37C3: Kopierschutz AACS 2 für Ultra HD Blu-rays ist geknackt
Forscher haben einen umfassenden Angriff auf das aktuelle Blu-ray-DRM präsentiert. Damit lassen sich Schlüssel extrahieren und UHD-BD-Filme beliebig abspielen.
Das Kopierschutzverfahren Advanced Access Content System (AACS) in Version 2 für HD DVDs und Ultra HD Blu-rays (UHD BD) mit 4K-Auflösung (3840 × 2160 Pixel) hat Umgehungsversuchen zwar länger standgehalten als sein Vorgänger AACS 1. Adam Batori, Ingenieurswissenschaftler an der University of Michigan, präsentierte am Freitag auf dem 37. Chaos Communication Congress (37C3) in Hamburg aber nun einen "Ende-zu-Ende-Angriff" auf das System zum digitalen Rechtekontrollmanagement (DRM). Er ermöglicht es ihm zufolge, AACS-2-Schlüsselmaterial zu extrahieren. Damit lassen sich UHD-BD-Filme auf jeder Hardware abspielen sowie UHD-BD-Discs klonen.
Per Reverse-Engineering entschlüsselt
Ausschlaggebend für den Angriff sind vor allem Schwächen in der Sicherheitsfunktion Software Guard Extensions (SGX) von Intel und deren Update-Mechanismen. SGX ist eine der Voraussetzungen dafür, dass AACS 2 greift. Zudem fanden Batori und sein insgesamt zehnköpfiges Team mit weiteren Wissenschaftlern aus den USA, Israel und Australien einen Weg, um die PowerDVD-Wiedergabe-Software für Blu-rays von CyberLink per Reverse Engineering zu rekonstruieren. Das für AACS 2 entwickelte Verschlüsselungssystem trat damit offen zutage und ließ sich erstmals im Detail dokumentieren. Es gilt den Forschern damit als unwirksam.
Trusted Execution Environments (TEEs) wie SGX werden seit Langem als optimal für Sicherheitsanwendungen angepriesen. Anstatt eine Zugriffskontrolle und eine Isolation von Prozessen durch Softwaremechanismen zu erzwingen, zielen TEEs darauf ab, Sicherheit über Hardware bereitzustellen. Die Architektur des Systems soll dabei den Schutz durchsetzen. Bei der SGX-Erweiterung tauchten über die Jahre hinweg aber immer wieder Sicherheitslücken auf. Die von dem SGX.Fail-Team auch in einem knapp 30-seitigen Artikel beschriebenen Attacken etwa über Seitenkanal-Angriffe, bei denen es um das Erlangen eines kryptografischen Geheimnisses geht, haben der Intel-Funktion mittlerweile offenbar den Rest gegeben.
Wettlauf mit Filmkopierern
Das AACS-2-Protokoll "scheint technisch gut konzipiert zu sein", konstatieren die Wissenschaftler. Zum Verhängnis geworden sei ihm aber letztlich die Abhängigkeit von der Sicherheit, die SGX gewährt. Genauso wie der direkte Vorläufer, der seit etwa 17 Jahren als geknackt gilt, arbeitet AACS-2 mit einer Schlüsselhierarchie. Videoinhalte werden mit einem zufällig generierten Titelschlüssel verschlüsselt. Dieser wiederum wird verpackt mit einem Volume Unique Key (VUK), der die ID der Festplatte mit Media Key Blocks (MKBs) kombiniert. Weiter sind spezielle Geräte und Verarbeitungsschlüssel beteiligt, mit denen letztlich alles bis zu einem Widerruf entschlüsselt werden kann. Eine Gerätesperre wiederum erfolgt über die sogenannte "Tree Subset Difference Broadcast Encryption"-Methode anhand einer baumartigen Struktur. Diese ermöglicht einen Widerruf einzelner Player.
Bei AACS-1 kursierten mit der Zeit immer mehr dieser Schlüsselkategorien bis hin zu Geräteschlüsseln im Netz. Die hinter AACS stehende Lizenzverwaltung (LA) – die IBM, Intel, Microsoft, Panasonic, Sony, Toshiba, Walt Disney und Warner Bros. gegründet haben – kann einen solchen Key zwar bestätigen und widerrufen, doch damit entwickelt sich ein Wettlauf mit Filmkopierern, wobei letztere die Oberhand haben: "Piraten können Schlüssel schneller auslesen, veröffentlichen und freigeben, als AACS-LA sie widerrufen kann", weiß Batori. Genau auf dieser Stufe befinde sich nun auch AACS 2. Die bei sechs Geräteherstellern ermittelten durchschnittlichen Patch-Zeiten zum Liefern von Updates reichten von 25 Tagen bei HP bis zu 125 Tagen bei Lenovo. Einige ältere Produkte würden möglicherweise nie aktualisiert.
Sicherheits-Enklave nicht wasserdicht
Die Forscher erstanden zunächst das Programm PowerDVD 20 Ultra und fanden in den über 600 Ordnern nach einigem Suchen auch die ausführbare Datei PowerDVDMovie.exe. Diese verwaltet die Medienwiedergabe und lädt AACS-2-bezogene Module. Alles schien mit spezieller Software wie Themida recht gut abgesichert gegen Hacker, einzelne für die Verschlüsselung und das Zusammenspiel mit SGX genutzte Bibliotheken waren zusätzlich gegen beliebiges Nachladen von Code geschützt. Doch die Datei CLTA_SW.dll, die bei einem Versagen des Kopierschutzverfahrens ins Spiel kommt, enthielt aber keine entscheidenden Sicherheitsfunktionen, dafür aber fast die komplette Implementierung von AACS-2-Algorithmen. Batori mutmaßt, dass die Entwickler die brisante Programmbibliothek in einer frühen Produktionsversion von PowerDVD vergessen haben.
Die AACS-2-Schlüssel lagen damit aber noch nicht auf dem Tisch. Sie werden nicht als Teil von PowerDVD ausgeliefert, sondern müssen von einem Server heruntergeladen werden. Auf der Festplatte werden sie anschließend in einer Art Enklave versiegelt. Es muss aber möglich sein, Daten abgesichert dorthin zu bringen. Intel hat dafür einen eigenen SGX-Beglaubigungsdienst ("Attestation") geschaffen. Dahinter steht wiederum ein ausgefeiltes Verschlüsselungsverfahren mit Kommandos zum Beziehen von Keys und einer eigenen verstärkten Privacy-Kennziffer (EPID). Doch auch dieses feingliedrige Gebilde war nicht ganz wasserdicht, da Software-Anbieter wie CyberLink geheime Daten herunterladen können müssen, um Geräte gegebenenfalls sperren zu können.
Benutzerfreundlichkeit versus Sicherheit
Generell bringe das Update- und Wiederherstellungsmodell von SGX Entwickler sicherer AACS-2-Enklaven in einen Zwiespalt, erklärt das Team. Diese könnten entweder Wert darauf legen, über sichere Produkte zu verfügen, die ständige manuelle Aktualisierungen erfordern. Damit liefen sie aber Gefahr, dass ein großer Teil der Geräte dauerhaft inkompatibel bleibe und nicht mehr fürs Abspielen von Discs tauge. Oder sie vertrauen Playern, die anfällig für schwerwiegende SGX-Kompromittierungen sind, bei denen Enklaveninhalte und Attestation-Keys oft in Sekundenschnelle wiederhergestellt werden können.
CyberLink hat sich mit PowerDVD den Wissenschaftlern zufolge für den Weg entschieden, ungepatchte Geräte mit dem Status "GROUP_OUT_OF_DATE" weiter zu bedienen und so die Benutzerfreundlichkeit gegenüber der Sicherheit zu bevorzugen. Daher sei es möglich gewesen, mit bekannten Seitenkanal-Angriffen wie Foreshadow Attestierungsschlüssel aus solchen anfälligen Systemen zu extrahieren. Dies habe wiederum beim weiteren Reverse-Engineering-Prozess geholfen. Schließlich sei man auch in der Lage gewesen, AACS-2-Keys zur Entschlüsselung aus den SGX-Enklaven von PowerDVD zu extrahieren und die Verschlüsselung vollständig aus UHD-Blu-rays zu entfernen.
Intel strich vor rund einem Jahr bei Prozessoren der 11. und 12. Core-i-Generation die Sicherheitsfunktion Software Guard Extensions (SGX). Ultra HD Blu-rays lassen sich ohne Hack auf PCs aufgrund des rigorosen DRMs aber nur mit aktiviertem SGX wiedergeben. CyberLink empfahl daraufhin sogar, für die Ultra-HD-Wiedergabe genutzte Systeme nicht zu aktualisieren, da Soft- oder Firmware-Updates die SGX-Funktion auch bei prinzipiell noch unterstützten Prozessoren Core i-7000, 8000, 9000 oder 10000 eliminieren könnten.
Batori wollte auf der Hackerkonferenz eigentlich mehrere Demos zeigen, doch seine Festplatte voll mit beliebig abspielbaren Videos gab auf dem Weg nach Hamburg den Geist auf. Dafür brachte er zwei "Geschenke" mit: in Form von Nachweisen des authentischen Medienschlüssels und des Verarbeitungsschlüssels. Damit ließen sich UHD-BD-Inhalte vollständig entschlüsseln. Hierzulande verstößt der Einsatz, das Bewerben und der Vertrieb von Werkzeugen zum Umgehen von Kopierschutzmechanismen gegen das Urheberrechtsgesetz.
(tiw)
