Der BegriffZugangsberechtigungssysteme (ZBS), auchVerschlüsselungsstandards oderVerschlüsselungssysteme bzw. englischConditional access system (CAS), bezeichnet die beimBezahlfernsehen eingesetzten Systeme zur Ver- und Entschlüsselung der Programminhalte.
Das imDigitalfernsehen eingesetzte Verfahren zum Ver- und Entschlüsseln der Inhalte nennt sichCommon-Scrambling-Algorithmus (kurz CSA). Damit einEmpfänger in der Lage ist, das Signal mittels CSA zu entschlüsseln, benötigt er ein sich ständig änderndes acht Byte breites Kontrollwort. Dieses Kontrollwort dem Empfänger zukommen zu lassen und dabei nur bestimmte Empfänger zu adressieren, ist die Aufgabe der CA-Systeme.
CA-Systeme bilden hierbei die Schnittstelle zwischen dem verschlüsseltenDVB-Datenstrom und derSmartcard des Benutzers (oder Abonnenten). Der Anbieter sendet so parallel zu den Nutzdaten noch gesonderte Datenpakete namens ECMs (ECM = Entitlement Control Message). Mittels dieser ECM kann ein entsprechend autorisierter Empfänger das zu dieser Zeit gültige Kontrollwort errechnen und an den CSA-Dekoder übermitteln. Dieser nimmt dann das endgültige Entschlüsseln des Datenstroms vor.Auf Empfängerseite wird ein CA-System üblicherweise durch eine an den Kunden gebundene Smartcard und ein kundenanonymesConditional Access Module abgebildet. Das Modul filtert dabei die ECM-Pakete aus dem Datenstrom und errechnet mittels der gegebenen Information in Verbindung mit der Smartcard das entsprechende Kontrollwort. Die Logik des CA-Systems verteilt sich hier zum einen auf das Modul und zum anderen auf die Smartcard. Üblich ist es hierbei, kundenspezifische Daten auf der Smartcard vorzuhalten und diese nicht auslesbar durch Dritte zu machen.
Da sich unabhängig vom verwendeten CA-System immer ein eindeutiges Kontrollwort zum Entschlüsseln ergeben muss, können hierbei auch mehrere CA-Systeme parallel für einen einzelnen Datenstrom eingesetzt werden (Simulcrypt). Der Anbieter muss hierbei für jedes eingesetzte CA-System entsprechend eigene ECMs mitschicken.
Zusätzlich zur Information, die sich schon auf der Karte des Kunden befindet, und den ECMs senden all diese Verfahren noch Steuercodes über den eingehenden Datenstrom. Diese „Entitlement Management Messages“ (kurz EMMs) dienen dem gezielten Aktivieren oder Deaktivieren der Kundenkarten. Es besteht hierbei auch die Möglichkeit, dem Kunden mehr oder weniger Rechte bezüglich einzelner Angebotspakete einzuräumen, ohne dass der Kunde die Smartcard tauschen muss.
(CA-ID Sat 0x170n Kabel 0x172n)BetaCrypt wurde von BetaResearch, einer Tochterfirma derKirchMedia, für died-box verwendet. Es ist eine von Irdeto Access B.V. lizenzierte Software mit veränderterCA-ID, ansonsten ist es zu Irdeto identisch. Ursprünglich nutzten die Kirch-SenderDF1 (der erste digitale Bezahlfernsehsender in Deutschland),Premiere World (Zusammenschluss von DF1 und Premiere Digital) und später dessen Rechtsnachfolger Premiere dieses Verschlüsselungssystem.
Im Laufe der Zeit wurde BetaCrypt weiterentwickelt. So wurde mit der Markteinführung derd-box 2 auch eine neue Smartcard-Generation eingeführt, deren Seriennummern alle mit einem Z endeten. Diese Smartcards implementierten das „CAM-Crypt“. Dabei handeln die Smartcard und das CA-Modul in der Initialisierungsphase einen Schlüssel – den „CAM-Key“ – aus, mit dessen Hilfe die Smartcard sämtliche an das CA-Modul gerichtetenControl Words verschlüsselt und mit dem das CA-Modul diese wieder entschlüsselt.
Nach der Insolvenz der Kirch-Gruppe und dem Verkauf von Premiere wurde die einem anderen Konzernzweig zugehörige Tochter BetaResearch verkauft und weitgehend liquidiert. Sie hat Lizenzrechte für BetaCrypt 1 vergeben und wurde in TecLic umfirmiert. Das kurz vor der Fertigstellung befindliche BetaCrypt 2 kam, auch aus firmenpolitischen Gründen, nicht mehr zum Einsatz und wurde durch eingekapseltes Nagravision derKudelski-Gruppe ersetzt. Die CAMs in den Receivern konnten so beibehalten werden und die Karten kommunizieren immer noch wie klassisches Irdeto, übertragen die Nagrapayload allerdings innerhalb der Irdeto-ECMs. Zuletzt wurde das Verfahren beimORF-Digital-Programm des österreichischen Rundfunks parallel zu Cryptoworks eingesetzt. Wegen der auslaufenden Lizenz und der seit über fünf Jahren nicht mehr möglichen Wartung stellte man die Verbreitung zum 20. Mai 2008 ein.[1]
(CA-ID 0x171n) Betacrypt2 wird von der Comvenient GmbH & Co. KG weiterentwickelt und international vertrieben. Hitron, Artelecom und Nossa-tv Antina verschlüsseln im Betacrypt2-System.
(CA-ID 0x0900) VideoGuard vonNDS wird u. a. seit 2009 vonKabel Deutschland im Simulcrypt-Verfahren mit Nagravision, seit 2008 vonKabel BW, vonTele Columbus im Simulcrypt-Verfahren mit Conax und von Sky Deutschland im Simulcrypt-Verfahren mit Nagravision eingesetzt. Außerdem nutzen esBritish Sky Broadcasting,DirecTV, D-Smart (Türksat 42° Ost),Sky Italia undOTE TV(Griechenland) auf Eurobird 9° Ost. Weit verbreitet ist das System auch auf denSirius-Satelliten, insbesondere für skandinavische Sender, zum Beispiel Viasat. Es ist damit das weltweit vorherrschende CA-System. Es konnte noch nicht umgangen werden.
Als sein analoger Vorgänger kannVideoCrypt gelten. Weitere Varianten von Videoguard sind mVideoguard für mobile Anwendungen und Synamedia/Videoguard für Breitband-TV (IPTV), wie es zum Beispiel beiA1 Telekom Austria fürA1 Kabel TV zum Einsatz kommt.
(CA-ID 0x06nn)Irdeto war ein frühes digitales Codiersystem, das seinen ersten Einsatz im niederländischen Pay-TV (MultiChoice NL) fand. Es wird nur noch von wenigen Anbietern verwendet, da die meisten auf Irdeto-2 wechselten oder zu Hybridlösungen wie zum Beispiel getunneltem Nagra (aktuelles sky Deutschland Verfahren Stand 2009) übergingen. Entgegen der weit verbreiteten Meinung wurde Irdeto nie geknackt: es waren immer nur die Karten, die Schwächen aufzeigten und so das System immer wieder kompromittierbar machten.
Der NameIrdeto ist von derniederländischen HerstellerfirmaIrdeto Access abgeleitet; er stellt eineKontraktion vonIr. Den Toonder – nach dem FirmengründerPieter den Toonder – dar, wobeiIr. dieniederländische Abkürzung für einenIngenieur mitUniversitätsausbildung ist.
Beispiele der Angreifbarkeit der Karten waren unter anderem:
Irdeto-2 unterscheidet sich grundlegend von Irdeto-1. Werden bei Irdeto-1 lediglich die zur Berechnung der Controlwörter notwendigen Schlüssel verschlüsselt übertragen, erfolgt bei Irdeto-2 die gesamte Kommunikation vom Programmanbieter zur Smartcard verschlüsselt. Lediglich die Kopfdaten, die Header, und die Prüfsumme am Ende eines jeden Datenblockes sind mit denen von Irdeto-1 weitestgehend identisch. Dadurch funktionieren Irdeto-2 Smartcards auch in alten einst für Irdeto-1 gebauten CA-Modulen. Die von einer Irdeto-2 Smartcard zurückgegebenen Controlwörter sind ebenfalls verschlüsselt. Diese Form der Verschlüsselung der Controlwörter ist identisch mit dem von Betacrypt-1 bekannten CAM-Crypt.
(CA-ID 0x0dnn)Cryptoworks wird überwiegend aufAstra undHotbird eingesetzt und beispielsweise von MTV Networks genutzt. Cryptoworks wurde ebenfalls vom Premiere-KonkurrentenEasy.TV als Verschlüsselung genutzt.
Cryptoworks wurde von Philips Electronic entwickelt. Philips hat inzwischen die Cryptoworks-Sparte an das niederländische UnternehmenIrdeto verkauft.[2]
Auch derORF bietet bereits seit April 2003 seinen Kunden die Möglichkeit, die ORF-Programme mit Cryptoworks zu entschlüsseln. Die alten BetaCrypt Smartcards wurden bis Ende April 2008 unterstützt.
Einige ORF-Cryptoworks-Receiver (Decoder) hatten/haben Probleme bei einem senderseitigen Codewechsel. Eine mit dem Sendebetrieb beauftragte ORF-TochterORS hat dazu in Kooperation mit dem Österreichischen Fachhandel einen Austauschservice für betroffene Hardware organisiert.[3]
Der ehemalige Bundesliga-SenderArena nutzte für die Verbreitung über Astra eine verschärfte Version von Cryptoworks.Mit arena gab es eine Spaltung der Smartcard-Technologien, einerseits die Größe (SIM-Format), andererseits der SIM-Leser. Dieser brachte Kompatibilitätsprobleme mit anderen Smartcards mit sich, wie etwa bei ORF-Karten.
Negativliste:
Digitürk, UPC Direct, CNN, MTV Networks, CzechLink, Wizja TV, Fox Kids Russia, Fox Kids Romania, VH1 Germany, BFBS TV, JSTV.
(CA-ID 0x1800)Nagravision wurde vom Schweizer UnternehmenKudelski SA entwickelt. Es wurde lange Zeit vor allem beiCyfrowy Polsat eingesetzt. Da fast alle Smartcardserien dieses Systems Schwachstellen aufwiesen, wurde bei vielen Pay-TV-Anbietern weltweit ein Wechsel auf das neuere Nagravision-Aladin-System durchgeführt. Nur noch sehr wenige Anbieter verwenden dieses System. Allerdings ist es in derSchweiz im Kabelnetz noch sehr verbreitet.UPC Schweiz undTeleclub setzten es weiterhin ein. Auf Druck von Teleclub musste die UPC deren Kanäle ab 2015 anders als mit Nagravision verschlüsseln. Die UPC Kanäle sind weiterhin mit Nagravison verschlüsselt.
(CA-ID 0x1801 & 0x1810/ 0x17nn [Betacrypt]) Nagravision Aladin wurde vom Schweizer Unternehmen Kudelski SA entwickelt und ist eine Weiterentwicklung des älteren Nagravision-Systems. Von einigen Smartcardserien von Nagravision Aladin sind Sicherheitslücken bekannt, die es möglich machen, das System ohne gültiges Abonnement zu umgehen.
Die deutschen Pay-TV-AnbieterSky Deutschland,Vodafone Kabel Deutschland undUnitymedia verwenden diese und eine speziell von Kudelski modifizierte Version von Aladin im Simulcrypt-Verfahren. Die Modifikation bezieht sich auf die Datenübertragung in EMMs (Entitlement Management Message) und ECMs (Entitlement Control Message). Die Datenbereiche werden hierbei im Betacrypt-Protokoll übertragen (CAID 0x17nn), sind jedoch mit dem Nagravision-Aladin-Algorithmus verschlüsselt. Damit ist es möglich, ältere Receiver mit eingebauten Betacrypt-CAMs (zum Beispield-box 1 undd-box 2) weiterhin einzusetzen.Vor dem Abschluss des Vertrages zwischen dem Sky-Deutschland-Vorgänger PREMIERE und Kudelski SA war die für PREMIERE vorgesehene Karten-ROM-Softwareversion 120 bereits fertig gestellt. Der frühere PREMIERE-Chef Georg Kofler bestand allerdings darauf, die alten Receiver mit eingebautem Betacrypt nicht gegen neue Aladin-Receiver auszutauschen. Die neuen Aladin-Karten mussten also auch in alten Betacrypt-CAMs lauffähig sein. Da die Betacrypt-CAMs jedoch nur ECMs auf den CAIDs 0x1702 (Sat), 0x1722 (Kabel) oder 0x1762 (Österreich) aus dem Datenstrom filtern und zur Karte senden, mussten die neuen Karten in der Übergangsphase, in der die alten Betacrypt-Karten gegen neue Aladin-Karten ausgetauscht wurden, Betacrypt vollständig unterstützen.Dadurch musste Kudelski nochmals Eingriffe in der ROM-120-Firmware vornehmen, um den Betacrypt-Kern einzuarbeiten. Wegen des Zeitdrucks soll die Software fehlerhaft sein, so dass die Möglichkeit bestand, das System, noch bevor der Kartentausch abgeschlossen und Betacrypt abgeschaltet wurde, zu umgehen. Bekannt ist bislang jedoch nur ein kommerzieller Crack der ROM120-Karten, der bereits mit Nagravision Aladin arbeitet.Kudelski verteilt bereits seit August 2005 Karten mit dem ROM122, die wiederum mehr Sicherheitsupdates beinhalten.Sky Deutschland (PREMIERE) und Kabel Deutschland setzen Aladin in beiden Formen seit November 2003 ein.Kabel Deutschland verwendet für die zwar verschlüsselten, aber kostenlos empfangbaren Kanäle die neue Betacrypt-CAID0x1751 im Simulcrypt-Verfahren zusammen mit der Aladin-CAID 0x1801.Aladin wird zum Beispiel auch vom spanischen Anbieter DIGITAL+ (zusammen mit Cardmagedon), beim kanadischen Anbieter Dish und vom polnischen Anbieter Cyfrowy Polsat eingesetzt.
Nicht modifiziertes bzw. nicht getunneltes (oder auch „reines“) Nagravision Aladin wird fälschlicherweise oft als Nagravision 2 bezeichnet, da man Aladin irrtümlich mit der bei Sky Deutschland und Kabel Deutschland verwendeten Tunnelung mit Betacrypt in Verbindung bringt. Der offizielle Marken-Name von Kudelski SA für dieses System lautet allerdings „Aladin“.
(CA-ID 0x01nn [Mediaguard]) Nagravision Cardmagedon ist eine Weiterentwicklung des Aladin-Systems. Nagravision Cardmagedon wurde speziell für den spanischen Pay-TV-Anbieter DIGITAL+[4] entwickelt und wird für die Zugangskontrolle auf dem Satelliten Astra 19,2°E im Simulcrypt-Verfahren neben „reinem“ Nagravision Aladin (0x1801) verwendet. Ähnlich wie beim modifizierten Nagravision Aladin von sky Deutschland und Kabel Deutschland werden die Daten im SECA-Mediaguard-Protokoll (bei sky und Kabel Deutschland im Betacrypt-Protokoll) übertragen, um ältere DIGITAL+-Receiver mit eingebauten SECA-Mediaguard-CAMs weiterhin benutzen zu können.Jedoch wird im Gegensatz zum modifizierten Aladin nicht nur ein Mediaguard-Wrapper (Verpackung) verwendet, sondern der komplette Daten-Payload wird zusätzlich zur Nagravision-Aladin-Verschlüsselung nochmals in Mediaguard verschlüsselt (Pseudocrypt). Diese doppelte Verschlüsselung macht es erheblich schwieriger, das System anzugreifen bzw. eine Emulation zu schreiben.
Nagravision Cardmagedon wird fälschlicherweise oft auch als SECA Mediaguard 3 bezeichnet und gilt bislang als sicher.
Allerdings kann Nagravision Aladin (CAID 0x1801), das neben Cardmagedon bei DIGITAL+ zum Einsatz kommt, wegen Sicherheitslücken in den ROM110-Karten umgangen werden, wodurch die Sicherheit von Cardmagedon keinen Effekt hat (da man mit Hilfe von Aladin an die aktuellen Steuerdaten gelangen kann).
(CA-ID 0x0bnn)Conax wird hauptsächlich von skandinavischen Sendern eingesetzt. Mittlerweile wird Conax auch für die Kabelkiosk-Plattform von Eutelsat verwendet, die deutsche Kabelbetreiber wie EWT,Kabel & Medien Service (Kabelfernsehen München ServiCenter GmbH & Co. KG), WTC, Marienfeld MultiMedia, Deutsche Telekabel (Versatel) und weitere kleineren Netzbetreiber nutzen. AuchTele Columbus verschlüsselt noch bis auf weiteres mit Conax, neben Videoguard im Simulcrypt-Verfahren. Das TechniSat-Radiobouquet auf dem Satelliten Astra 19,2° Ost war mit Conax verschlüsselt. Vom 1. Quartal 2008 bis zum 1. April 2009 wurde auch das Paket Premiere-Familie (Vormals Thema) über Satellit, zusätzlich zu Nagravision Aladin, in Conax verschlüsselt. Der österreichische KabelbetreiberLiwest und der schweizerische KabelbetreiberDigital Cable Group setzen ebenfalls Conax ein, ebenso die Angebote „intertainment-tv“ von „breitband.ch“ in der Nordwestschweiz. Entwickelt wurde es von der norwegischen FirmaTelenor. Conax kommt auch in Pixx- und Rex-Receivern zum Einsatz. Für die Receiver-Hersteller besteht der Vorteil, dass keine Lizenzgebühren pro Gerät anfallen, weshalb Conax heute in vielen Receivern vorzufinden ist.
(CA-ID 0x01nn) Mitte der 1990er Jahre Entwickelte die Firma Societe Europeenne de Controle D’Acces (SECA), das MEDIAGUARD Conditional Access System. Es war ein weit verbreitetes Codiersystem in den frühen Digital-TV-Zeiten und es wurde unter anderem in Frankreich, Spanien und Italien eingesetzt. Die SECA-1-Verschlüsselung wurde von SECA 2 abgelöst, da alle Smartcards dieser Generation Bugs aufzeigten und somit die Verschlüsselung umgangen werden konnte.
(CA-ID 0x01nn)SECA-2 ist der Nachfolger von SECA und wird derzeit in Frankreich, Belgien, Niederlande und Spanien verwendet. SECA-2 ging denselben Weg wie Irdeto zu Irdeto-2 und etablierte einen CAM-Key in der Kommunikation zwischen Smartcard und CAM.
SECA 2 (Spanien und vormals Italien) konnte anhand eines Bugs (Fehlers) auf der Smartcard SUN V7 erfolgreich umgangen werden. Mittlerweile hat Italiens Pay-TV seine Verschlüsselung auf NDS gewechselt und Spaniens auf Nagravision „Cardmagedon“, da die älteren SECA 2 Karten keinen zuverlässigen Schutz vor Schwarzsehern mehr boten. Auf den Karten der SECA 2 Pakete CA ID 0064 0067 0065 also die Karten Spaniens (DIGITAL+) und Italiens (Sky Italia) konnten die Bugs, die die Umgehung der Verschlüsselung ermöglicht haben, gefunden werden, auf allen anderen Karten, wie zum Beispiel jene von CANAL+ (Frankreich), TV Vlaanderen (Belgien) oder Canal Digitaal (Niederlande) konnten (bisher) noch keine schwerwiegenden Bugs gefunden werden.
(CA-ID 0x0e00) Diese Verschlüsselung wird vomAmerican Forces Network der US-Armee und ehemals vonBundeswehr TV undRadio Andernach für die Versorgung auf ihren internationalen Stützpunkten verwendet. PowerVu wird ebenfalls verwendet, um Fernsehprogramme zur Beschickung von Kabelanbietern per Satellit zu übertragen oderDVB-C-Multiplexe zu tunneln. Um PowerVU-Sender zu entschlüsseln werden spezielle PowerVu-Receiver benötigt, wie sie bislang ausschließlich vom US-amerikanischen HerstellerScientific Atlanta (heuteCisco Systems) produziert werden. Alle PowerVU-Receiver haben den Chip einer Smartcard in Form einesintegrierten Schaltkreises bereits fest eingebaut. Dadurch besitzt jeder PowerVU-Receiver eine einzigartige Seriennummer und kann somit vom Programmanbieter individuell freigeschaltet, aber auch wieder gesperrt werden. Die meisten Receiver-Modelle besitzen außerdem einen Slot zur Aufnahme einer weiteren PowerVU-Smartcard.
Das System wurde Ende 2014 geknackt. Für die Entschlüsselung wird lediglich ein 7 Byte langer Management-Schlüssel benötigt. Bundeswehr TV und Radio Andernach stellten 2015 auf Conax um.
VCAS (Verimatrix Content Authority System) ist ein softwarebasiertes System zum Schutz von digitalen Video- und Audio-Inhalten (Content Protection & Digital Rights Management System), das von Unternehmen im Bereich von IP Netzen (IPTV, FTTH, VoD) und DVB (DVB-S, DVB-T, DVB-C, DVB-H) Einsatz findet.