuführen sind.
  • Die Erfindung hat ebenfalls ein System zur Sicherstellung der Integrität mindestens eines Datenverarbeitungsprogrammes zur Ausführung durch mindestens ein Verschlüsselungs-/Entschlüsselungsmodul zum Gegenstand, wobei das System einen Sender zur Übertragung des genannten mindestens einen Datenverarbeitungsprogrammes mit Hilfe eines Informationsfernübertragungsnetzes umfasst und einen Decoder, der mit dem genannten mindestens einen Verschlüsselungs-IEntschlüsselungsmodul versehen ist, wobei der Sender in der Lage ist:
    • – Informationssignale zu verschlüsseln, die an den oder jeden Decoder übertragen werden,
    • – an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders eine Meldung zu übertragen, die die erforderliche Information enthält, damit der Decoder die genannten übertragenen Informationssignale entschlüsseln kann, und
    • – das genannte mindestens eine Datenverarbeitungsprogramm an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders zu übertragen, wobei der Decoder in der Lage ist, die genannten vom Sender übertragenen Informationssignale mit Hilfe der hierfür vorgesehenen Information zu entschlüsseln, die in der genannten vom Sender übertragenen Meldung enthalten ist, gekennzeichnet:
    • – dadurch, dass der Sender in der Lage ist, in die genannte Meldung eine zusätzliche Information einzufügen, die geeignet ist, dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul zu prüfen zu erlauben, dass es das oder jedes übertragene Datenverarbeitungsprogramm empfangen hat,
    • – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul in der Lage ist, aufgrund der vom Sender in die genannte Meldung eingefügten zusätzlichen Information zu prüfen, ob es tatsächlich das oder jedes übertragene Datenverarbeitungsprogramm empfangen hat, und
    • – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul in der Lage ist, die Entschlüsselung der genannten übertragenen Informationssignale zu sperren, wenn das Programm nicht empfangen oder nicht jedes Programm empfangen wurde.
  • Nach weiteren Merkmalen des erfindungsgemäßen Systems:
    • – ist der oder jeder Decoder mit einem einzigen entnehmbaren Verschlüsselungs-/Entschlüsselungsmodul ausgestattet;
    • – ist der oder jeder Decoder mit mindestens zwei Verschlüsselungs-/Entschlüsselungsmodulen ausgestattet, die selbständig und voneinander unabhängig sind, wobei mindestens eins dieser Verschlüsselungs-/Entschlüsselungsmodule mit dem Chassis des Decoders fest verbunden ist.
  • Die Erfindung wird beim Lesen der folgenden Beschreibung besser verständlich werden, die nur als Beispiel und unter Bezugnahme auf die Zeichnungen gemacht wird. Es zeigen:
  • 1 eine schematische Ansicht des Aufbaus einer ersten Ausführungsform eines erfindungsgemäßen Systems;
  • 2 ein Flussdiagramm eines erfindungsgemäßen Verfahrens, das im System der 1 ausgeführt wird;
  • 3 eine schematische Ansicht des Aufbaus einer zweiten Ausführungsform eines erfindungsgemäßen Systems, und
  • 4 ein Flussdiagramm eines erfindungsgemäßen Verfahrens, das im System der 3 ausgeführt wird.
  • 1 stellt ein Gebührensystem für die Übertragung von Fernsehsendungen dar. Dieses System wird mit dem allgemeinen Bezugszeichen 2 bezeichnet. Gebührensysteme für die Übertragung von Fernsehsendungen sind bekannt, Dementsprechend werden nur die Merkmale hier im Einzelnen beschrieben, die zum Verständnis der Erfindung erforderlich sind.
  • Das System 2 umfasst einen Sender 4 verschlüsselter Fernsehsendungen, Decoder 6, die zur Entschlüsselung dieser Fernsehsendungen in der Lage sind und ein Informationsfernübertragungsnetz 8, das den Sender 4 mit den Decodern 6 verbindet. Dieses Netz 8 ist typischerweise ein Mikrowellennetz.
  • Der Sender 4 ist in der Lage, über das Netz 8 an alle Decoder 6 des Systems 2 verschlüsselte Informationssignale zu senden, verschlüsselte Meldungen, die Informationen enthalten, die zur Entschlüsselung der Informationssignale erforderlich sind, sowie unverschlüsselte Programmkorrekturen. Die verschlüsselten Informationssignale entsprechen hier Fernsehsendungen, die mit Hilfe eines Steuerwortes verwürfelt wurden, wobei dieses Steuerwort die Information darstellt, die erforderlich ist, um diese Fernsehsendungen zu entschlüsseln oder zu entwürfeln. Zu diesem Zweck weist der Sender 4 eine Einheit 10 auf, die in der Lage ist, die Verwürfelung der gesendeten Fernsehsendungen, sowie die Verschlüsselung der Meldung auszuführen, die das Steuerwort enthält, das zur Verwürfelung der Fernsehsendungen verwendet wurde.
  • Diese Einheit 10 ist hier auf der Grundlage von herkömmlichen programmierbaren Rechnern ausgeführt, die in der Lage sind, Anweisungen auszuführen, die auf einem Informationsspeichermedium gespeichert sind, in diesem Fall einem Speicher 12. Der Speicher 12 enthält Anweisungen zur Ausführung des Verfahrens der 2, wenn diese Anweisungen von der Einheit 10 ausgeführt werden. Außerdem enthält dieser Speicher 12 die Verschlüsselungsschlüssel und das/die zur Ausführung des Verfahrens der 2 erforderliche(n) Steuerwort(e).
  • Alle Decoder 6 sind in der Lage, mit Hilfe der Informationen, die in den vom Sender 4 übertragenen Meldungen enthalten sind, die Fernsehsignale zu entschlüsseln oder zu entwürfeln, die von demselben Sender 4 übertragen werden, Da also alle diese Decoder 6 ähnliche Funktionen erfüllen, ist nur einer dieser Decoder 6 im Einzelnen in 1 dargestellt, um die Zeichung zu vereinfachen.
  • Der Decoder 6 weist ein Verschlüsselungs-/Entschlüsselungsmodul 16 auf, das in der Lage ist, die verschlüsselte Meldung zu entschlüsseln, die vom Sender 4 gesendet wurde, um ihr das Steuerwort zu entnehmen und es an ein Modul 18 zur Entwürfelung der verwürfelten Fernsehsendungen zu übermitteln.
  • Das Modul 16 weist einen herkömmlichen programmierbaren Rechner 20 auf und ein Speichermedium, das hier ein Speicher 22 ist. Der Rechner 20 ist in der Lage, Anweisungen auszuführen, die im Speicher 20 gespeichert sind. Hier enthält der Speicher 20 Anweisungen zur Ausführung des Verfahrens der 2, wenn die genannten Anweisungen vom Rechner 20 ausgeführt werden. Das Modul 16 ist entnehmbar. Es wird beispielsweise ausgehend von einer herkömmlichen Chipkarte gefertigt.
  • Der Decoder 6 ist mit einem Fernsehgerät 26 verbunden, das geeignet ist, die Fernsehsendungen anzuzeigen, die vom Decoder 6 entwürfelt wurden.
  • Die Funktionsweise des Systems 2 wird jetzt mit Bezug auf das Verfahren der 2 beschrieben.
  • Der Sender 4 führt einen Schritt 36 zur Verschlüsselung und Übertragung von Informationen an die Gesamtheit der Decoder des Systems 2 über das Netz 8 aus. Die durch den Sender 4 an die Decoder 6 übertragenen Informationen umfassen die verwürfelten Fernsehsendungen, Meldungen, die die erforderlichen Informationen enthalten, damit ein Decoder diese Fernsehsendungen entwürfeln kann, und von Zeit zu Zeit Programmkorrekturen, die dazu bestimmt sind, die Decoder 6 zu aktualisieren. Im Schritt 36 verwürfelt so der Sender 4 in einem Teilschritt 40 die ausgestrahlte(n) Fernsehsendungen) mit Hilfe eines im Speicher 12 gespeicherten Steuerwortes. Dieser Teilschritt 40 ist bekannt.
  • Gleichzeitig überträgt der Sender 4 in einem Teilschritt 42 unverschlüsselte Programmkorrekturen an die Decoder 6. Diese Programmkorrekturen sind jeweils herkömmlicherweise mit einer Kennung CS verbunden, die dem Decoder, der sie empfängt, erlauben, die Integrität jedes der empfangenen Programme zu prüfen. Die Kennung CS ist hier beispielsweise eine Prüfsumme („checksum").
  • Im Teilschritt 42 führt der Sender 4 auch einen Vorgang 44 der Erstellung einer einzigen Kennung aus, die geeignet ist, die Feststellung der Abwesenheit oder der Änderung einer der empfangenen Programmkorrekturen aus der Gesamtheit der von einem Sender 4 übertragenen Programmkorrekturen durch jeden der Decoder 6 zu ermöglichen. Zu diesem Zweck kombiniert der Sender 4 beispielsweise alle Prüfsummen jeder Programmkorrektur durch Ausführung einer Antivalenz-Operation zwischen jeder dieser Prüfsummen.
  • Anschließend verschlüsselt der Sender 4 in einem Vorgang 46 die einzige Kennung, die im Vorgang 44 erstellt wurde, mit Hilfe eines Verschlüsselungsschlüssels KCS, der beispielsweise im Speicher 12 gespeichert ist. Die Verschlüsselung der einzigen Kennung erlaubt es, ihre Übertragung über das Netz 8 abzusichern, da nur die Decoder, die mit einem Verschlüsselungsschlüssel ausgestattet sind, der dem Verschlüsselungsschlüssel KCS entspricht, in der Lage sind, diese einzige Kennung zu entschlüsseln.
  • Hier ist es die einzige Kennung, die zur Absicherung der Übertragung der Programmkorrekturen verschlüsselt wird, und nicht die Programmkorrekturen selbst, weil dies das Verfahren beschleunigt. Da die einzige Kennung kleiner ist, als die Gesamtheit der übertragenen Programmkorrekturen, erfolgt ihre Verschlüsselung natürlich viel schneller.
  • Im Schritt 36 führt der Sender 4 auch einen Teilschritt 50 zur Übertragung einer Meldung zur Prüfung der Zugriffserlaubnisse aus, die mit Hilfe eines Verschlüsselungsschlüssels KECM verschlüsselt wird. Die Meldung ist auch als ECM (Entiteled Control Message – Steuermeldung) bekannt. Die Meldung ECM enthält herkömmlicherweise das Steuerwort, das zur Entwürfelung der im Teilschritt 40 übertragenen Fernsehsignale erforderlich ist.
  • Hier fügt der Sender 4 im Teilschritt 50 in einem Vorgang 52 die einzige Kennung ein, die im Vorgang 46 verschlüsselt wurde.
  • Jeder Decoder empfängt im Schritt 60 die Informationen, die vom Sender 4 über das Netz 8 übertragen wurden. Die Gesamtheit dieser empfangenen Informationen wird an das Verschlüsselungs-/Entschlüsselungsmodul 16 übergeben.
  • Das Modul 16 fängt dann in einem Vorgang 62 an, die einzige Kennung aus der Gesamtheit der empfangenen Programmkorrekturen zu rekonstruieren. Dieser Vorgang 62 ist beispielsweise identisch mit dem Vorgang 44, derart dass die vom Modul 16 rekonstruierte einzige Kennung mit der im Vorgang 44 erstellten einzigen Kennung identisch ist, wenn alle empfangenen Programmkorrekturen identisch sind mit denen, die im Teilschritt 42 übertragen wurden.
  • Anschließend entschlüsselt das Modul 16 die empfangene Meldung ECM mit Hilfe eines Verschlüsselungsschlüssels KECM, der dem entspricht, der vom Sender 4 verwendet wurde.
  • Sobald die Meldung ECM entschlüsselt ist, entschlüsselt das Modul 16 in einem Vorgang 64 die einzige Kennung, die in dieser Meldung ECM enthalten ist.
  • Es vergleicht dann in einem Vorgang 66 die einzige Kennung, die im Vorgang 62 rekonstruiert wurde, mit der, die im Vorgang 64 entziffert wurde. Wenn die verglichenen einzigen Kennungen trotz mehrerer Versuche zur Übertragung der verschiedenen Programmkorrekturen durch den Sender nicht identisch sind, geht das Modul 16 zu einem Schritt 68 der Verhinderung der Entwürfelung der Fernsehsendungen über. Zu diesem Zweck übermittelt das Modul 16 beispielsweise dem Entwürfelungsmodul 18 nicht das Steuerwort, das in der empfangenen Meldung ECM enthalten ist, oder übermittelt es ein falsches Steuerwort.
  • Im entgegengesetzten Fall, d. h. wenn die beiden verglichenen Kennungen einander entsprechen, führt das Modul 16 in einem Schritt 70 die empfangenen Programmkorrekturen aus und übermittelt in einem Vorgang 72 das in der Meldung ECM enthaltene Steuerwort an das Entwürfelungsmodul 18, das die Fernsehsendungen in einem Vorgang 74 entwürfelt.
  • Wenn nun das Modul 16 in einem Piratendecoder verwendet wird und dieser Piratendecoder eine Antipiraterie-Programmkorrektur unterdrückt oder ändert, bevor er sie dem Modul 16 übermittelt, geht dieses zum Vorgang 68 über und die empfangenen Fernsehsendungen werden nicht mehr korrekt entwürfelt.
  • Ebenfalls sei angemerkt, dass das Verfahren der 2 auch zu vermeiden erlaubt, dass von einer böswilligen Person, die über ihren eigenen Sender verfügt, der an das Netz 8 angeschlossen ist, Programmkorrekturen denen zugefügt werden, die vom Sender 4 gesendet werden. Derartige zusätzliche Programmkorrekturen, die von böswilligen Personen hinzugefügt werden, haben oft zum Ziel, entweder das Modul 16 zu zerstören, oder es funktionsunfähig zu machen. Diese von böswilligen Personen hinzugefügten Programmkorrekturen können die Form eines Computervirus haben.
  • Im Verfahren der 2 wird das Hinzufügen einer Programmkorrektur in gleicher Weise festgestellt, wie die Unterdrückung oder Änderung einer Programmkorrektur im Vorgang 66, und diese hinzugefügte Programmkorrektur wird nicht ausgeführt.
  • Es wurde festgestellt, das heutzutage gefälschte Chipkarten existieren, die in der Lage sind, das authentische Modul 16 in einem seinerseits authentischen Decoder zu ersetzen.
  • Ein derartiger authentischer Decoder, der mit einer gefälschten Chipkarte ausgestattet ist, kann nicht unbrauchbar gemacht werden, auch nicht durch Anwendung des Verfahrens der 2, da die gefälschte Chipkarte die Vorgänge 62 bis 68 nicht ausführt. Die unter Bezug auf die 3 beschriebene zweite Ausführungsform ist eine Vervollkommnung des Systems der 1, die beabsichtigt, diesem Nachteil Abhilfe zu schaffen.
  • In dieser zweiten Ausführungsform unterscheidet sich der Sender vom Sender 4 der 1 nur dadurch, dass der Speicher 12 Anweisungen zur Ausführung des Verfahrens der 4 aufweist, wenn sie vom Verschlüsselungs-IEntschlüsselungsmodul dieses Senders ausgeführt werden, und die Decoder 6 sind durch die Decoder 82 ersetzt worden.
  • Die Decoder 82 haben denselben Aufbau, wie der Decoder 6, mit der Ausnahme, dass er ein zweites Verschlüsselungs-/Entschlüsselungsmodul 84 aufweist.
  • Das Modul 84 ähnelt dem Modul 16 und weist einen Rechner 86 auf, der mit einem Speicher 88 verbunden ist.
  • Im Unterschied zum Modul 16 jedoch ist das Modul 84 mit der Grundplatte des Decoders fest verbunden, so dass jeder Versuch der Unterdrückung dieses Moduls 84 des Decoders 82 zur Zerstörung des Decoders 82 führt.
  • Zu diesem Zweck wird das Modul 84 beispielsweise ins Innere selbst eines elektronischen Bauteils eingebaut, das für den Betrieb des Decoders 82 erforderlich ist.
  • Die Speicher 88 und 22 enthalten Anweisungen für die Ausführung des Verfahrens der 4, wenn sie von den Rechnern 86 bzw. 20 ausgeführt werden.
  • Die anderen Bauteile sind mit denen der 1 identisch und tragen dieselben Bezugszeichen.
  • Die Arbeitsweise dieser zweiten Ausführungsform wird jetzt unter Bezug auf das Verfahren der 4 beschrieben.
  • Das Verfahren der 4 unterscheidet sich vom Verfahren der 2 im Wesentlichen dadurch, dass der Teilschritt 42 und der Vorgang 62 durch einen Teilschritt 100 bzw. Vorgänge 102 bis 114 ersetzt sind.
  • Der Sender 4 überträgt im Teilschritt 100 an die Decoder 82 eine oder mehrere Programmkorrekturen.
  • Für jede übertragene oder zu übertragende Programmkorrektur erstellt der Sender 4 in einem Vorgang 120 eine erste Kennung der zu übertragenden Programmkorrektur und in einem Vorgang 122 eine zweite Kennung derselben Programmkorrektur. Hier berechnet der Sender 4 im Vorgang 120 in herkömmlicher Weise eine elektronische Signatur der zu übertragenden Programm korrektur und verschlüsselt dann diese elektronische Signatur mit Hilfe eines Verschlüsselungsschlüssels KMS.
  • In zu dem, was in Bezug auf den Teilschritt 42 beschrieben wurde, ähnlicher Weise erlaubt diese Signatur die Identifizierung der übertragenen Programmkorrektur und erlaubt die Verschlüsselung die Absicherung der Übertragung der Programmkorrektur.
  • Im Schritt 122 erstellt der Sender die zweite Kennung der zu übertragenden Programmkorrektur, indem er mit Hilfe eines Verschlüsselungsschlüssels KCS die elektronische Signatur verschlüsselt, die im Vorgang 120 berechnet wurde, bevor diese mit Hilfe des Schlüssels KMS verschlüsselt wird.
  • Jede Programmkorrektur wird zusammen mit ihrer im Vorgang 120 berechneten elektronischen Signatur am Ende des Teilschrittes 100 den Decodern 82 übermittelt.
  • Hier wird der Vorgang 52 des Einfügens einer einzigen Kennung in die übertragene Meldung ECM durch einen Vorgang 124 des Einfügens der für jede Programmkorrektur im Vorgang 122 berechneten zweiten Kennung in diese Meldung ECM ersetzt.
  • Auf diese Weise enthält die Meldung ECM in dieser zweiten Ausführungsform nicht eine einzige Kennung, sondern im Gegenteil ebensoviele zweite Kennungen, wie übertragene Programmkorrekturen.
  • Beim Empfang der durch den Sender 4 übertragenen Informationen durch die Decoder 82, rekonstruiert das Modul 84 im Vorgang 102 für jede empfangene Programmkorrektur die erste Kennung. Hierzu berechnet es die elektronische Signatur der empfangenen Programmkorrektur mit Hilfe desselben Algorithmus, wie er im Vorgang 120 angewandt wurde.
  • Auf diese Weise ist die rekonstruierte Signatur in dem Fall, dass die empfangene Programmkorrektur identisch ist mit der, die vom Sender 4 übermittelt wurde, identisch mit der mit Hilfe des Schlüssels KMS im Vorgang 120 verschlüsselten.
  • Anschließend entschlüsselt das Modul 84 im Vorgang 104 die elektronische Signatur, die im Teilschritt 100 mit der empfangenen Programmkorrektur übermittelt wurde.
  • Das Modul 84 vergleicht dann im Vorgang 106 die im Vorgang 102 rekonstruierte elektronische Signatur mit der im Vorgang 104 entschlüsselten. Wenn die rekonstruierten und entschlüsselten Signaturen einander nicht entsprechen, unterbricht das Modul 84 in einem Vorgang 108 die Verarbeitung dieser Programmkorrektur.
  • Im entgegengesetzten Fall, d. h. wenn die elektronischen Signaturen einander entsprechen, rekonstruiert das Modul 84 in einem Vorgang 110 die zweite Kennung dieser empfangenen Programmkorrektur. Typischerweise ist dieser Vorgang 110 mit dem Vorgang 122 identisch, der auf die elektronische Signatur angewandt wurde, die entweder im Vorgang 102 erhalten wurde oder im Vorgang 104.
  • Danach entschlüsselt das Modul 84 die Meldung ECM, um ihr die zweite Kennung zu entnehmen, die der empfangenen Programmkorrektur entspricht. Es vergleicht dann im Vorgang 112 die zweite Kennung, die der Meldung ECM entnommen wurde, mit der im Vorgang 110 rekonstruierten. Wenn diese zweiten Kennungen nicht identisch sind, geht das Modul 84 unverzüglich zum Vorgang 108 über.
  • Im entgegengesetzten Fall, d. h. wenn die rekonstruierte zweite Kennung der mit Hilfe der Meldung ECM empfangenen entspricht, führt das Modul 84 die Programmkorrektur aus, wenn diese für es bestimmt ist.
  • Schließlich übermittelt das Modul 84 in einem Vorgang 114 die im Vorgang 110 rekonstruierte zweite Kennung dem Modul 16.
  • Der Vorgang 112 erlaubt hier sicherzustellen, dass keine Programmkorrektur unterdrückt wurde.
  • Das Modul 16 geht dann unmittelbar zum Vorgang 66 über, in dem es die vom Modul 84 übermittelte zweite Kennung mit der in der Meldung ECM enthaltenen vergleicht. Die übrigen durch das Modul 16 ausgeführten Vorgänge sind mit denen identisch, die in Bezug auf die 2 beschrieben wurden.
  • Im Verfahren der 4 kann die Abwesenheit einer Programmkorrektur sowohl durch das Modul 84, als auch durch das Modul 20 festgestellt werden. Wenn die Abwesenheit der Programmkorrektur durch das Modul 84 festgestellt wurde, unterbricht dieses sofort seine Verarbeitung und übermittelt also nicht die rekonstruierte zweite Kennung an das Modul 16. Wenn das Modul 16 die zweite Kennung nicht empfängt, geht es automatisch zum Vorgang 68 über, um die Entwürfelung der Fernsehsendungen zu verhindern.
  • Wie in der ersten Ausführungsform führt also die Abwesenheit, das Hinzufügen oder die Änderung einer Programmkorrektur gegenüber denen, die im Teilschritt 100 übertragen wurden, zum Abbruch der Entwürfelung der Fernsehsendungen.
  • Anders als in der ersten Ausführungsform jedoch ist es sogar dann, wenn das Modul 16 ein gefälschtes Modul ist, das für die Entschlüsselung der Meldung ECM vorgesehen ist, auch wenn die Programmkorrekturen geändert oder hinzugefügt wurden oder fehlen, noch möglich, auf diesen Decoder 82 einzuwirken, um ihn funktionsuntüchtig zu machen. Beispielsweise wird hierzu dem Modul 84 eine Programmkorrektur übertragen, die nach ihrer Ausführung auf den Decoder einwirkt, um ihn funktionsuntüchtig zu machen. Beispielsweise wirkt das Modul 84 unmittelbar auf das Entwürfelungsmodul 18 ein. Dadurch muss ein Hersteller von Piratendecodern in dieser zweiten Ausführungsform nicht nur das Modul 16 fälschen, sondern ebenfalls das Modul 84. Da das Modul 84 mit der Grundplatte des Decoders 82 fest und untrennbar verbunden ist, muss dieser Hersteller von Piratendecodern also ebenfalls den gesamten Decoder fälschen. Das Verfahren der 4 erschwert also erheblich die Verwendung authentischer Teile oder Verschlüsselungs-/Entschlüsselungsmodule in Piratendecodern.
  • Schließlich ist zu beachten, dass ein Hersteller von Piratendecodern, der mit dem Verfahren der 2 oder 4 konfrontiert wird und in seinem Piratendecoder ein authentisches Verschlüsselungs-/Entschlüsselungsmodul zu verwenden wünscht, die zusätzliche Information entfernen oder ändern muss, die in den Schritten 52 oder 124 in die Meldung ECM eingefügt wurde, um zu vermeiden, dass sein Piratendecoder verwundbar ist. Hierzu muss er in der Lage sein, die Meldung ECM zu entschlüsseln, d. h. dass er auf jeden Fall in seinen Piratendecoder ein gefälschtes Verschlüsselungs-/Entschlüsselungsmodul einfügen muss. Unter diesen Umständen bietet die Verwendung eines authentischen Verschlüsselungs-/Entschlüsselungsmoduls in einem Piratendecoder keinen Vorteil mehr.
  • Die hier beschriebenen Systeme und Verfahren wurden für den besonderen Fall eines Gebührensystems der Ausstrahlung von Fernsehsendungen dargestellt. Die beschriebenen Verfahren jedoch sind auf jedes System der Übertragung verschlüsselter Informationen anwendbar, in dem die Decoder bildenden Empfänger mit einem oder mehreren Verschlüsselungs-/Entschlüsselungsmodulen ausgestattet sind. Ein derartiger einen Decoder bildender Empfänger, der mit einem Verschlüsselungs-/Entschlüsselungsmodul ausgerüstet ist, ist beispielsweise ein mit einer SIM-Karte (Subscriber Identity Module) ausgestattetes Mobiltelephon oder ein Computer, der in der Lage ist, verschlüsselte Programme zu empfangen.
  • Insbesondere ist zu beachten, dass in diesen anderen Systemen, als einem Übertragungssystem zur Ausstrahlung von Fernsehsendungen, das Signal nicht unbedingt verwürfelt ist, aber auch verschlüsselt sein kann.
  • Die Prüfsumme wird in einer Variante durch eine elektronische Signatur ersetzt.
  • Die hier beschriebenen Systeme und Verfahren wurden für den _ besonderen Fall dargestellt, dass die verschiedenen angewandten Verschlüsselungs-/Entschlüsselungsvorgänge mit Hilfe von asymmetrischen Verschlüsselungsalgorithmen ausgeführt werden, so dass der Schlüssel zum Verschlüsseln derselbe ist, wie der zum Entschlüsseln. Ein derartiger asymmetrischer Verschlüsselungsalgorithmus ist beispielsweise der DES-Algorithmus. In Variante werden bestimmte oder alle Verschlüsselung-/Entschlüsselungsvorgänge mit Hilfe asymmetrischer Verschlüsse lungs-/Entschlüsselungsalgorithmen wie etwa beispielsweise dem RSA-Algorithmus ausgeführt. In dieser Variante müssen die Speicher des Senders und der Decoder dafür geeignet sein, die entsprechenden Verschlüsselungs-/Entschlüsselungsschlüssel zu enthalten. Insbesondere und vorzugsweise sind die in den Vorgängen 120 und 122 angewandten Verschlüsselungsalgorithmen verschiedene Algorithmen, so dass die Sicherheit des Verfahrens erhöht ist. Die den Vorgängen 120 und 122 entsprechenden Entschlüsselungsvorgänge wenden also ebenfalls verschiedene Entschlüsselungsalgorithmen an.

Claims (18)

  1. Verfahren zur Sicherstellung der Integrität mindestens eines Datenverarbeitungsprogrammes zur Ausführung durch ein Verschlüsselungs-/Entschlüsselungsmodul, wobei das genannte mindestens eine Datenverarbeitungsprogramm von einem Sender an einen Decoder, der mit dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul ausgestattet ist, über ein Informationsfernübertragungsnetz übertragen wird, wobei der Sender ausführt: a) einen Schritt (40) zur Verschlüsselung von Informationssignalen, die zum Decoder übertragen werden, b) einen Schritt (50) zur Übertragung einer Meldung an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders, die die dafür erforderliche Information enthält, dass der Decoder die Informationssignale entschlüsseln kann, die im Schritt a) übertragen wurden, und c) einen Schritt (42, 100) zur Übertragung des genannten mindestens einen Datenverarbeitungsprogramms an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders, während der Decoder ausführt: d) einen Schritt (74) zur Entschlüsselung von Informationssignalen, die vom Sender im Schritt a) übertragen wurden, mit Hilfe der Information, die zu diesem Zweck in der im Schritt b) übertragenen Meldung vorgesehen wurde, gekennzeichnet – dadurch, dass der Sender in die im Schritt b) übertragene Meldung eine zusätzliche Information einfügt (in 52, 124), die geeignet ist, dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul zu prüfen zu erlauben, dass es tatsächlich das oder jedes im Schritt c) übertragene Datenverarbeitungsprogramm empfangen hat, – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul aufgrund der zusätzlichen Information, die vom Sender in die im Schritt b) übertragene Meldung eingefügt wurde, prüft (in 60), ob es tatsächlich das oder jedes im Schritt c) übertragene Datenverarbeitungsprogramm empfangen hat, und – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul in dem Fall, dass das Programm nicht empfangen wurde oder nicht jedes Programm empfangen wurde, den Schritt d) sperrt (in 68).
  2. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass der Sender die im Schritt b) übertragene Meldung verschlüsselt (in 50) und dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul die im Schritt b) übertragene Meldung entschlüsselt, um die Ausführung des Schrittes d) zuzulassen.
  3. Verfahren nach Patentanspruch 1 oder 2, dadurch gekennzeichnet, dass der Sender ausführt: e) einen Schritt (44, 122) zur Erstellung einer ersten Kennung des oder jedes Datenverarbeitungsprogramms, das im Schritt c) übertragen wird, und f) einen Schritt (52, 124) zum Einfügen dieser Kennung in die Meldung, die im Schritt b) übertragen wird, und dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul ausführt: g) einen Schritt (62, 110) zur Rekonstruktion der Kennung des oder jedes Datenverarbeitungsprogramms aufgrund des oder jedes empfangenen Datenverarbeitungsprogramms, h) einen Schritt (66, 112) zum Vergleich der im Schritt g) rekonstruierten Kennung mit der Kennung, die vom Sender im Schritt f) eingefügt wurde, und i) wenn die im Schritt g) rekonstruierte Kennung nicht der im Schritt f) in die im Schritt b) übertragene Meldung eingefügten entspricht, einen Schritt (68, 108) zur Sperrung des Schrittes d), j) wenn die im Schritt g) rekonstruierte Kennung der im Schritt f) in die im Schritt b) übertragene Meldung eingefügten Kennung entspricht, einen Schritt (66, 112) zur Validierung der Integrität des oder jedes Datenverarbeitungsprogrammes.
  4. Verfahren nach Patentanspruch 3 zur Sicherstellung der Integrität einer Gesamtheit mehrerer Datenverarbeitungsprogramme jeweils zur Ausführung durch das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul, dadurch gekennzeichnet, dass der Schritt e) mindestens einen Vorgang (44) zur Erstellung einer einzigen Kennung für die genannte Gesamtheit mehrerer im Schritt c) zu übertragender Datenverarbeitungsprogramme aufgrund von Informationen über jedes der Programme der genannten Gesamtheit und dadurch, dass der Schritt g) darin besteht, denselben Vorgang auszuführen, wie er im Schritt e) ausgeführt wurde, um eine einzige Kennung zu rekonstruieren, die der entspricht, die im Schritt e) erstellt wurde, wenn die genannte, vom Decoder empfangene Gesamtheit mit derjenigen identisch ist, die der Sender gesendet hat.
  5. Verfahren nach Patentanspruch 3 oder 4, dadurch gekennzeichnet, dass die Schritte d), g), h), i) und j) von demselben Verschlüsselungs-/Entschlüsselungsmodul ausgeführt werden.
  6. Verfahren nach Patentanspruch 3 oder 4, dadurch gekennzeichnet, dass ein selbständiges erstes Verschlüsselungs-/Entschlüsselungsmodul ausschließlich die Schritte d), h), i) und j) ausführt und dadurch, dass ein zweites selbständiges und vom ersten Verschlüsselungs-/Entschlüsselungsmodul unabhängiges Verschlüsselungs-IEntschlüsselungsmodul, das mit dem Decoder fest verbunden ist, mindestens den Schritt g) ausführt.
  7. Verfahren nach Patentanspruch 6, dadurch gekennzeichnet, dass der Sender außerdem ausführt: k) einen zweiten Schritt (120) zur Erstellung einer zweiten Kennung des oder jedes Datenverarbeitungsprogrammes, das im Schritt c) übertragen wird, wobei diese zweite Kennung im Schritt c) zusammen mit dem oder jedem entsprechenden Datenverarbeitungsprogramm übertragen wird, und dadurch, dass der vom zweiten Verschlüsselungs-/Entschlüsselungsmodul ausgeführte Schritt g) umfasst: – einen Vorgang (102) zur Rekonstruktion der zweiten zusammen mit dem oder jedem Programm übertragenen Kennung, – nur wenn die zweite rekonstruierte Kennung der im Schritt c) zusammen mit dem oder jedem Programm übertragenen entspricht, einen Vorgang (110) zur Rekonstruktion der ersten, in die im Schritt b) übertragene Meldung eingefügten Kennung und zur Übertragung dieser ersten rekonstruierten Kennung an das erste Verschlüsselungs-/Entschlüsselungsmodul, damit dieses erste Verschlüsselungs-/Entschlüsselungsmodul zum Schritt h) übergehen kann.
  8. Verfahren nach Patentanspruch 7, dadurch gekennzeichnet, dass die erste und die zweite Kennung aus derselben Kennung des oder jedes Datenverarbeitungsprogramms gewonnen werden, indem dieselbe Kennung mit Hilfe eines ersten bzw. eines zweiten unterschiedlichen Verschlüsselungsschlüssels verschlüsselt wird.
  9. Verfahren nach irgendeinem der Patentansprüche 2 bis 8, dadurch gekennzeichnet, dass das genannte mindestens eine Verschlüsselungs-IEntschlüsselungsmodul das genannte mindes tens eine Datenverarbeitungsprogramm jedesmal ausführt, wenn seine Integrität im Schritt j) validiert wurde.
  10. Informationsspeichermedium (12), Anweisungen zur Ausführung eines Verfahrens nach irgendeinem der vorangehenden Patentansprüche tragend, wenn die genannten Anweisungen durch den Sender (4) ausgeführt werden.
  11. Informationsspeichermedium (22, 88), Anweisungen zur Ausführung eines Verfahrens nach irgendeinem der Patentansprüche 1 bis 9 tragend, wenn die genannten Anweisungen durch das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul auszuführen sind.
  12. System zur Sicherstellung der Integrität mindestens eines Datenverarbeitungsprogrammes zur Ausführung durch mindestens ein Verschlüsselungs-/Entschlüsselungsmodul (16, 84), wobei das System einen Sender (4) zur Übertragung des genannten mindestens einen Datenverarbeitungsprogrammes mit Hilfe eines Informationsfernübertragungsnetzes (8) umfasst und einen Decoder (6, 82), der mit dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul (16, 84) versehen ist, wobei der Sender (4) in der Lage ist: – Informationssignale zu verschlüsseln, die an den oder jeden Decoder übertragen werden, – an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders eine Meldung zu übertragen, die die erforderliche Information enthält, damit der Decoder die genannten übertragenen Informationssignale entschlüsselt, und – das genannte mindestens eine Datenverarbeitungsprogramm an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders zu übertragen, wobei der Decoder (6, 82) in der Lage ist, die genannten vom Sender übertragenen Informationssignale mit Hilfe der hierfür vorgesehenen Information zu entschlüsseln, die in der genannten vom Sender übertragenen Meldung enthalten ist, gekennzeichnet: dadurch, dass der Sender (4) in der Lage ist, in die genannte Meldung eine zusätzliche Information einzufügen, die geeignet ist, dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul (16, 84) zu prüfen zu erlauben, dass es das oder jedes übertragene Datenverarbeitungsprogramm empfangen hat, dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul (16, 84) in der Lage ist, aufgrund der vom Sender in die genannte Meldung eingefügten zusätzlichen Information zu prüfen, ob es tatsächlich das oder jedes übertragene Datenverarbeitungsprogramm empfangen hat, und – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul (16, 84), wenn das Programm nicht empfangen oder nicht jedes Programm empfangen wurde, in der Lage ist, die Entschlüsselung der genannten übertragenen Informationssignale zu sperren.
  13. System nach Patentanspruch 12, dadurch gekennzeichnet, dass der oder jeder Decoder (6) mit einem einzigen, entnehmbaren Verschlüsselungs-/Entschlüsselungsmodul ausgestattet ist.
  14. System nach Patentanspruch 12, dadurch gekennzeichnet, dass der oder jeder Decoder (82) mit mindestens zwei Verschlüsselungs-/Entschlüsselungsmodulen ausgestattet ist, die selbständig und voneinander unabhängig sind, wobei mindestens eins dieser Verschlüsselungs-/Entschlüsselungsmodule mit dem Chassis des Decoders fest verbunden ist.
  15. Sender (4), eingerichtet für die Ausführung eines Verfahrens nach irgendeinem der Patentansprüche 1 bis 9, wobei dieser Sender (4) in der Lage ist: – Informationssignale zu verschlüsseln, die an den oder jeden Decoder übertragen werden, – an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders eine Meldung zu übertragen, die die dafür erforderliche Information enthält, dass der Decoder die genannten übertragenen Informationssignale entschlüsseln kann, und – das genannte mindestens eine Datenverarbeitungsprogramm an das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul des Decoders zu übertragen, gekennzeichnet – dadurch, dass der Sender (4) in der Lage ist, in die genannte Meldung eine zusätzliche Information einzufügen, die geeignet ist, dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul (16, 84) zu prüfen zu erlauben, dass es das oder jedes übertragene Datenverarbeitungsprogramm empfangen hat.
  16. Decoder (6, 82), eingerichtet für die Ausführung eines Verfahrens nach irgendeinem der Patentansprüche 1 bis 9, wobei dieser Decoder (6, 82) in der Lage ist, die vom Sender übertragenen Informationssignale mit Hilfe der zu diesem Zweck vorgesehenen, in der genannten, vom Sender übermittelten Meldung enthaltenen Information zu entschlüsseln, und mit dem genannten mindestens einen Verschlüsselungs-/Entschlüsselungsmodul (16, 84) ausgestattet ist, gekennzeichnet – dadurch, dass das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul (16, 84) aufgrund der vom Sender in die genannte Meldung eingefügten zusätzlichen Information zu prüfen in der Lage ist, ob es tatsächlich das oder jedes vom Sender übertragene Programm empfangen hat, und – dadurch, dass in dem Fall, dass das Programm nicht oder nicht jedes Programm empfangen wurde, das genannte mindestens eine Verschlüsselungs-/Entschlüsselungsmodul (16, 84) in der Lage ist, die Entschlüsselung der genannten übertragenen Informationssignale zu sperren.
  17. Decoder (6, 82) nach Patentanspruch 16, dadurch gekennzeichnet, dass er mit einem einzigen entnehmbaren Verschlüsselungs-/Entschlüsselungsmodul ausgestattet ist.
  18. Decoder (6, 82) nach Patentanspruch 16, dadurch gekennzeichnet, dass er mit mit mindestens zwei Verschlüsselungs-/Entschlüsselungsmodulen ausgestattet ist, die selbständig und voneinander unabhängig sind, wobei mindestens eins dieser Verschlüsselungs-/Entschlüsselungsmodule mit dem Chassis des Decoders fest verbunden ist.
DE60306815T 2003-01-17 2003-12-03 Verfahren und system zur gewährleistung der integrität einer software, die zu einem daten-ver-/ent-schlüsselungsmodul gesendet wird; und speichermedium um das verfahren zu verwirklichen Expired - Lifetime DE60306815T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0300525A FR2850228B1 (fr) 2003-01-17 2003-01-17 Procede pour garantir l'integrite d'au moins un logiciel transmis a un module de chiffrement/dechiffrement et supports d'enregistrement pour mettre en oeuvre le procede
FR0300525 2003-01-17
PCT/FR2003/003578 WO2004073307A1 (fr) 2003-01-17 2003-12-03 Procede et systeme pour garantir l'integrite d'au moins un logiciel transmis a un module de chiffrement/dechiffrement et supports d'enregistrement pour mettre en oeuvre le procede

Publications (2)

Publication Number Publication Date
DE60306815D1 DE60306815D1 (de) 2006-08-24
DE60306815T2 true DE60306815T2 (de) 2007-02-22

Family

ID=32605839

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60306815T Expired - Lifetime DE60306815T2 (de) 2003-01-17 2003-12-03 Verfahren und system zur gewährleistung der integrität einer software, die zu einem daten-ver-/ent-schlüsselungsmodul gesendet wird; und speichermedium um das verfahren zu verwirklichen

Country Status (9)

Country Link
US (1) US7802106B2 (de)
EP (1) EP1584190B1 (de)
JP (1) JP4679903B2 (de)
AT (1) ATE333191T1 (de)
AU (1) AU2003298403A1 (de)
DE (1) DE60306815T2 (de)
ES (1) ES2271693T3 (de)
FR (1) FR2850228B1 (de)
WO (1) WO2004073307A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103688485A (zh) * 2011-05-18 2014-03-26 西里克斯系统公司 用于对数据进行安全处理的系统和方法
US10102390B2 (en) * 2012-06-28 2018-10-16 Honeywell International Inc. Memory authentication with redundant encryption
US10708073B2 (en) 2016-11-08 2020-07-07 Honeywell International Inc. Configuration based cryptographic key generation

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5029207A (en) * 1990-02-01 1991-07-02 Scientific-Atlanta, Inc. External security module for a television signal decoder
JPH06242957A (ja) * 1993-02-16 1994-09-02 Fujitsu Ltd プログラム実行制御装置
EP0968607B1 (de) * 1997-03-21 2003-02-12 Canal+ Technologies Chipkarte und empfänger für den empfang von verschlüsselten rundfunksignalen
FI990461A0 (fi) * 1999-03-03 1999-03-03 Nokia Mobile Phones Ltd Menetelmä ohjelmiston lataamiseksi palvelimelta päätelaitteeseen
KR20020075439A (ko) * 2000-02-17 2002-10-04 제너럴 인스트루먼트 코포레이션 소프트웨어 또는 펌웨어 코드 다운로딩의 시큐어 제어와다운로드된 코드를 수신하는 컴퓨팅 디바이스의 시큐어동작용 방법과 장치
JP2002251326A (ja) * 2001-02-22 2002-09-06 Hitachi Ltd 耐タンパ計算機システム

Also Published As

Publication number Publication date
FR2850228B1 (fr) 2006-01-27
EP1584190B1 (de) 2006-07-12
WO2004073307A1 (fr) 2004-08-26
JP4679903B2 (ja) 2011-05-11
US20060259780A1 (en) 2006-11-16
EP1584190A1 (de) 2005-10-12
US7802106B2 (en) 2010-09-21
JP2006513511A (ja) 2006-04-20
FR2850228A1 (fr) 2004-07-23
AU2003298403A1 (en) 2004-09-06
ES2271693T3 (es) 2007-04-16
DE60306815D1 (de) 2006-08-24
ATE333191T1 (de) 2006-08-15

Similar Documents

Publication Publication Date Title
DE69719803T3 (de) Verhinderung von wiedergabeangriffen auf durch netzwerkdiensteanbieter verteilte digitale informationen
DE69702310T3 (de) Verfahren zur gesicherten übertragung zwischen zwei geräten und dessen anwendung
DE69723650T2 (de) Verfahren zur Beglaubigung von Daten mittels Verschlüsselung und System zur Beglaubigung unter Verwendung eines solchen Verfahrens
DE69735528T2 (de) Verfahren zum Schutz von Informationen übertragen von einem Sicherungselement nach einen Dekoder und Schutzsystem, das ein solches Verfahren verwendet
DE60004480T2 (de) Methode und gerät zur verschlüsselten übertragung
DE69736138T2 (de) Datenfernladung
EP1151561B1 (de) Verfahren und vorrichtung zum erzeugen eines datenstroms und verfahren und vorrichtung zum abspielen eines datenstroms
EP1133849B1 (de) Verfahren und vorrichtung zum erzeugen eines verschlüsselten nutzdatenstroms und verfahren und vorrichtung zum entschlüsseln eines verschlüsselten nutzdatenstroms
DE60112045T2 (de) Methode und gerät für sicheres fernladen von software
DE69828279T2 (de) Globales bedingtes zugangssystem für rundfunkdienste
DE69834396T2 (de) Sicheres Datensignalübertragungssystem
EP1184771B1 (de) Verfahren zum Schutz von Computer-Software und/oder computerlesbaren Daten sowie Schutzgerät
DE60217576T2 (de) Vorrichtungen und Verfahren zur Übertragung und Implementierung von Steuerungsanweisungen zum Zugriff auf Empfängerfunktionalitäten
DE60308990T2 (de) Schutz eines gerätes gegen unerwünschte verwendung in einem sicheren umfeld
DE102010027586B4 (de) Verfahren zum kryptographischen Schutz einer Applikation
KR20090045285A (ko) 보안 프로세서, 보안 프로세서의 동작을 설정하기 위한 기록 방법 및 기록 매체
WO2001067761A1 (de) Verfahren, kommunikationssystem und empfangsvorrichtung fur die verrechnung von zugriffskontrollierten programmen und/oder daten von broadcastsendern
DE69910786T2 (de) Verfahren zur Verteilung von Schlüsseln an eine Anzahl gesicherter Geräten, Verfahren zur Kommunikation zwischen einer Anzahl gesicherter Geräten, Sicherheitssystem, und Satz gesicherter Geräten
DE19734071A1 (de) Decoder-Einrichtung für die Entschlüsselung von verschlüsselten Fernseh-Programmen
DE69835670T2 (de) Datenübertragungssystem
DE60306815T2 (de) Verfahren und system zur gewährleistung der integrität einer software, die zu einem daten-ver-/ent-schlüsselungsmodul gesendet wird; und speichermedium um das verfahren zu verwirklichen
DE102010009458A1 (de) Hardware-Einrichtung
EP3314339A1 (de) Verfahren, server, firewall, steuergerät, und system zur programmierung eines steuergeräts eines fahrzeugs
DE69912098T2 (de) Konfigurierungsmethode und -vorrichtung
WO2001046785A2 (de) Verfahren und vorrichtung zur überprüfung einer datei

Legal Events

Date Code Title Description
8364 No opposition during term of opposition