ES2906474T3 - Método de recepción y de descifrado de un criptograma de una palabra de control - Google Patents

Método de recepción y de descifrado de un criptograma de una palabra de control Download PDF

Info

Publication number
ES2906474T3
ES2906474T3 ES18748993T ES18748993T ES2906474T3 ES 2906474 T3 ES2906474 T3 ES 2906474T3 ES 18748993 T ES18748993 T ES 18748993T ES 18748993 T ES18748993 T ES 18748993T ES 2906474 T3 ES2906474 T3 ES 2906474T3
Authority
ES
Spain
Prior art keywords
cryptogram
variant
variants
list
integrity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18748993T
Other languages
English (en)
Inventor
Emmanuel Barau
Quentin Chieze
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viaccess SAS
Original Assignee
Viaccess SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Viaccess SAS filed Critical Viaccess SAS
Application granted granted Critical
Publication of ES2906474T3 publication Critical patent/ES2906474T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

Método de recepción y de descifrado de un criptograma de una palabra de control que puede utilizarse para decodificar un criptoperiodo de un contenido multimedia, comprendiendo este método: a) la recepción (140) de un mensaje de control de acceso que contiene: - una gama de bits a partir de la cual se puede obtener un criptograma CW*t de la palabra de control, y - una redundancia criptográfica que permite verificar la integridad del criptograma CW*t, caracterizado porque este método comprende: b) la obtención (150; 182) de una variante particular del criptograma CW*t que pertenece a una lista de N variantes diferentes del criptograma CW*t, incluyendo esta lista una variante idéntica al criptograma CW*t y siendo todas las demás variantes que pertenecen a esta lista señuelos distintos entre sí del criptograma CW*t que no permiten descifrar el criptoperiodo, siendo N un número entero mayor o igual a dos, generándose cada una de las variantes que pertenecen a esta lista a partir de la misma gama de bits del mensaje de control de acceso recibido, procesando esta gama de bits con la ayuda de una función de extracción predeterminada capaz de generar, cuando es ejecutada por un microprocesador, a partir de esta gama de bits, cada una de las N variantes que pertenecen a esta lista, y luego c) la verificación (152) de la integridad de la variante obtenida, a partir de la redundancia criptográfica contenida en el mensaje de control de acceso recibido, mediante la ejecución de una función de verificación predeterminada y secreta capaz de confirmar y, de manera alternativa, invalidar la integridad de la variante obtenida, cuando esta función es ejecutada por un microprocesador, d) solamente si, durante la etapa c), se confirma la integridad de la variante obtenida, el descifrado (156) de la variante obtenida, con una clave de explotación, para obtener la palabra de control descifrada, y por tanto la transmisión (156) de la palabra de control descifrada a un descodificador para decodificar el criptoperiodo del contenido multimedia codificado, e) si, durante la etapa c), se invalida la integridad de la variante obtenida, la no transmisión al descodificador de la variante obtenida, y - si existe otra variante del criptograma CW*t que pertenece a la lista de N variantes y para la cual aún no se ha ejecutado la etapa c): el retorno del método a la etapa b) para obtener esta otra variante, y luego repetir la etapa c) y la etapa d) o e) para esta otra variante, y de manera alternativa, - si ya se ha ejecutado la etapa c) para cada una de las variantes que pertenecen a la lista de N variantes: la interrupción del procesamiento del mensaje de control de acceso recibido durante la etapa a).

Description

DESCRIPCIÓN
Método de recepción y de descifrado de un criptograma de una palabra de control
La invención se refiere a un método de recepción y de descifrado de un criptograma de una palabra de control que puede utilizarse para descifrar un criptoperiodo de un contenido multimedia. La invención también se refiere a un método para generar y transmitir un criptograma de una palabra de control que puede utilizarse para descifrar un criptoperiodo de un contenido multimedia. La invención también se refiere a un soporte de grabación de información, un cabezal de red y un procesador de seguridad para la puesta en práctica de estos métodos.
Contenido multimedia significa contenido de audio y/o visual destinado a ser presentado en una forma que sea directamente perceptible y comprensible para un ser humano. Por lo general, el contenido multimedia corresponde a una sucesión de imágenes que forman una película, un programa de televisión o una publicidad. El contenido multimedia también puede ser contenido interactivo, tal como un juego.
Para asegurar y someter la visualización de contenidos multimedia a determinadas condiciones, conocidas como condiciones de acceso, tales como la suscripción a un abono de pago, o una compra por sesión, por ejemplo, el contenido multimedia se proporciona en forma codificada y no codificado. Más concretamente, por ejemplo, cada contenido multimedia se divide en una sucesión de segmentos de duración predeterminada del juego denominados “criptoperiodo”, segmentos a su vez denominados habitualmente “criptoperiodos” en el resto de este documento. A lo largo de la duración de un criptoperiodo, las condiciones de acceso al contenido multimedia cifrado permanecen sin cambios. En particular, a lo largo de la duración de un criptoperiodo, el contenido multimedia se codifica con la misma clave criptográfica, denominada palabra de control. Por lo general, la palabra de control varía de un criptoperiodo a otro. Además, la palabra de control es por lo general específica de un contenido multimedia y se extrae de manera aleatoria o pseudoaleatoria.
En este caso, los términos "codificar" y "descodificar" y "cifrar" y "descifrar" se consideran, respectivamente, como sinónimos.
El contenido multimedia sin codificar corresponde al contenido multimedia antes de que sea codificado. Lo que antecede puede hacerse comprensible por un ser humano directamente, es decir, sin tener que recurrir a operaciones de descifrado y, por tanto, sin que este descifrado, ni por tanto la visualización del contenido multimedia, estén sujetas a condiciones de 'acceso'.
Las palabras de control necesarias para descodificar los contenidos multimedia se transmiten de manera sincronizada con los contenidos multimedia. Por ejemplo, las palabras de control necesarias para descodificar el criptoperiodo tésimo son recibidas por cada terminal durante el criptoperiodo (t-1)-ésimo. Para ello, por ejemplo, las palabras de control se multiplexan con el contenido multimedia codificado.
Para asegurar la transmisión de las palabras de control, estas se transmiten a los terminales en forma de criptogramas contenidos en los mensajes de control de acceso conocidos por el término "mensaje de control de los títulos de acceso", o "mensaje ECM" (Entitlement Control Message). Para mejorar la seguridad de esta transmisión, los mensajes ECM también pueden contener datos adicionales, tales como la redundancia criptográfica, que permite confirmar o invalidar la integridad del criptograma de la palabra de control. Dichos métodos se describen, por ejemplo, en los documentos WO2012/089542A1 y US2013/132725A1. El documento WO 2012/089542 A1 se refiere a un método para generar mensajes ECM y un método para recibir mensajes ECM, cada criptoperiodo CPt del cual se codifica utilizando una palabra de control respectiva CWt.
El documento US 2013/132725 A1 se refiere a un método para proteger la transmisión de un contenido multimedia o una palabra de control entre un procesador de seguridad y un terminal. La invención también se refiere a un método para descifrar un contenido multimedia o una palabra de control, así como un soporte de grabación y un terminal para poner en práctica este método de protección.
El estado de la técnica también se conoce por los documentos US2015/269367A1 y WO01/82525A1.
En este caso, el criptograma de la palabra de control indica información que hace posible la obtención de la palabra de control, pero es insuficiente por sí sola para hacerlo. Así, si se intercepta la transmisión de la palabra de control, el mero conocimiento del criptograma de la palabra de control no permite encontrar la palabra de control que permite descodificar el contenido multimedia. Para encontrar la palabra de control, el criptograma de la palabra de control debe combinarse con información secreta. Por ejemplo, el criptograma de la palabra de control se obtiene cifrando la palabra de control con una clave criptográfica denominada “clave operativa”. En este caso, la información secreta es la clave operativa que permite descifrar este criptograma. El criptograma de la palabra de control también puede ser una referencia a una palabra de control almacenada en una tabla que contiene una multitud de posibles palabras de control. En este caso, la información secreta es la tabla que asocia una palabra de control a cada referencia.
La información secreta debe mantenerse en un lugar seguro. Para ello, ya se ha propuesto almacenar la información secreta en procesadores de seguridad tales como tarjetas con circuito impreso conectadas directamente a cada uno de los terminales.
En este contexto, se han desarrollado ataques para permitir a los usuarios descodificar contenidos multimedia para los que no han adquirido legalmente derechos de acceso.
Uno de estos ataques consiste en extraer la información secreta de un procesador de seguridad mediante técnicas de criptoanálisis conocidas con los términos "ataque por canales auxiliares" o "side-channel attack" en inglés. Por ejemplo, una vez que se conoce la clave operativa ke y la función de descifrado fde, un pirata informático (hacker en inglés) puede desarrollar con facilidad un terminal denominado "pirata" capaz de descodificar ilícitamente el contenido multimedia. Por lo general, un terminal pirata de este tipo recibe los mensajes ECM emitidos por un cabezal de red, extrae los criptogramas de las palabras de control y luego descifra estos criptogramas utilizando la función fde y la clave ke. Obtiene así las palabras de control sin codificar que permiten descodificar los criptoperiodos del contenido multimedia codificado.
Por lo general, dichos terminales piratas se contentan con hacer lo estrictamente necesario para descifrar los criptogramas de las palabras de control. Por ejemplo, a diferencia de los terminales legítimos:
- no comparan las condiciones de acceso contenidas en los mensajes ECM con títulos de acceso pregrabados en el terminal con el fin de autorizar y, de manera alternativa, prohibir el acceso a los contenidos multimedia, y - no verifican la integridad de los criptogramas de las palabras de control contenidas en los mensajes ECM. La invención pretende proporcionar un método de recepción y de descifrado de un criptograma de una palabra de control más sólida frente a este tipo de ataques. Por lo tanto, se refiere a un método de recepción de este tipo de conformidad con la reivindicación 1.
Las formas de realización de este método de recepción y descifrado pueden incluir una o más de las características de las reivindicaciones dependientes del método de recepción.
La invención también se refiere a un método para generar y transmitir un criptograma de una palabra de control que puede utilizarse para descodificar un criptoperiodo de contenido multimedia, pudiendo recibirse y descifrarse el criptograma generado y transmitido utilizando el método reivindicado de recepción y de descifrado.
Las formas de realización de este método de generación y emisión pueden comprender las características de las reivindicaciones dependientes del método de generación.
La invención también se refiere a un soporte de grabación de información que comprende instrucciones para la puesta en práctica de uno de los métodos reivindicados, cuando estas instrucciones son ejecutadas por un microprocesador electrónico.
La invención también se refiere a un cabezal de red para la puesta en práctica del método reivindicado de generación y emisión.
Por último, la invención también se refiere a un procesador de seguridad para la puesta en práctica del método reivindicado de recepción y de descifrado.
La invención se comprenderá mejor con la lectura de la siguiente descripción, proporcionada solamente a título de ejemplo no limitativo y realizada con referencia a los dibujos en los que:
- la Figura 1 es una ilustración esquemática de un sistema para transmitir y recibir contenido multimedia codificado; - la Figura 2 es una ilustración esquemática y parcial de la estructura de un mensaje ECM utilizado en el sistema de la Figura 1;
- la Figura 3 es un organigrama de un método de difusión y de codificación de un contenido multimedia puesto en práctica en el sistema de la Figura 1;
- la Figura 4 es un organigrama de un método para recibir y descodificar contenido multimedia codificado puesto en práctica en el sistema de la Figura 1;
- la Figura 5 es un organigrama de una forma de realización alternativa del método de la Figura 3, y
- la Figura 6 es un organigrama parcial de una forma de realización alternativa del método de la Figura 4.
En estas figuras se utilizan las mismas referencias para designar los mismos elementos. En el resto de esta descripción, las características y funciones bien conocidas por los expertos en esta técnica no se describen en detalle. Además, la terminología utilizada es la de sistemas de acceso condicionales a contenidos multimedia. Para más información sobre esta terminología, el lector puede consultar el siguiente documento: “Functional Model of Conditional Access System”, EBU Review, Technical European Broadcasting Union, Bruselas, BE, n° 266, de 21 de diciembre de 1995.
La Figura 1 muestra un sistema 2 para enviar y recibir contenido multimedia codificado. Los contenidos multimedia transmitidos suelen ser contenidos multimedia linealizados. Por ejemplo, un contenido multimedia corresponde a una secuencia de un programa audiovisual tal como un programa de televisión o una película.
El contenido multimedia sin codificar es generado por una o más fuentes 4 y transmitido a un cabezal de red 6. El cabezal 6 difunde el contenido multimedia hacia multitud de terminales de recepción a través de una red de transmisión de información 8. Los contenidos multimedia emitidos se sincronizan de manera temporal entre sí para, por ejemplo, respetar un horario de programación preestablecido.
La red 8 es concretamente una red de transmisión de información a larga distancia tal como la red de Internet o una red satelital o cualquier otra red de transmisión tal como la utilizada para la transmisión de televisión digital terrestre (TDT).
Para simplificar la Figura 1, se muestra un único terminal de recepción 10.
El cabezal 6 incluye un codificador 16 que comprime el contenido multimedia que recibe. El codificador 16 procesa contenido multimedia digital. Por ejemplo, este codificador funciona según la norma MPEG2 (Moving Picture Experts Group - 2) o la norma ITU-T H264.
El contenido multimedia comprimido se dirige a una entrada 20 de un codificador 22. El codificador 22 codifica cada contenido multimedia comprimido para condicionar su visualización por parte de un terminal receptor, bajo ciertas condiciones, denominadas condiciones de acceso, tales como la adquisición de un título de acceso por parte de un usuario del terminal de recepción. Los contenidos multimedia codificados se reproducen en una salida 24 conectada a la entrada de un multiplexor 26.
El codificador 22 codifica cada criptoperiodo CPt del contenido multimedia comprimido utilizando una palabra de control CWt que le proporciona un generador 32 de palabras de control. El generador 32 también suministra cada palabra de control CWt a un sistema de acceso condicional 28. El sistema 28 es más conocido bajo el acrónimo CAS (Conditional Access System). Se suele presentar bajo la forma de una unidad de procesamiento electrónico que comprende un microprocesador programable y una memoria. El índice t es un número de secuencia que identifica el criptoperiodo CPt. En este caso, el índice t identifica la posición temporal de este criptoperiodo CPt con respecto a los demás criptoperiodos del contenido multimedia. La notación CWt designa la palabra de control utilizada para codificar el criptoperiodo CPt.
Por lo general, esta codificación se ajusta a una norma tal como la norma DVB-CSA (Digital Video Broadcasting -Common Scrambling Algorithm en inglés), ISMA Cryp (Internet Streaming Media Alliance enCryption and Authentication en inglés), SRTP (Secure Real-time T ransport Protocol en inglés), AES (Advanced Encryption Standard en inglés), o cualquier otro algoritmo de cifrado.
El sistema 28 genera mensajes ECM. Estos mensajes ECM permiten comunicar a los terminales que reciben criptogramas palabras de control que pueden utilizarse para descodificar el contenido multimedia. Estos mensajes ECM y el contenido multimedia codificado son multiplexados por el multiplexor 26 antes de ser transmitidos por la red 8.
Por lo general, el sistema 28 inserta, en particular, en cada mensaje ECMt:
- una gama de bits PBt a partir de la cual es posible encontrar un criptograma CW*t de la palabra de control CWt, - las condiciones de acceso CAt destinadas a ser comparadas con los títulos de acceso adquiridos por el usuario y almacenados en el terminal 10, y
- una redundancia criptográfica MACt que permite verificar la integridad de al menos una parte del mensaje que contiene el criptograma CW*t y las condiciones de acceso CAt.
La notación ECMt designa el mensaje ECM que contiene el criptograma CW*t. La notación CW*t designa el criptograma de la palabra de control CWt. Las notaciones CAt y MACt designan, respectivamente, las condiciones de acceso y la redundancia criptográfica contenidas en el mensaje ECMt.
En este caso, la redundancia criptográfica es un código de autenticación de mensajes conocido bajo el acrónimo MAC (“Message Authentication Code” en inglés). Dicha redundancia criptográfica, además de permitir verificar la integridad del mensaje ECM, también permite verificar la autenticidad del mensaje ECM.
Cada criptograma CW*t está codificado en Np bits. Concretamente, Np es superior a 50 o 100 y, en general, inferior a 300 o 500. Mediante el descifrado, el criptograma CW*t permite la obtención de la palabra de control CWt.
A modo de ilustración, todos los terminales del sistema 2 son idénticos y solamente se describe con más detalle el terminal 10.
El terminal 10 incluye al menos una línea de descodificado 60 que permite descodificar un canal para mostrarlo en un monitor 84. La línea 60 incluye un receptor 70 de contenido multimedia emitido. Este receptor 70 está conectado a la entrada de un demultiplexor 72. El demultiplexor 72 transmite por un lado el contenido multimedia codificado a un descodificador 74 y por otro lado los mensajes ECMt y los mensajes de gestión de títulos de acceso, o EMM (Entitlement Management Message en inglés) a un procesador de seguridad 76.
El procesador 76 descifra el criptograma CW*t para obtener la palabra de control CWt, que luego transmite al descodificador 74.
Para este fin, el procesador 76 contiene información confidencial, tales como claves criptográficas. Para preservar la confidencialidad de esta información, está diseñado para ser lo más sólido posible contra intentos de ataques de piratas informáticos. Por tanto, es más sólido frente a estos ataques que los demás componentes del terminal 10. Por ejemplo, el procesador 76 es una tarjeta de circuito impreso.
Por lo general, el procesador 76 incluye un microprocesador electrónico programable 77 capaz de ejecutar instrucciones almacenadas en una memoria. Para ello, el procesador 76 también comprende una memoria 78 que contiene las instrucciones necesarias para la ejecución del método de la Figura 4 o 6.
La memoria 78 también contiene:
- una clave operativa Ke que permite descifrar los criptogramas de las palabras de control,
- un código ejecutable secreto de una función fex de extracción,
- un código ejecutable de una función fMAC,
- una clave Kv,
- un código ejecutable de una función fde de descifrado, y
- los títulos de acceso de TA.
La función fex permite, cuando es ejecutada por el microprocesador 77, generar, a partir de la gama PBt del mensaje ECMt recibido, una variante entre una lista de N variantes diferentes del criptograma CW*t, en donde N es un número entero estrictamente mayor que uno y preferiblemente mayor que tres. Por lo general, N también es menor o igual a ocho. Esta lista contiene el criptograma CW*t y N-1 señuelos. Un señuelo es un valor que se codifica sobre el mismo número de bits que el criptograma CW*t pero que no permite descodificar el criptoperiodo CPt para la obtención de este criptoperiodo sin codificar. Para ello, cada señuelo del criptograma CW*t es diferente del criptograma CW*t. Del único examen de la estructura de las diferentes variantes de la lista no es posible distinguir entre un señuelo y el criptograma CW*t.
La combinación de la clave Kv y la función fMAC forma aquí una función secreta fve para verificar la integridad del mensaje ECMt. La función fve se utiliza para comprobar la integridad del criptograma CW*t a partir de la redundancia criptográfica MACt. Esta función devuelve una confirmación de la integridad del criptograma CW*t o, por el contrario, una invalidación de la integridad de este criptograma CW*t.
La función fde permite descifrar el criptograma CW*t utilizando la clave Ke para obtener la palabra de control sin codificar CWt.
Los títulos de acceso TA se comparan con las condiciones de acceso CAt recibidas para autorizar y, de manera alternativa, prohibir el descifrado del criptograma CW*t.
Por último, el descodificador 74 decodifica el contenido multimedia codificado a partir de la palabra de control transmitida por el procesador 76. El contenido multimedia decodificado se transmite a un descodificador 80 que lo decodifica. El contenido multimedia descomprimido o decodificado se transmite a una tarjeta gráfica 82 que controla la visualización de este contenido multimedia sin codificar en el monitor 84 provista de una pantalla 86.
La Figura 2 representa, de manera esquemática, la estructura del mensaje ECMt. Los símbolos PBt, CAt y MACt de esta figura corresponden a los ya definidos en este texto. Las líneas verticales onduladas indican que no se representaron partes de este mensaje ECMt.
La Figura 3 representa un primer método de codificación de los criptoperiodos del contenido multimedia susceptible de ser puesto en práctica en el sistema 2. Para cada criptoperiodo CPt del contenido multimedia se repiten las siguientes etapas.
Una etapa 120, durante la cual el generador 32 genera la palabra de control CWt, y luego la transmite al codificador 22 y al sistema 28.
Una etapa 122 durante la cual el codificador 22 codifica el criptoperiodo CPt del contenido multimedia utilizando la palabra de control CWt.
Una etapa 124 durante la cual el sistema 28 genera el mensaje ECMt. Con este fin, la etapa 124 incluye, en particular, las siguientes operaciones:
- una operación 126 durante la cual el sistema 28 cifra la palabra de control CWt, utilizando la clave Ke y una función de cifrado fch, para obtener el criptograma CW*t,
- una operación 128 durante la cual el sistema 28 construye la redundancia criptográfica MACt.
En este caso, la redundancia criptográfica MACt se construye, por ejemplo, cifrando el criptograma CW*t y las condiciones de acceso CAt utilizando la clave secreta Kv y utilizando la función de cifrado Fmac. La clave Kv es utilizada únicamente por el cabezal de red 6 o solamente por un grupo restringido de cabezales de red de un mismo operador. Esta clave Kv solamente se comunica a los terminales autorizados para descodificar el contenido multimedia.
Durante una operación 130, el sistema 28 construye la gama de bits PBt. La gama PBt está construida de tal manera que es posible generar, a partir de esta gama PBt y ejecutando la función fex, la lista de las N variantes del criptograma CW*t.
En esta primera forma de realización, para este propósito, el sistema 28 extrae, de manera aleatoria, o pseudoaleatoriamente N-1 números cada uno comprendido entre 0 y 2Np. Cada uno de estos números es diferente del criptograma CW*t y constituye un señuelo. A continuación, estos N-1 señuelos y el criptograma CW*t se disponen uno tras otro en un orden aleatorio o pseudoaleatorio para formar la gama de bits PBt. De este modo, cada vez que se genera un mensaje ECMt, el criptograma CW*t no se encuentra de manera sistemática en el mismo lugar dentro de la gama PBt. Por el contrario, la probabilidad de que el criptograma CW*t ocupe una posición dada dentro de la gama PBt es la misma cualquiera que sea la posición dada considerada.
Durante una operación 132, el sistema 28 genera el mensaje ECMt que contiene la gama construida PBt, las condiciones de acceso CAt y la redundancia criptográfica MACt. Este mensaje ECM no contiene ninguna información que permita identificar en la gama PBt la posición en donde se encuentra el criptograma CW*t.
Al final de la etapa 124, durante una etapa 136, el mensaje ECMt generado se multiplexa con el contenido multimedia codificado y luego se transmite a través de la red 8. Más concretamente, por lo general, el mensaje ECMt se transmite varias veces, incluyendo al menos una vez hacia el final del criptoperiodo CPt-1 y una vez al inicio del criptoperiodo CPt. La multiplexación de los mensajes ECM con los criptoperiodos codificados permite sincronizar temporalmente los mensajes ECM con respecto a los criptoperiodos.
La Figura 4 representa el método de descodificación por un terminal del contenido multimedia codificado y emitido poniendo en práctica el método de la Figura 3. Este método se describe en el caso particular del terminal 10 y el criptoperiodo CPt.
Durante una etapa 140, el receptor 70 recibe el mensaje ECMt y el criptoperiodo CPt codificado del contenido multimedia.
Durante una etapa 142, el demultiplexor 72 transmite el mensaje ECMt recibido al procesador 76. De manera paralela o, más por lo general y preferentemente, posteriormente, el demultiplexor 72 transmite el criptoperiodo al descodificador 74.
Durante una etapa 144, el procesador 76 recibe el mensaje ECMt y lo procesa para la obtención, si está autorizado, de la palabra de control CWt sin codificar.
Para ello, durante una operación 146, el microprocesador 77 compara las condiciones de acceso CAt con los títulos de acceso TA registrados en la memoria 78. Si las condiciones CAt corresponden a los títulos de acceso TA, entonces el procesamiento del mensaje ECMt continúa con una operación 148. De lo contrario, se interrumpe el procesamiento del mensaje ECMt.
Durante la operación 148, el microprocesador 77 extrae del mensaje ECMt la gama PBt y la redundancia criptográfica MACt.
Durante una operación 150, el microprocesador 77 obtiene una variante del criptograma CW*t a partir de la gama PBt. Para ello, el microprocesador 77 ejecuta la función fex. En este caso, cada vez que se ejecuta la función fex, genera una nueva variante del criptograma CW*t, diferente a la anterior, a partir de la gama PBt. Más precisamente, genera en orden, una primera variante durante la primera ejecución, luego una segunda variante durante la segunda ejecución y así sucesivamente hasta la N-ésima variante durante la N-ésima ejecución de la función fex. Esta función fex es por lo tanto capaz de construir la lista de las N variantes codificadas por la gama PBt.
En esta forma de realización, la función fex utiliza un índice p que identifica la posición de una variante en la gama PBt. El índice p es aquí un número entero que varía desde 1 a N, en donde el valor 1 designa la primera posición y por lo tanto la primera variante. Por el contrario, el valor N designa la última posición y por lo tanto la última variante. Inicialmente, el índice p es igual a 1.
Al ejecutar la función fex, el microprocesador 77 selecciona la variante situada en la posición marcada por el valor actual del índice p. A continuación, el índice p se incrementa, por ejemplo, en uno, después de cada ejecución de la función fex hasta que alcanza su valor máximo N.
Durante una operación 152, el microprocesador 77 verifica la integridad de la variante obtenida al final de la operación 150. Para ello, el microprocesador 77 ejecuta la función W Al ejecutar la función fve construye, a partir de la variante obtenida, una redundancia criptográfica MAC't que corresponde a esta variante. A continuación, esta redundancia criptográfica MAC't se compara con la MACt de redundancia extraída del mensaje ECMt. Si las redundancias criptográficas MAC't y MACt se corresponden, es decir, concretamente son idénticas, entonces se confirma la integridad y autenticidad de la variante obtenida. De lo contrario, se invalida la integridad y/o autenticidad de la variante obtenida. En este caso, la función fve es idéntica a la función puesta en práctica para construir la redundancia criptográfica MACt. Si la redundancia criptográfica MACt se construyó teniendo en cuenta datos adicionales contenidos en el mensaje ECMt, por ejemplo, tales como las condiciones CAt, la redundancia criptográfica MAC't también se construye teniendo en cuenta los mismos datos adicionales contenidos en el mensaje ECMt recibido. Por ejemplo, en esta forma de realización, cada redundancia criptográfica MAC't se construye a partir de la variante obtenida y de las condiciones de acceso CAt.
Si se invalida la integridad de la variante obtenida, al final de la operación 152, el microprocesador 77 no transmite una palabra de control al descodificador 74. Además, en este caso, el microprocesador 77 no descifra la variante obtenida. A continuación, en el caso de que el índice p sea menor o igual a N, el método retorna a la operación 150 para la obtención de una nueva variante y verificar su integridad. Por el contrario, en el caso de que el índice p sea estrictamente mayor que N, ello significa que la integridad ha sido invalidada para cada una de estas N variantes de la lista. Dicha situación por lo general resulta de la corrupción del mensaje ECMt durante su transmisión al terminal 10. En este caso, el microprocesador 77 interrumpe el procesamiento del mensaje ECMt recibido y ejecuta una operación 154.
Durante la operación 154, el microprocesador 77 emite y transmite al terminal 10 una señal de error que indica que se ha detectado un error de integridad en el mensaje ECMt recibido. En respuesta a esta señal, el terminal 10 inicia una acción predeterminada. Por ejemplo, el terminal 10 muestra un mensaje en la pantalla 86 para informar al espectador de dicho error de transmisión. Otra acción posible es solicitar al cabezal 6 que retransmita el mensaje ECMt.
Si se confirma la integridad de la variante obtenida, al final de la operación 152, el método continúa con una operación 156.
Durante la operación 156, la variante obtenida es descifrada por el microprocesador 77 ejecutando la función fde parametrizada por la clave Ke. De hecho, si se confirma la integridad de la variante obtenida, ello significa que esta variante es idéntica al criptograma CW*t. Por lo tanto, el descifrado de esta variante permite la obtención de la palabra de control CWt sin codificar. La palabra de control así obtenida es luego transmitida por el microprocesador 77 al descodificador 74.
Al final de la etapa 144, durante una etapa 160, el descodificador 74 utiliza la palabra de control CWt transmitida por el procesador 76 para descodificar el criptoperiodo CPt del contenido multimedia codificado.
A continuación, durante una etapa 162, el criptoperiodo descodificado es decodificado por el descodificador 80, y luego mostrado sin codificar en la pantalla 86 por la tarjeta gráfica 82.
Lo que se ha descrito en el caso particular del criptoperiodo CPt y del mensaje ECMt se repite entonces para cada criptoperiodo y cada mensaje ECM para descodificar cada criptoperiodo del contenido multimedia a medida que se reciben. En este caso, al final de la operación 154 y de la etapa 162, el método retorna a la etapa 140 para procesar otro mensaje ECM.
La Figura 5 representa otro posible método de codificación de los criptoperiodos del contenido multimedia. Este otro método es idéntico al de la Figura 3 excepto que la etapa 124 se sustituye por una etapa 170. La etapa 170 es idéntica a la etapa 124 excepto que la operación 130 se sustituye por una operación 172 de construcción de la gama de bits PBt. Durante la operación 172, la magnitud de la gama construida PBt es igual a Np. La página PBt se construye a partir del criptograma CW*t modificando aleatoria o pseudoaleatoriamente el valor de x bits de este criptograma, siendo x un número entero tal que N = 2x. En esta forma de realización, los x bits cuyos valores se modifican se ubican en posiciones predeterminadas y constantes en la gama PBt. Por ejemplo, estos son los primeros x bits de la gama PBt.
La Figura 6 representa el método de decodificación puesto en práctica cuando el método de codificación utilizado es el de la Figura 5. El método de la Figura 6 es idéntico al método de la Figura 4 excepto que la etapa 144 se sustituye por una etapa 180. La etapa 180 es idéntica a la etapa 144 excepto que la operación 150 se sustituye por una operación 182. Para simplificar la Figura 6, solamente se representa la etapa 180.
Durante la operación 182, cada vez que se ejecuta la función fex, sustituye los primeros x bits de la gama PBt por un nuevo valor posible diferente de los ya propuestos durante ejecuciones anteriores de la función fex en la misma gama PBt. La nueva variante generada es entonces igual a la concatenación de este nuevo valor posible y los restantes bits de la gama PBt situados entre el (x+1 )-ésimo y el Np-ésimo bit de esta gama.
Variantes de la gama PBt y de la función fex:
Muchas otras formas de realización son posibles para construir la gama PBt y para la función fex. Por ejemplo, la magnitud de la gama PBt es constante e igual a Np N - 1. A continuación, la posición del criptograma CW*t dentro de esta gama PBt se dibuja aleatoria o pseudoaleatoriamente. Los valores de los bits de la gama PBt situados antes y/o después del criptograma CW* también se extraen, por ejemplo, de forma aleatoria o pseudoaleatoria. En tal gama PBt, existen, por lo tanto, N posiciones posibles para el criptograma CW*t. Cada vez que se ejecuta la función fex, devuelve, como nueva variante, una secuencia de Np bits que se encuentra en una posición diferente en la gama PBt. Por ejemplo, durante su primera ejecución, la función fex devuelve la variante codificada entre el primero y el Np-ésimo bit de la gama PBt, durante la segunda ejecución, devuelve la variante situada entre el segundo y el (Np+1 )-ésimo bits de la gama PBt y así sucesivamente.
En otra variante, la magnitud de la gama PBt es igual al tamaño del criptograma CW*t y, inicialmente, el valor de la gama PBt es igual al valor del criptograma CW*t. Esta gama PBt se construye luego modificando de manera sistemática el valor de x bits del criptograma CW*t. La posición de los x bits modificados se dibuja de forma aleatoria o pseudoaleatoria. Por "modificar de manera sistemática" se entiende aquí el hecho de que cuando el valor del bit a modificar es igual a 0, se sustituye por 1 y viceversa. En este caso, cada vez que se ejecuta la función fex, genera una nueva variante modificando de manera sistemática el valor de x bits de la gama PBt recibida. Por ejemplo, si x es igual a 1, cuando se ejecuta por primera vez la función fex, solamente se modifica el primer bit de la gama PBt. Durante la segunda ejecución de la función fex, solamente se modifica el segundo bit y así sucesivamente.
La función fex puede ser parametrizada por uno o más parámetros. Por ejemplo, el número x de bits y la posición de estos x bits dentro de la gama PBt pueden ser parámetros ajustables del método de las Figuras 5 y 6. En el caso de que se modifiquen los valores de estos parámetros, los nuevos valores de estos parámetros se transmiten, por ejemplo, al procesador 76 a través de un mensaje EMM o de un mensaje ECM.
Otra posible forma de realización para construir la gama PBt consiste en aplicar al criptograma CW*t una transformación invertible Ti seleccionada aleatoria o pseudoaleatoriamente de un grupo GA compuesto por N transformaciones invertibles T1 a TN. La gama de bits PBt se toma entonces igual al resultado de la transformación del criptograma CW*t por la transformación Ti seleccionada. Como ejemplo, el grupo GA está compuesto por las siguientes transformaciones invertibles y biyectivas y las composiciones de varias de las transformaciones invertibles de este grupo:
- una rotación de y bits a la derecha o a la izquierda de los bits del criptograma CW*t,
- una permutación de varios bits del criptograma CW*t ubicados en posiciones predeterminadas dentro de este criptograma, y
- una función de cifrado simétrico del criptograma CW*t con una clave Kai.
Al recibir un mensaje ECMt que comprende una gama PBt construida tal como se describe en el párrafo anterior, cada vez que se ejecuta la función fex, ésta selecciona la inversa de una transformación del grupo GA. Por "la inversa de una transformación" se entiende la transformación inversa o la transformación recíproca, es decir, la transformación biyectiva que asocia el elemento de partida z con cada elemento Ti(z). A continuación, aplica la transformación inversa seleccionada a la gama PBt del mensaje ECMt recibido para la obtención de la nueva variante. La función fex selecciona una tras otra las transformaciones inversas de todas las transformaciones del grupo GA.
Para generar un mayor número de variantes a partir de una misma gama de bits PBt, se pueden combinar entre sí los diferentes modos de construcción de la gama PBt aquí descritos. En este caso, para la obtención de las diferentes variantes, la función fex ejecutada es también una combinación de las diferentes funciones fex aquí descritas.
En otra variante, cada mensaje ECMt incluye no solamente el criptograma CW*t sino también el criptograma CW*t+1. El criptograma CW*t+1 contenido en el mensaje ECMt se utiliza para transmitir, antes de la difusión del criptoperiodo CPt+1, la palabra de control CWt+1 que se utilizará para descodificar este criptoperiodo CPt+1. Para ello, el mensaje ECMt por lo general incluye el par de criptogramas CW*/CW*t+1 de las palabras de control CWt y CWt+1, y se emite durante un final del criptoperiodo CPt seguido de un inicio del criptoperiodo CPt+ 1. Este par de criptogramas CW*t/CW*t+1 se obtiene cifrando las palabras de control CWt y CWt+1 con la clave Ke tal como se describe en el caso particular del criptograma CW*t solo. Las diversas formas de realización aquí descritas pueden adaptarse fácilmente a esta situación aplicando al par de criptogramas CW*t/CW*t+1 todo lo que se ha descrito en el caso particular del criptograma CW*t solo. Además, de manera ventajosa, solamente se codifican variantes del criptograma CW*t+1 en la gama PBt. En consecuencia, al recibir un mensaje ECMt, la ejecución de la función fex permite la obtención de una variante de entre una lista de N variantes del par CW*t/CW*t+1. Sin embargo, en esta lista, solamente cambian los bits ubicados en la ubicación del criptograma CW*t+1. Los bits ubicados en la ubicación del criptograma CW*t son idénticos para todas las variantes de esta lista. Por ejemplo, los bits ubicados en la ubicación del criptograma CW*t en cada una de las variantes de esta lista son idénticos a los del criptograma CW*t. En consecuencia, cuando se recibe el mensaje ECMt, la ejecución de la función fex permite generar una variante entre la lista de N variantes del criptograma CW*t/CW*t+1 en donde solamente el criptograma CW*t+1 cambia desde una variante a otra. En consecuencia, el criptograma CW*t es común a todos los pares de criptogramas de la lista. Por lo tanto, no es posible utilizar este criptograma CW*t, posiblemente ya conocido por haber sido emitido previamente en el mensaje ECMt-1, para identificar el criptograma CW*t+1 entre los señuelos de la lista.
Otras variantes:
La invención no se limita a los modos de sincronización de mensajes de criptoperiodo y ECM aquí descritos como ejemplos, sino que se aplica en particular a todos los modos autorizados por la norma DVB SimulCrypt (ETSI TS 103197).
Como variante, la redundancia criptográfica se construye teniendo en cuenta únicamente el criptograma CW*t y sin tener en cuenta las condiciones de acceso CAt. Por el contrario, la redundancia criptográfica puede construirse teniendo en cuenta información adicional, además, del criptograma CW*t y/o de las condiciones de acceso CAt, contenidas en el mensaje ECMt.
En otra variante, la redundancia criptográfica no es un código de autenticación de mensajes. Por ejemplo, no es necesario que la redundancia criptográfica permita, además, verificar la autenticidad del mensaje ECMt. Así, la redundancia criptográfica también puede obtenerse mediante una simple función hash o cualquier otra función similar que permita la obtención de una redundancia criptográfica a partir de la cual sea posible verificar la integridad del criptograma CW*t.
En otra variante, la función fve no es idéntica a la puesta en práctica para construir la redundancia criptográfica MACt. Este es particularmente el caso si, en lugar de utilizar una función de cifrado simétrico, se utilizan funciones de cifrado asimétrico. Por ejemplo, en este último caso, la redundancia criptográfica MACt construida por el sistema 28 se obtiene cifrando el criptograma CW*t con una clave privada y una función de cifrado asimétrica. Para verificar dicha redundancia criptográfica MACt, el microprocesador 77 descifra la redundancia criptográfica MACt recibida utilizando una clave pública que corresponde a la clave privada. Obtiene así un dato sin codificar que compara con la variante obtenida. Si el dato sin codificar corresponde a la variante obtenida, se confirma la integridad. De lo contrario, se invalida.
Si la función de cifrado fMAc utilizada para construir la redundancia criptográfica MACt es invertible, entonces la función fve también puede ser la inversa de la función fMAC. En este caso, el microprocesador 77 construye un dato sin codificar descifrándolo utilizando la función fve de la redundancia criptográfica MACt. A continuación, este dato sin codificar se compara con la variante obtenida. Si son idénticos o coinciden, se confirma la integridad de la variante resultante. De lo contrario, se invalida. Este es, en particular, el caso cuando los métodos para construir y verificar la redundancia criptográfica que son objeto de la patente FR2918830, se utilizan para construir y verificar MACt.
Como variante, la función fex se ejecuta una sola vez por cada mensaje ECMt recibido. En este caso, durante esta única ejecución, la función fex genera la lista de N variantes de una sola vez en lugar de generarlas una tras otra. A continuación, el método es idéntico al que se ha descrito aquí, excepto que en lugar de ejecutar la función fex cada vez para la obtención de una nueva variante, esta nueva variante se selecciona de la lista generada de una vez durante la única ejecución de esta función fex.
En otra variante, incluso si se invalida la integridad de la variante, se descifra, pero no se transmite al descodificador 74.
Se puede omitir la transmisión de la señal de error cuando se invalida la integridad de las N variantes.
El procesador de seguridad no es necesariamente una tarjeta inteligente. También puede ser un componente de hardware integrado permanentemente en el terminal 10. Por ejemplo, puede ser un coprocesador de seguridad integrado en el microprocesador del terminal 10. El procesador de seguridad también puede ser un componente de software.
Ventajas de las diferentes formas de realización descritas:
En los métodos descritos, para distinguir el criptograma CW*t entre los N-1 señuelos, es necesario utilizar la función fve. Por lo tanto, para lograr descifrar el criptograma CW*t, un pirata informático debe, además, de pasar el criptoanálisis de la función fde y de la clave Ke, también pasar el criptoanálisis de esta función fve. Por lo tanto, esto hace que los métodos descritos sean más sólidos con respecto a los intentos de criptoanálisis.
El uso de un código de autenticación de mensajes como redundancia criptográfica hace que los métodos descritos sean aún más sólidos frente a las tentativas de criptoanálisis. De hecho, la construcción de códigos de autenticación de mensajes utiliza funciones criptográficas que son difíciles de criptoanalizar.
Elegir N entre tres y ocho permite la obtención de un buen compromiso entre la solidez del método y su velocidad de ejecución.
La generación de las N variantes a partir de una gama PBt que tiene el mismo tamaño que el criptograma CW*t o como el par de criptogramas CW*t/CW*t+1 permite poner en práctica los métodos descritos sin aumentar la magnitud de los mensajes ECM y, por tanto, sin aumentar el ancho de banda necesario para la transmisión de estos mensajes. Lo que antecede también puede tener la ventaja adicional de prohibir la detección de la puesta en práctica de los métodos según la invención por el único análisis de la estructura de los mensajes ECM emitidos.
La transmisión de la señal de error al terminal permite desencadenar las mismas acciones que se ejecutarían en ausencia de la puesta en práctica de los métodos aquí descritos. Gracias a lo que antecede, la puesta en práctica de los métodos descritos no requiere necesariamente modificar el terminal 10.
Tal como se ha descrito con anterioridad, en el caso de que cada mensaje ECM contenga tanto los criptogramas CW*t como CW*t+1, el hecho de codificar únicamente variantes del criptograma CW*t+1 en el mensaje ECMt hace que sea más difícil la identificación del criptograma CW*t+1 entre los N-1 señuelos.

Claims (11)

REIVINDICACIONES
1. Método de recepción y de descifrado de un criptograma de una palabra de control que puede utilizarse para decodificar un criptoperiodo de un contenido multimedia, comprendiendo este método:
a) la recepción (140) de un mensaje de control de acceso que contiene:
• una gama de bits a partir de la cual se puede obtener un criptograma CW*t de la palabra de control, y
• una redundancia criptográfica que permite verificar la integridad del criptograma CW*t,
caracterizado porque este método comprende:
b) la obtención (150; 182) de una variante particular del criptograma CW*t que pertenece a una lista de N variantes diferentes del criptograma CW*t, incluyendo esta lista una variante idéntica al criptograma CW* y siendo todas las demás variantes que pertenecen a esta lista señuelos distintos entre sí del criptograma CW*t que no permiten descifrar el criptoperiodo, siendo N un número entero mayor o igual a dos, generándose cada una de las variantes que pertenecen a esta lista a partir de la misma gama de bits del mensaje de control de acceso recibido, procesando esta gama de bits con la ayuda de una función de extracción predeterminada capaz de generar, cuando es ejecutada por un microprocesador, a partir de esta gama de bits, cada una de las N variantes que pertenecen a esta lista, y luego
c) la verificación (152) de la integridad de la variante obtenida, a partir de la redundancia criptográfica contenida en el mensaje de control de acceso recibido, mediante la ejecución de una función de verificación predeterminada y secreta capaz de confirmar y, de manera alternativa, invalidar la integridad de la variante obtenida, cuando esta función es ejecutada por un microprocesador,
d) solamente si, durante la etapa c), se confirma la integridad de la variante obtenida, el descifrado (156) de la variante obtenida, con una clave de explotación, para obtener la palabra de control descifrada, y por tanto la transmisión (156) de la palabra de control descifrada a un descodificador para decodificar el criptoperiodo del contenido multimedia codificado,
e) si, durante la etapa c), se invalida la integridad de la variante obtenida, la no transmisión al descodificador de la variante obtenida, y
- si existe otra variante del criptograma CW*t que pertenece a la lista de N variantes y para la cual aún no se ha ejecutado la etapa c): el retorno del método a la etapa b) para obtener esta otra variante, y luego repetir la etapa c) y la etapa d) o e) para esta otra variante, y de manera alternativa,
- si ya se ha ejecutado la etapa c) para cada una de las variantes que pertenecen a la lista de N variantes:
la interrupción del procesamiento del mensaje de control de acceso recibido durante la etapa a).
2. Método según la reivindicación 1, en donde si se ha invalidado la integridad de cada una de las variantes obtenidas que pertenecen a la lista de N variantes, entonces el método retorna a la etapa a) para recibir un nuevo mensaje de control de acceso a procesar.
3. Método según cualquiera de las reivindicaciones anteriores, en donde la redundancia criptográfica es un código de autenticación de mensajes y, durante la etapa c), el método comprende tanto la verificación (152) de la integridad del criptograma CW*t como la verificación (152) de la autenticidad del criptograma CW*t.
4. Método según cualquiera de las reivindicaciones anteriores, en donde N está comprendido entre tres y ocho.
5. Método según cualquiera de las reivindicaciones anteriores, en donde la gama de bits contenida en el mensaje de control de acceso comprende exactamente el mismo número de bits que el criptograma CW*t y, durante la etapa b), la función de extracción predeterminada es capaz de generar, cuando es ejecutada por un microprocesador, las N variantes diferentes comprendiendo cada una exactamente el mismo número de bits que el criptograma CW*t a partir de esta gama de bits.
6. Método según cualquiera de las reivindicaciones anteriores, en donde, únicamente como respuesta a que se han repetido las etapas c) y e) para todas las variantes de la lista, el método comprende la emisión (154) de una señal indicando que la integridad del criptograma CW*t está invalidada.
7. Método para generar y transmitir un criptograma de una palabra de control que puede ser utilizado para decodificar un criptoperiodo de contenido multimedia, pudiendo recibir y descifrar el criptograma generado y transmitido mediante un método de conformidad con cualquiera de las reivindicaciones anteriores, comprendiendo este método:
a) la generación (120) de una palabra de control CWt utilizada para codificar el criptoperiodo del contenido multimedia,
b) el cifrado (126) de la palabra de control CWt con la clave operativa para obtener el criptograma CW*t de esta palabra de control,
c) la construcción (128) de una redundancia criptográfica a partir del criptograma CW*t, permitiendo esta redundancia criptográfica verificar la integridad del criptograma CW*t ejecutando la función de verificación predeterminada y secreta capaz de confirmar y, de manera alternativa, de invalidar la integridad de este criptograma cuando esta función es ejecutada por un microprocesador,
caracterizado porque el método comprende:
d) la construcción (130; 172) de una gama de bits a partir del criptograma CW*t que permite, procesando esta gama de bits utilizando la función de extracción predeterminada, generar, cuando la función de extracción la realiza un microprocesador, a partir de esta gama de bits, cada una de las variantes que pertenecen a una lista de N variantes diferentes del criptograma CW*t, comprendiendo esta lista una variante idéntica al criptograma CW*t y siendo todas las demás variantes señuelos distintos entre sí del criptograma CW*t, que no permiten decodificar el criptoperiodo, siendo N un número entero mayor o igual a dos,
e) la generación (132) del mensaje de control de acceso que incluye la gama de bits construido y la redundancia criptográfica construida, y
f) la transmisión (136) del mensaje de control de acceso construido hacia un receptor capaz de descifrar el criptograma CW*t contenido en este mensaje de control de acceso.
8. Método según la reivindicación 7, en donde:
- se ejecutan las etapas a) a b) para una primera palabra de control CWt destinada a codificar un primer criptoperiodo, a continuación, se ejecutan las etapas a) a f) para una segunda palabra de control CWt+1 destinada a codificar un segundo criptoperiodo, siendo los primero y segundo criptoperiodos unos criptoperiodos inmediatamente sucesivos en el tiempo,
- durante la ejecución de la etapa e) realizada para la segunda palabra de control CWt+1, el mensaje de control de acceso generado comprende los criptogramas CW*t y la gama de bits se construye para codificar N variantes del criptograma CW*t+1 y ninguna variante del criptograma CW*t.
9. Soporte de registro de información, caracterizado porque comprende instrucciones para la puesta en práctica de un método según cualquiera de las reivindicaciones anteriores, cuando estas instrucciones son ejecutadas por un microprocesador electrónico.
10. Cabezal de red (6) para poner en práctica un método según cualquiera de las reivindicaciones 7 a 8, comprendiendo este cabezal de red:
a) un generador (32) capaz de generar una palabra de control CWt utilizada para codificar el criptoperiodo del contenido multimedia,
b) un sistema de acceso condicional (28) capaz de:
- cifrar la palabra de control CWt con la clave operativa para obtener el criptograma CW*t de esta palabra de control,
- construir una redundancia criptográfica a partir del criptograma CW*t, permitiendo esta redundancia criptográfica verificar la integridad del criptograma CW*t mediante la ejecución de la función de verificación predeterminada y secreta capaz de confirmar y, de manera alternativa, invalidar la integridad de este criptograma cuando esta función es ejecutada por un microprocesador,
caracterizado porque el sistema de acceso condicional (28) también es capaz de:
- construir una gama de bits a partir del criptograma CW*t que permita, mediante el procesamiento de esta gama de bits utilizando la función de extracción predeterminada, generar, cuando la función de extracción es ejecutada por un microprocesador, a partir de esta gama de bits, cada una de las variantes que pertenecen a una lista de N variantes diferentes del criptograma CW*t, comprendiendo esta lista una variante idéntica al criptograma CW*t y siendo todas las demás variantes señuelos distintos entre sí del criptograma CW*t, que no permiten descodificar el criptoperiodo, siendo N un número entero mayor o igual a dos,
- generar el mensaje de control de acceso que comprende la gama de bits construida y la redundancia criptográfica construida, y
- transmitir el mensaje de control de acceso construido hacia un receptor capaz de descifrar el criptograma CW*t contenido en este mensaje de control de acceso.
11. Procesador de seguridad (76) para poner en práctica un método según cualquiera de las reivindicaciones 1 a 6, comprendiendo dicho procesador de seguridad un microprocesador (77) programado para realizar la etapa siguiente:
a) la recepción de un mensaje de control de acceso que contiene:
• una gama de bits a partir de la cual se puede obtener un criptograma CW*t de la palabra de control, y • una redundancia criptográfica que permite verificar la integridad del criptograma CW*t, caracterizado porque este microprocesador (77) también está programado para realizar las siguientes etapas: b) la obtención de una variante particular del criptograma CW*t que pertenece a una lista de N variantes diferentes del criptograma CW*t, comprendiendo esta lista una variante idéntica al criptograma CW*t y siendo todas las demás variantes que pertenecen a esta lista señuelos distintos entre sí del criptograma CW*t que no permiten descodificar el criptoperiodo, siendo N un número entero mayor o igual a dos, y generándose cada una de las variantes de esta lista a partir de la misma gama de bits del mensaje de control de acceso recibido, procesando esta gama de bits con la ayuda de una función de extracción predeterminada capaz de generar, cuando es ejecutada por un microprocesador, a partir de esta gama de bits, cada una de las variantes que pertenecen a esta lista, y luego
c) la verificación de la integridad de la variante obtenida, a partir de la redundancia criptográfica contenida en el mensaje de control de acceso recibido, mediante la ejecución de una función de verificación predeterminada y secreta capaz de confirmar y, de manera alternativa, invalidar la integridad de la variante obtenida, cuando esta función esté ejecutada por un microprocesador,
d) solamente si, durante la etapa c), se confirma la integridad de la variante obtenida, el descifrado de la variante obtenida con una clave de explotación para obtener la palabra de control descifrada, luego la transmisión de la palabra de control descifrada a un descodificador para decodificar el criptoperiodo del contenido multimedia codificado,
e) si, durante la etapa c), se invalida la integridad de la variante obtenida, la no transmisión, al descodificador, de la variante obtenida, y
- si existe otra variante del criptograma CW*t que pertenece a la lista de N variantes y para la cual aún no se ha ejecutado la etapa c): el retorno del método a la etapa b) para obtener esta otra variante, luego repetir la etapa c) y la etapa d) o e) para esta otra variante, y de manera alternativa,
- si ya se ha ejecutado la etapa c) para cada una de las variantes que pertenecen a la lista de N variantes:
la interrupción del procesamiento del mensaje de control de acceso recibido durante la etapa a).
ES18748993T 2017-06-28 2018-06-25 Método de recepción y de descifrado de un criptograma de una palabra de control Active ES2906474T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1755975A FR3068560B1 (fr) 2017-06-28 2017-06-28 Procede de reception et de dechiffrement d'un cryptogramme d'un mot de controle
PCT/FR2018/051530 WO2019002736A1 (fr) 2017-06-28 2018-06-25 Procédé de réception et de déchiffrement d'un cryptogramme d'un mot de contrôle

Publications (1)

Publication Number Publication Date
ES2906474T3 true ES2906474T3 (es) 2022-04-18

Family

ID=59811560

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18748993T Active ES2906474T3 (es) 2017-06-28 2018-06-25 Método de recepción y de descifrado de un criptograma de una palabra de control

Country Status (6)

Country Link
EP (1) EP3646526B1 (es)
DK (1) DK3646526T3 (es)
ES (1) ES2906474T3 (es)
FR (1) FR3068560B1 (es)
PL (1) PL3646526T3 (es)
WO (1) WO2019002736A1 (es)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2808145B1 (fr) * 2000-04-25 2002-09-27 Gemplus Card Int Procede de calcul d'une donnee de controle
FR2918830B1 (fr) 2007-07-13 2009-10-30 Viaccess Sa Verification de code mac sans revelation.
FR2961650B1 (fr) * 2010-06-22 2012-07-27 Viaccess Sa Procede de protection, procede de dechiffrement, support d'enregistrement et terminal pour ce procede de protection
FR2963191B1 (fr) * 2010-07-23 2012-12-07 Viaccess Sa Procede de detection d'une utilisation illicite d'un processeur de securite
EP2564343B1 (en) * 2010-10-21 2016-11-09 NDS Limited Code diversity method and system
FR2970134B1 (fr) * 2010-12-29 2013-01-11 Viaccess Sa Procede de transmission et de reception d'un contenu multimedia

Also Published As

Publication number Publication date
WO2019002736A1 (fr) 2019-01-03
EP3646526A1 (fr) 2020-05-06
PL3646526T3 (pl) 2022-05-02
DK3646526T3 (da) 2022-03-07
FR3068560B1 (fr) 2019-08-23
FR3068560A1 (fr) 2019-01-04
EP3646526B1 (fr) 2021-12-15

Similar Documents

Publication Publication Date Title
RU2433548C2 (ru) Способ дескремблирования скремблированного информационного объекта контента
CN102160325B (zh) 利用散列密钥的simulcrypt密钥共享
KR20140034725A (ko) 제어 워드 보호
KR20100089228A (ko) 멀티미디어 컨텐트의 전송 스트림 암호화 방법 및 그 장치,복호화 방법 및 그 장치
CN102075812B (zh) 一种数字电视的数据接收的方法和系统
ES2724703T3 (es) Verificación del código MAC sin revelación
CN105432092B (zh) 用于对通过至少一个内容密钥加密的压缩内容加水印的方法
WO2011120901A1 (en) Secure descrambling of an audio / video data stream
JP2012510743A (ja) 追加キーレイヤーを用いたコンテンツ復号化装置および暗号化システム
PT1421789E (pt) Método para controlar o acesso a um programa de dados codificados
JP2004138933A (ja) デジタル映像スクランブル装置、デスクランブル装置および該装置を実現するプログラム
ES2703395T3 (es) Métodos de descifrado, de transmisión y de recepción de palabras de control, soporte de registro y servidor para estos métodos
PT2391126T (pt) Método de segurança para impedir a utilização não autorizada de conteúdos multimédia
US9544276B2 (en) Method for transmitting and receiving a multimedia content
ES2551173T3 (es) Procedimiento de recepción de un contenido multimedia codificado con la ayuda de palabras de control y captcha
ES2761309T3 (es) Método para detectar el uso ilegal de un procesador de seguridad
KR101005844B1 (ko) 메모리 카드 기반의 ts 패킷 처리를 위한 수신 제한 시스템
ES2906474T3 (es) Método de recepción y de descifrado de un criptograma de una palabra de control
US10411900B2 (en) Control word protection method for conditional access system
ES2602137T3 (es) Procedimiento de protección, procedimiento de cifrado, soporte de registro y terminal para este procedimiento de protección
JP2008294707A (ja) デジタル放送受信装置
KR102202813B1 (ko) Iptv 디바이스, 서버, 및 그 동작 방법
FR3072848B1 (fr) Procede de reception et de dechiffrement, par un processeur electronique de securite, d'un cryptogramme d'un mot de controle
WO2014154236A1 (en) Obtaining or providing key data
KR102190886B1 (ko) 조건부 액세스 시스템의 컨트롤 워드 보호