Die sleutel dient wellicht ook voor authenticatie. Ze kunnen waarschijnlijk gewoon in de logging zien hoe lang geleden kaart x voor het laatst is betrokken bij authenticatie lijkt mij. Alles wat langer dan 255 dagen nooit heeft geauthenticeerd wordt ge-deactiveert.

De sleutel op je smartcard is een x aantal dagen geldig. Deze verloopt als de smartcard niet gebruikt wordt omdat die in de berichten zit die je smartcard elk kwartier krijgt.

Het is eenwegsverkeer, maar vanwege de manier waarop de sleutels geroteerd worden gebeurt dit.

@joppybt Waar ben je bang voor? Dat ze bij Ziggo 'weten' dat je naar de kanalen vanaf 790 en hoger aan het kijken bent ofzo?

Welkom in de wondere wereld genaamd CI+

joppybt schreef op dinsdag 11 mei 2021 @ 18:56:
Dat klopt maar Ziggo weet niets en blijft oneindig elk kwartier nieuwe sleutels sturen. Dan zou je verwachten dat na een kwartier wachten de kaart het weer gewoon doet.

Wordt al vrij snel heel technisch om uit te leggen, als je dit helemaal wilt begrijpen moet je even zoeken op "Conditional Access Systems".

Ziggo roteert de sleutels die gebruikt worden om deze sleutels te updaten blijkbaar ongeveer elke 255 dagen. Als deze sleutel geroteerd wordt en je smartcard heeft de update waar deze inzat niet gehad, kan hij niks met het bericht wat de smartcard elke ongeveer 15 minuten krijgt.

Ziggo kan handmatig een bericht klaarzetten voor je smartcard met de private key die bij je smartcard hoort om dit te updaten, maar ivm bandbreedte in de EMM (Entitlement Management Message) kanalen doen ze dit niet standaard, het aantal berichten wordt te groot als ze dit voor alle kaarten 24/7 zouden doen. Zolang je smartcard de sleutel die op dat moment gebruikt wordt heeft hoeft dit niet.

joppybt schreef op dinsdag 11 mei 2021 @ 18:56:
[...]

Dat suggereert dat er data teruggaat naar Ziggo wat volgens mij niet het geval is. Ze kunnen in hun logging dus niet zien.


[...]

Dat klopt maar Ziggo weet niets en blijft oneindig elk kwartier nieuwe sleutels sturen. Dan zou je verwachten dat na een kwartier wachten de kaart het weer gewoon doet.
[...]

Daar ben ik oud genoeg voor, ze mogen alles van me weten. Maar ik ben vooral geïnteresseerd in hoe de techniek kan werken.

De kaart hoeft ook niets te sturen, dat doet de CAM module in je TV wel. De kaart is niets anders dan een key.

verloopt gewoon.. tenzij er tijdig geupdate word..

joppybt schreef op dinsdag 11 mei 2021 @ 21:09:
[...]

Die CAM module stuurt echter net zo min iets terug.

Als ik @Plofkotje goed begrijp is het een samenspel van sleutels die Ziggo pusht over het netwerk: puur eenrichtingsverkeer dus.

Volgens mij kan er technisch ook niets teruggestuurd worden: je kunt een signaalversterker op je antennekabel plaatsen die niet retour-geschikt is en toch kun je 'oneindig' je kaart blijven gebruiken.

Klopt, DVB-C is standaard eenrichtingsverkeer, er is geen retourkanaal. Dit is evt wel mogelijk door EuroDOCSIS modems in te bouwen in ontvangers, dit doet Ziggo in de Mediabox, en in de Mediabox Next gaat dit verkeer gewoon over ethernet of wifi, naar je kabelmodem, en dan naar het systeem van Ziggo. Een standaard DVB-C ontvanger voor kabeltelevisie heeft geen methode om verkeer terug te sturen. Heb in een grijs verleden veel met toegangssystemen voor DVB gedaan (voornamelijk voor satelliet-tv), dit is in grote lijnen hoe het werkt (alhoewel het in de huidige Nagracrypt 3 standaard die Ziggo/fUPC gebruikt anders kan zijn, maar in grote lijnen zal dit nog wel kloppen):

Je hebt een groepssleutel, die aan de kant van Ziggo eenzijdig veranderd wordt elke x dagen (in de hoogtijdagen op de satelliet bij sommige providers soms wekelijks ivm smartcards die gehackt worden, op het verhaal afgaande van Ziggo ongeveer elke 255 dagen bij hun) die wordt gebruikt om te bepalen bij welke zenders je mag. Zo'n groepssleutel is gekoppeld aan een bepaald pakket bij de provider. De smartcard heeft geen idee hoe lang geleden die sleutel uitgegeven is, als Ziggo vanuit hun kant een andere sleutel gebruikt kan je smartcard daar niks meer mee.

Mocht je de update missen voor zo'n groepssleutel, kan je smartcard de groepsberichten dus niet meer ontsleutelen. Daarvoor is dan een refresh nodig van de groepssleutel, die specifiek voor jouw smartcard klaargezet kan worden aan de hand van de individuele key die in je smartcard gebakken zit. Die kan je bij Ziggo blijkbaar op de website door in te loggen triggeren, vroegah met DVB over de satelliet ging dat met naar de helpdesk van CanalDigitaal bellen of hun computersysteem bellen en je smartcard nummer geven.

Dit is eenwegsverkeer, en dit is ook hoe het bij DVB-T (Digitenne) of op de satelliet met DVB-S nog steeds werkt. Aangezien je dus eenrichtingsverkeer hebt weet je niet of een bericht aangekomen is of niet, Ziggo heeft dus geen idee of je je smartcard actief gebruikt. Alle sleutels gaan in een aparte stream in de MPEG transport streams mee, en dit kost dus ruimte op de DVB-C streams die Ziggo verspreid. Daarom proberen ze zoveel mogelijk groepssleutels te gebruiken, en alleen bij nieuwe abonnee's of als je dus vraagt om je smartcard te heractiveren, er specifieke berichten voor jouw smartcard verstuurd worden. Voorheen zag je bij satelliet TV aanbieders dat je hiervoor op een specifiek TV kanaal moest afstemmen, omdat ze ivm de kostbare bandbreedte deze berichten niet op alle kanalen mee wilde sturen.

Ook als je van pakket veranderd zal er zo'n bericht naar je smartcard gestuurd worden, daarom duurt het bij het aanpassen van je pakket ook ongeveer 15 ~ 30 minuten voordat je beeld hebt op je nieuwe zenderpakket.

Wikipedia is wel een goede om te beginnen als je meer wilt weten: Wikipedia: Conditional access

Het is vrij complexe materie en lastig uit te leggen, maar aangezien dit dus ook over bijv. de ether of satelliet TV moet werken via de DVB standaard, is er geen retourkanaal nodig of aanwezig.

joppybt schreef op dinsdag 18 mei 2021 @ 12:05:
[...]

Het enige dat ik me dan nog afvraag: als ik met een oude kaart echt heel geduldig wacht (tot 255 dagen) zou die dan toch nog een keer die groepssleutel specifiek voor hem ontvangen? Ziggo moet die toch eens in de zo veel tijd (maanden?) verversen.

Dan moet je de smartcard opnieuw activeren via de website of telefoon.
Je moet dan de code van de kaart opgeven en binnen een x tijd werkt deze weer.

Heb dit ook wel eens met mijn HD recorder die ik heel soms gebruik om iets op te nemen.
Deze moet dan eerst weer geactiveerd worden voordat hij weer alle zenders laat zien.

joppybt schreef op dinsdag 18 mei 2021 @ 12:05:
[...]

Het enige dat ik me dan nog afvraag: als ik met een oude kaart echt heel geduldig wacht (tot 255 dagen) zou die dan toch nog een keer die groepssleutel specifiek voor hem ontvangen? Ziggo moet die toch eens in de zo veel tijd (maanden?) verversen.

Je moet het zien als een soort keten, waarbij de nieuwe sleutel wordt verzonden in een bericht dat is versleuteld met de oude sleutel. Dus als je een rotatie hebt gemist wordt kun je ook nooit meer een nieuwe sleutel ontvangen zonder dat Ziggo hier een speciale handeling voor doet.

Je smartcard werkt, even uitgaande van de Irdeto kaarten, met EMM's en ECM's. De ECM's zijn bij mijn weten de kortlopende keys die vrij snel veranderen en de combinatie van EMM op smartcard + ECM geeft je een control word waarmee je de stream zo'n 8 seconden kunt ontsleutelen. Tenminste, vroeger, maar neem aan dat dat nog redelijk actueel is.

Daarnaast heb je nog de EMM's die elke 9 maanden ongeveer verstuurd kunnen worden. Deze EMM's kunnen software updates bevatten voor de smartcard, zodat je bijvoorbeeld nog maar maximaal 4 zenders tegelijk kan decoderen (of 2 zoals bij de nieuwste non-Nagra smartcards bij CanalDigitaal). In de EMM's zit ook de informatie welke pakketten je hebt. Lang verhaal kort, als je dus een smartcard hebt met het volledige pakket en je blokkeert de EMM's naar je smartcard toe kan je dat pakket langer gebruiken dan Ziggo wil. Daarom kan dit ook niet met de standaard gecertificeerde apparatuur (je moet immers gewoon krijgen waar je voor betaald hebt). Vroeger werd hier ook misbruik van gemaakt omdat je twee weken het volledige pakket kreeg op een smartcard en het was indertijd mogelijk om de einddatum van zo'n pakket aan te passen.

Als je zo'n EMM mist, kan je een heractivatie aanvragen. Ziggo stuurt dan via de CAS een EMM-bericht waar jouw smartcard nummer in zit. Daarmee wordt de kaart weer geactualiseerd waardoor je weer kunt kijken.

Bij Irdeto 1 was er sprake van slechts 1 sleutel, bij Irdeto2 waren er in het geval van CanalDigitaal zo'n 8 die afwisselend gebruikt werden.

Hoe dit bij Nagra, Seca3, Viaccess etc zit weet ik niet, is allemaal van nadat ik daar mee bezig was. Tegenwoordig is het schijnbaar zo dat je smartcard getrouwd is met een ontvanger in het oud-UPC gebied, maar pin me hier niet op vast.

[ Voor 12% gewijzigd door RadioAir op 18-05-2021 14:11 ]

joppybt schreef op dinsdag 18 mei 2021 @ 12:05:
[...]

Het enige dat ik me dan nog afvraag: als ik met een oude kaart echt heel geduldig wacht (tot 255 dagen) zou die dan toch nog een keer die groepssleutel specifiek voor hem ontvangen? Ziggo moet die toch eens in de zo veel tijd (maanden?) verversen.

Ik denk dat 255 dagen een gemiddelde is waarop ze de sleutels roteren, en dat je je niet blind moet staren op het exact aantal dagen.

RadioAir schreef op dinsdag 18 mei 2021 @ 14:09:
Lang verhaal kort, als je dus een smartcard hebt met het volledige pakket en je blokkeert de EMM's naar je smartcard toe kan je dat pakket langer gebruiken dan Ziggo wil. Daarom kan dit ook niet met de standaard gecertificeerde apparatuur (je moet immers gewoon krijgen waar je voor betaald hebt). Vroeger werd hier ook misbruik van gemaakt omdat je twee weken het volledige pakket kreeg op een smartcard en het was indertijd mogelijk om de einddatum van zo'n pakket aan te passen.

De kaart stopt in de laatste Irdeto en Nagra standaarden met het uitgeven van ECM's voor de zenders als hij niet regelmatig EMM's langs ziet komen, dus het oude trucje met EMM's blokkeren werkt niet meer. Heb dit met een Irdeto kaart van het oude Ziggo gebied die nog niet aan een boxkey gekoppeld is, en als je simpelweg de EMM's blokkeert stopt ie na een paar uur met werken totdat hij weer EMM's ziet. Ze hebben wel geleerd van het gekloot vroegah