1. Technisches Gebiet

Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zur Ent¬ schlüsselung von verschlüsselten breitbandigen Daten durch einen oder mehrere autorisierte Anwender.

2. Der Stand der Technik

Bei sogenannten „on demand"-Systemen stehen große Nutzdatenmengen, bei¬ spielsweise ein Videofilm, mehreren Nutzem gleichzeitig zur Verfügung, bei¬ spielsweise über das Internet oder ähnliche Medien oder auch auf ausleihbaren Datenträgem wie DVDs etc.. Die tatsächliche Nutzung der Daten verlangt jedoch zusätzlich separate Zugangsinformation, die der Anwender häufig erst gegen die Zahlung von Gebühren erhält. Verfügt der Anwender über die Zugangsinformati¬ on, stehen die Nutzdaten dem Anwender rechtmäßig ein- oder mehrfach zur Ver¬ fügung. Die Weitergabe der Ηutzdaten an Dritte ist jedoch in der Regel nicht er¬ laubt.

In solch einem System werden die Nutzdaten für eine Vielzahl von Anwendern verschlüsselt bereitgestellt. Um diese Nutzdaten zu entschlüsseln hat ein autori¬ sierter Anwender oder eine Gruppe autorisierter Anwender einen individualisier¬ ten Schlüssel. Genauer betrachtet hat der Anwender einen zweiten Schlüssel, der zusammen mit einem ersten Schlüssel der zusammen mit den Nutzdaten bereitge¬ stellt wird, letztendlich Schlüsselinformation ergibt, mit der die Nutzdaten ent¬ schlüsselt werden können.

Beim Einsatz der genannten Schlüssel werden spezielle Ressourcen des Rechners des Anwenders verwendet, so dass nur auf diesem Rechner die Schlüsselinforma¬ tion verfügbar wird. Eine solche Bindung an den Empfängerrechner geschieht beispielsweise unter Verwendung einer Smartcard. Dabei gibt die Smartcard die individualisierte Schlüsselinformation zur Entschlüsselung der Nutzdaten an den Rechner des rechtmäßigen Besitzers aus, der damit die verschlüsselten Nutzdaten entschlüsseln kann, beispielsweise um einen Videofihn anzusehen. In einer Um¬ gebung, in der der rechtmäßige Empfänger die Schlüsselinformation nur zur be- stimmungsgemäßen Entschlüsselung der Daten verwendet wird, ist dieses Verfah- ren sicher.

Leider gibt es viele Hacker, die die Schlüsselinformation aus dem erläuterten Sys¬ tem extrahieren und anderen Nutzern, zum Teil sogar gegen ein Entgeld, zur Ver¬ fügung stellen. Der Angriff auf das Verschlüsselungssystem geschieht dabei zu- meist dadurch, dass die von der Smartcard ausgehende Schlüsselinformation vor ihrer Anwendung zur Entschlüsselung der Nutzdaten abgefangen wird. Ein sol¬ cher Zugriff ist einem erfahrenen Hacker ohne große Probleme möglich. Für Software-Lösungen auf dem PC existieren für solche Angriffe sogar eine große Zahl von Werkzeugen, die den Zugriff auf die Schlüssel vereinfachen.

Ähnlich wie Smartcards funktionieren auch sogenannte "Dongles" zum Schutz von Nutzdaten. Diese Schutzmechanismen lassen sich jedoch durch Einbrechen in die geschützte Software mit einem entsprechend ausgerüsteten PC leicht außer Betrieb setzen. Das Werkzeug zum „Abschalten" des Schutzmechanismus wird dann über elektronische Netze unmittelbar weit verteilt.

Bei dem erläuterten Verfahren aus dem Stand der Technik ist die Datenmenge der Schlüsselinformation schmalbandig, d.h. gering, im Verhältnis zu den breitbandi- gen Datenmengen der zunächst verschlüsselten und später entschlüsselten Nutzda- ten (beispielsweise einige hundert Kbyte Schlüsselinformation gegenüber einem Videofilm mit typischerweise 5,5 Gbyte ). Die Schlüsselinformation kann daher

nicht nur leicht extrahiert werden sondern auch per Email o.a. online und gegebe¬ nenfalls anonym an eine Vielzahl nicht autorisierter Anwender verteilt werden. Eine nicht autorisierte Distribution der entschlüsselten Nutzdaten (beispielsweise des entschlüsselten Videodatenstroms mit einer Größe von einigen Gbyte) ist hin- gegen wegen der Menge der Daten als weitgehend unmöglich anzusehen oder zumindest schwierig.

Im Ergebnis sind daher die ursprünglich verschlüsselten Nutzdaten im Internet oder einem ähnlichen Medium quasi für jedermann zugänglich und der Provider dieser Daten hat keine oder nur eine sehr eingeschränkte Kontrolle über deren Nutzung.

Der vorliegenden Erfindung liegt daher das Problem zugrunde, die oben genann¬ ten Nachteile des Stands der Technik zu überwinden und insbesondere ein Ver- fahren und eine Vorrichtung bereitzustellen, mit denen große verschlüsselte Da¬ tenmengen gegen einen unberechtigten Zugriff und die breite Verteilung an nicht aivtorisierte Anwender gesichert werden können.

3. Zusammenfassung der Erfindung

Die vorliegende Erfindung löst dieses Problem gemäß eines ersten Aspekts durch ein Verfahren zur Entschlüsselung von verschlüsselten breitbandigen Daten durch einen oder mehrere autorisierte Anwender, mit den folgenden Schritten:

- Bereitstellen der verschlüsselten breitbandigen Daten für eine Vielzahl von

Anwender;

Bereitstellen von im Vergleich zu den breitbandigen Daten schmalbandi- ger, verschlüsselter oder unverschlüsselter Schlüsselinformation, die für einen oder mehrere autorisierte Anwender individualisiert ist, ausschließ- lieh in einer Entschlüsselungseinheit, wobei die schmalbandige Schlüssel-

Information in der Entschlüsselungseinheit in einer dem autorisierten An¬ wender nicht zugänglichen Form vorgehalten wird; zumindest teilweises Entschlüsseln der verschlüsselten breitbandigen Da¬ ten in der Entschlüsselungseinheit zur Ausgabe eines zumindest teilweise entschlüsselten breitbandigen Datenstroms; oder

Erzeugung von breitbandiger Schlüsselinformation aus der schmalbandi- gen Schlüsselinformation in der Entschlüsselungseinheit zur nachfolgen¬ den Entschlüsselung der verschlüsselten breitbandigen Daten.

Auf die Reihenfolge der ersten beiden Verfahrensschritte kommt es dabei nicht an. Vorzugsweise umfasst die Entschlüsselungseinheit einen Sicherheitsbaustein, in dem die schmalbandige Schlüsselinformation gespeichert ist, und der die Ent¬ schlüsselung der breitbandigen Daten bzw. die Erzeugung der breitbandigen Schlüsselinformation durchfühlt. In einem anderen Ausführungsbeispiel umfasst die Entschlüsselungseinheit einen ersten Sicherheitsbaustein, in dem die schmal¬ bandige Schlüsselinformation gespeichert ist und einen zweiten Sicherheitsbau¬ stein, der vom ersten Sicherheitsbaustein über eine sichere Kommunikation die schmalbandige Schlüsselinformation erhält und der die Entschlüsselung der breit¬ bandigen Daten bzw. die Erzeugung der breitbandigen Schlüsselinformation durchführt.

Ein erster Aspekt des erfindungsgemäßen Verfahrens besteht darin, nicht nur zum Bereitstellen der schmalbandigen Schlüsselinformation sondern auch zur Ent¬ schlüsselung der Nutzdaten einen oder mehrere Sicherheitschips zu verwenden d.h. die Entschlüsselung in der sicheren Umgebung der Entschlüsselungseinheit durchzuführen. Anders als ein PC oder ein anderer Computer für allgemeine Auf¬ gaben, der für einen erfahrenen Hacker letztlich vollkommen zugänglich ist, so dass darin verwendete Schlüssel immer in der Gefahr sind früher oder später ext¬ rahiert zu werden, verbleibt im erläuterten Verfahren die schmalbandige Schlüs- selinformation in der sicheren Entschlüsselungseinheit sowohl bei ihrer Bereitstel¬ lung als auch bei der zumindest teilweisen Entschlüsselung der verschlüsselten

breitbandigen Daten oder der Erzeugung der breitbandigen Schlüsselinformation. Im Ergebnis verlässt die Enlschlüsselungseinheit nur breitbandige Information (die teilweise entschlüsselten Daten oder die erzeugte breitbandige Schlüsselin- formation), die nur mit sehr großem Aufwand an unbefugte Dritte weitergegeben werden kann.

Um das erläuterte Verfahren auf Videodaten anwenden zu können, ist es vorteil¬ haft, wenn die Datendurchsatzrate des entschlüsselnden Sicherheitsbausteins im Bereich mehrerer Mbit/s liegt. In einer bevorzugten Ausführungsform werden zumindest Teile der schmalbandigen Schlüsselinformation vor der Entschlüsse¬ lung der breitbandigen Daten oder der Erzeugung der breitbandigen Schlüsselin¬ formation verschlüsselt in die Entschlüsselungseinheit übertragen und dort ent¬ schlüsselt.

Gemäß eines weiteren Aspekts betrifft die vorliegende Erfindung eine Entschlüs¬ selungseinheit zur Entschlüsselung von verschlüsselten breitbandigen Daten, die einer Vielzahl von Anwendern verfügbar gemacht werden, durch einen oder meh¬ rere autorisierte Anwender, mit einem Speicherbereich, der im Vergleich zu den breitbandigen Daten schmalbandige Schlüsselinformation, die für den autorisier- ten Anwender individualisiert ist, flüchtig oder nicht flüchtig so speichert, dass sie für den / die autorisierten Anwender nicht zugänglich ist, einem Verarbeitungsbe¬ reich, der dem / den autorisierten Anwender(n) nicht zugänglich ist und der mit der gespeicherten schmalbandigen Schlüsselinformation die verschlüsselten breit¬ bandigen Daten zumindest teilweise entschlüsselt, um sie als teilweise entschlüs- selten breitbandigen Datenstrom auszugeben, oder der eine breitbandige Schlüs¬ selinformation zur nachfolgenden Entschlüsselung der breitbandigen Daten er¬ zeugt, wobei die Entschlüsselungseinheit als ein einzelner Sicherheitsbaustein oder als eine Mehrzahl von Sicherheitsbausteinen ausgebildet ist, die über eine sichere Kommunikationsverbindung miteinander verbunden sind.

Weitere vorteilhafte Merkmale des erfindungsgemäßen Verfahrens und der Ent¬ schlüsselungseinheit finden sich in weiteren abhängigen Ansprüchen.

4. Kurze Beschreibung der begleitenden Figuren

Im Folgenden werden Aspekte der vorliegenden Erfindung unter Bezugnahme auf die begleitenden Figuren genauer erläutert. Diese Figuren zeigen:

Fig. 1: Eine schematische Darstellung einer ersten Ausführungsform der er- findungs gemäßen Entschlüsselungseinheit zur Verwendung in einer ersten Ausführungsform des erfindungsgemäßen Verfahrens.

Fig. 2: Eine schematische Darstellung einer zweiten Ausführungsform der erfmdungsgemäßen Entschlüssemngseinheit zur Verwendung in einer zweiten Ausführungsfomi des erfindungsgemäßen Verfahrens.

5. Detaillierte Beschreibung bevorzugter Ausführungsbeispiele

Fig. 1 zeigt eine erste gegenwärtig bevorzugte Ausführungsform der vorliegenden Erfindung. Dabei lädt ein Anwender Videodaten 10 zur Betrachtung auf seinem PC 20 (hier als Notebook dargestellt). Anstelle des PC 20 könnte auch eine andere geeignete Vorrichtung verwendet werden, mit der Videodaten aus dem Internet oder von einer anderen Datenquelle heruntergeladen werden können.

Die Videodaten 10 werden in verschlüsselter Form von einem Provider 1 im In¬ ternet bereitgestellt. Es ist daher grundsätzlich einer Vielzahl von Anwendern möglich die Videodaten 10 herunterzuladen. Statt einem Herunterladen aus dem Internet, das große Bandbreiten des Internetzugangs voraussetzt, kann der An- wender die verschlüsselten Videodaten auch auf einer gekauften oder gegen eine Gebühr ausgeliehenen DVD oder einem anderen Datenträger erhalten. Unabhän-

gig davon erfordert die Verwendung der Daten, d.h. das Betrachten des Video¬ films, schmalbandige Schlüsselinformation 30, d.h. Schlüsselinformation, die im Vergleich zu den breitbandigen Videodaten 10 eine ungleich kleinere Datenmenge in Anspruch nimmt. In dem in Fig. 1 dargestellten Ausführungsbeispiel wird diese Schlüsselinformation 30 in einem USB-Stick 40 vorgehalten.

Wie in Fig. 1 schematisch gezeigt, werden die verschlüsselten Videodaten 10 zu einem Sicherheitschip 50 innerhalb des USB-Sticks 40 geführt. In einem Spei¬ cherbereich 51 des Sicherheitschips 50 ist die schmalbandige Schlüsselinformati- on 30 gespeichert, die in einem Verarbeitungsbereich 52 des Sicherheitschips 50 dazu verwendet wird, um die ankommenden verschlüsselten Videodaten 10 zu entschlüsseln.

Über die Schnittstelle 41 des USB-Sticks 40 werden die entschlüsselten Videoda- ten 70 an den PC 20 zurückgegeben. Eine geeignete Applikation auf dem PC kann dann den entschlüsselten Videodatenstrom dem PC-Benutzer präsentieren. Der

Sicherheitschip 50 muss dabei nicht zwingend die vollständige Entschlüsselung der Videodaten 10 durchführen. Wesentlich ist jedoch, dass der den USB-Stick 40

40 verlassende Datenstrom 70 breitbandig ist, so dass eine einfache Distribution über Email o.a. bereits aufgrund der Datenmenge nur schwer möglich ist.

Abhängig von der benötigen Datenrate können bei der Entschlüsselung der Vi¬ deodaten noch Techniken des Watermarkings o.a. integriert werden, so dass der entschlüsselte Videodatenstrom 70 identifizierbar wird. Dadurch lässt sich zusätz- lieh verhindern bzw. nachverfolgen, wenn der Strom der entschlüsselten Videoda¬ ten trotz seiner Größe unrechtmäßig an Dritte weitergeben wird.

Anstelle eines einzigen Sicherheitschips 50 ist es auch denkbar zwei Sicherheits¬ chips im USB-Stick 40 anzuordnen (nicht dargestellt), von denen der eine die Speicherung der schmalbandigen Schlüsselinformation 30 übernimmt und der andere die Entschlüsselung der Videodaten. In diesem Fall, wird die Schlüsselin-

fomiation 30 über einen sicheren Kommunikationskanal zwischen den beiden Sicherheitschips übertragen.

In den aus dem Stand der Technik bekannten Systemen wird die Schlüsselinfor- mation aus der sicheren Umgebung, beispielsweise einer Smartcard, in die leis¬ tungsstärkere, aber weniger sichere Umgebung eines PCs übergeben, so dass einer oder mehrere Prozessoren des PCs die Entschlüsselung durchfuhren und den ent¬ schlüsselten Videodatenstrom bereitstellen. Gemäß der vorliegenden Erfindung erfolgt die Bereitstellung der schmalbandigen Schlüsselinformation und die Ent- schlüsselung in einer Einheit, die entweder durch einen einzelnen physikalischen Baustein (den Sicherheitschip 50, wie in Fig. 1 dargestellt) oder durch eine si¬ cherheitstechnisch gekoppelte Lösung (zwei oder mehr sicher miteinander ver¬ bundene Sicherheitschips, nicht dargestellt) gebildet wird. Eine sicherheitstechni¬ sche Kopplung der beiden Sicherheitschips kann durch eine hardwareseitige Un- terstützung der Verschlüsselung des Datenkanals zwischen den Hardware- Komponenten z.B. durch den Einsatz einer Session-Key-Aushandlung unter Ver¬ wendung einer RSA-Challenge aufgebaut werden, ohne dass das Konzept an Si¬ cherheit verliert.

Im Ergebnis wird in beiden Varianten die Schlüsselinformation 30 nicht in die PC-Welt extrahiert und kann daher auch nicht durch das Manipulieren der PC- Soft- und Hardware ermittelt werden. Dies ist möglich, da es Sicherheitschips gibt, die Datenmengen im Bereich mehrerer Mbit/s durchzusetzen und zu ent¬ schlüsseln in der Lage sind. Klassische Smartcards (gemäß ISO 7816 oder kon- taktlose Karten) verfügen über serielle Schnittstellen, die Datenraten nicht über 1 Mbit/s erlauben und sind daher für die Entschlüsselung der Daten ungeeignet. Im Gegensatz dazu weist der in Fig. 1 gezeigte USB-Stick eine Datenrate von im Wesentlichen zweimal der Datenrate der Videodaten 10 auf, da diese Daten emp¬ fangen, zumindest teilweise entschlüsselt und an den PC 20 zurückgegeben wer- den. Der maximale Datendurchsatz durch den Sicherheitschip 50 beschränkt die mögliche nutzbare Bitrate.

Wie in Fig. 1 gezeigt wird im bevorzugten Ausfuhrungsbeispiel zusätzlich zu den verschlüsselten Videodaten 10 ein kleiner Verwaltungsdatenstrom 60 zur Verwal¬ tung der Zugangsberechtigung an den PC 20 und damit den USB-Stick 40 über- tragen. Der USB-Stick 40 ist dazu vorzugsweise individuell adressierbar und ver¬ fugt über einen individuellen Schlüssel (nicht dargestellt). Damit kann ein sicherer Datenkanal zwischen dem Provider 1 und dem USB-Stick 40 aufgebaut werden. Über diesen Datenkanal wird die Schlüsselinformation zur Entschlüsselung der verschlüsselten Videodaten 10 verschlüsselt unter dem individuellen Schlüssel des USB-Stick 40, mitgesendet (nicht dargestellt). Alternativ dazu kann die Schlüssel¬ information auch unmittelbar in die verschlüsselten Videodaten 10 mit integriert werden.

Wenn die Schlüsselinformation mit dem individuellen Schlüssel des USB-Stick entschlüsselt worden ist, steht sie als individualisierte Schlüsselinformation 30 zur Verfügung, um wie oben erläutert die zumindest teilweise Entschlüsselung der Videodaten 10 durchzuführen.

Über den Verwaltungsdatenstrom 60 können zusätzlich auch komplexere Konzep- te wie beispielsweise die Bereitstellung der Rechte zur n-maligen Wiedergabe der Videodaten 10 oder zur zeitlichen Einschränkung der Nutzung der Videodaten realisiert werden. Die verschiedensten Applikationen, die mehr erfordern als eine reine Ja/Nein-Entscheidung, ob ein Anwender autorisiert ist, die angebotenen breitbandigen Daten zu nutzen, sind daher ohne Weiteres möglich.

Fig. 2 zeigt eine weitere Ausführungsform der vorliegenden Erfindung. Anders als in der oben erläuterten Ausführungsform findet hier wie im Stand der Technik die Entschlüsselung der verschlüsselten Videodaten auf dem PC oder einer anderen geeigneten Vorrichtung statt. Die dazu erforderliche Schlüsselinformation 30' erzeugt der USB-Stick aus der Schlüsselinformation 30 und gibt sie an den PC aus. Diese Schlüsselinformation 30' unterscheidet sich von der Schlüsselinforma-

tion 30 innerhalb des USB-Sticks 40 durch ihren Umfang. Während die aus¬ schließlich im USB-Stick verbleibende Schlüsselinformation 30 schmalbandig ist, d.h. deutlich kleiner ist als die zu entschlüsselnden Videodaten 10, ist die Schlüs- selinformation 30' breitbandig, d.h. sie weist im Wesentlichen dieselbe Größen- Ordnung auf wie die Videodaten 10. Damit wird auch in dieser Ausführungsform eine Weitergabe an unbefugte Dritte verhindert oder zumindest erschwert.

Auch in dieser Ausführungsform kann die Schlüsselinformation 30 innerhalb des USB-Sticks 40 zunächst aus einem individuellen Schlüssel des USB-Sticks und weiterer Schlüsselinformation generiert werden, die entweder den Videodaten 10 beigefügt wird oder über den zusätzlichen Verwaltungsdatenstrom 60 an den USB-Stick 40 geschickt wird.