Kraker videobeveiliging vreest rechtszaken

Op een presentatie op de hackersbijeenkomst Hackers At Large (HAL) maakte de cryptografiedeskundige Niels Ferguson afgelopen weekend bekend dat hij de High-Bandwidth Digital Content Protection (HDCP) heeft gebroken.

HDCP is een door Intel ontwikkeld cryptografiesysteem dat verkeer via de DVI-bus versleutelt. De DVI-bus wordt gebruikt om digitale apparaten aan elkaar te koppelen, bijvoorbeeld DVD-spelers of videocamera’s aan digitale televisies. Het signaal tussen de apparaten wordt versleuteld, zodat bijvoorbeeld met HDCP beveiligde films niet van het ene apparaat naar het andere kunnen worden gekopieerd.

Een woordvoerder van Intel verklaarde tegenover SecurityFocus dat verschillende mensen claimen dat ze de HDCP hebben gekraakt. Volgens Intel is er tot nu toe echter nog niemand in geslaagd om werkelijk een gat in het beveiligingssysteem te schieten.

Ernstige gebreken

Volgens Ferguson vertoont HDCP wel degelijk ernstige gebreken. “Een ervaren IT’er kan de master key van HDCP in ongeveer twee weken achterhalen als hij de beschikking heeft over vier computers en vijftig HDCP-displays”, schrijft hij op zijn site. “Als je de master key achterhaalt, kun je vervolgens elke film ontsleutelen. (…) Dat is slecht nieuws voor een beveiligingssysteem. Als de master key wordt gepubliceerd, biedt HDCP geen enkele bescherming meer.”

De master key heeft Ferguson nog niet achterhaald, zegt hij in een telefonische toelichting. “Dat vind ik persoonlijk weinig interessant. Voor mij ligt de uitdaging voornamelijk in het maken van het aanvalsplan waarmee HDCP gebroken kan worden. Het achterhalen van de master key is vervolgens een kwestie van tijd en geld.”

Ferguson durft de resultaten van zijn ‘aanvalsplan’ niet openbaar te maken. Hij vreest dat hij in de Verenigde Staten zal worden vervolgd als hij dat doet. Ferguson vreest vervolging onder de Digital Millennium Copyright Act (DMCA), een omstreden Amerikaanse wet die het omzeilen van beveiligingen verbiedt.

DMCA

Ferguson zou niet de eerste beveiligingsdeskundige zijn die opgepakt wordt vanwege het overtreden van de DMCA. Vorige maand arresteerde de FBI de Rus Dmitry Sklyarov op verdenking van het overtreden van de DMCA.

Sklyarov maakte een programma waarmee de beveiliging van de e-booksoftware van Adobe omzeild kan worden. Hoewel Sklyarov inmiddels op borgtocht vrij is, mag hij de Verenigde Staten niet verlaten. Als hij wordt veroordeeld, kan hij tot maximaal vijf jaar gevangenis en een boete van 500.000 dollar veroordeeld worden.

De Amerikaanse hoogleraar Edward Felten wacht mogelijk hetzelfde lot. Felten zal vandaag op de USENIX Security Conference in Washington de resultaten bekendmaken van een onderzoek dat hij deed naar vijf nieuwe beveiligingstechnieken voor digitale muziek. Felten deed vorig jaar mee aan een hackwedstrijd van de Secure Digital Music Initiative (SDMI), een aan de muziekindustrie gelieerde organisatie. Felten slaagde erin de beveiliging van de SDMI te verbreken. Sindsdien probeert de muziekindustrie, daarbij gebruikmakend van de DMCA, hem het zwijgen op te leggen.

Intel

Ook Ferguson vreest de DMCA. “Het is alsof je een manier vindt waarop je een fietsslot kunt openbreken, maar daar niet over mag publiceren”, zo zegt Ferguson. “Terwijl je met die kennis juist zou kunnen werken aan een beter fietsslot.”

Ferguson heeft contact opgenomen met Intel, maar heeft op advies van advocaten besloten zijn onderzoek niet naar Intel te mailen. “Ik heb geen enkele reden om aan te nemen dat Intel mij zou willen vervolgen. Toen ik contact met ze had, waren ze heel beleefd. Maar de filmindustrie heeft in verleden getoond wel agressief te werk te gaan bij het aanspannen van rechtszaken.”

Ferguson, die om persoonlijke en zakelijke redenen regelmatig naar de Verenigde Staten gaat, wil het risico niet nemen om in allerlei strafrechtelijke en civielrechtelijke rechtszaken in de Verenigde Staten verzeild te raken.