文章有点长,但是很有味道
这里既然是在说CAS方面的事情,大家都知道CAS是一个事关运营商业务安全和收益保障的系统产品。那么,
CAS真是一个唯安全为唯一目的的东西吗?我认为我从来都不是这样想的。安全当然需要,但是安全只能是相对的,安全并不是一切。
我想我已经听到很多人已经在向我发出嘘声了——你做的CAS系统,不安全,你还做什么啊?我会很明确的告诉我的客户,我的CAS系统不是绝对安全的,而是相对有一些安全而已,至少比存储卡CAS系统、无自己核心代码的CAS要安全一点点罢了。我还会告诉我的客户,我的系统的安全的原理和架构是密码体系和使用方式的安全——运营商需要保护的就是自己的密码体系和密码的使用逻辑。我还会告诉我的客户,如果系统被破解了,那么应该如何来应对——换卡还是更换密钥体系即可。
为什么我会这样去做呢?因为我知道,DVB-CAS的不安全,不是技术上的问题,而是整个机制上的问题,任何妄图用技术手段来完全弥补机制和系统原理上的漏洞,都注定了是徒劳无功的。不论谁家的CAS系统经过了多少的环节来变换处理CW到ECM当中,也不论谁家的CAS系统在经过了多少的环节来动用每张IC卡的私有密钥去加密本卡的授权信息和密钥信息,所有的一切都是障眼法——谁能告诉我,每张IC卡(或者说每台机顶盒)收到的ECM是不同的?ECM当中的CW是不同的?
是的,正是因为在任何时候,网络内的任何一台机顶盒一张IC卡,都是应用了相同的CW信息来解密被扰乱的视音频比特流,而这,就是一个原理性、机制性的漏洞之处。解决它,有且只能有一种方式:限制CW的效力范围,比如采用IPQAM,将CW的应用现在在一个很小的分前端区域内,当然,这种方式的极端情况就是点对点的传输,为每台机顶盒每张智能卡送的视音频节目流都是不同的密文加密的(比如互联网应用)。而这,CW的效力范围,却不是CW这个具体参数的使用场合的范围。仅仅是说CW出不出卡,出不出移植库、出不出机顶盒,或者是以明文方式,还是以机卡链路key加密的方式【其实这个链路key是很容易实现出来,并且也都被大多数有卡CAS系统给实现了的,方式是:首先CAS前端设定机卡绑定;然后通过IC卡授权EMM指令在机卡绑定单中设定该IC卡对应的机顶盒的序列号(这个序列号可以采用生产烧录的方式,也就是说本身就包含有“无卡CAS”的东西了,可以做到每台正版的机顶盒序列号唯一);第三是智能卡送出的CW都是用机卡绑定的变换信息作为密钥加密处理即可】,都是无关紧要的,很多人往往分不清这两者之间的差别,而被某些人别有用心的模糊、糊弄和忽悠了,这实在是一件非常令人遗憾痛心的事情。
广电运营商朋友,你在网络内传输的节目,说白了,就是一箱用一把有问题的锁来保护的箱子里面的财宝,并且放在了一个人来人往的公共场合。要确保他的安全,在锁上下功夫是不够的。
要问我们什么最安全?第一印象当中,大家可能会回答:银行、电话。是的,我也是这样想的,要不然社会就不是现在这个样子——至少现在的金融危机是不能发生的。那么,再继续问一句,为什么银行和电话安全?是的,因为银行是面对面的服务,电话是点对点的服务。那么,为什么银行柜员机很安全?啊!对啊,这才是放在公共场合的真正的宝库呢!里面的花纸很是诱人,对,明天就去撬柜员机!
且慢,偷柜员机好像不是那么容易——头顶上有摄像头,柜员机有异常告警装置。现代版的“掩耳盗铃”的故事,发生在别人身上可以,最好还是不要发生在我的身上的好。
看到这里,我想大家都明白了,是的,安全是一个系统,其最关键之处便是在于想要获得安全的一方要具备“感知威胁”的能力。如果没有该能力,别说是元宝,就是原子弹都会被人抗走的。具备了“感知威胁”的能力,才能报告威胁和处理威胁。DVB-CAS系统本省并没有关于双向的统一的标准,也就无从谈起“感知威胁”了。即便是在移植库或者程序代码当中做一些防呆处理,也都是很小儿科的动作。
运营商朋友,你在问CAS系统的安全性的时候,别人回到了你这些吗?当然,你问我,我是一定会回答你的。
那么,是不是在现有的情况下,没有办法来杜绝CAS的安全风险呢?很遗憾的告诉你,依据我8、9年来一直做CAS的经验,确实是没有办法杜绝的,至少是在现在的DVB-CAS技术原理上是没有办法来杜绝的。因为,现在的DVB-CAS在原理上缺少了“感知威胁”的部分。2006年,我曾经有幸为海南省网提供CAS系统并被商用,当时我为海南提供的是双向CAS系统,如果没有记错,也应该是国内首家运营的双向CAS和相关增值服务应用。它能够记录机顶盒和IC卡的实时上线情况,并在线分发变换ECM所需要的密钥和算法,链路也采用了SSL链路保护措施,但是也仅仅能提供的是事后的分析,给出一个克隆警告而已——因为加扰器是通用的同密加扰器,其CW是针对网络内的所有用户有效的。
那么,为什么现在国内还没有发生大范围的CAS盗版卡现象呢?要说到这个问题,其实不是一个技术难度的问题,也不是说国内运营商的节目有没有吸引力的问题。而是现在的破解小组认为是否适合去做的问题。
破解小组的意思是:不是我不能破解,而是我去破解的法律风险太大。
我们国家的公安系统,如果真是按照毛主席的指导,着重了“认真”二字,案情不破的情况还是很少的。如果采用盗版卡的方式,那么盗版卡的母卡的序列号(硬件序列号,而非数字电视用户的用户号或CAS系统的智能卡编号)就是一个小尾巴,最终可以通过调查裸卡供应商这个号码来追踪到底是谁采购了母卡——毕竟现在国内也没有几家自己封装IC卡的公司?明华、恒生?Gemplus?永新视博,相信他们任何一家在遇到公安系统的调查的时候,都不敢耍花招吧?当然,人民警察还有很多其他手段来实现破案的目的,我们就不过多的去猜测了。
CW的网络共享方式呢?这种方式为什么国内也没有流行开来呢?其一是因为国内主要还是平移赠送机顶盒为主。运营商当然在机顶盒上是有部分利润的,这无可厚非,毕竟购买、存储、发放、安装都是工作,都需要获取收益来平衡支出。就算是贵一百、两百元的,老百姓也就认了。而第二台机顶盒去共享CW?老百姓的驱动力在哪里?节省每月的3~8元钱?还得有网线连接到机顶盒上,也是麻烦事。
更重要的一点是网络共享CW,第一是现在没有标准可以参考,也就是说共享使用CW的机顶盒还不能即插即用;第二是共享CW服务器是一个很容易被攻击、被确认、被查处的设备;第三是共享服务器的变化将对共享使用CW的机顶盒造成极大的困扰,毕竟机顶盒不比计算机,可以很灵活的设定。
国内数字电视系统分散运营的现状,也限制了破解小组的获益能力,削弱了破解小组的积极性,所以,现在国内的数字电视的安全环境也还不算太坏。
曾经也有人找到过我,说是否做一套无卡CAS系统以降低系统成本,我拒绝了。不是我不能做,而是我认为无卡CAS系统,存在了一个很大的问题,那就是如何给咱们的人民警察交代啊?大家都知道,现在很多机顶盒主芯片、FLASH、RAM是没有唯一的硬件序列号的,集成无卡CAS的机顶盒,一旦被抄板,那就后果不堪设想了。人民警察“认真”起来办案都估计够呛得很。而如果在机顶盒主板上植入一颗加密片——靠!那不是就是存储卡CAS系统嘛,不过是取消了IC卡插座,封装方式不一样罢了。
当然,有人会说,采用具有加密安全区的主芯片不就万事大吉了吗?咋一看好像还真是这么回事呢,ECM变换到CW’,然后CW’在被秘密的传输到主芯片的Decoder模块解码输出。机顶盒开发人员就只能接触到CW’而不能接触到CW了。但是问题不仅仅只是出在了生产环节:可以重复烧录得到一批一样的完整的东西。我曾经亲耳听到了如下对话:“……嗯,烧录的序列号的末尾是XXXX~YYYY,这个区间段的是本批次有效的号段,只要烧录本号段的才能使用。……”唉,可怜的家伙,这次可比被盗版还麻烦了。
且不说具体在主芯片内设置安全存储区是否就能极大的提高DVB-CAS系统的安全性,单纯从把系统安全和主芯片捆绑的角度来看问题,就已经是居心不良了。将安全性累积到一点来进行控制,进而达到垄断,这本身就是对安全的一个讽刺,本身就是一个倒退。安全,一定是多方之间的相互制约而得到加强的。我开发的CAS系统,支持多级开卡、发卡,就是为了在卡商、CAS内部开发人员、机顶盒开发人员、运营商系统管理员之间达成相互制约。要知道几方合在一起来干坏事的可能性还是小的,但是若一方就可以完成的话,特别是CAS厂商的内鬼,那就惨不忍睹了。而且,真要是只有指定的芯片才能够实现所谓的安全性,那么机顶盒厂商将很大程度丧失议价能力,这也是机顶盒厂商们担心的事情。
某些人动则以一副圣人的面孔来指责当前数字电视产业的现状,认为条块分割、各自为政、规模狭小等,都是因为标准不统一、厂商不开放造成。殊不知,这正是广电这种技术体制的具体体现,也正是广电的根本所在。别人都是傻瓜,在这个产业里长的十数年,短的七八年,却还没有看透这些东西;如果遵照了我的方式,那肯定是天下大一统、事业大发展。
这可能吗?
亲爱的运营商朋友,你们要相信:没有不能破解的系统,只有值不值得破解的系统。一旦被破解,你是换卡?还是换机顶盒?还是干脆停工歇菜算了?
总之,CAS——无关数字电视系统安全多少事。我相信,只要有CW存在的一天,我们过多的谈论CAS的安全性都是没有太多意义的。
CAS只是实现运营商的业务控制的一个管理工具而已。
