-
Diese Erfindung bezieht sich auf
ein Verfahren zum Verteilen von Schlüsseln unter einer Anzahl sicherer
Vorrichtungen. Die Erfindung bezieht sich weiterhin auf ein Verfahren
zum Kommunizieren mit einer Anzahl sicherer Vorrichtungen, auf ein
Sicherheitssystem, bei dem dieses Verfahren verwendet wird, und
auf eine Gruppe sicherer Vorrichtungen, die man durch das Verteilungsverfahren
erhält.
-
Es ist bekannt, einen Inhalt gegen
unautorisiertes Kopieren unter Verwendung einer Zugriftsbedingungstechnik
zu schützen.
Der Begriff Inhalt wird bei der vorliegenden Anmeldung als Bezeichnung
eines beliebigen Informationstyps, wie etwa Audio- oder Videosignale,
Computersoftware etc. verwendet. Um den Inhalt zu schützen, wird
der Inhalt unter Verwendung eines Kontrollwortes verzerrt. Der Begriff
"Kontrollwort" bezieht sich auf den Schlüssel, der beim Verschlüsselungsalgorithmus
verwendet wird, um den Inhalt zu verzerren. Das Kontrollwort wird
im allgemeinen zum Entzerrungsort in einer verschlüsselten
Nachricht übertragen. Im
elektronischen System eines Endverbrauchers, wie etwa in einem CD-
oder DVD-Player oder einem PC, wird eine Sicherheitseinrichtung,
wie etwa eine Smartcard verwendet, um die verschlüsselte Nachricht
zu entschlüsseln,
um das Kontrollwort zu erhalten, wobei das entschlüsselte Kontrollwort
vom elektronischen System verwendet wird, um den Inhalt zu entzerren.
Da eine große
Zahl von Sicherheitsvorrichtungen dem Angriff durch Hacker ausgesetzt
ist, ist es auf lange Sicht nicht unwahrscheinlich, daß die Sicherheit
einer Sicherheitsvorrichtung durchbrochen wird, so daß der Inhalt
für nicht
autorisierte kommerzielle Zwecke zur Verfügung steht. Bei einem allgemein
verwendeten Verfahren bei Zugriftsbedingungssystemen werden Sicherheitslücken durch
Verteilen neuer Schlüssel
verwaltet, die verwendet werden, um das Kontrollwort zu verschlüsseln. Insbesondere
bei Off-Line-Bedingungen, d. h. im Falle der Verteilung von verzerrtem
Inhalt auf CDs und DVDs, kann ein derartiges Verteilungsverfahren
jedoch nicht verwendet werden.
-
Blundo, C. et al. "Trade-offs between
communication and storage in unconditio nally secure schemes for
broadcast encryption and interactive key distribution", Advances
in Cryptology – Crypto
'96. 16th annual international cryptology
conference. Proceedings, advances in cryptology – crypto '96 Santa Barbara,
CA, USA, 18–22
Aug. 1996, Seite 389, beschreibt ein Schlüsselverteilungssystem. Eine
vertrauenswürdige
Autorität
erzeugt und verteilt geheime Informationen an jeden Benutzer. Sobald
die geheimen Informationen verteilt sind, sollte jeder Benutzer
in einer privilegierten Gruppe P in der Lage sein, den Schlüssel zu
berechnen, der P zugeordnet ist. Andererseits sollte keine unzulässige Gruppe,
die nicht mit P zusammenhängt,
in der Lage sein, Informationen über
den Schlüssel
zu berechnen. Wenn somit die geheimen Informationen eines Benutzers
in der Gruppe entdeckt sind, ist der Schlüssel, der P zugeordnet ist,
bekannt.
-
Die Erfindung beabsichtigt, ein Verfahren
zum Verteilen von Schlüsseln
unter einer Zahl sicherer Vorrichtungen anzugeben, das sich insbesondere
dazu eignet, Schlüssel
in gespeicherten Medienapplikationen zu verteilen.
-
Ein weiteres Ziel der Erfindung besteht
darin, ein Verfahren zum Kommunizieren mit einer Anzahl sicherer
Vorrichtungen anzugeben.
-
Die Erfindung beabsichtigt zudem,
ein Verfahren zum Verzerren eines Inhaltes und ein Verfahren zum Entzerren
eines verzerrten Inhaltes anzugeben, das sich insbesondere für die Verwendung
bei gespeicherten Medienapplikationen eignet.
-
Darüber hinaus besteht ein Ziel
der Erfindung darin, ein Sicherheitssystem anzugeben, bei dem diese Verfahren
zur Anwendung kommen.
-
Schließlich beabsichtigt die Erfindung
eine Gruppe sicherer Vorrichtungen anzugeben, die man durch das
Verfahren zum Verteilen von Schlüsseln
erhält.
-
Gemäß der Erfindung wird ein Verfahren
zum Verteilen von Schlüsseln
unter einer Anzahl sicherer Vorrichtungen angegeben, wobei die sicheren
Vorrichtungen in Gruppen unterteilt sind und jede Gruppe eine Vielzahl
von Teilgruppen aufweist und jede Teilgruppe zwei oder mehr sichere
Vorrichtungen umfaßt,
die den gleichen Schlüssel
haben, der ausschließlich
für diese
Teilgruppe bestimmt ist, wobei jede sichere Vorrichtung ein Mitglied
einer Anzahl von Gruppen ist, so daß zwei oder mehr sichere Vorrichtungen,
die ein Mitglied einer Teilgruppe sind, nicht ein Mitglied der gleichen
Teilgruppe in einer anderen Gruppe sind.
-
Auf diese Weise erhält man ein
Verfahren, bei dem die sicheren Vorrichtungen mit einer Anzahl von Schlüsseln versehen
werden, so daß,
wenn die Sicherheit einer sicheren Vorrichtung zerstört ist,
die Schlüssel, die
in dieser sicheren Vorrichtung gespeichert sind, für die zukünftige Verwendung
gelöscht
werden können, so
daß diese
zerstörte
sichere Vorrichtung nutzlos ist, während die anderen sicheren
Vorrichtungen die verbleibenden Schlüssel verwenden können, die
diesen sicheren Vorrichtungen zur Verfügung stehen.
-
EP-A-0 641 103 beschreibt ein Verfahren
für eine
Verteilung von Schlüsseln
in einem selektiven Rundsendesystem. Das Verfahren gestattet es
einem Zentrum, eine geheime Nachricht zu einer Gruppe T privilegierter
Benutzer aus einer Gesamtheit U der Größe n rundzusenden, so daß Koalitionen
von k Benutzern, die sich nicht in der privilegierten Gruppe befinden,
die geheime Nachricht nicht erfahren können. Für jede Gruppe B ⊂ C, 0 ≤ |U|<k, wird ein Schlüssel KB an jeden Benutzer x ∊ U-B ausgegeben.
Der gemeinsame Schlüssel für die privilegierte
Gruppe T ist das exklusiv oder aller Schlüssel KB,
B ⊂ U-T.
-
Gemäß der Erfindung enthält das Verfahren
zum Kommunizieren mit einer Zahl sicherer Vorrichtungen das Bereitstellen
einer Zahl einzigartiger Schlüssel,
wobei die Zahl der Schlüssel
in Teilgruppen (A, a; A, b; ... E, d; E, e) unterteilt ist, das
Bereitstellen mehren verschlüsselter
Nachrichten durch Verschlüsseln
wenigstens einer unverschlüsselten
Nachricht unter Verwendung unterschiedlicher Schlüssel, das
Hinzufügen
einer Kennung zu jeder verschlüsselten
Nachricht, die den verwendeten Schlüssel angibt, wobei lediglich
eine Vielzahl der verfügbaren
Anzahl von Schlüsseln
verwendet wird, um die verschlüsselten
Nachrichten bereitzustellen, das Weiterleiten der verschlüsselten
Nachrichten zu den sicheren Vorrichtungen und Entschlüsseln der
verschlüsselten
Nachricht in der sicheren Vorrichtung, um die unverschlüsselte Nachricht
zu erhalten.
-
Zum Verzerren eines Inhaltes für die Verteilung
unter einer Zahl von Benutzern umfaßt das Verfahren der Erfindung
das Verzerren des Inhaltes unter Verwendung eines Kontrollwortes,
wobei das Kontrollwort die unverschlüsselte Nachricht ist und der
verzerrte Inhalt sowie die Zahl der verschlüsselten Kontrollnachrichten an
alle Benutzer weitergeleitet werden.
-
Das Verfahren der Erfindung zum Entzerren
eines verzerrten Inhaltes umfaßt
das Empfangen des verzerrten Inhaltes und das Empfangen mehrerer
verschlüsselter
Kontrollmitteilungen, wobei jede Kontrollmitteilung eine Kennung
aufweist und ein Kontrollwort enthält, das unter Verwendung eines
anderen Schlüssels
verschlüsselt
wurde, der von der entsprechenden Kennung angegeben wird, das Wiedergewinnen
einer ersten Schlüsselkennung
von einer sicheren Vorrichtung mit einer Vielzahl von Schlüsseln mit
Schlüsselkennungen, das
Suchen nach einer verschlüsselten
Kontrollmitteilung mit einer Kennung, die der wiedergewonnenen Kennung
entspricht, und das Entschlüsseln
der verschlüsselten
Kontrollmitteilung in der sicheren Vorrichtung, um das Kontrollwort
zu erhalten, sowie das Entzerren des verzerrten Inhaltes unter Verwendung
des Kontrollwortes.
-
Ein Sicherheitssystem der Erfindung
enthält
mehrere Endstellen und mehrere sichere Vorrichtungen, wobei jede
sichere Vorrichtung einen Prozessor und einen Speicher zum Speichern
von Schlüsseln
enthält, wobei
die sicheren Vorrichtungen in Gruppen (A, B, C, D, E) unterteilt
sind, und jede Gruppe über
mehrere Teilgruppen (a, b, c, d, e) verfügt und jede Teilgruppe einem
einzigartigen Schlüssel
aus einer Vielzahl einzigartiger Schlüssel (A, a; A, b; ... E, d;
E, e) zugeordnet ist und jede Teilgruppe zwei oder mehr der sicheren
Vorrichtungen enthält,
wobei der Speicher jeder sicheren Vorrichtung mehrere Schlüssel enthält, die
für unterschiedliche
Teilgruppen derart einzigartig sind, daß der Speicher jeder sicheren
Vorrichtung eine einzigartige Kombination einzigartiger Teilgruppenschlüssel enthält, jede
Endstelle eine Einrichtung zum Weiterleiten einer verschlüsselten
Nachricht zu einer sicheren Vorrichtung umfaßt, die mit der Endstelle kommuniziert,
wobei jede verschlüsselte
Nachricht erzeugt wird, indem wenigstens eine unverschlüsselte Nachricht
unter Verwendung unterschiedlicher Schlüssel der Vielzahl von Schlüsseln verschlüsselt wird,
eine Kennung zu jeder verschlüsselten
Nachricht hinzugefügt
wird, die den verwendeten Schlüssel
identifiziert, wobei lediglich eine Vielzahl der verfügbaren Zahl
von Schlüsseln
verwendet wird, um die verschlüsselten
Nachrichten bereitzustellen, und die verschlüsselte Nachricht in der sicheren
Vorrichtung entschlüsselt
wird, um die unverschlüsselte
Nachricht zur weiteren Verwendung zu erhalten.
-
Schließlich gibt die vorliegen Erfindung
eine Gruppe von sicheren Vorrichtungen, wie etwa Smartcards an,
wobei jede sichere Vorrichtung einen Prozessor und einen Speicher
zum Speichern von Schlüsseln
enthält,
wobei die sicheren Vorrichtungen in Gruppen unterteilt sind und
jede Gruppe über
mehrere Teilgruppen verfügt,
wobei jede Teilgruppe einem einzigartigen Schlüssel zugeordnet ist und jede
Teilgruppe zwei oder mehr sichere Vorrichtungen enthält, wobei
der Speicher jeder sicheren Vorrichtung mehrere Schlüssel enthält, die
für unterschiedliche
Teilgruppen einzigartig sind, so daß der Speicher jeder sicheren
Vorrichtung eine einzigartige Kombination aus einzigartigen Teilgruppenschlüsseln enthält.
-
Die Erfindung wird unter Bezugnahme
auf die Zeichnungen weiter erläutert.
-
1 zeigt
schematisch einen Inhaltanbieter und eine Anzahl von Benutzern des
Inhaltes.
-
2 zeigt
ein System zum Entzerren eines verzerrten Inhaltes mit einer sicheren
Vorrichtung.
-
1 zeigt
ein Inhaltanbietersystem 1, das gemäß einer Ausführungsform
des Verfahrens zum Verzerren eines Inhaltes gemäß der Erfindung arbeitet. Der
verzerrte Inhalt wird unter einer Anzahl von Benutzern mit Hilfe
eines Verteilernetzwerkes 2 verteilt. Dieses Verteilernetzwerk 2 kann
beispielsweise das Internet, ein Rundsendenetzwerk oder eine Anzahl
von Geschäften
sein, die CDs, DVDs oder andere Speichermedien verkaufen. Jeder
Benutzer hat ein System 3 zum Entzerren des verzerrten
Inhaltes, das mit einer sicheren Vorrichtung 4 zusammenarbeitet,
wie etwa einer Smartcard. Das System 3 kann Teil eines
CD- oder DVD-Spielers,
ein PC sein oder mit Hilfe eines geeigneten Softwareprogramms ausgeführt werden,
das auf einem Mikroprozessor läuft,
der Teil einer derartigen Einrichtung ist.
-
Um das nicht autorisierte Kopieren
des Inhaltes zu verhindern, der vom System bereitgestellt wird,
verzerrt ein Anbieter den Inhalt unter Verwendung eines geeigneten
Verzerrungsalgorithmus', wobei ein Schlüssel verwendet wird, um diesen
Inhalt zu verzerren. Der Schlüssel,
der verwendet wird, um den Inhalt zu verzerren, wird in dieser Beschreibung
als Kontrollwort bezeichnet. Das Kontrollwort wird den Benutzern
als verschlüsselte
Kontrollnachricht oder Kryptogramm zugesendet. Es wird darauf hingewiesen,
daß diese
Kontrollnachricht weitere Berechtigungsinformationen, wie etwa die
Zahl der Benutzungen des Inhaltes, den Zeitraum, während dessen
der Inhalt verwendet werden kann, und dergleichen enthalten kann.
Dieser Teil der Kontrollnachricht ist nicht Teil der vorliegenden
Erfindung und wird nicht weiter erläutert. Die Kontrollnachricht
wird unter Verwendung eines Schlüssels
verschlüsselt,
der für
die sichere Vorrichtung 4 lediglich einer begrenzten Zahl
von Benutzern einzigartig ist. Die Art und Weise, in der die Schlüssel unter
einer Anzahl von sicheren Vorrichtungen 4 verteilt sind,
wird unter Bezugnahme auf das folgende Beispiel erläutert.
-
-
-
Wie es in diesen Tabellen dargestellt
ist, sind die sicheren Vorrichtungen in Gruppen A, B, C, D und E unterteilt,
wobei jede Gruppe mehrere Teilgruppen a, b, c, d und e hat. Die
Teilgruppe A, a enthält
sichere Vorrichtungen #01–#05,
die Teilgruppe A, b enthält
sichere Vorrichtungen #11–#15,
die Teilgruppe A,c enthält
sichere Vorrichtungen #21–#25,
die Teilgruppe A, d enthält
sichere Vorrichtungen #31–#35
und die Teilgruppe A, e enthält
sichere Vorrichtungen #41–#45.
Die sicheren Vorrichtungen jeder Teilgruppe empfangen denselben
einzigartigen Schlüssel.
So empfangen zum Beispiel die sicheren Vorrichtungen #01–#05 der
Teilgruppe A, a den einzigartigen Schlüssel A, a. Dies bedeutet, daß beispielsweise
die sichere Vorrichtung #01 die folgende Gruppe von einzigartigen
Schlüsseln
A, a; B, a; C, a; D, a und E, a hat. Wie es oben in den Tabellen dargestellt
ist, ist jede sichere Vorrichtung ein Element einer Anzahl von Gruppen
A–E, so
daß beliebige
zwei oder mehr sichere Vorrichtungen, die Element einer Teilgruppe
sind, nicht Element derselben Teilgruppe in einer anderen Gruppe
sind. Auf diese Weise empfängt
jede sichere Vorrichtung 4 eine einzigartige Kombination von
Teilgruppenschlüsseln.
-
Die Schlüssel werden unter den sicheren
Vorrichtungen 4 verteilt, wenn die sicheren Vorrichtungen
initialisiert werden. Wie in 2 dargestellt,
enthält
jede sichere Vorrichtung 4 einen Prozessor 5 und
einen Speicher 6, wobei die einzigartige Kombination von
Teilgruppenschlüsseln
im Speicher 6 gespeichert ist.
-
Das Kontrollwort, das vom Anbietersystem 1 verwendet
wird, um den Inhalt zu verzerren, wird bei diesem Beispiel unter
Verwendung der Schlüssel
der ersten Gruppe A, d. h. der Schlüssel A, a, A, b ... A, e verschlüsselt. Dies
erfordert fünf
verschlüsselte
Kontrollnachrichten, die dem Inhalt zur Verteilung zusammen mit dem
Inhalt hinzugefügt
werden müssen.
Ein Header mit einer Kennung, die den Schlüssel kennzeichnet, der verwendet
wird, um die Kontrollnachricht zu verschlüsseln, wird der Kontrollnachricht
hinzugefügt.
-
Wenn der verzerrte Inhalt vom System 3 empfangen
wird, erfolgt die Entzerrung des Inhaltes in folgender Art und Weise.
Wenn die sichere Vorrichtung 4 mit dem Entzerrungssystem 3v verbunden
ist, leitet der Prozessor 5 der sicheren Vorrichtung 4 die
Kennung des ersten seiner Schlüssel
zu einem Prozessor 7 des Entzerrungssystems 3 weiter.
Der Prozessor 7 empfängt
den verzerrten Inhalt zusammen mit den verschlüsselten Kontrollnachrichten
und sendet die Kontrollnachricht mit einer entsprechenden Kennung
zur sicheren Vorrichtung 4, wobei der Prozessor 5 die
verschlüsselte
Kontrollnachricht unter Verwendung des entsprechenden Schlüssels aus
dem Speicher 6 entschlüsselt.
Das entschlüsselte
Kontrollwort wird zum Prozessor 7 zum Entzerren des Inhaltes
weitergeleitet, und auf diese Weise erhält man den unverschlüsselten
Inhalt.
-
Setzen wir voraus, daß die sichere
Vorrichtung #01 durchbrochen wurde, sollten die Schlüssel der Kombination
von Schlüsseln,
die im Speicher 6 dieser sicheren Vorrichtung gespeichert
sind, nicht weiter verwendet werden. Dies bedeutet, daß die sicheren
Vorrichtungen #02–#05
mit verschlüsselten
Kontrollnachrichten versorgt werden müssen, die beispielsweise unter
Verwendung der Schlüssel
B, b, B, c, B, d und B, e verschlüsselt wurden. Auf diese Weise
wird erreicht, daß die
Informationen über
diese Schlüssel,
die in der sicheren Vorrichtung #01 gespeichert sind, für die Zukunft
unbrauchbar sind.
-
Es wird darauf hingewiesen, daß es bei
dem gegebenen Beispiel nach dem durchbrechen dreier sicherer Vorrichtungen
zulässige
sichere Vorrichtungen geben kann, deren Schlüssel ungeschützt wären. Diese sicheren
Vorrichtungen können
weiterhin mit einer verschlüsselten
Kontrollnachricht unter Verwendung eines Schlüssels versehen werden, der
für die
entsprechende sichere Vorrichtung einzigartig ist. In dieser Beziehung wird
darauf hingewiesen, daß jede
sichere Vorrichtung der kompletten Gruppe sicherer Vorrichtungen
im allgemeinen mit einem einzigartigen Schlüssel zum Weiterleiten zu jeder
sicheren Vorrichtung versehen wird, sofern dies erforderlich ist.
Weiterhin wird darauf hingewiesen, daß die Anzahl verschlüsselter
Kontrollnachrichten jedesmal zunimmt, wenn das System durchbrochen
wird. Natürlich
dient das gegebene Beispiel lediglich Erläuterungszwecken. Im allgemeinen
enthält
eine Gruppe sicherer Vorrichtungen eine weitaus größere Zahl von
sicheren Vorrichtungen, die in mehr Gruppen und Teilgruppen unterteilt
sind als beim beschriebenen Beispiel.
-
Weiterhin wird darauf hingewiesen,
daß weitere
Unterteilungen in Teilgruppen, Teil-Teilgruppen und dergleichen
vorgenommen werden können.
Darüber
hinaus ist es möglich,
die sicheren Vorrichtungen in vollständig unabhängige Übergruppen zu unterteilen,
wobei Schlüssel
innerhalb einer Übergruppe
gemäß dem beschriebenen
Verfahren verteilt werden.
-
Für
den Fall, bei dem es eine reguläre
Online-Verbindung mit dem Anbietersystem gibt, ist es möglich, daß das Anbietersystem 1 eine
Aufhebungsnachricht zu allen Systemen 3 sendet. Diese Aufhebungsnachricht informiert
das System 3 über
die Tatsache, daß Schlüssel einer
sicheren Vorrichtung, von denen die Sicherheit durchbrochen wurde,
nicht weiter verwendet werden. Mit Hilfe dieser Information verwenden
die verbleibenden zulässigen
sicheren Vorrichtungen 4, die ein Element derselben Teilgruppe
sind, in der Zukunft einen anderen Schlüssel ihrer eigenen einzigartigen
Kombination von Schlüsseln
und stellen die entsprechende Kennung für das Entzerrungssystem 3 bereit.
Auf diese Weise leitet das Entzerrungssystem die korrekte verschlüsselte Kontrollnachricht
an seine sichere Vorrichtung 4 weiter.
-
Die Erfindung kann vorteilhaft in
einem beliebigen Sicherheitssystem daß mehrere Endgeräte und mehrere
sichere Vorrichtungen enthält,
insbesondere bei Off-Line-Applikationen
verwendet werden. Für
den Fall, daß Endgeräte eine
sichere Vorrichtung dadurch verifizieren, daß sie die sichere Vorrichtung
veranlassen, eine kryptographische Operation, wie etwa in einem
Zero-Knowledge-Protokoll, auszuführen,
arbeitet das System wie folgt. Ein Geheimnis, das im Zero-Knowledge-Protokoll verwendet
werden soll, wird unter Verwendung eines Schlüssels der Anzahl von Schlüsseln, die
im System zur Verfügung
stehen, verschlüsselt.
Die Schlüssel sind
unter den sicheren Vorrichtungen verteilt, wie es oben beschrieben
ist. Das verschlüsselte
Geheimnis wird zur sicheren Vorrichtung mit einer Kennung weitergeleitet,
die den Schlüssel
kennzeichnet, der verwendet werden soll. Steht dieser Schlüssel der
sicheren Vorrichtung zur Verfügung,
kann die sichere Vorrichtung das Geheimnis entschlüsseln und
dieses Geheimnis im Zero-Knowledge-Protokoll verwenden. Wird eine
sichere Vorrichtung durchbrochen, werden die Schlüssel, die
für die
durchbrochene Vorrichtung verfügbar
sind, nicht weiter verwendet, und jene zulässige sichere Vorrichtung,
die dieselben Schlüssel
wie die durchbrochene Vorrichtung hat, kann mit den Endgeräten unter
Verwendung eines anderen Schlüssels
der Schlüssel
kommunizieren, die diesen zulässigen
sicheren Vorrichtungen zur Verfügung
stehen.
-
Die Erfindung ist nicht auf die oben
beschriebenen Ausführungsformen
beschränkt,
die in zahlreicher Art und Weise innerhalb des Geltungsbereiches
der Ansprüche
variiert werden können.