HDCPv2

HDCPv2 (англ. High-bandwidth Digital Content Protection — «защита широкополосного цифрового содержимого») — cемейство технологий 2-го поколения защиты медиаконтента, разработанная корпорацией Intel и предназначенная для предотвращения незаконного копирования высококачественного видеосигнала, передаваемого через интерфейсы HDMI, DVI, DisplayPort, USB и другие. HDCP 2.2 специально разработан для контента 4K Ultra HD, а также фильмов и телепередач с HDR. Последняя версия HDCP 2.3 для HDMI была разработана 28 февраля 2018.

Сходства и отличия от HDCPv1 править

Версии HDCP 2.x не является продолжением HDCPv1 и является скорее совсем другой технологией. Версии 2.x используют стандартные алгоритмы шифрования, такие как 128-битный AES с 3072 или 1024-битный RSA с открытым ключом и 256-битную хеш-функцию HMAC-SHA256. Хотя все спецификации HDCP v1.x поддерживают обратную совместимость с предыдущими версиями спецификации, устройства HDCPv2 могут взаимодействовать с оборудованием HDCPv1 только за счет собственной поддержки HDCPv1 или с помощью специального преобразователя. Это означает, что HDCPv2 применим только к новым технологиям. Он был выбран для стандартов WirelessHD и Miracast.

HDCP 2.x включает новый протокол аутентификации и проверку местоположения для обеспечения приемник находится относительно близко (он должен среагировать на проверку местоположения в течение 7 мс при обычном канале DVI / HDMI).

Между HDCP v2 и v1 все еще есть несколько общих черт:

Оба находятся в ведении DCP LLC
Оба имеют одинаковое лицензионное соглашение, правила соответствия и правила надежности
Оба используют одну и ту же систему отзыва и одинаковые форматы идентификаторов устройств

Технология править

В системе HDCP два или более устройств связаны между собой через защищенный HDCP интерфейс. Медиаконтент поступает из функции управления контентом восходящего потока в систему HDCP на самом восходящем передатчике HDCP. Оттуда аудиовизуальный контент, зашифрованный системой HDCP, называемый контентом HDCP, проходит через древовидную топологию интерфейсов, защищенных HDCP.

HDCPv2 состоит из трёх основных компонентов:

Аутентификация приемников HDCP
HDCP-шифрование
Отзыв приемников HDCP

Приемники HDCP могут воспроизводить контент в аудио- и визуальной форме для восприятия человеком. Приемники HDCP могут быть ретрансляторами HDCP, которые служат передатчиками HDCP в нисходящем направлении, передающими контент HDCP далее одному или нескольким дополнительным приемникам HDCP.

Аутентификация приемников HDCP править

Протокол аутентификации HDCP представляет собой обмен информацией между передатчиком и приемником, которая подтверждает передатчику, что приемник авторизован для получения содержимого HDCP.

Он состоит из следующих этапов:

Аутентификация и обмен ключами (AKE) — сертификат открытого ключа приемника HDCP, проверяемый передатчиком HDCP. Обмен мастер-ключей $k_{m}$
Проверка местоположения (LC) — Передатчик HDCP обеспечивает локальность контента, требуя, чтобы время приема-передачи (RTT) между парой сообщений не превышало 20 мс
Обмен ключами сеанса (SKE) – передатчик HDCP обменивается ключами сеанса $k_{s}$ с приемником HDCP
Аутентификация с повторителями — этот шаг выполняется передатчиком HDCP только с повторителями HDCP. На этом этапе ретранслятор собирает информацию о топологии нисходящего потока и направляет ее восходящему передатчику HDCP.

Успешное завершение этапов AKE и проверки местоположения подтверждает передатчику, что приемник авторизован для получения содержимого HDCP. В конце протокола аутентификации устанавливается канал связи между передатчиком и приемником, к которому могут получить доступ только авторизованные устройства.

Все устройства HDCP содержат 128-битную секретную глобальную константу, обозначаемую $lc_{128}$ . Все устройства HDCP используют одну и ту же глобальную константу $lc_{128}$ .

Передатчик HDCP содержит 3072-битный открытый ключ RSA от DCP LLC, обозначаемый $kpub_{dcp}$ .

Приемнику HDCP выдаются 1024-битные открытый и закрытый ключи RSA. Открытый ключ хранится в сертификате открытого ключа, выданном DCP LLC и обозначаемом $cert_{rx}$ . В таблице приведены поля, содержащиеся в сертификате. Все значения хранятся в формате с обратным порядком байтов

Сертификат открытого ключа приемника HDCP
Имя переменной	Размер в битах	Позиция битов	Назначение
Receiver ID	40	4175:4136	Уникальный идентификатор получателя. Он имеет тот же формат, что и HDCP 1.x KSV, т.е. содержит 20 единиц и 20 нулей.
Receiver Public Key	1048	4135:3088	Уникальный открытый ключ RSA приемника HDCP, обозначенный $kpub_{dcp}$ . Первые 1024 бита представляют собой представление модуля n с обратным порядком байтов, а последние 24 бита представляют собой представление с обратным порядком байтов общедоступного показателя степени e.
Reserved2	4	3087:3084	Зарезервировано для будущего определения. Фиксировано значение 0x0 или 0x1.
Reserved1	12	3083:3072	Зарезервировано для будущего определения. Фиксировано значение 0x000
DCP LLC Signature	3072	3071:0	Криптографическая подпись, рассчитанная по всем предыдущим полям сертификата. RSASSA-PKCS1-v1_5 — это схема подписи, используемая в соответствии с определением PKCS #1 V2.1: Стандарт криптографии RSA^[1]. SHA-256 — это базовая хеш-функция.

Секретный закрытый ключ RSA обозначается $kpriv_{rx}$ . Время вычисления операции закрытого ключа RSA можно сократить, используя метод китайской теоремы об остатках (CRT). Поэтому рекомендуется, чтобы приемники HDCP использовали метод CRT для вычислений закрытого ключа.

Аутентификация и обмен ключами править

Аутентификация и обмен ключами (AKE) — это первый шаг в протоколе аутентификации. Передатчик HDCP (устройство A) может инициировать аутентификацию в любое время, даже до завершения предыдущего обмена аутентификацией. Передатчик HDCP инициирует новый сеанс HDCP, отправляя сообщение инициации аутентификации, AKE_Init.

Аутентификация и обмен ключами (без сохраненного

k_{m}

)

Аутентификация и обмен ключами (с сохраненным

k_{m}

)

Во время AKE передатчик HDCP: править

Инициирует аутентификацию, отправляя инициирующее сообщение AKE_Init, содержащее 64-битный псевдослучайное значение ( $r_{tx}$ ) и параметры $TxCaps$ ;
Считывает AKE_Send_Cert с получателя, содержащий $cert_{rx}$ , 64-битное псевдослучайное значение ( $r_{rx}$ ) и $RxCaps$ . Бит REPEATER в $RxCaps$ указывает, является ли подключенный приемник повторителем HDCP. Сообщение AKE_Send_Cert должно быть доступно для чтения передатчиком в течение 100 мс с момента завершения передатчиком записи параметров сообщения AKE_Init в приемник HDCP. Если сообщение AKE_Send_Cert недоступно для чтения передатчиком в течение 100 мс, передатчик прерывает протокол аутентификации.
Извлекает Receiver ID получателя из $cert_{rx}$
- Если передатчик HDCP не имеет 128-битного мастер-ключа $k_{m}$ , сохраненного в соответствии с Receiver ID приемника (см. раздел сопряжение):
  1. Проверяет подпись сертификата с помощью $kpub_{dcp}$ . Сбой проверки подписи представляет собой сбой аутентификации, и передатчик HDCP прерывает протокол аутентификации.
  2. Генерирует псевдослучайный 128-битный главный ключ $k_{m}$ . Шифрует $k_{m}$ с помощью $kpub_{rx}$ ( $E_{kpub}(k_{m})$ ) и отправляет получателю сообщение AKE_No_Stored_km, содержащее 1024-битный $E_{kpub}(k_{m})$ . Схема шифрования RSAES-OAEP должна использоваться в соответствии с определением PKCS #1 V2.1: RSA Сryptography Standard. SHA-256 — это базовая хэш-функция. Используемая функция генерации маски — MGF1, которая использует SHA-256 в качестве базовой хэш-функции.
  3. Проверяет целостность сообщения об обновлении системы (SRM). Это делается путем проверки подписи SRM с помощью $kpub_{dcp}$ . Сбой этой проверки целостности представляет собой сбой аутентификации и заставляет передатчик HDCP прерывать протокол аутентификации.
  4. Передатчик HDCP верхнего уровня проверяет, находится ли Receiver ID подключенного устройства в списке отзыва. Если Receiver ID подключенного HDCP-устройства обнаружен в списке отзыва, аутентификация завершается ошибкой и протокол аутентификации прерывается. Проверка целостности SRM и проверка отзыва выполняются только передатчиком HDCP верхнего уровня.
  5. Выполняет формирование ключа, для создания 256- битного $k_{d}$ . $k_{d}=dkey_{0}||dkey_{1}$ , где $dkey_{0}$ и $dkey_{1}$ — сгенерированные ключи при $ctr$ = 0 и $ctr$ = 1 соответственно.
  6. Вычисляет 256-битный $H=$ HMAC-SHA256( $r_{tx}||RxCaps||TxCaps,k_{d}$ ), где HMAC-SHA256 вычисляется поверх $r_{tx}||RxCaps||TxCaps$ , а для HMAC используется ключ $k_{d}$ .
  7. Считывает сообщение AKE_Send_H_prime от получателя, содержащее 256-битный $H'$ . Сообщение AKE_Send_H_prime должно быть доступно для чтения передатчиком в течение одной секунды с момента завершения передатчиком записи параметров сообщения AKE_No_Stored_km в приемник HDCP. Если AKE_Send_H_prime сообщение недоступно для чтения передатчиком в течение одной секунды или существует несоответствие между $H$ и $H'$ , передатчик прерывает протокол аутентификации.
- Если в передатчике HDCP хранится 128-битный мастер-ключ $k_{m}$ , соответствующий Receiver ID приемника:
  1. Отправляет получателю сообщение AKE_Stored_km со 128-битным $E_{kh}(k_{m})$ и 128-битное $m$ , соответствующее Receiver ID приёмника.
  2. Проверяет целостность сообщения об обновлении системы (SRM). Это делается путем проверки подписи SRM с помощью $kpub_{dcp}$ . Сбой этой проверки целостности представляет собой сбой аутентификации и заставляет передатчик HDCP прерывать протокол аутентификации.
  3. Передатчик HDCP верхнего уровня проверяет, находится ли Receiver ID подключенного устройства в списке отзыва. Если идентификатор приемника подключенного HDCP-устройства обнаружен в списке отзыва, аутентификация завершается ошибкой и протокол аутентификации прерывается.
  4. Выполняет формирование ключа, для создания 256- битного $k_{d}$ . $k_{d}=dkey_{0}||dkey_{1}$ , где $dkey_{0}$ и $dkey_{1}$ — сгенерированные ключи при $ctr$ = 0 и $ctr$ = 1 соответственно.
  5. Вычисляет 256-битный H = HMAC-SHA256( $r_{tx}||RxCaps||TxCaps,k_{d}$ ), где HMAC-SHA256 вычисляется поверх $r_{tx}||RxCaps||TxCaps$ , а для HMAC используется ключ $k_{d}$ .
  6. Считывает сообщение AKE_Send_H_prime от получателя, содержащее 256-битный $H'$ . Сообщение AKE_Send_H_prime должно быть доступно для чтения передатчиком в течение 200 мс с момента завершения передатчиком записи параметров сообщения AKE_Stored_km в приемник HDCP. Если сообщение AKE_Send_H_prime недоступно для чтения передатчиком в течение 200 мс или существует несоответствие между $H$ и $H'$ , передатчик прерывает протокол аутентификации.

Во время AKE приемник HDCP править

Делает доступным сообщение AKE_Send_Cert для чтения преобразователем в ответ на AKE_Init. Сообщение AKE_Send_Cert должно быть доступно для чтения передатчиком в течение 100 мс с момента завершения передатчиком записи параметров сообщения AKE_Init в приемник HDCP.
- Если получено сообщение AKE_No_Stored_km:
  1. Дешифрует $k_{m}$ с помощью $kpriv_{rx}$ , используя схему дешифрования RSAES-OAEP.
  2. Выполняет формирование ключа, для создания 256-битного $k_{d}$ . $k_{d}=dkey_{0}||dkey_{1}$ , где $dkey_{0}$ и $dkey_{1}$ — сгенерированные ключи при $ctr$ = 0 и $ctr$ = 1 соответственно.
  3. Вычисляет $H'=$ HMAC-SHA256( $r_{tx}||RxCaps||TxCaps,k_{d}$ ). Сообщение AKE_Send_H_prime должно быть доступно для чтения передатчиком в течение одной секунды с момента завершения передатчиком записи параметров сообщения AKE_No_Stored_km в приемник HDCP.
- Если получено сообщение AKE_Stored_km:
  1. Вычисляет 128-битный $k_{h}=$ SHA-256( $kpriv_{rx}$ )[127:0]
  2. Расшифровывает $E_{kh}(k_{m})$ , используя AES с полученным $m$ в качестве входных данных и $k_{h}$ в качестве ключа в модуль AES для получения $k_{m}$ , как показано на рисунке ниже.
  3. Выполняет формирование ключа, для создания 256-битного $k_{d}$ . $k_{d}=dkey_{0}||dkey_{1}$ , где $dkey_{0}$ и $dkey_{1}$ — сгенерированные ключи при $ctr$ = 0 и $ctr$ = 1 соответственно.
  4. Вычисляет $H'=$ HMAC-SHA256( $r_{tx}||RxCaps||TxCaps,k_{d}$ ). Сообщение AKE_Send_H_prime должно быть доступно для чтения передатчиком в течение 200 мс с момента завершения передатчиком записи параметров сообщения AKE_Stored_km в приемник HDCP

При сбое дешифрования $k_{m}$ с помощью $kpriv_{rx}$ приемник HDCP не отправляет $H'$ и просто позволяет истечь таймауту передатчика HDCP.

Проверка местоположения править

Передатчик HDCP инициирует проверку местоположения, отправляя 64-битный псевдослучайный $r_{n}$ нижестоящему приемнику.

Проверка местоположения

Во время LC передатчик HDCP править

Инициирует проверку местоположения, записывая сообщение LC_Init, содержащее 64-битный псевдослучайный одноразовый номер $r_{n}$ , в приемник HDCP.
Устанавливает watchdog таймер на 20 мс. Сообщение LC_Send_L_prime должно быть получено передатчиком в течение 20 мс с момента завершения передатчиком записи параметров сообщения LC_Init в приемник HDCP. Проверка местоположения завершается неудачно, если watchdog таймер истекает до того, как последний байт сообщения LC_Send_L_prime будет получен передатчиком. Затем передатчик прерывает протокол аутентификации.
Вычисляет $L=$ HMAC-SHA256( $r_{n},k_{d}\ XOR\ r_{rx}$ ) , где HMAC-SHA256 вычисляется по rn , а ключ, используемый для HMAC, — это $r_{n},k_{d}\ XOR\ r_{rx}$ , где $r_{rx}$ подвергается операции XOR с младшими значащими 64 битами $k_{d}$ .
При чтении сообщения LC_Send_L_prime от получателя сравнивает $L$ и $L'$ . Проверка местоположения завершается ошибкой, если $L$ $\neq$ $L'$ .

Повторитель HDCP инициирует проверку местоположения на всех своих нисходящих интерфейсных портах, защищенных HDCP, отправляя уникальные значения $r_{n}$ на подключенные устройства HDCP.

Во время LC приемник HDCP править

Вычисляет 256-битное значение $L'=$ HMAC-SHA256( $r_{n},k_{d}\ XOR\ r_{rx}$ ).
Делает сообщение LC_Send_L_prime, содержащее 256-битный $L'$ , доступным для чтения передатчиком сразу же после вычисления $L'$ , чтобы гарантировать, что сообщение получено передатчиком в течение заданного тайм-аута передатчика в 20 мс.

В случае сбоя проверки местоположения из-за истечения watchdog таймера или из-за несоответствия $L$ и $L'$ на передатчике HDCP, передатчик HDCP может повторить проверку местоположения максимум за 1023 дополнительных попытки (для максимально допустимого всего 1024 попытки) с передачей сообщения LC_Init, содержащего новый $r_{n}$ . Сбой проверки местоположения при первой попытке и последующие ноль или более повторных попыток приводят к сбою аутентификации, и протокол аутентификации прерывается.

Обмен ключами сеанса править

Успешное завершение этапов AKE и LC подтверждает передающему устройству HDCP, что получатель HDCP авторизован для получения содержимого HDCP. Обмен ключами сеанса (SKE) инициируется передатчиком HDCP после успешной проверки местоположения. Передатчик HDCP отправляет зашифрованный сеансовый ключ приемнику HDCP как минимум за 200 мс до включения шифрования HDCP и начала передачи содержимого HDCP. Контент, зашифрованный с помощью сеансового ключа $k_{s}$ , начинает передаваться между передатчиком HDCP и приемником HDCP. Шифрование HDCP должно быть включено только после успешного завершения этапов AKE, проверки местоположения и SKE.

Во время SKE передатчик HDCP править

Генерирует псевдослучайный 128-битный ключ сеанса $k_{s}$ и 64-битное псевдослучайное число $r_{iv}$ .
Выполняет формирование ключа, для создания 128-битного $dkey_{2}$ , где $dkey_{2}$ — производный ключ, когда $ctr$ = 2.
Вычисляет 128-битный ключ $E_{dkey}(k_{s})=k_{s}\ \ XOR\ \ (dkey_{2}\ XOR\ r_{rx})$ , где $r_{rx}$ подвергается операции XOR с младшими значащими 64 битами $dkey_{2}$ .
Записывает сообщение SKE_Send_Eks, содержащее $E_{dkey}(k_{s})$ и $r_{iv}$ , в приемник HDCP.

При получении сообщения SKE_Send_Eks приемник HDCP править

Выполняет формирование ключа, для создания 128-битного $dkey_{2}$ , где $dkey_{2}$ — производный ключ, когда $ctr$ = 2.
Вычисляет $k_{s}=E_{dkey}(k_{s})\ \ XOR\ \ (dkey_{2}\ XOR\ r_{rx})$

HDCP-шифрование править

Шифрование HDCP применяется на входе кодировщика TMDS, а дешифрование применяется на выходе декодера TMDS. Шифрование HDCP состоит из побитового исключающего ИЛИ (XOR) контента HDCP с псевдослучайным потоком данных, созданным шифром HDCP. Шифр HDCP генерирует новое 128-битное слово ключевого потока для каждых пяти 24-битных значений пикселей контента HDCP, подлежащего шифрованию.

HDCP-шифр править

Шифр HDCP состоит из 128-битного модуля AES, который работает в режиме счетчика (CTR).

Cтруктура шифра HDCP

$k_{s}$ — это 128-битный сеансовый ключ, который подвергается операции XOR с $lc_{128}$ .

$p=r_{iv}\ ||\ inputCtr$ . $inputCtr$ — это 64-битный счетчик, $inputCtr=FrameNumber\ ||\ DataNumber$ .

$FrameNumber$ — это 38-битное значение, указывающее количество зашифрованных кадров с момента начала шифрования HDCP. FrameNumber увеличивается на один при каждом ENC_EN (соответствует каждому кадру). $DataNumber$ это 26-битное значение, которое увеличивается на единицу после генерации каждого 128-битового блока потока ключей.

$inputCtr$ инициализируется нулем, когда шифрование HDCP включается впервые во время сеанса HDCP, т. е. при первом включении шифрования (ENC_EN) сразу после SKE. $FrameNumber$ r нельзя сбрасывать в любое другое время. $DataNumber$ сбрасывается на 0 при каждом ENC_EN (соответствует каждой границе кадра). Шифрование символов данных начинается с нулевого значения $inputCtr$ . $inputCtr$ не изменяется для кадров, которые не зашифрованы.

Когда HDCP-шифр тактируется, он создает 128-битный блок ключевого потока и увеличивает $inputCtr$ после генерации ключевого потока. Ключевой поток подвергается операции XOR с 24-битными данными. Значение $inputCtr$ никогда не должно использоваться повторно для заданного набора параметров шифрования, т.е. $k_{s}$ и $r_{iv}$ .

Уникальность набора параметров шифрования править

Приемники HDCP и повторители HDCP с несколькими входами могут использовать одни и те же сертификаты открытого ключа и закрытые ключи для всех входов. Передатчик HDCP (включая нисходящую сторону повторителя HDCP) должен согласовывать различные $k_{m}$ с каждым напрямую подключенным нисходящим устройством HDCP. В то время как $r_{tx}$ , используемый во время каждого сеанса HDCP, должен быть свежим, передатчики с несколькими нисходящими каналами HDCP должны гарантировать, что каждый канал получает отдельное значение $r_{tx}$ .

Совместное использование

k_{s}

и

r_{iv}

См. также править

Примечания править

↑ [1]. Архивировано 5 июля 2022 года.

Ссылки править

HDCP on HDMI Specification December 21, 2012 Revision 2.2^[1]
High-bandwidth Digital Content Protection System Revision 1.4^[2]

↑ Источник (неопр.). Дата обращения: 11 декабря 2022. Архивировано 6 декабря 2022 года.
↑ Источник (неопр.). Дата обращения: 11 декабря 2022. Архивировано 11 декабря 2022 года.

Добавить тему

[1] [1]. Архивировано 5 июля 2022 года.

[2] Источник (неопр.). Дата обращения: 11 декабря 2022. Архивировано 6 декабря 2022 года.

[3] Источник (неопр.). Дата обращения: 11 декабря 2022. Архивировано 11 декабря 2022 года.

[1]

[1]

[2]