Современный мир основан на товарно-денежных отношениях. Мир спутникового телевидения, являясь частью этого мира, этих отношений так же не лишен. Телеканалы – это тот же товар, выгодно продаваемый конечному потребителю и поэтому любые каналы, хоть сколько-нибудь интересные для зрителя и востребованные им, не попадают в эфир в открытом виде, т.е. бесплатно. Подавляющее большинство интересных фильмовых, детских, познавательных, спортивных и прочих тематических телеканалов закодированы и за их просмотр зрителю необходимо платить оператору абонентскую плату.
Любое кодирование телеканалов – это применение к ним системы условного доступа, т.е. программно-аппаратного механизма для ограничения доступа. В этой статье кратко описаны основные применяемые сейчас системы кодирования (или системы условного доступа) в мире спутникового телевидения.
BISS (Basic Interoperable Scrambling System) – это простейшая система условного доступа, праматерь стандартизированных систем кодирования, даже не требующая для работы карт доступа. Передающей стороной сигнал кодируется с использованием секретных ключей, а в ресивере декодируется с использованием этого же ключа, длина которого составляет 16 цифр в шестнадцатеричной системе исчисления. Каналы в данной кодировке легко открываются ресивером, имеющим встроенный эмулятор ключей.
Viaccess – очень распространенная система условного доступа, разработанная французской корпорацией France Telecom. Существует множество ее версий - PC2.3 / PC2.4 / PC2.5 / PC2.6 / PC3.0 / PC3.1 / PC4.0 / PC5.0 (все ранние версии взломаны). У нас в стране используется телекомпанией «НТВ-Плюс», в Европе - французскими спутниковыми каналами TPS; на спутнике Hotbird в Viaccess закодировано множество каналов. В середине 2000-х годов эта кодировка являлась третьей по распространённости СУД в мире.
Irdeto – система кодирования, разработанная голландской компанией Irdeto Access B.V., занимающейся разработкой программных продуктов и решений по управлению контента и комплексных систем защиты цифровой информации для платного телевидения. Более 500 млн. абонентов во всем мире используют технологии Irdeto на более чем 1 млрд. аппаратов и приложений. В этой системе кодирования работают российские операторы спутникового ТВ «Радуга ТВ» и «Континент ТВ».
DRE Crypt (Z-Crypt) – система условного доступа, которой пользуется наибольшее количество абонентов спутникового телевидения в России. Состоит из: головного скремблирующего оборудования (подключается к системе мультиплексирования и скремблирования транспортных потоков и предназначено для управления процессом закрытия телевизионных программ и данных, ввода дополнительной служебной и не служебной информации и управления абонентами) и абонентского дескремблирующего оборудования. Используется российскими операторами «Триколор ТВ» и «Платформа HD», а это немного – немало более 10 млн. пользователей.
Videoguard - кодировка, используемая большинством телеканалов корпорации Sky и казахстанской системой «OTAU TV». Смарт-карты для просмотра каналов в этой кодировке, «пришиваются» к ресиверу (то eсть в других ресиверах, кроме от того, на котором была активирована карта доступа, работать она не будет). Довольно устойчива к взлому.
PowerVu - система условного доступа, разработанная военным ведомством США. С использованием этой кодировки идёт вещание практически всех каналов American Forces Network. Очень устойчива к взлому, но для приема телеканалов необходим специальный, довольно дорогостоящий ресивер.
Nagravision - в свое время данная кодировка использовалась европейскими операторами спутникового телевидения, как и Dish Network USA. На сегодняшний день взломана, но уже существует ее вторая версия – Nagravision 2.
Существует система условного доступа и российской разработки – Роскрипт-М (ФГУП НИИРадио) , довольно серьезно устойчивая к взлому и используемая для кодирования пакета телеканалов на российском спутнике Экспресс АМ-1.
С возникновением в 90-х годах прошлого века спутникового и аналогового кабельного телевизионного вещания появилась необходимость закрывать контент системами условного доступа. В то время спутники не могли обеспечить зону покрытия для отдельной страны, так чтобы их сигналы не попадали на территории соседних стран. Лицензионные права на передачу спортивных соревнований и других программ предписывали строгую раздачу сигнала на территорию одной страны или нескольких определенных. Появились три основных направления систем условного доступа.
Системы доступа для аналогового ТВ
Система условного доступа (СУД) Sat- box. Аналогичная система применялась в беспроводной системе раздачи телевидения MMDS, например «Космос ТВ» в Москве и многих других городах, а в настоящее время используется только в ACS 500, Crypton и их модификациях. Для скремблирования использовалась система, удаляющая синхроимпульсы из видеосигнала. На
Рисунок 1. Видео сигнал со смещенными синхроимпульсами.
рис. 1 показан видеосигнал со смещенными синхроимпульсами. Поскольку уровни видеосигнала по амплитуде превышали в этом случае величину вершины импульса, то синхронизация в телевизионном приемнике не работала. Воспроизведение такого сигнала на экране телевизора обеспечивало защиту контента, а развитие электронной техники на том этапе не позволяло простыми способами восстановить исходный сигнал. В целом эта система прослужила достаточно долго, защищая инвестиции в том числе и кабельных операторов. Задолго до этого подобная система существовала в США. Наибольшее распространение она получила в спутниковом вещании, а также в кабельных сетях. В момент внедрения цветного телевидения во многих странах возникла проблема совместимости системы цветного телевидения с парком старых черно-белых телевизоров. Поднесущая цветности создавала «муар» на экранах черно-белых телевизоров. Чтобы минимизировать побочное влияние на качество изображения поднесущая цветности выбиралась с таким расчетом, чтобы быть нечетной гармоникой полустрочной частоты. Штатный декодер использовал данное соотношение для восстановления синхроимпульсов. В США в системе NTSC частота поднесущей цветности 3,579545 МГц равнялась нечетной (455) гармонике полустрочной частоты 15734 КГц. Поскольку европейский стандарт использовал более сложное алгебраическое соотношение поднесущей цветности и частоты строк, то по закрытому каналу передавались опорные импульсы 25 Гц, по которым осуществлялась подстройка частоты и фазы синхросмеси с помощью системы ФАПЧ. Существовала также похожая система, в которой амплитуда видеосигнала уменьшалась в 2 раза и к нему добавлялись синусоидальные колебания, частотой ниже на 25 Гц строчной частоты, что делало синхронизацию невозможной. Декодирование осуществлялось с помощью приставки, по структуре, похожей на описанную ранее.
Системы условного доступа EuroCrypt, VideoCrypt. В 1989 году с началом вещания TV1000 скандинавские страны стали использовать СУД EuroCrypt совместно с системой вещания D2-MAC. СУД использовала принцип разбиения строки на неравные части и их перестановки друг с другом. В системе D2-MAC обеспечивалось самое высокое качество передачи изображения, потому что яркостная и цветовая компоненты телевизионного сигнала передавались последовательно друг за другом. Таким образом исключалось влияние яркостной и цветовой компоненты друг на друга. Яркостная компонента видеосигнала занимала при этом 2/3 строки видеосигнала, а цветовая – 1/3. Кадровые и строчные промежутки использовались для передачи синхронизации, звука, скрытой информации субтитров и телетекста. При передаче звукового сопровождения использовались коды защиты Хэмминга. Данная система просуществовала вплоть до начала цифрового вещания. В аналоговом и цифровом спутниковом вещании получила аналогичная система СУД – VideoCrypt, в которой также использовался метод перемешивания частей строк, а для скремблирования звука использовался принцип переноса звуковых частот в надтонанальные частоты.
Системы условного доступа Nagra, Syster. С началом вещания НТВ+ в 1997 году была применена СУД Nagra как наиболее подходящая при вещании в системе Secam. До указанного периода она успешно использовалась во Франции, в частности компанией TF1. СУД Nagra использовала принцип перестановки строк в соответствии с генератором случайных чисел. Кодовое число для восстановления последовательности передавалось в кадровом гасящем импульсе. СУД Nagra показала неожиданное преимущество при ее использовании в магнитной записи. В случае появления дефекта пленки дефект равномерно распределялся по всей площади изображения и благодаря системе компенсации выпадения строк становился незаметным. К моменту появления цифровых систем передачи информации все вышеописанные принципы были максимально использованы и в цифровом телевидении.
Начало вещания в цифровом формате MPEG-2 DVD в канун XXI века
Исторический выбор компанией НТВ+ СУД Viaccess
Главной проблемой компании при начале вещания было наличие недорогих приставок с системой Secam. Таких приставок больше всего было во Франции, где к тому времени France Telecom уже использовал СУД Viaccess многие годы. Кроме того, это была государственная компания. Эти факты склонили компанию НТВ+ к выбору СУД Viaccess. В тот период времени очень мало компаний имело опыт интеграции СУД Viaccess с системой компрессии. Единственной компанией, взявшейся за эту работу, явилась Philips Digital Networks. СУД Viaccess использовала общий алгоритм скремблирования, принятый комитетом DVB и используемый большинством производителей систем условного доступа. Принцип заключался в том, что только производители имели доступ к алгоритму скремблирования. Первые годы этот алгоритм поставлялся в виде готового модуля, который изготовители систем компрессии устанавливали в свои изделия. С 2005 года он стал открытым и доступным всем. В качестве примера систем, не поддерживающих этот принцип, можно привести СУД RAS, BISS, PowerVu и DigiSyfer (Motorola).
Выбор кабельных операторов в России и Украине -СУД Conax
СУД Conax также использует стандартный алгоритм скремблирования. Благодаря своей агрессивной ценовой политике и возможности их систем хорошо масштабироваться вниз (можно начинать с небольших инсталляций) СУД Наиболее успешный проект с СУД Conax – на Украине («Воля кабель»), он охватывает вещанием большинство украинских городов. К концу декабря 2012 года «Воля» предоставляла свои услуги 1,9 миллионов пользователей кабельного телевидения и Интернета в 29 городах Украины. Использование в России спутниковыми операторами СУД Conax ограничивается заключенным компанией «Телекарта» договором о правах на нее. «Ростелеком» (OnLime) в Москве с ноября 2008 года и «Ростелеком» в Санкт-Петербурге начали предоставлять услугу платного ТВ и Интернета также с использованием СУД Conax и являются доминирующими компаниями. Поскольку было известно о проблеме «кардшаринга» у других операторов (НТВ+, Триколор и т.д.), они приняли решение о «породнении» карт условного доступа с приставками, то есть карточка, взятая у одного абонента, не может работать у другого, и обмен контрольными словами через Интернет становится бессмысленным.
Система условного доступа «Роскрипт»
Основным требованием, предъявляемым к СУД, было использование «русского» алгоритма скремблирования, не имеющего ничего общего со стандартным алгоритмом скремблирования CSA-DVB и отвечающего ГОСТ 8132-75. Русский алгоритм скремблирования является российским стандартом с 1990 года, а также стандартом стран СНГ. История создания стандарта восходит к временам Восьмого Главного управления КГБ СССР (ныне ФСБ). В подведомственных ему еще в 1970 годах НИИ были созданы программные и аппаратные реализации средств шифрования.
Руководство ОАО «Первый канал» в 2005 году заинтересовалось отечественными системами условного доступа. В 2004 году ОАО «Телеком» заказало ФГУП НИИР разработку СУД «Инфокрипт», полностью соответствующую этому ГОСТу. ФГУП «Космическая связь», принимавшее участие в тестировании этой СУД, предложило другое название – «Роскрипт», которое вскоре было утверждено в Министерстве связи и стало использоваться как торговая марка. В 2006 году оборудование СУД «Роскрипт» было установлено во всех центрах космической связи ФГУП «Космическая связь». СУД «Роскрипт» радикально отличалась от всех существовавших систем условного доступа. Таблица системы условного доступа (CAT) содержит всю информацию и дескрипторы, необходимые для правильной работы системы. Таким образом, для работы СУД не требуется никакого дополнительного ресурса в транспортном потоке. Система была зарегистрирована в комитете DVB c идентификатором А101. В таблице 1 приводится фрагменты таблицы САТ. При этом недостатком системы является отсутствие Simulcrypt совместимости.
Таблица 1. Структура таблицы САТ СУД «Роскрипт»
В таблице 1 в правой ячейке верхней строки можно видеть идентификатор СУД «Роскрипт» А101 (41217 дес .), за ним следует ЕММ – 4АС (1196 дес .).
Следом по порядку дескриптор FD с длиной D (13 дес .), то есть в данном случае дескриптор – «8055АА55АА55A457A300FF04AC», затем дескриптор FC с длиной 9, в данном случае «80584 AB173 CB89 F036» , затем CRC. Дескрипторы FC и FD начинаются всегда с числа 80 или 81. В конце дескриптора FD повторяется ЕММ – 4АС (1196 дес .). СУД использует также дескрипторы FB и FE для управления сетью.
В приемной сети используются три различных типа модулей условного доступа, а именно:
- разрешительный, который открывает все каналы до момента подачи команды на закрытие.
- запретительный, в котором изначально запрещен доступ ко всем телевизионным каналам и необходимо подать команду на открытие ТВ.
- третий тип, выходящий с завода запрограммированным под конкретную сеть. Данный модуль имеет удлиненный корпус, что не позволяет, например, закрыть, крышку на передней панели профессионального и бытового приемников.
Первые два типа модулей имеют укороченный корпус, для их извлечения используют пластиковую полоску, приклеенную к корпусу модуля.
Для дополнительной защиты в системе используется электронная подпись, которая в транспортном потоке размещается после контрольной суммы (CRC) и начинается после кодовой комбинации FF01.
Наличие информации после CRC не позволяет мультиплексировать поток, закрытый СУД «Роскрипт», так что оборудование «Роскрипт» всегда устанавливается в передающих станциях спутниковой связи. В 2011 году право на использование торговой марки было выкуплено, и некоторое часть магистральных линий закрывались одной из модификаций DRE Crypt предлагаемой под маркой Роскрипт M2.0. Однако, в связи с периодическими зависаниями, система была снята с эксплуатации. А истинное оборудование «Роскрипт» по сей день используется для закрытия Первого Канала в магистралях ГПКС и будет отключено только с прекращением в стране аналогового вещания.
С переходом на формат DVB-T2 появилась необходимость в системе, допускающей шифрование ТВ потоков? а также вставку местной рекламы и сообщений от МЧС на уровне пакетов T2-MI. Это упрощает преобразование потоков в региональных центрах ретрансляции. Такой системой стал «ГОСТкрипт», технологический приемник «Роскрипта».
Рисунок 2. ГОСТкрипт работает на уровне пакетов T2-MI
Выбор компаниями «StarGate-TV» и «Радуга ТВ» СУД
В сентябре 2006 года компания «StarGate-TV» закрыла свое вещание СУД Irdeto, которая использует алгоритм скремблирования СSA-DVB. В ней реализованы все передовые средства борьбы с «кардшарингом» и передачей контрольных слов. .
Компания «Радуга ТВ» первоначально использовала СУД Videoguard, НДС и только через несколько лет стала использовать СУД Irdeto в режиме Simulсrypt. Последний обеспечивает кабельным операторам сети возможность работы с любой СУД в зависимости от наличия оборудования. В таблице 2 приводятся фрагменты таблиц САТ и PMT.
Таблица 2. Структура таблиц САТ и PMT СУД Irdeto
В таблице 2 в правой ячейке верхней строки расположены идентификатор СУД «CAS5000» 22E3 (8931 дес .) и ЕММ – 90 (144 дес .). Затем по порядку следуют идентификатор СУД «Irdeto» 628 (1576 дес .) и ЕММ – 1F4 (500 дес .), далее еще один идентификатор СУД «Irdeto» 618 (1560 дес .) и ЕММ – 1F6 (502 дес .). В PMT по порядку следуют идентификатор СУД «Irdeto» 628 (1576 дес .) и ЕСМ – 1F5 (501 дес .) и идентификатор СУД «Irdeto» 618 (1560 дес .) и ЕСМ – 1F7 (503 дес .).
В приемной сети применяются два типа смарт-карт: «KAPPA» и «Premium». Карты «KAPPA» используют при работе идентификатор 618 СУД «Irdeto», а карты «Premium» – идентификатор 628. Таким образом, в приемной сети используется преимущество режима Symulсrypt, и каждый оператор имеет возможность применить то оборудование, которое ему подходит наилучшим образом.
Выбор региональными компаниями СУД BISS
У большинства региональных вещателей нет строгих требований к системам условного доступа. СУД BISS не требует передачи специфических и специальных сообщений в транспортном потоке. Достаточно сообщить ключ кабельному оператору, и достаточно доступ к ТВ и РВ программам будет открыт. То, что за короткий промежуток времени ключ становится достоянием интернет-общественности, кабельных операторов волнует мало, поскольку формально они закрывают программы системой условного доступа и не нарушают юридических норм.
Выбор компанией «Триколор ТВ» СУД DRECrypt
В декабре 2005 года компания «Триколор ТВ» закрыла СУД DRECrypt все программы, вещаемые через спутник в орбитальной позиции 36 градусов вост.д. Благодаря использованию недорогой СУД гонконгской компании, а также правильной маркетинговой стратегии количество подключенных домохозяйств в настоящий момент достигло 14 млн. Программы «Триколор ТВ» присутствуют на спутниках Экспресс АМУ1 и Экспресс АТ1 .
Вещание в Simulcrypt -несовместимых системах
СУД DigiSyfer
СУД впервые была использована в 1996 году в Казахстане компанией «Кателко» и сначала была вполне привлекательной, поскольку она была закрытой, а все оборудование для нее выпускала единственная компания в мире – «Моторола». Оборудование компрессии и приемники работали устойчиво и надежно, но отсутствие конкуренции привело к тому, что «Моторола» не снижала расходы на их производство, что привело к росту цен на приемное оборудование, в результате чего в приемной сети «Кателко» стали применять бытовые приемники вместо профессиональных. Только в 2011 году компания «Кателко» отказалась от СУД DigiSyfer и перешла на DVB-стандарт с СУД Videoguard, NDS.
СУД SyferCrypt
Еще одной нестандартизированной системой была СУД SyferCrypt. Компания Philips была заинтересована в создании системы, подобной СУД SyferCrypt, совместно с «Моторолой», которая стремилась проникнуть на европейский рынок. К взаимному удовлетворению компаний была создана СУД SyferCrypt, которая нашла применение в европейских кабельных сетях. Развития она не получила, и кабельные сети вскоре заменили ее на СУД Mediaguard. В феврале 2006 году СУД СryptoWorks (Philips) была приобретена компанией Irdeto. Компания Philips покинула рынок систем условного доступа.
Критерии выбора системы СУД
Рисунок 3
Выбор СУД целесообразно производить среди компаний, имеющих представительства на территории России и осуществляющих сервисную поддержку своих клиентов, например, Conax, Irdeto, Nagravision, Videoguard, Viaccess.
Главным требованием, предъявляемым к оборудованию СУД, является надежность, то есть его бесперебойная работа 24 часа в сутки 365 дней в году, при этом аппаратно-программные средства, входящие в состав СУД, должны обеспечивать коэффициент готовности не менее 0,9997, а выход любого из серверов СУД не должен нарушать скремблирование транспортного потока.
Среди функциональных требований, которые предъявляются к системе условного доступа, можно отметить следующие: открытие скремблированных программ с помощью профессиональных ресиверов-декодеров с CAM модулями и с помощью бытовых приемников (STB) со встроенной СУД, совместимость вновь используемых смарт-карт и CAM с парком ранее выпущенных спутниковых приемных устройств, снятие скремблирования одновременно с восьми телевизионных программ с помощью одного модуля условного доступа, отсутствие влияния одной СУД на другие СУД в режиме Simulcrypt и доступ каждого STB, CAM и IRD к группам телевизионных и радиовещательных программ и к отдельным программам, вещаемым в сети.
Особые требования предъявляются к защите от передачи контрольных слов (card sharing) и к способности скремблировать не менее 32 мультипрограммных и однопрограммных транспортных потоков как в месте установки программно-аппаратного комплекса СУД, так и на удаленных мультиплексорах посредством защищенного канала связи между удаленным и центральным объектами.
При мониторинге работоспособности и состояния СУД требуется проверка работоспособности компонентов системы и правильности прохождения PSI\SI информации средствами самой системы, а также ежедневное автоматическое создание резервных копий (backup) внутренней базы данных СУД и основных файлов конфигурации, причем их хранение должно осуществляться на жестком диске или другом носителе, отличном от тех, на которых хранятся основные файлы и база данных.
Важным требованием к СУД является также обеспечение стойкости к взлому базы смарт-карт. Взлом одной смарт-карты не должен приводить к взлому всех смарт-карт. В случае взлома система должна обеспечивать возможность восстановления защиты без замены смарт-карт, модулей и бытовых приемников. При этом необходима поддержка аппаратно-программных средств защиты смарт-карт доступа, модулей условного доступа (CAM) и бытовых приемников, а смарт-карты должны предотвращать их эмуляцию и клонирование, соответствовать стандарту ISO 7816 и иметь программные и сетевые средства защиты от несанкционированного доступа, модули должны препятствовать копированию ПО CAM. Должна обеспечиваться возможность замены ПО смарт-карт, ПО модулей условного доступа и ПО бытовых STB со встроенной СУД через спутник (via satellite), поддерживаться асимметричный алгоритм шифрования ключей в соответствии с общим алгоритмом скремблирования (CSA) и должна существовать возможность привязки смарт-карты к приемнику.
С учетом опыта эксплуатации систем условного доступа необходимо обратить внимание на дополнительные требования:
- обеспечение качества и надежности закрытия в период перехода на зимнее и летнее время, а также в момент смены года;
- бесперебойность трансляции и скремблирования в случае выхода любого блока СУД из строя;
- обеспечение в случае необходимости поддержки экранных сообщений (OSD), электронных сообщений (E-Mail), SMS и MMS сообщений операторов сотовой телефонии для STB подписчиков с персональной, групповой или общей адресацией;
- различные критерии групповой адресации: возможность поддерживать услуги PPV (pay per view) – просмотр платных телепередач с предварительной оплатой, с оплатой за просмотр отдельной телепередачи, «виртуальный кинозал», а также NVOD (near video on demand) с оплатой за просмотр видео по запросу в рамках расписания показов. При необходимости должно обеспечиваться объединение программ в группы, состав которых определяется Оператором и меняется по его усмотрению. В состав группы могут входить любые программы, включая те, по которым транслируются платные передачи.
Не следует забывать и об обязательном полном соответствии системы условного доступа европейским нормам и регулирующим документам европейского союза вещателей (EBU), обеспечении полной совместимости со стандартом DVB Simulсrypt (ETSI TS соответствовать 101 197 «DVB Simulсrypt; Head-end architecture and synchronization»), соответствии стандартам вещания DVB-S/S2 (EN 300 421; EN 302 307; EN 300 429), поддержке закрытия оборудованием СУД транспортных потоков, содержащих телевизионные сигналы стандартной (SD) и/или высокой (HD) четкости, компрессированных в соответствии со стандартом MPEG-2 или MPEG-4, H.264, часть 10 или AVC.
Как бережливые немцы обходятся без использования СУД?
Хочется обратить внимание на интересное решение немецкой компании «Kabel Kanal» – отказ от скремблирования. Она начала вещание около 20 лет назад и первые шесть месяцев использовала СУД Eurocrypt. Однако количество зрителей оказалось столь небольшим, что руководство компании приняло мудрое решение и выключило скремблирование, резко увеличив при этом время на рекламу. В таком состоянии вещатель находится по сей день и, вероятно, ничего менять не собирается. Преимуществом такого подхода является отсутствие необходимости иметь СУД и управлять подпиской, распространять приставки и смарт карты, использовать Тайм-сервер (NTP сервер).
Выводы
На основании проведенного анализа можно сделать следующий вывод: при всем многообразии СУД выгоднее использовать систему, которая поддерживает общий алгоритм скремблирования CSA (Common Scrambling Algorithm), модули и приемники различных производителей, режим симулькрипт, позволяющий использовать в приемной сети различные СУД (каждый клиент использует ту, которая ему лучше подходит для имеющегося приемного оборудования), совместимость новых карт доступа со старым парком приемного оборудования, «породнение» карт условного доступа с приставками для эффективной борьбы с передачей контрольных слов, замену ПО карт, модулей и приемников через спутник и гарантийный период работы не менее 24 месяцев.
Сергей Новаковский
Выбор абонентского оборудования, необходимого для просмотра пакета общероссийских программ “Триколор ТВ” (спутник Eutelsat W4, 36° в.д.), до сих пор ограничивался двумя моделями спутниковых ресиверов: DRE-4000 и DRE-5000, которые производятся компанией Digi Raum Electronics. Причиной этого является использование специфической системы условного доступа DRE Crypt, декодер которой является неотъемлемой аппаратно-программной частью этих абонентских терминалов.Представленная для тестирования разработка компании Digi Raum Electronics – модуль условного доступа DRE Crypt, снабженный смарт-картой “Триколор ТВ”, – позволяет пополнить имеющийся на настоящий момент парк оборудования, предназначенного для просмотра каналов цифрового спутникового пакета “Триколор ТВ”, за счет использования различных моделей цифровых терминалов, имеющих Common Interface (CI). Появление этого продукта открывает для абонентов пакета “Триколор ТВ” новые возможности:
- использование для просмотра уже имеющегося у пользователя ресивера, обладающего слотом Common Interface.
- включение в состав совместимого с сервисами “Триколор ТВ” оборудования, относящегося к классу Hi-End (PVR терминалы).
Конструктивные особенности
Модуль условного доступа DRE Crypt имеет стандартный конструктив DVB CI. Обмен информацией между модулем условного доступа и ресивером осуществляется через 68-контактный разъем. Крышки корпуса модуля – металлические, удерживаемые на пластиковом каркасе модуля с помощью защелок. Хотя обычно производители CAM модулей соединяют эти элементы конструкции с помощью точечной сварки, использование “полужесткого крепления”, скорее всего, не влияет на механическую прочность представленного для тестирования изделия. Зато разборная конструкция упрощает доступ к схеме модуля, повышая его ремонтопригодность. Пластиковые элементы конструкции также фиксируются защелками.
Судя по маркировке модуля DRE Crypt (P/N: 1250/2002, Rev: 2.01), его аппаратная часть аналогична применяемой в известных универсальных CAM модулях Joker CAM/Zeta CAM/Ice Crypt CAM, построенных с использованием специализированного контроллера Neotion ATSKY. Для CAM этого типа разработаны несложные методики восстановления поврежденного программного обеспечения с помощью распространенных и доступных аппаратно-технических средств.
Абонентская смарт-карта “Триколор ТВ”, которой комплектуется модуль DRE Crypt, выполнена в конструктиве ISO 7816. На смарт-карту нанесен штрих-код с уникальным серийным номером, а также предупреждающие надписи, касающиеся правил эксплуатации карты (подробные инструкции приведены на веб-сайте компании “Триколор ТВ” – www.tricolor.tv). Судя по размещенной там информации, смарт-карта не может быть использована в иных (кроме CAM DRE Crypt) устройствах.
Для тестирования были предоставлены два комплекта модуль DRE Crypt + смарт-карта “Триколор ТВ”, что позволило, в частности, установить отсутствие жесткой “привязки” модуля и конкретной смарт-карты. Для просмотра каналов пакета “Триколор ТВ” с помощью модуля DRE Crypt и смарт-карты “Триколор ТВ” не потребовалась какая-либо активация подписки карты.
Экранное меню CAM DRE Crypt позволяет получить информацию о параметрах условного доступа. Язык меню CAM – английский. В меню всего два раздела:
- Информация о модуле (CI Module Info): тип поддерживаемой системы условного доступа (CAS DREcrypt), версия программного (SW: 1.2.2) и аппаратного (HW: 1.1.) обеспечения модуля.
- Информация о смарт-карте (Card Info): версия карты (ver. 1.2), провайдер вещания (Provider: Tricolor TV), индивидуальный номер карты (DRE ID: номер карты).
Методика тестирования
Цель тестирования состояла в определении пользовательских возможностей комплекта модуль DRE Crypt + смарт-карта: совместимость модуля DRE Crypt с различными моделями цифровых ресиверов;
корректность работы декодера (модуль DRE Crypt + смарт-карта) при просмотре программ пакета “Триколор ТВ” с использованием различных ресиверов;
возможность работы декодера DRE Crypt в ресиверах, используемых для просмотра других кодированных программ.
Проверка работы CAM DRE Crypt производилась в цифровых спутниковых терминалах, имеющих CI интерфейс. Выбор моделей/производителей ресиверов определялся имеющимися в нашем распоряжении образцами:
- без встроенного декодера системы условного доступа;
- с встроенным декодером системы условного доступа;
- с дополнительными устройствами (PVR модели и терминал со встроенным DVD).
Версии программного обеспечения ресиверов, в основном, являлись либо самыми “свежими”, либо имеющими репутацию более надежных. В ряде случаев нам пришлось подбирать п/о ресивера для корректности его работы с модулем DRE Crypt.
В качестве критериев оценки уровня исполнения представленного для тестирования CAM DRE Crypt использовались показатели его работы в различных режимах:
- “холодная” инициализация CAM DRE Crypt в CI слоте ресивера. Модуль с картой устанавливается в ресивер, отключенный от электросети. Инициализация CAM начинается после включения ресивера в режим просмотра одного из каналов пакета “Триколор ТВ”;
- “горячая” инициализация. Модуль с картой DRE Crypt устанавливается в ресивер, включенный в рабочий режим (просмотр одного из каналов пакета “Триколор ТВ”);
- чтение информации о модуле средствами п/о ресивера. Оценка корректности отображения OSD меню CAM DRE Crypt;
- взаимодействие модуля DRE Crypt и смарт-карты “Триколор ТВ” на уровне чтения информации карты и корректности ее отображение в OSD меню модуля, установленного в испытуемый ресивер;
- просмотр каналов пакета “Триколор ТВ”. Оценка устойчивости процесса декодирования отдельных каналов, а также при переключении каналов;
- просмотр каналов пакетов “Триколор ТВ” и “НТВ-Плюс” в аппаратах, имеющих несколько CI слотов или комбинацию CI слота и встроенного декодера Viaccess. Доступ к просмотру каналов пакета «НТВ-Плюс» осуществлялся с использованием официальной смарт-карты «НТВ-Плюс» и модулей условного доступа Viaccess. Если терминал имел встроенный декодер Viaccess CAS (или мультидекодер), то он использовался для просмотра каналов пакета “НТВ-Плюс”. Внешний декодер (CAM) использовался в тех ресиверах, где отсутствовал встроенный. В качестве основного внешнего декодера Viaccess использовался SCM Viaccess CAM (V484, Appl 1.08.003). В качестве альтернативного внешнего декодера Viaccess использовался Neotion Viaccess Pocket CAM (Viaccess Ver: 2.1).
Результаты тестирования
Результаты тестирования приведены в табл. 1. Имеет смысл подробно остановиться на описании результатов, характеризующих особенности работы модуля DRE Crypt в ресиверах различных производителей:
Humax
Модуль устойчиво работает в аппаратах старой серии F1 и 5000. Во всех ресиверах этой линейки нестандартно, на первый взгляд, проходит инициализация модуля: при любом режиме включения цикл инициализации (с точки зрения пользователя) повторяется дважды. В остальном никаких проблем с этими аппаратами не наблюдалось.
В PVR терминалах (модели 8000 и 9100) модуль не всегда инициализируется в верхнем CI слоте. Благодаря наличию нескольких экземпляров ресиверов Humax PVR-8000 и Humax PVR-9100, предоставленных нам для тестирования сервис-центром компании «Дженерал Сателайт», мы имели возможность проверить наличие зависимости результатов работы модуля DRE Crypt с этими аппаратами от их аппаратного и программного обеспечения. Испытания показали, что в некоторых экземплярах ресиверов указанных типов проблем с инициализацией модуля DRE Crypt не наблюдалось вовсе. В других экземплярах удавалось добиться устойчивой инициализации модуля в верхнем CI слоте подбором версии программного обеспечения. Нашлись и такие аппараты, в которых модуль DRE Crypt не инициализировался в верхнем CI слоте. Причем ни по “железу”, ни по программной версии эти терминалы не отличались от других таких же и не обнаруживали никаких других признаков некорректной работы с другими CAM.
Похожая проблема была обнаружена и при тестировании работы модуля DRE Crypt в HDTV ресивере Humax HDCI-2000S. Проблема была частично устранена установкой самой “свежей” версией п/о ресивера. Однако и в этом случае модуль DRE Crypt не всегда инициализируется в верхнем CI слоте. Устойчивой работы модуля DRE Crypt в этом режиме удалось добиться, установив в нижний CI слот другой CAM (в нашем случае SCM Viaccess CAM). В такой конфигурации аппарат надежно работал и при просмотре каналов “Триколор ТВ” и “НТВ-Плюс”.
Сходную реакцию на установку модуля DRE Crypt демонстрирует ресивер другого производителя – Arion AF-9300PVR. В верхнем CI слоте модуль не инициализируется. Если в нижний CI слот дополнительно установить SCM Viaccess CAM, то модуль DRE Crypt инициализируется без проблем, но сам Viaccess CAM не инициализируется. Ресивер опознает наличие второго CAM, но процесс инициализации не завершается. Если в качестве второго модуля использовать другой Viaccess CAM, например, Neotion Viaccess Pocket CAM, то возможен просмотр и каналов “Триколор ТВ”, и пакета “НТВ-Плюс”.
В целом ресиверы Humax удовлетворительно работают с представленным для тестирования изделием. Имеющиеся проблемы могут быть решены переустановкой п/о ресивера или подбором конфигурации системы.
Samsung
Модуль DRE Crypt одинаково работает со всеми проверенными ресиверами Samsung. Инициализация модуля проходит за достаточно короткое время (быстрее, чем в ресиверах других производителей) из любого режима работы терминала. При включении на просмотр канала из пакета “Триколор ТВ” декодирование устойчивое. После переключения с кодированного канала на другой (открытый или кодированный) нормальное декодирование прекращается. Проблема проявляется своеобразно и имеет 100%-ную повторяемость: после первого переключения прекращается декодирование звука, видео сохраняется, после повторного переключения прекращается декодирование и звука и изображения. Тот же результат получается, если в режиме просмотра вызвать меню CAM, а затем выйти из него. Для восстановления декодирования в обоих случаях требуется повторная инициализация модуля. Та же проблема наблюдалась и в некоторых ресиверах других производителей – PBI DVR-1000 CI и Lemon 040 CI Via. Версий п/о для ресиверов Samsung, в которых была бы решена описанная проблема, не найдено.
Тopfield
В имевшихся в нашем распоряжении ресиверах этого производителя модуль DRE Crypt не инициализируется. Ресиверов, с которыми модуль DRE Crypt несовместим, оказалось не так много. Кроме PVR терминалов Topfield, еще один аппарат – ресивер Globo 6000 CI.
General Satellite
Модуль DRE Crypt надежно работает в этих ресиверах, а в модели CI-7100 и с двумя установленными CAM – Viaccess и DRE Crypt.
Kaon и EmTech
Ресиверы этих производителей без проблем предоставляют возможность просмотра каналов пакета “Триколор ТВ” совместно с модулем DRE Crypt и картой “Триколор ТВ”.
Поскольку количество моделей ресиверов других производителей было ограничено (по одной модели), вряд ли можно сделать обобщения, касающиеся и других их разработок. Однако стоит отметить, что положительные результаты получены при тестировании модуля DRE Crypt с известными распространенными моделями бытовых ресиверов (Dreambox DM 7000S, Openbox X-820CI, Echostar DSB-2110 2CI) и профессионального ресивера Harmonic ProView PVR 6000. Модуль DRE Crypt с установленной картой показал стабильную работу в различных температурных условиях эксплуатации и в испытаниях, продолжавшихся в течение длительных промежутков времени.
Несмотря на наличие проблем, проявившихся при работе модуля DRE Crypt с некоторыми моделями ресиверов, можно сказать, что представленный для тестирования декодер может быть использован для просмотра каналов пакета “Триколор ТВ”. Модуль DRE Crypt с картой “Триколор ТВ” может устанавливаться в различные типы терминалов, имеющих CI слоты, комбинации CI слотов и встроенного декодера Viaccess, а также устройства, расширяющие функциональные возможности ресиверов, таких как устройство записи на жестком диске или DVD привод. Автор выражает признательность компании «Дженерал Сателайт» за предоставленные для тестирования модуль доступа DRE Crypt с картой «Триколор ТВ». Автор благодарен сотрудникам сервис-центра компании «Дженерал Сателайт» за техническую поддержку, оказанную при тестировании модуля доступа DRE Crypt.
Системы условного доступа в телевидении предназначены для защиты контента от несанкционированного доступа. Изначально методы шифрования транспортных потоков данных были достаточно примитивными. Передаваемый контент перемешивался с помощью различных алгоритмов. Данный способ шифрования получил название «скремблирование», что до сих пор является широко распространенным термином, применяемым в отношении различных систем условного доступа. Предполагалось, что только сертифицированное приемное оборудование сможет корректно дескремблировать полученный контент. Однако подобные способы защиты данных вскоре были признаны несостоятельными, так как легко взламывались злоумышленниками для нелегального просмотра.
Постепенный переход на цифровое вещание, а также появление стандартов DVB (Digital Video Broadcasting), открыли новые возможности в развитии систем условного доступа. Они стали более сложными, контекстонезависимыми, универсальными.
Целью исследования является подробное изучение особенностей реализации алгоритмов защиты передаваемых данных в системах условного доступа третьего поколения. Система условного доступа представляет собой целый комплекс программно-аппаратных средств, наиболее существенными из которых являются:
Подсистема обслуживания абонентов и управления подписками;
Подсистема генерации и управления ключами;
Подсистема скремблирования и шифрования транспортного потока;
Подсистема безопасности аппаратно-программного обеспечения декодера.
Согласно стандартам DVB все СУД используют единую схему шифрования на основе алгоритма скремблирования CSA (Common Scrambling Algorithm). Отличаются лишь способы формирования и передачи ключей.
Одной из самых распространенных систем условного доступа в России является DRE Crypt. Ее основным клиентом стал российский оператор спутникового цифрового телевидения Триколор ТВ, клиентская база которого по официальным сведениям насчитывает 9 миллионов абонентов.
Одной из основных угроз безопасности системы условного доступа является «кардшаринг» (подробнее о кардшаринге можно посмотреть здесь 3-usd.com) - процесс изъятия управляющих слов (Control Word) из интерфейса между смарт-картой и приемником и их распространением посредством Интернета. В рамках борьбы с кардшарингом, а также расширения функциональных возможностей в систему вводится ряд значительных изменений таких, как:
Мультипровайдерность;
Поддержка пяти режимов антишаринга;
Возможность удаления с карты информации о провайдере через транспортный поток;
Одновременная работа СУД с несколькими скремблерами;
Автоматическое резервирование всех элементов СУД;
Новый формат смарт-карт.
Таким образом, переход на новую версию СУД DRE Crypt 3G должен в первую очередь решить угрозы со стороны лиц, осуществляющих несанкционированный доступ, а также предоставить новые возможности для операторов. В дальнейшем планируется рассмотреть отдельные алгоритмы и реализовать прототип программы для поиска управляющих пакетов в тестовых потоках данных.
Классификация
По алгоритму скремблирования:
- Закрытые системы - используют корпоративные стандарты шифрования
- С единым алгоритмом скремблирования
(Common Scrambling Algorithm) - основаны на стандарте DVB (DVB-совместимые системы).
- SimulCrypt - требует согласования среди операторов, которые используют различные системы условного доступа, но один алгоритм шифрования. Мультиплексный поток должен содержать пакеты для каждой системы.
- MultiCrypt - доступ к различным системам условного доступа через съемную PCMCIA карту с использованием стандарта интерфейсного подключения DVB-Common interface (DVB-CI). Позволяет не зависеть от поставщиков услуг, но является более дорогой, чем SimulCrypt.
Некоторые системы условного доступа
BISS (Basic Interoperable Scrambling System)
Разработчик: ЕВС. Родоначальница стандартизированных систем условного доступа. Простейшая система условного доступа. Не требует карточек для работы.
На передающей стороне сигнал кодируется с использованием секретного ключа, а в тюнере раскодируется используя этот же кодированный ключ. Длина ключей составляет шестнадцать цифр в шестнадцатеричной системе счисления .
Каналы в данной системе можно открыть при помощи ресивера со встроенным эмулятором кодировок.
DRE Crypt
Также известна как Z-Crypt .
Состав:
- Головное скремблирующее оборудование - подключается к системе мультиплексирования и скремблирования транспортных потоков и предназначено для управления процессом закрытия телевизионных программ и данных, ввода дополнительной служебной и не служебной информации и управления абонентами.
- Абонентское дескремблирующее оборудование
Используется в телепакете «Триколор ТВ и Платформа HD».
VideoСrypt
В настоящее время известны две версии VideoCrypt I и VideoCrypt II. Первая используется в Великобритании и Ирландии, например, очень известной телекомпанией BSkyB (British Sky Broadcasting). Вторая версия использовалась в Европе, однако в настоящее время применяется довольно редко (MTV на Astra). Многие декодеры имеют возможность переключения VideoCrypt I / VideoCrypt II. Разница между ними невелика, однако используются абсолютно разные карты и служебная информация передается с некоторыми отличиями. Для кодирования изображения используется метод разрезки строки в случайном месте и перестановки частей строк. [уточнить ] В VideoCrypt предусмотрено 256 возможных мест разрезки строки. Схема разрезки меняется каждые 2.5 секунды. Служебная информация для декодера передается в виде, подобном телетексту.
Viaccess
- Viaccess PC2.3 - взломана и признана неэффективной.
- Viaccess PC2.4 - взломана и признана неэффективной.
- Viaccess PC2.5 - взломана, присутствует возможность просмотра картшарингом
- Viaccess PC2.6 - разработана в конце 2005 года, взломана, присутствует возможность просмотра картшарингом.
- Viaccess PC3.0 - разработана в середине 2007 года,взломана, присутствует возможность просмотра картшарингом
- Viaccess PC3.1 - взломана, присутствует возможность просмотра картшарингом.
- Viaccess PC4.0 - активно использовалась по состоянию на 2012 год. не взломана, но присутствует возможность просмотра картшарингом
- Viaccess PC5.0 - не взломана, но присутствует возможность просмотра картшарингом
Используется:
- В России компанией «НТВ-Плюс ».
- В Европе (например, на спутниках Hotbird в ней закодировано множество каналов).
Существует модификация - TPS-Crypt, которая используется французскими спутниковыми каналами TPS (с 2007 года принадлежащими группе Canal+).
Viaccess являлась третьей по распространённости системой условного доступа на 2004 год.
Conax
Открытая к взаимодействию без выделения приоритетов система. Использует систему кодирования с применением асимметричного шифрования .
- Conax CAS7 - для операторов сетей цифрового телевидения DVB .
- Conax CAstream - автономная система для операторов IP-телевидения. Позволяет использовать уже имеющиеся платформу и приложения с добавлением к ним механизмов условного доступа и безопасности, позволяет доставлять зашифрованный поток подписчикам по открытым сетям.
Роскрипт-М (Roscrypt-M)
Разработчик: ФГУП НИИРадио (Россия).
Криптографическая защита соответствует ГОСТ 28147-89 .
Позволяет осуществить защиту компонент транспортного потока, кодированных в соответствии со стандартами MPEG-2, MPEG-4, AVC/H.264 при обычном (SD) и высоком (HD) разрешениях. Совместима со стандартами вещания: DVB-C, DVB-T, DVB-S, DVB-S2.
- Количество поддерживаемых абонентских устройств: более 20"000"000.
- Количество сервисов, закрываемых одним скремблером: не менее 50.
- Общее количество сервисов: 2048.
- Количество сервисов открываемых одним CAM модулем: неограниченно в любом сочетании.
- Скорость транспортного потока: до 108 Мбит/с.
- Стандарт алгоритм защиты информации: ГОСТ 28147-89 .
- Длина ключей: 256 бит.
Позволяет частичное или полное обновление через транспортный поток. Возможность передачи таблиц управления за счет избыточности транспортного потока. Очень взломоустойчива.
Используется для части каналов на спутнике Экспресс АМ1 .
Другие
- Mediaguard (также известная как Seca ). Первая версия взломана, вторая - взломана частично. Используется редко из-за своей подверженности взлому, в основном вторая версия этой кодировки (Mediaguard 2).
- PowerVu - кодировка, разработанная в США , применяется американскими военными. С её использованием идёт вещание почти всех каналов American Forces Network. Очень взломоустойчива. Для приема программ необходим специальный, достаточно дорогой ресивер.
- Videoguard - кодировка, используемая в большинстве каналов компании Sky . Используется казахстанской системой «OTAU TV ». Карточки, предназначенные для просмотра каналов в этой кодировке, «привязываются» к ресиверу (т.e. в других ресиверах, отличных от того, на котором карточка была активирована, работать она не будет). Взломана, частично: например: Sky UK, Sky Italia, а Viasat Nordic - нет.
- Irdeto - частично взломана. Вторая версия этой кодировки (Irdeto 2) используется, например, компанией «Орион Экспресс » на спутнике Экспресс АМ3 и на спутнике Intelsat 15 под маркой «Континент ТВ ».
- Betacrypt - разновидность Irdeto , взломана.
- Nagravision - использовалась частично европейскими провайдерами спутникового ТВ, равно как и Dish Network USA. В настоящий момент взломана. Существует Nagravision 2, взломана частично.
- Dreamcrypt - Используется некоторыми провайдерами «каналов для взрослых » с Hotbird , просмотр возможен при наличии специального CAM-модуля.
- Еще: Codicrypt, Conax, Cryptoworks, KeyFly , Omnicrypt, Neotion SHL, SkyPilot
Взлом систем условного доступа
Осуществляется посредством:
- Поддельной карты доступа
- Пиратского ПО в ресивере
- Ключей для декодирования программным способом
Существует и другой способ нелегального просмотра коммерческого телевидения: кардшаринг . Работает он за счет раздачи ключей с одной (или нескольких) лицензионной карты условного доступа на множество ресиверов через сеть Интернет или иным способом.
См. также
| Спутниковое телевидение | ||
|---|---|---|
| Оборудование | Основное
: Спутниковая антенна → Облучатель (Feed horn) → Конвертер (МШУ) → Ресивер / DVB-карта Вспомогательное : CAM CI-слот DiSEqC-коммутатор USALS-позиционер Актуатор (мотоподвес) Мультисвитч Мультифид Позиционер |
|
| Доступ к контенту | Условный
(Кодировки
): BISS Conax DRE Crypt Irdeto Viaccess VideoGuard Роскрипт-М Свободный : FTA | Нелегальный : Спутниковое пиратство |
|
| Термины | ||
