DCP mit KDM an Projektoren ohne DCI Zertifikat?

[dresi]

Hallo zusammen.

 

Ich habe da eine kleine Diskussion mit einem Bekannten dessen fachliche Meinung ich sonst sehr schätze.

 

Konkret geht es um den Betrieb von nicht DCI zertifizierten Projektoren im kommerziellen Kino. Vielleicht kann jemand von Euch unsere Unstimmigkeit auflösen.

 

Nach meinem Verständnis kommen die DCP der großen Verleiher ja meist mit KDM. Für die Entschlüsselung ist ein zertifizierter Server notwendig, mit Hilfe dessen Seriennummer die Entschlüsselung erfolgt. Das kann zum einen der interne Mediablock im Projektor sein, so spart man sich das externe Gerät oder zum anderen ein externes Gerät wie ein Doremi oder ähnlich. Kann ich an den Doremi jetzt wirklich jeden x- beliebigen Projektor anschließen? Es war sonst doch immer die Rede von „verschlüsseltes System bis zum Projektorkopf“. Wenn ich es richtig verstehe werden die Daten z.B vom Doremi via HD-SDI weitergeleitet. Liegt hier nicht auch noch eine Verschlüsselung vor ? Wo geschieht dann das Decoding und auf Basis welcher Parameter?

 

Beste Grüße,

Andreas

[HaraldSchaefer]

Hallo

 

ich versuche das ganze mal einfach verständlich aufzudröseln. Die Spezialisten mögen mir verzeihen, wenn es manchmal nicht ganz präzise ist :)

 

Ganz wichtig ist zu unterscheiden, was theoretisch technisch möglich ist, und was praktisch geht.

Ein DCP kommt mit einer AES Verschlüsselung ins Kino. Um das DCP abzuspielen benötigt man den dazu passenden symmetrischen Key. Damit der nicht in falsch Hände gerät, wird er als KDM mit einer asymetrischen Verschlüsselung, die nur der Server bzw. die Abspielsoftware kennt ebenfalls ans Kino geschickt.

 

Technisch kann ich jetzt eine Software bauen, die ein KDM akzeptiert und ein verschlüsseltes DCP abspielen kann. Das Bild könnte ich dann an jeden beliebigen Projektor weitergeben. Praktisch gibt es diese Software z.B in Form des Fraunhofer Players, aber auch andere.

 

Jetzt kommt das Thema Vertrauen ins Spiel. Da der Film wie geschrieben symetrisch verschlüsselt ist und alle Kinos die gleiche Kopie erhalten, muss man auf die AES Keys verdammt gut aufpassen, sonst ist das gesamte Sicherheitskonzept hinfällig. Die DCI (und das ist kein Gesetz, sonder das sind Regeln der Verleiher) sieht vor, dass nur vertrauenswürdigen Geräten ein KDM ausgestellt werden kann. Diese Vertrauenswürdigen Geräte sind sehr aufwändig spezifiziert (2/3 der 300 Seiten beschäftigen sich mit Sicherheit). Unter anderem ist da geschrieben, dass die Entschlüsselung nur in Hardware passieren darf und das der Film nie unverschlüsselt vorliegen darf, bevor er die Lightengine verlässt. Wenn es nach den Verhelhern geht dürften wir vermutlich alle einen DRM Chip ins Auge bekommen, der nur mit Eintrittskarte den Film freischaltet.

 

Zurück zur Sache: Alle zertifizierten Kinoserver (incl. der Mediablocks) sichern den Content indem sie ihn entweder speziell verschlüsselt an den Projektor übertragen (dieses Verfahren nennt sich Cinelink) oder zusammen mit der Lightengine in einem technisch geischerten Gehäuse verbaut sind und die Daten direkt in diese einspielen.

 

Das große Problem ist also, dass die AES Keys der Filme absolut sicher sein müssen. Sobald diese in irgendeiner Form geleakt sind, ist der komplette Schutz des Films aufgehoben. Kleine Verleiher sehen das häufig nicht so eng, bzw. haben auch Vertrauen zu deutschen Firmen (z.B. Ropa) die zwar in Software arbeiten, aber auch einen ganz schönen Aufwand treiben, dass die Daten nicht ausgelesen werden können. Die Majors vertrauen aber nur den DCI zertifizierten Systemen. Was also nicht von Dolby, Doremi, Sony, Barco oder GDC (gibt glaube ich noch einige andere, die spielen aber in Europa keine Rolle) kommt, bekommt kein KDM und damit kann der Film auch nicht gezeigt werden.

 

Gruß Harald

[ChrisL]

AES mit wieviel bit?

 

Bearbeitet 17. März 2016 von ChrisL (Änderungen anzeigen)

[carstenk]

AES 128 und RSA 2048. Die KDM ist ja zusätzlich verschlüsselt. Da sie nur einmal entschlüsselt werden muss, darf der Aufwand dafür höher sein als für die Reel-Verschlüsselung, da deren Entschlüsselung ja in Echtzeit während der Wiedergabe geschehen muss.

 

 

- Carsten

[dresi]

Vielen Dank für die ausführliche Antwort Harald. Das entspricht alles genau dem Bild welches ich von der Situation habe.

Konkret ging meine Diskussion um den Einsatz des neuen Sony Laser Heimkino Projektors Sony vw5000 im kommerziellen Kino (auf kleiner Bildwand) und aufgrund der fehlenden DCI Freigabe (die Spezifikation der Bildparameter würde er erfüllen) konnte ich mir außer Arthouse Kino mit lascheren Sicherheitsregeln kein Szenario vorstellen in dem das funktionieren würde (mal davon abgesehen, dass die richtigen Kino Maschinen nur halb so teuer sind). Deine Ausführungen bestätigen mir dies nochmal.

Danke für die Mühen!

Beste Grüße,

Andreas

[carstenk]

Wenn man da in Details geht, wird es auch abgesehen vom Preis sinnlos. Der transportverschlüsselungsfreie Betrieb geht richtig erkannt nur mit unverschlüsselten Inhalten. Daneben muss der Projektor aber auch Twin-HD-SDI in 2k/12Bit mit P3-Farbe unterstützen. Und nur bei den 'alten'/klassischen Servern mit serverintegrierten Mediablöcken geht das überhaupt. Die sind aber wegen der HD-SDI Verbindungen auf 2k limitiert. Also nix mit 4k am teuren Sony.

 

Hatte früher auch schonmal überlegt, ob nicht ein gebrauchter Doremi oder Dolby mit einem besseren Beamer nicht eine sinnvolle, DCI aufstiegsfähige Alternative zu einer ROPA CS2 o.ä. sein könnte. Also ne Weile unverschlüsselte Inhalte spielen, bis auch das Geld für den Projektor da ist. Aber bis Du einen nicht-DCI fähigen Projektor hast, der die Signalanforderungen erfüllt, bist Du nicht mehr weit weg von einem echten DCI Projektor. Die besseren Heimkino- oder Präsentationsprojektoren können das alle nicht leisten.

 

- Carsten

Bearbeitet 17. März 2016 von carstenk (Änderungen anzeigen)

[HaraldSchaefer]

Hallo

 

Noch was zur HDSDI Verschlüsselung. CineLink ist eine Erfindung von TI. Das hat zur Folge, dass das sowieso nur mit DLP Projektoren funktionieren kann. TI rückt die Lizenz nämlich nicht an den Erzfeind Sony raus. Während Systeme auf TI Basis meist modular bezüglich des Mediablocks sind, ist das bei Sony nicht so. Hier kommt (zumindest in Europa) immer ein Sony Server (bzw. Mediablock zum Einsatz). Es soll zwar auch eine Doremi Version für Sony geben, aber das scheint eine US-Ketten Spezial Version zu sein, die in keinem Handel erhältlich ist.

 

Gruß Harald