2020年12月11日
By 蒂姆Siglin 特约编辑
专题文章

算法系列:数字版权管理(DRM)

每当我写关于数字版权管理(DRM)的文章时，我都会被提醒关于编解码器的观点与“DRM”一词所唤起的强烈情感相比，格式之争只是简单的小冲突. 一方面，很多消费者都不喜欢数字版权管理. 而且不仅仅是那些决心打击盗版的消费者. 在国际旅行中, 我无法告诉你我听到过多少父母的抱怨，他们在长途飞行中下载了几部电影给孩子看, 只有地理围栏(地理上的限制), 24小时时间限制, 或者其他形式的权利管理阻碍了他们安抚孩子的能力.

另一方面, 在我们的行业内, 有一些团体强烈支持特定的DRM方案, 比如苹果公平竞争, 谷歌都, 微软PlayReady, 或者开源选项, 这些都是为了保护内容许可方的权利，同时给予购买者, 租房者, 订阅者可以灵活、公平地选择观看内容.

在2020年算法系列的最后一篇文章中, 我将从这些强烈的观点中退一步，看看DRM背后的两个方面:内容加密和许可证生成.

因此，如果您对哪种DRM解决方案最适合您的特定用例感兴趣, 我强烈建议你在流媒体上搜索“DRM”. 但如果你想理解为什么这个行业会围绕支撑最先进的加密和许可方法的数学问题进行整合, 继续读下去. 我将从复制保护早期的经验教训开始, 然后展示它们是如何影响今天的现代DRM解决方案的.

从头说起:VHS

有许多强制执行的方法优质内容的权限管理, 其中许多都是以将世界划分为不同区域为前提的. 虽然在消费者在家观看优质内容的时代之前，这种情况很少出现, 影院上映的影片是按国家/地区分发到电影院的, 直到家庭视频租赁和销售出现，这个概念才真正得到关注.

从Macrovision复制保护方案开始，它将创建 “雪景”图像在任何VHS磁带复制, 制片厂开始将世界划分为地区，这是第一次采用无线(OTA)电视传输格式——ntsc, 朋友, secam，然后大致相当于大陆, 因为朋友和SECAM仍然在许多前英国或法国殖民地使用.

闪亮的光盘

随着dvd数字视频传输的出现, 作为完美的数字拷贝出售给消费者，但也有可能被消费者复制为完美的数字拷贝, 不仅仅是在区域基础上加强了权利管理.

作为制片厂向消费电子(CE)行业要求的优质内容保护协议的一部分, DVD播放机制造商被要求在他们销售的DVD播放机中加入硬锁区域作为第一道防线. 因此，索尼在欧洲销售的DVD播放器只能播放为同一地区指定的批量生产的DVD. 在北美销售的DVD播放机中播放在欧洲销售的DVD的任何尝试都会导致北美DVD播放机的屏幕上显示区域错误.

在某些方面, 对于CE制造商来说，满足工作室的要求并不难, 因为许多媒体和娱乐集团同时拥有工作室和CE设备制造商. 但事实证明，美国电影协会(MPAA)的制片公司和行业代表并不满足于仅仅在DVD播放机或光盘上使用区域锁定. 这种对额外安全性的渴望导致了可以说是世界上第一个DRM解决方案的诞生:Content Scramble System (CSS).

CSS作为一种联合版权管理方案和加密功能包含在每个DVD播放机中, 允许制片厂和电子产品制造商通过结合使用DVD播放机本身的固件更新和更新的批量生产DVD的黑名单，将特定制造商的DVD播放机型号列入黑名单.

破解密码

CSS的问题, 虽然, 它在任何DVD播放机上的表现都是一样的，而且也必须在Macintosh和windows兼容的计算机上的任何基于软件的DVD播放机上工作. 而这些基于软件的DVD播放器为CE设备提供了一个攻击载体, 带着硬编码的存储器和芯片, 没有.

曾经有一次，通过一个聪明的挪威少年的努力，CSS被破解为一种设备, 乔恩·莱赫·约翰森, 谁能逆向工程CSS并发布一个叫做DeCSS的应用程序, 赢得绰号 “DVD乔恩”——所有在电脑上播放的DVD都被破解了，甚至在旧的DVD播放器上也被破解了. 尽管美国电影协会起诉了约翰森, 他被判无罪，因为他使用DeCSS的目的是让他在一台基于linux的PC上观看他购买的dvd, 当时还没有官方的基于软件的DVD播放器支持.

工作室从Johansen的《百家乐app下载》发行以及随后的起诉和无罪释放中学到了什么, 这发生在流媒体视频刚刚进入市场的时候, 其实是因祸得福啊. 自从HD-DVD和蓝光格式之争白热化以来, 制片厂能够从电子产品制造商那里得到额外的让步, 利用这些较新的720p和1080p闪亮光盘的互联网连接功能发出不断更新, 近乎实时的违规CE设备黑名单.

流媒体从闪亮的光盘中学到了什么

流媒体优质内容需要一些折衷，这在光盘时代是不必要的, 而是从VHS到DVD再到蓝光的转变过程中汲取的经验教训.

第一个, 我们需要更高级的加密, 因为在线数字内容通常驻留在一组主文件(MP4视频文件或AAC音频文件)中, 它们在传送时是碎片化的(基于视频分辨率和语言轨迹的排列). 这些文件需要经得起在存储期间(我们称之为 “静态”攻击)或当它被分割和流(我们称之为 “过境”攻击). 第二个, 来解决CSS使用单一总键的缺点等问题, 在接收当今现代OTT流的CE设备中没有永久许可密钥.

屏幕分辨率更高的智能手机的出现, 随着消费者对工作室和流媒体服务的需求，他们承诺将内容传送到任何地方的任何设备, 这意味着现代流媒体需要灵活的版权管理，但也需要强大的授权，可以验证特定用户是否被授权播放.

安全性、速度和规模

即使是对DRM数学的粗略研究也会导致关于如何在维护安全性的同时扩展许可解决方案的讨论. 扩展DRM的最大限制是加密和许可证生成过程的某些方面的计算强度.

虽然可以提高内容的安全性并生成使用越来越大的字母数字排列的许可证, 这种权衡伴随着需要在服务器和最终用户设备上使用更多的计算百家乐软件.

关于DRM的学术论文中充斥着不对称与对称的争论, 但目前的想法是，内容加密最好集中在对称上(使用基于aes的加密), 同时重点研究许可证密钥生成的非对称加密.

保护内容

流媒体行业已经很好地选择了AES加密作为保护静态和传输中的内容的选择. 但AES到底是什么呢? 根据 "基于AES和ECC的多媒体内容保护鲁棒计算DRM框架,这是埃及苏伊士运河大学研究人员在2020年发表的一篇论文, AES是一种对称加密算法，其名称来自密钥长度, 如AES-128, AES-192和AES-256."

论文指出，AES比其前身更安全, 但它真正的好处来自于它的速度, 无论密钥长度如何:“它不仅用于获得高级别安全性, 但它也被用来实现高速度和效率. AES执行10次, 12, 或者14轮，取决于密钥的长度, 这样，对于128位密钥，它执行10轮, 对于192位的密钥，它执行12轮，对于256位的密钥，它执行14轮. 在实现的系统中，使用14[轮]的AES-256对数据进行加密和解密."

Siglin DRM原理图

典型DRM系统的示意图(经论文许可使用)多媒体保护的鲁棒计算DRM框架

使用AES和ECC")

生成许可证

AES是对称的，而DRM的许可证密钥生成使用的是不对称的方法. 密钥生成不再采用对称加密技术，这种技术在早期的物理VHS磁带中使用, dvd, 对于流媒体DRM认证来说，这是很重要的一课. “(对称密钥加密)的重点是通过使用相同的密钥来确保发送方和接收方之间的安全通信,根据这篇经常被引用的论文 "密码学:现代技术的比较分析."

如本文前面所述, 对称密钥方法被用于解决方案，如dvd的CSS, 但由于它是不可变的关键是，我们已经看到了看似 "秘密“被黑客攻击或逆向工程时的关键面孔. 对称密码学(也称为公钥密码学)通过使用公钥和私钥来保护通信,据报纸报道.

破解密码(再次)

在非对称密码术中, 它在几十年前通过PGP应用程序首次流行起来，用于保护电子邮件和基于文本的文档, 公钥与私钥配对关键. 这个细节只有生成私钥的人知道, 除非他/她将邮件转发给其他共享邮件或文档的人.

RSA公司. 对密码和许可证的密码学有重要的锁定, 从政府和军事用途开始(我记得早在1993年，美国国防部就开始使用带有旋转数字的钥匙).S. 国防部设施)，并在20世纪90年代后期进入公司和企业用例.

RSA使用带有两个素数的随机数生成器作为公钥, 但研究发现，RSA算法并不像之前认为的那样安全. “我们的团队研究了数百万依赖RSA算法的活跃数字证书,Keyfactor安全研究小组的JD Kilgallin在2019年底的一篇题为“ "可预测随机性的讽刺(和危险)." “剧透警告:我们发现每172个证书中就有1个由于随机数生成不良而容易受到攻击."

这个问题, 它的核心是RSA使用两个随机生成的足够大的素数，然后将它们相乘(这样两个素数就被认为是相乘数的因数)，这就是基尔加林所指出的除非这两个素数不是真正随机的，否则从结果中进行逆向工程在计算上是不可行的.

基尔加林写道:“有可能会有一个副本。. “如果两个公钥共享一个公共因子, 只需要几微秒的计算和简单的数学就可以找到其他因素, 把两把钥匙都折衷一下.Kilgallin和Keyfactor团队通过这种方式破解了近25万个RSA公钥.

解决这个问题的一个办法就是从根本上增加质数的大小, 但是计算变得更密集了. 实际上, 这意味着终端用户的设备将需要更多的时间来验证许可证密钥问题. 反过来, 解密加密的内容需要更多的时间, 这意味着电池寿命和访问内容的时间都会受到影响.

显示DRM密钥交换功能的流程图(经论文许可使用)基于AES和ECC的多媒体内容保护鲁棒计算DRM框架")

椭圆机

解决前面指出的问题, 随着密钥长度不断增加的趋势，作为进一步限制公钥被泄露的可能性的一种方式, 研究人员开始讨论RSA扩大规模以满足DRM许可需求的可行性. 这些讨论, 进一步的研究, 最终导致了另一种形式的密码学, 使用椭圆曲线(称为ECC).

苏伊士运河大学的论文指出，ECC的主要好处之一, 与RSA方法相比, 速度: “ECC以更小的密钥大小提供最高级别的安全性,研究人员写道, 注意到256位ECC密钥大小可以达到RSA算法使用更大的密钥大小(3072位)所能达到的相同安全级别。.“因此, 所需的计算百家乐软件更少, 哪一种方法减少了权力限制, 因为键本身更短, 在身份验证过程开始时减少带宽消耗.

根据论文, “从安全的角度来看, 分解ECC所需的时间为全指数时间. 例如，具有160位密钥大小的ECC需要9.6 × 10.11亿条指令/年(MIP)…最著名的攻击将被打破."

那么ECC到底是什么呢? 由于篇幅有限，我无法完全描述实现ECC的过程, 但这里有一个简单的数学概述.

不像RSA方法, 它使用两个素数的基本乘法来生成解码密钥的因子, ECC使用曲线上的点. ECC密钥是短暂的, 这意味着它们是基于会话的用例的理想选择, 例如流媒体DRM许可. 因此, 学者们现在推荐一种叫做ECDHE(椭圆曲线Diffie-Hellman Ephemeral)的密钥交换方法.

椭圆曲线具有丰富的代数结构，可以用于密码学,Avinash Kak写道, 普渡大学, in 一节课的笔记 "椭圆曲线密码与数字权限管理.此外，他写, 椭圆曲线之所以被称为椭圆曲线，是因为在数学中它们与椭圆积分的关系. 椭圆积分可以用来确定椭圆的弧长."

Kak在分解ECC背后的数学方面做得很好. 他说明了为什么最简单的曲线是直线, 其次是圆锥曲线(正的是抛物线，负的是双曲线), 其次是标准构型的椭圆曲线(也称为魏尔斯特拉斯方程), 可以这样写:

Y2 = x3 + ax + b

谷湖写道, 为了让读者体会到真正安全的椭圆曲线中使用的参数, 这里有一个例子:

y2 = x3 + 31768908125132550347
6317476413827693272746955927x
+
7905289660787875871812057
2025718535432100651934

据Kak说, 这个椭圆曲线在微软 Windows Media数字版权管理版本2中使用."

Kak还指出，这可以写成:

y = ±√x3 + ax + b

对于那些在密码学中使用椭圆曲线的人，Kak有两个主要警告:不要使用奇异曲线(也可以表示为非光滑曲线)。, 确保计算是用模素数来完成的. “用实数计算容易产生舍入误差，”他写道. 密码学需要无错误的算法."

密码学技术的分类, 展示对称和非对称密码术(经论文许可使用)密码学:现代技术的比较分析")

生成唯一数字的最好方法之一, 如前面RSA讨论中所述, 是用质数吗, 因为它们只能被自己和1整除. 但是当涉及到Kak引用的无错误算术时, 只有质数是不够的. 为此，我们需要使用模撇.

“ECC的安全性取决于找出点G参与和的次数 G + G + ... + GKak写道，并指出次数是由私钥决定的. “[I]f某个整数 X_A 是你的私钥，你通过把G点加到它自己上得到你的公钥吗 X_A 次."

Kak还指出，组合的价值 X_A, 哪些是只有用户知道的, 模素数对解密许可密钥造成了很大的障碍: ，因为攻击者不知道 X_A, 他就不能利用这种指数增长的跳跃(即G的自身增加) X_A 时报》). 这里还有一个更重要的因素:所有这些计算都是以素数为模进行的 p (以最常用的ECC形式)."

我在之前的算法系列文章中讨论过模, 我鼓励你们去测试一下，当涉及到模数和质数时，模是如何工作的——两个数的除法的余数.

自己试一试, 选一个素数, 减去1, 然后用另一个质数除以减去1的质数. 下面是三个例子:

37是质数，所以减去1等于36. 23也是质数，所以减去1等于22. 36除以22等于1.636363，小数重复到无穷.

36 ÷ 22 = 1.636363 …

同样地，83是质数，所以它减去1等于82,82除以22等于3.727272，小数重复到无穷.

82 ÷ 22 = 3.727272 …

最后，67是质数，所以它减去1等于66,66除以22等于3.

66 ÷ 22 = 3

模素数(特别是ECC使用的素数减1方法)的有趣之处在于，结果可以是三种可能的有理数之一:整数(没有小数), 一个小数点(因此不受舍入影响), 或者是一个相当大的数字. 这就是我的数学老师妻子所说的余数. 它包含重复小数，也可以转换成分数(e.g., 3.3333可以转换成3又1/3，因为小数点后的3重复到无穷大。.

内部攻击和DRM许可的未来

许可证密钥生成的未来不仅取决于攻击者的无能为了解决重大的计算难题，但是另外，假设专有解决方案不会向公众披露. 当Windows Media DRM成为关键的DRM解决方案之一时，这种情况就发生了. 在2001年，一个用户与绰号 “Beale耸人听闻的标题” 不仅发布了Windows Media DRM版本2如何工作的细节, 而且还提供了freeeme工具来去除版本1和版本2的DRM保护. 微软推出了Windows Media DRM的第三个版本(称为版本10), 但是根据Kak的说法, 这个也被破解了.

这种情况, 也许, 在解密方面，是什么促使业界使用ECC的修改版本, 特别是考虑到ECC更短的密钥长度意味着更快的握手协议, 这反过来意味着更广泛的采用ECC以及无线通信.

Kak和苏伊士运河大学的研究人员提出的一种方法是椭圆曲线数字签名 ECDSA (Algorithm)，用于验证ECC生成的license. “数字签名用于保证从服务器发送到桌面或web应用程序的关键消息的内容在传输过程中不会被更改,苏伊士运河大学研究人员在论文中写道, ，特别是在发送许可密钥时, 解密密钥, 用户的许可还有加密视频.他们建议在他们提出的新DRM解决方案中使用ECC方法的组合:“在提议的系统中, 在密钥交换过程中使用椭圆曲线Diffie-Hellman (ECDH)算法, 在数字签名过程中使用椭圆曲线数字签名算法(ECDSA)."

虽然这种模式在游戏主机上取得了成功, 比如索尼PlayStation游戏机, 很可能一两年之后我们又会回到这里, 讨论如何最好地使用一种较新的加密形式来处理DRM许可.