(Май 2007)
Судьбе было угодно так, чтобы технология AACS, защищающая видеоконтент высокой четкости на дисках HD DVD и Blu-Ray, стала на сегодня главным символом противостояния между индустрией и потребителями.
Ибо индустрия уверена, что лишь владельцы прав на контент могут решать, как этим счастьем следует пользоваться. Потребители же, честно заплатившие за товар конкретные деньги, склонны считать, что могут распоряжаться купленной вещью так, как сочтут нужным.
В доводах каждой из сторон есть свои резоны, но когда потребителям приходится вскрывать защиту контента для того, чтобы просто посмотреть купленный фильм или сделать резервную копию, то далеко не очевидно, какую из сторон здесь следует считать пострадавшей.
Предсказания оракулов
Технология AACS родилась, как говаривали в старину, под несчастливой звездой. То, что ничего хорошего из этой затеи не выйдет и выйти не может в принципе, специалистам было ясно с самого начала.
Например, читатели журнала IEEE Spectrum, предназначенного для ИТ-профессионалов, еще в январе 2005 года — за несколько месяцев до публикации спецификаций AACS — общим голосованием выбрали эту технологию как наиболее вероятного кандидата на самый серьезный провал в индустрии ближайших лет.
Причин для столь категоричного пессимизма было множество, но самая главная — это бесславное фиаско всех предыдущих технологий подобного рода, пытающихся оградить от копирования файлы. Иными словами — то, что по самой природе своей создано именно для простого и удобного хранения / переноса / размножения информации.
Норвежский хакер Йон Лех Йохансон (более известный в мире как DVD Jon за вскрытие DVD CSS, технологии защиты предыдущего формата видеодисков) тоже сделал свое предсказание, но чуть позже. В январе 2006, когда стало ясно, что неоднократно задерживавшийся вывод на рынок HD DVD и Blu-Ray до конца лета все же состоится непременно, Йохансон предрек, что жить AACS невзломанной, скорее всего, останется лишь до зимы 2006/2007.
Наконец, в конце 2006 года Питер Гутман, авторитетный новозеландский эксперт по защите информации, констатировал, что AACS формально остается невскрытой лишь по той причине, что ни у кого, похоже, пока не появилось потребности этим заняться. Но как только такая нужда появится, то на вскрытие понадобится не более месяца.
А затем настал год 2007 и вместе с ним исполнились все предсказания оракулов. Защита AACS не смогла пережить зиму 2006/2007, и взломали ее действительно очень быстро — в буквальном смысле на глазах у публики. В который уже раз продемонстрировав Голливуду и музыкальной индустрии полную безнадежность их затеи с попытками диктовать потребителям, что можно делать с купленным контентом, а что нельзя.
[ВРЕЗКА #1]
Было или нет?
Самое первое «авторское объявление» о преодолении защиты AACS сделал на сетевом форуме геймеров Doom9 некий предприимчивый персонаж под псевдонимом muslix64. Этот «мюсликс» рассказал форумчанам о том, как по случаю прикупил к своему компьютеру внешний HDDVD-привод (выпущенный Microsoft для игровой приставки Xbox 360) и несколько соответствующих дисков с фильмами, но тут же обнаружил, что его вполне продвинутый ПК воспроизводить их отказывается.
Оба программных плеера, предназначенных для воспроизведения видео высокой четкости, сообщили, что видеокарта не совместима со стандартом HDCP (защита HighDefinition-контента), а монитор подсоединен через незащищенный цифровой интерфейс DVI (а должен быть оснащен криптографией).
Все это, по словам «мюсликса», страшно его рассердило и завело, так что он скачал с сайта консорциума AACS открыто опубликованные спецификации технологии защиты и поставил себе задачу за месяц интенсивной работы постараться найти способ для ее обхода и просмотра HD-фильмов на своем компьютере.
После ряда неудач, по словам автора, ему удалось-таки найти слабое место и извлечь из памяти компьютера ключ, шифрующий контент на диске. Ну а дальше — дело техники: «мюсликс» написал программу расшифрования-копирования фильмов BackupHDDVD и заснял процесс обхода защиты на видеоролик. И то, и другое автор выложил на файлообменных сайтах для доказательства результатов своей работы.
На первый взгляд, предоставленные свидетельства смотрелись достаточно убедительно. Видео показывает, как содержимое дисков расшифровывается и копируется на жесткий диск компьютера для последующего воспроизведения, в списке восстановленных ключей к фильмам фигурируют несколько картин, выпущенных на HD DVD (Ван Хельсинг, Аполлон-13, Последний самурай и т.д.), а анализ сопутствующего исходного кода к программе BackupHDDVD свидетельствует, что она действительно предназначена для расшифрования файлов по алгоритмам AACS.
Самое большое и принципиальное по сути сомнение относительно честности заявленного «мюсликсом» вскрытия вызывало полное отсутствие собственно вскрытых ключей в представленных доказательствах. Даже единственного ключа к какому-нибудь из дисков было бы достаточно, чтобы факт вскрытия был неоспоримо доказан. Однако ключа такого не было. Что же было, так это весьма туманные и уклончивые рассуждения «взломщика» про то, что ключ к каждому конкретному фильму может извлечь из памяти компьютера практически любой, кто имеет представление о том, как данная память работает…
[КОНЕЦ ВРЕЗКИ#1]
Этапы вскрытия
Самое начало истории со взломом AACS описано во ВРЕЗКЕ#1, и для лучшего понимания дальнейших событий можно лишь напомнить, что открытой «ареной», на которой все это происходило, стали страницы сетевого форума Doom9.org. Где регулярно тусуется народ, интересующийся вопросами снятия защиты с контента самого разного рода.
После шумной и скандальной истории со вскрытием CSS DVD, когда главного героя и автора программы DeCSS Йона Йохансона несколько лет тягали по судам и следствиям, ныне все участники обсуждений и обменов информацией на форуме предпочитают общаться исключительно под псевдонимами и не раскрывают свои подлинные имена.
По этой причине все действующие лица нашей истории по сию пору остаются, строго говоря, неизвестными. Но зато очень хорошо известны их дела, которые в хронологическом порядке выглядят примерно следующим образом.
[ВРЕЗКА#2]
Теория защиты и практика взлома
Как и любая другая система защиты информации на основе криптографии, технология AACS имеет в своей сердцевине алгоритм шифрования и криптоключи, обеспечивающие доступ к зашифрованному контенту. Кроме того, по естественным причинам AACS имеет много общего с технологией CSS, защищающей контент на нынешних DVD. Но с тем отличием, что создатели AACS постарались учесть и исправить все те слабости, которые в свое время привели к быстрому и непоправимому взлому CSS.
Главной ошибкой в CSS, напомним, было то, что разработчики пренебрегли одним из фундаментальных принципов теоретической криптографии, запрещающим строить стойкость системы на основе засекречивания собственно схемы алгоритма. В грамотной системе алгоритм шифрования предполагается известным противнику, а вся безопасность строится на стойкости ключей к взлому. В системе же CSS алгоритм шифрования выбрали откровенно слабый, решив, вероятно, что никто об этом не узнает, если его засекретить.
В результате, как только хакеры сделали обратную инженерную разработку схемы и восстановили криптоалгоритм, то вскоре был придуман и эффективный метод его быстрого взлома в независимости от ключей конкретных плееров. А это означало, что довольно хитроумная система управления ключами, имевшаяся в CSS для защиты от компрометации путем аннулирования ключей скомпрометированных плееров, оказалась совершенно бесполезна.
В AACS учли этот опыт и построили защиту на основе хорошо известного и стойкого криптоалгоритма AES, уверенно противостоящего всем известным методам взлома. А многоуровневую систему управления ключами развили до такой степени, что в принципе она стала позволять отыскивать не только модель скомпрометированного плеера, давшего утечку ключа, но даже серийный номер конкретного плеера (чтобы полностью его заблокировать для воспроизведения дисков, выпускаемых впоследствии).
Короче говоря, в теории на этот раз все было сделано правильно. Однако практическая стойкость всякой криптосхемы принципиально зависит от ее грамотной конкретной реализации. А вот это, увы, обеспечить несравненно сложнее, чем формальное соответствие теории…
[КОНЕЦ ВРЕЗКИ#2]
Итак, в последние дни 2006 года персонаж muslix64 опубликовал на веб-форуме программу BackupHDDVD (вместе с исходным кодом), заявив, что сумел-таки с ее помощью смотреть на своем компьютере фильмы HD DVD, расшифровывая контент с оптодиска и сохраняя его на винчестере. Но при этом самое главное, криптоключ для снятия защиты, Мюсликс публиковать не стал, сообщив, что все интересующиеся сами могут его найти в оперативной памяти компьютера.
Многие «мюсликсу» просто не поверили, но вот те, кто поверил, энергично взялись за поиски. И спустя две недели другой персонаж, под ником LordSloth, действительно обнаружил и опубликовал конкретный способ для выделения ключей из дампа памяти плеера WinDVD.
Буквально в тот же день, 13 января 2007, в пиринговых сетях начали появляться первые расшифрованные копии фильмов высокой четкости, выпущенных на HD DVD. Привода под диски Blu-Ray у Мюсликса не было, но такой аппарат оказался у другого человека под псевдонимом Janvitos, который применил уже известную технику анализа структуры файлов и выделения дампа памяти. Затем к делу подключился снова Мюсликс — и в итоге из программы BackupHDDVD родилась BackupBluRay, а в файлообменных сетях начали циркулировать фильмы и с оптодисков второго HD-формата.
Хотя факт первого преодоления защиты AACS стал бесспорным, масштаб успеха хакеров был поначалу совершенно несопоставим с тотальным взломом DVD CSS, где очень быстро научились вскрывать защиту любого диска без предварительного знания ключа.
В случае с AACS обычным пользоватедям компьютеров поначалу для снятия копии с конкретного фильма приходилось индивидуально искать для него «ключ названия», или title key в Сети, а если такового не находилось, то ждать, пока до его восстановления доберутся руки у умельцев.
Но затем, по мере углубления анализа системы, были обнаружены очень серьезные слабости в конкретных реализациях протоколов AACS программными плеерами, что существенно упростило и решение проблемы резервного копирования (подробности об особенностях ключевой системы AACS см. во врезке#3).
[ВРЕЗКА#3]
Ключи к знанию
Чтобы в общих чертах была понятна важная техническая суть открытий, сделанных участниками форума Doom9, необходимо рассмотреть некоторые подробности системы управлении ключами в AACS.
Любому плееру — будь то аппаратному или программному — для воспроизведения HD-видеодисков присваиваются секретные «ключи устройства» (device keys). Каждое устройство использует такой комплект сугубо собственных ключей для вычисления намного более многочисленного множества ключей, именуемых «ключи обработки» (processing keys). А каждый защищенный AACS видеофильм, в свою очередь, зашифрован собственным уникальным «ключом названия» (title key), причем множество копий этого ключа, зашифрованных разными ключами обработки, хранится в специальном разделе на оптодиске (HD DVD или Blu-Ray).
Чтобы воспроизвести такой диск, устройство-плеер с помощью нетривиального алгоритма определяет, какую из зашифрованных копий title key оно имеет возможность расшифровать. После чего плеер использует свой «ключ устройства» для вычисления необходимого «ключа обработки», а тот, в свою очередь, позволяет расшифровать «ключ названия» и получить доступ к контенту для воспроизведения.
Эти три главных типа ключей (имеются и другие вспомогательные) имеют различную ценность с точки зрения безопасности и противостояния вскрытию. Ключи устройства, ясное дело, для атакующей стороны были бы наиболее интересны и полезны. Если вы знаете ключи устройства, то вы можете расшифровать любой диск, который воспроизводит этот плеер. Поэтому для защиты device keys предприняты максимальные меры безопасности и разработан хитрый механизм определения и блокирования все же скомпрометированных как-то ключей такого рода.
Ключи названий наименее полезны, поскольку каждый из них годится для расшифровки лишь единственного фильма. Ключи обработки занимают по ценности промежуточное положение, однако они нигде не хранятся — ни в плеере, ни на диске , — а вычисляются на одном из этапов подготовки фильма к воспроизведению. Поэтому добыча их атакующей стороной представлялась наиболее проблематичной, по крайней мере в теории. На практике, однако, все оказалось иначе.
[КОНЕЦ ВРЕЗКИ#3]
В феврале 2007 на форуме Doom9 появился новый персонаж под псевдонимом Arnezami, который придумал несколько иной способ для поиска и выделения ключей — анализировать не память плеера, а канал обмена информацией между HDDVD-приводом и компьютером.
С этой целью Arnezami применил общедоступную программу-сниффер (SniffUSB.exe) для анализа передач по USB-каналу, а в результате действительно сумел выделить сгенерированный плеером промежуточный «ключ обработки» для имевшегося у него фильма. Но самое главное, что попутно — с помощью соратников по форуму — было сделано неожиданное и важное открытие. Быстро выяснилось, что этот же «ключ обработки» подходит и для всех остальных фильмов, выпущенных на дисках HD DVD. А также и для всех проверенных фильмов на дисках Blu-Ray.
Что, вообще говоря, абсолютно никак из спецификаций AACS следовать не должно. Ибо, согласно этим спецификациям, каждое устройство-плеер имеет уникальный набор из нескольких сотен device keys, на основе которых может быть вычислено несколько миллиардов разных «ключей обработки».
Теоретически, какие-то из этих ключей обработки иногда могут совпадать для разных плееров, но при столь внушительном общем их числе, каждый конкретный ключ обработки статистически должен совпадать лишь у очень небольшой доли плееров по всему миру.
Однако в реальности и по причинам, которые никто толком не понял, все выпущенные на рынок HD-диски «первой волны» имеют единый набор идентификаторов для 512 «ключей обработки». Иначе говоря, изготовители вполне могли формировать существенно разные массивы ключей обработки для разных фильмов, но вместо этого сделали такой массив общим и крайне узким. Именно поэтому первый же установленный анализом Arnezami ключ, тут же опубликованный им в Сети, оказался подходящим для расшифрования всех дисков.
На этом этапе стали более понятны и сдержанные, не очень внятные комментарии от разработчиков коммерческой программы AnyDVD HD (взламывавших AACS параллельно, но без огласки), по словам которых вскрывать защиту HD-видео оказалось даже проще, чем DVD.
Ну а на форуме Doom9, тем временем, окрыленные успехами энтузиасты в течение марта 2007 полностью и окончательно «доломали» защиту в обоих программных плеерах WinDVD и PowerDVD, отыскав для них «ключи устройств». Тем самым сделав абсолютно неизбежной процедуру полного обновления как AACS-ключей, так и кодов программ воспроизведения.
[ВРЕЗКА#4]
Программы в ассортименте
Хотя методам снятия защиты AACS нет еще и полугода, программ, уже умеющих это делать, в интернете успело появиться достаточно — как свободно распространяемых, так и коммерческих.
Самой известной пока что по праву считается BackupHDDVD (иногда в название через слэш добавляют BackupBluRay), поскольку она появилась в Сети первой, как подарок сообществу от персонажа под псевдонимом Muslix64. Но эта программа изначально заточена под сугубо функциональную задачу, подразумевает, что продвинутый пользователь хорошо представляет, что делает, а потому не обременена сервисными удобствами. Иначе говоря, для обычных пользователей этот инструмент не очень подходит.
С другой стороны, в Сети есть очень удобная программа AnyDVD HD от компании Slysoft (www.slysoft.com, когда-то американской, а ныне базирующейся на карибском острове Антигуа, дабы не конфликтовать с законами США). Эта программа обладает той же функциональностью, что и давно известный любителеям DVD риппер AnyDVD, плюс возможности снятия AACS-шифрования и регионального кодирования с дисков Blu-Ray. Единственное «неудобство» — бесплатно этот инструмент работает лишь первые три недели, предоставленные пользователю для опробывания.
Совершенно бесплатную и при этом вполне функциональную программу DVDFab HD Decrypter предлагает китайская компания Fengtao Software (www.dvdfab.com). Строго говоря, этот продукт является упрощенной версией коммерческой программы DVDFab Platinum с куда большими сервисными возможностями (снятие защиты, перемонтирование файлов с удалением ненужных, прожиг дисков и т.д.). Однако и в бесплатном варанте программа крайне полезна, поскольку копирует весь DVD или HD/Blu-Ray диск на винчестер, предварительно удаляя все имеющиеся на нем формы защиты (AACS, CSS, RC, RCE, APS, UOP, Sony ArccOS).
В принципе, смотреть HD-видеодиски уже можно и на компьютерах под ОС Linux. Однако пока что процедура подготовки к просмотру довольно замысловата. Прежде всего, надо найти и поставить драйвер под файловую систему UDF 2.5. Установить программу BackupHDDVD C++ (обычная BackupHDDVD работает под Windows). Ключ к нужному фильму, скорее всего, удастся найти в Сети, так что расшифрованные файлы с видео- и аудиоконтентом в формате .evo запишутся на жесткий диск. После чего их можно, наконец, воспроизвести с помощью программ вроде Mplayer или VLC.
[КОНЕЦ ВРЕЗКИ#4]
Что дальше?
Понятно, что уже после первых вестей о подтвержденном взломе AACS наибольшее любопытство и у публики, и у специалистов по инфобезопасности стал вызывать вопрос об ответной реакции индустрии. Ибо технология защиты контента на HD-видеодисках создавалась с весьма серьезным запасом прочности, а потому всем крайне любопытно, насколько эффективно можно на практике реализовать восстановление системы, претерпевшей столь внушительные удары многократной компрометации.
К разочарованию многих, первоначальная реакция на взлом оказалась чрезвычайно вялой, хотя и предсказуемой. Юристы из AACS LA (специально созданной компании, ведающей лицензированием технологии) в марте стали рассылать письма-угрозы крупным интернет-провайдерам, на серверах которых лежали для свободного скачивания копии BackupHDDVD, с требованием убрать «незаконную» программу. Понятно, что с технической точки зрения эффект от подобных акций реагирования равен нулевому.
Первые сколь-нибудь существенные действия, подразумевающие реальную коррекцию системы, последовали позднее. Шестого апреля 2007 AACS LA и фирма Corel, с прошлого года ставшая владельцем WinDVD, одновременно опубликовали пресс-релизы, извещающие о серьезной модификации программных плееров, предназначенных для воспроизведения AACS-защищенного контента.
В целом процедура апгрейда именуется «обновлением ключей» и внешне выглядит как стандартная установка программных патчей через онлайновое соединение с сайтом разработчика. Однако на сайте Intervideo WinDVD этот патч не выложен, а вместо него всем пользователям программы предложено отправиться на веб-страницы техподдержки изготовителей приводов их оптодисков или ПК (если привод шел в комплекте). Иначе говоря, одновременной модификации подвергнуты не только код плеера, но и соответствующие драйверы дисководов.
Дабы пользователи не мешкали с обновлением программы, в пресс-релизах их заранее предупредили, что новые видеодиски высокой четкости будут нести в себе информацию об аннулировании старых ключей и заблокируют работу плееров, пытающихся их использовать.
Хотя на момент подготовки статьи к печати от разработчиков второго HD-плеера, PowerDVD, никаких пресс-релизов на данную тему не появлялось, понятно, что и эта программа должна быть обновлена по той же самой схеме для просмотра новых дисков.
Поскольку запуск новой волны релизов HD-видео из-за компрометации AACS был перенесен с марта на конец мая, эффективность новых средств защиты станет более-менее понятна только летом. Хотя, с другой стороны, в истории нет абсолютно никаких примеров, свидетельствующих, что подобного рода технология способна срабатывать в принципе.
Поэтому невольно веришь участникам форума Doom9.org, без особого напряжения сумевших коллективно развалить первое поколение AACS, попутно узнавших кучу интересных вещей о внутреннем устройстве системы, а потому не сомневающихся, что и следующие поколения защиты постигнет примерно та же судьба.
The END
PostScriptum из 2014.
Обычно в комментариях к столь давнему материалу принято уточнять, чем же закончилась вся эта история. Однако в данном случае уточнения вряд ли требуются. Все любители кино и так прекрасно знают, что фильмы, выпущенные на Blu-Ray, тут же появляются и в Сети – уже без всякой защиты. Навязчивой, но абсолютно бесполезной защиты, можно добавить.
kiwi arXiv 