WONKA nicht spielbar

[carstenk]

Einige Versionen von Barbie und Oppenheimer dürften auch betroffen sein. Bei Barbie ist zumindest unsere OV betroffen, bei Oppenheimer sind alle Versionen von Deluxe gemastert.

[daveangel]

Hab ich das richtig verstanden, dass wir mit IMS3000 keine Probleme haben?

[macplanet]

vor 3 Stunden schrieb daveangel:

Hab ich das richtig verstanden, dass wir mit IMS3000 keine Probleme haben?

 

Offenbar - wobei natürlich ein Restrisiko bleibt, dass Dolby in einem späteren Update den "Fehler" korrigiert - technisch ist es ja korrekt, dass die Server diese DCPs nicht abspielen.

[carstenk]

Allerdings wären sie jetzt mit dem Quast gepudert, eine strengere Prüfung noch zu implementieren, wo sich ihr einziger noch im Verkauf befindlicher Server als 'robust gegenüber der Konkurrenz' erwiesen hat. 😉

 

Wenn man sich überlegt, was da vonseiten anderer Mastering-Firmen möglicherweise noch an Zeitbomben in den DCP-Archiven lauert, sollte man wohl eher auf die anderen Serverhersteller (Sony, GDC, Christie) einwirken, dass die ein Softwareupdate rausbringen, das die Prüfung von signer certs nicht mehr am Datumsablauf scheitern lässt. Wenn ich das richtig verstanden habe, dann hatte Christie am Neujahrstag für ihren (noch eher seltenen) Serie-3 IMS sogar kurzfristig einen Patch veröffentlicht.

 

Ihr habt doch auch ein ziemlich üppiges Archiv auf dem NAS? Könnte sich lohnen, das mal per script auf ablaufende Zertifikate zu durchforsten. Die abgelaufenen Deluxe Zertifikate zu erkennen ist ja relativ einfach, aber universell auf Datum zu untersuchen, dafür müsste man die Zertifikate schon komplett dekodieren, das könnte etwas aufwendiger werden. Ich wüsste allerdings jemanden, der sicher sowas bauen könnte und vermutlich auch eigenes Interesse daran hat (weil Sony Betreiber).

 

- Carsten

 

Bearbeitet 4. Januar von carstenk (Änderungen anzeigen)

[carstenk]

Hmm, interessant - die neuen Zertifikate, die Deluxe seit Sylvester/Neujahr für das Signieren der DCPs verwendet, sind vom April 2021, und es sind keine Cinecert Zertifikate mehr, sondern von Deluxe selbst. Die hatten also schon neue eigene Zertifikate, haben sie nur noch nicht zum Signieren von DCPs verwendet. Wenn ich mir mal ein paar KDMs von Deluxe aus dem letzten Jahr anschaue, dann hatten die diese neuen Zertifikate schon lange zum Signieren von KDMs verwendet.

Warum nicht auch zum Signieren von DCPs/CPLs, das ist die interessante Frage...

[carstenk]

Heute kamen von Gofilex Napoleon und Aquaman 2, und da sind auch 'kaputte' OV/ATMOS CPLs von Deluxe dabei. Allerdings spielen wir nur die dazu gehörigen deutschen VFs, und die sind von Eikona und nicht betroffen. 

Bearbeitet 5. Januar von carstenk (Änderungen anzeigen)

[macplanet]

Am 4.1.2024 um 14:25 schrieb carstenk:

Allerdings wären sie jetzt mit dem Quast gepudert, eine strengere Prüfung noch zu implementieren, wo sich ihr einziger noch im Verkauf befindlicher Server als 'robust gegenüber der Konkurrenz' erwiesen hat. 😉

 

Stimmt einerseits, andererseits traue ich denen alles zu ...

(Und dem DCI-Konsortium traue ich ohnehin alles zu - am Schluss drängen die noch auf eine "korrekte" Implementierung.)

 

Am 4.1.2024 um 14:25 schrieb carstenk:

Ihr habt doch auch ein ziemlich üppiges Archiv auf dem NAS? Könnte sich lohnen, das mal per script auf ablaufende Zertifikate zu durchforsten. Die abgelaufenen Deluxe Zertifikate zu erkennen ist ja relativ einfach, aber universell auf Datum zu untersuchen, dafür müsste man die Zertifikate schon komplett dekodieren, das könnte etwas aufwendiger werden. Ich wüsste allerdings jemanden, der sicher sowas bauen könnte und vermutlich auch eigenes Interesse daran hat (weil Sony Betreiber).

 

Hmm - ist aber mehr akademisch interessant, wenn man Doremis hat, oder?

Kann ich denn bei einem verschlüsselten DCP feststellen, ob ich mit einem konkreten DCP ein Problem habe, wenn ich noch keinen KDM dafür habe?

[carstenk]

Ja, das problematische Zertifikat ist in der CPL lesbar und unabhängig von der Verschlüsselung. Im Grunde muss man das aber nicht mal dekodieren, es reicht eine CPL mit DLX und Datum im Namen vor 31.12.23. 

 

Bei uns heute wie gesagt bei Napoleon und Aquaman 2.

 

Zugegeben, wenn ihr bisher Glück mit den Dolbys/Doremis habt, betrifft euch das in der Tat wenig.

 

- Carsten

Bearbeitet 5. Januar von carstenk (Änderungen anzeigen)

[tomas katz]

Also PRISCILLA läuft und der ist auch vom letzten Jahr. 

[carstenk]

Ist die DE-VF, die ihr sicher spielt, auch von DLX? Eher nicht, oder?

 

Bearbeitet 5. Januar von carstenk (Änderungen anzeigen)

[daveangel]

Wir spielen

• 1070781_Priscilla_FTR-2_F_DE-XX_DE_51_4K_IND_20231211_DLX_IOP_OV
• Priscilla_FTR-2_F_EN-DE_DE_51_4K_IND_20231208_DLX_IOP_OV

ohne Probleme (vermutlich dank IMS 3000).

 

 

[showmanship]

vor 4 Stunden schrieb daveangel:

Wir spielen

• 1070781_Priscilla_FTR-2_F_DE-XX_DE_51_4K_IND_20231211_DLX_IOP_OV
• Priscilla_FTR-2_F_EN-DE_DE_51_4K_IND_20231208_DLX_IOP_OV

ohne Probleme (vermutlich dank IMS 3000).

 

 

Auch auf Sony kein Problem.

Auch die 35mm läuft problemlos 😎

Bearbeitet 6. Januar von showmanship (Änderungen anzeigen)

[carstenk]

Priscilla ist Interop. Da müssen die Server nicht so intensiv prüfen, die Probleme treten nur bei SMPTE DCPs auf.

 

 

Die DCI hat extrem schnell reagiert und gerade ein update veröffentlicht:

 

https://www.dcimovies.com

 

DCSS Changelog since 1.4.3

• Permit playback of CPLs after the signing certificate has expired

 

 

 

Die Interessante Frage ist, ob Sony sich befleissigt fühlt, deswegen nochmal ein Update für den S10/M10 rauszubringen.

Bearbeitet 6. Januar von carstenk (Änderungen anzeigen)

[tomas katz]

Es gibt noch:

Priscilla_FTR-2_F_EN-XX_INT-NR_51_4K_MU_20230921_HAR_IOP_OV

 

Wäre wirklich mal spannend, nach welchen Kriterien die DCP da gemastert werden.

[carstenk]

Wie gesagt, bei Interop tritt das Problem zumindest beim Sony nicht auf. Warum einige überhaupt immer noch Interop mastern, keine Ahnung. Vermutlich, weil sie glauben u.a. solchen Problemen damit aus dem Weg gehen zu können.

Bearbeitet 6. Januar von carstenk (Änderungen anzeigen)

[perryflynn]

Hi,

 

ich habe mir unsere KDMs mal angesehen und glaube, dass man das erkennen kann ob die KDM "kaputt" ist. Könntet Ihr mir mal ein paar von den betroffenen KDMs zukommen lassen? (Gerne per PN)

 

Ich habe leider keine.

 

Viele Grüße

Christian

[carstenk]

Die KDMs sind nicht das Problem, sondern die CPLs (die KDMs der betroffenen Titel sind technisch einwandfrei). Die betroffenen zu erkennen ist recht einfach, man copy/pasted einfach die Signerzertifikate am Ende der CPL in einen der öffentlichen SSL decoder. Da momentan auch nur Deluxe vor 31.12.23 betroffen ist (und ausschließlich SMPTE DCPs), reicht es im Grunde auch, die DLX CPLs, die man spielen will, auf das Datum im CPL Namen zu prüfen, das geht ja ganz ohne Zusatzmittel.

 

Wonka_FTR-3_S_DE-XX_DE_51_4K_WR_20231114_DLX_SMPTE_VF

 

Die Frage ist, welche Signing-Certs anderer Mastering Firmen in der nahen Zukunft noch ablaufen. Da wäre es praktisch, mal eine Übersicht zu haben.

 

Ich habe mal eine der betroffenen CPLs angehängt. Von der gesamten Zertifikatskette ist derzeit nur eines abgelaufen - in diesem Fall das erste in der Datei. Man braucht im Grunde also nur Dateizugriff auf die CPL-Datei, und einen simplen Text-Editor für's copy paste. Wer hat, kann natürlich auch das oben erwähnte dcp_inspect oder Clairmeta benutzen, was aber beides etwas aufwendiger aufzusetzen ist als Texteditor und Webbrowser. Wenn mehrere Zertifikate in der CPL drinstecken, muss man halt alle durchprobieren, wobei es im Falle von Deluxe aber wohl immer das erste ist. Wenn, wie bei vielen synchronisierten Repertoire-Filmen, nur die OV von Deluxe ist und ein abgelaufenes Zertifikat enthält, die zu spielende VF aber von einem anderen Dienstleister (bei uns z.B. oft Eikona), dann tritt das Problem nicht auf, da es explizit nur die abzuspielende CPL betrifft, und die OV CPL spielt beim Abspiel einer VF-CPL keine Rolle.

 

https://www.sslshopper.com/certificate-decoder.html

 

 

 

CPL_11ffdddb-c0e2-496c-beb1-a5fcd87c7304.xml

 

Bearbeitet 14. Januar von carstenk (Änderungen anzeigen)

[perryflynn]

Ich tippe halt darauf, dass die gleichen Zertifikate auch in der KDM drin sind. Dann kann man das an den KDMs checken und muss nicht die CPL vom Projektor / der Festplatte kratzen. Denn auch in den KDMs sind Zertifikatsketten. 

 

Wühle mich auch seit gestern durch die DCI Spezifikation und den Testplan. (Insbesondere der Testplan ist super interessant, by the way)

 

Auch habe ich gestern ein Programm gebastelt welche alle KDMs des letzten Jahres ausliest und daraus ein Diagramm nach den CA Certificates der Verleiher baut.

 

Ein kleiner Ausschnitt:

 

 

Alle Filmlieferungen des letzten Jahres kamen "nur" von vier verschiedenen Verleihern / KDM Erstellern.

 

Cinecert hat dabei zwei komplett unabhängige Zertifikatsketten und eine der Ketten hat mehrere Zwischenzertifikate (wahrscheinlich eines pro Verleiher oder so).

 

Und das Cinecert Zertifikat im Screenshot läuft auch Ende 2024 aus. Ich habe leider die DCP von "Frühstück bei Tiffany" nicht mehr. Hätte ich gerne mal mit der CPL verglichen.

 

Daher würde es mich mal interessieren, wie das bei einer betroffenen KDM aussieht.

 

Viele Grüße

Christian

[carstenk]

Nee, bizzarerweise nutzte Deluxe für die KDMs schon länger neuere Zertifikate. Weiss der Henker, warum die früher separate Zertifikate für das Signieren von DCPs und KDMs benutzt haben. Jetzt sind es dieselben.

 

Bei einem kleineren Laden ist es sicher so, dass die grundsätzlich dieselben Zertifikate nutzen, aber das hängt halt von der Softwareumgebung ab. So ein großer Laden wie Deluxe verwendet da unterschiedliche Systeme für DCPs und KDMs.

 

 

Die bis vor kurzem gültige DCI spec, respektive die SMPTE spec, auf die die DCI spec sich bezieht, haben leider bezüglich der signercerts keine präzisen Auswertungsmethoden bzw. Konsequenzen vorgegeben, die sind zu pauschal formuliert und überlassen es somit dem Serverhersteller, was im Fall eines abgelaufenen signercerts zu passieren hat.

Bearbeitet 14. Januar von carstenk (Änderungen anzeigen)

[perryflynn]

Wenn die unterschiedlich sind macht das ja noch weniger Sinn.

 

Ich verstehe nicht wieso die Zertifikate im CPL und KDM überhaupt existieren.

 

Laut Spezifikation liegen ja auf den Projektoren keine Root CAs um die KDM Signaturen zu verifizieren. Das macht der Projektor mit den Zertifikaten die im KDM mitgeliefert werden. Heißt also Projektor vertraut allem was von außen kommt. Wieso dann überhaupt Zertifikate?

 

Nur das Projektor Zertifikat wird gebraucht, damit der Verleiher den RSA Key für die DCP verschlüsseln kann. Das <CipherData> Feld in der KDM enthält dann zusätzlich auch noch mal die Spielzeiten, sodass dies sicher ist.

 

Aber der Rest der Daten die in der KDM stehen und die Signaturen ließen sich manipulieren. Das führt nur nicht zu irgendeinem wünschenswertem Ziel, weil halt das <CipherData> noch immer unveränderbar ist.

 

Oder vielleicht sind bei KDM und DCP doch wenigstens die Root CAs gleich, sodass die verglichen werden können?

 

Dann würde es wieder etwas mehr Sinn machen.

 

Ich wäre weiterhin an einer betroffenen KDM und einem CPL File interessiert, um das weiter zu untersuchen.

 

 

[perryflynn]

Ah zumindest das Signer Zertifikat wird geprüft. Dafür wird der Fingerprint aus dem <CipherData> benutzt. Die Zertifikatekette macht also immer noch keinen Sinn, aber das "unterste" Zertifikat wird vom Media Block geprüft.

 

Und dabei wahrscheinlich auch das Ablaufdatum.

 

Quote

36) The SM shall check that the thumbprint of the signer’s certificate matches the signer of the KDM. If it is not correct, the KDM
shall be rejected

 

[carstenk]

Da geht es anders bei der Verschlüsselung nur darum, die Authentizität der CPL und PKLs überprüfen zu können. Kann man drüber diskutieren, ob es überhaupt Sinn macht, das zum Zeitpunkt der Ausspielung zu machen, oder ob das nicht eher nur aus anderen Gründen später erfolgen sollte.

 

 

- Carsten

[carstenk]

https://www.isdcf.com/certs-expiring/

 

 

Laut dem Dokument arbeitet u.a. Sony an einem Softwareupdate für die 510/515/810/815 Systeme, um die vorgeschlagenen Änderungen der Validierungsverfahren umzusetzen.

 

 

- Carsten

 

Bearbeitet 1. Februar von carstenk (Änderungen anzeigen)

[tomas katz]

Wenn ich das richtig verstanden habe, wird auch an einem Update für die 320/220-Systeme gearbeitet, aber erst wenn das andere fertig ist.

600 CPL waren Ende Dezember betroffen, hoppla.

[carstenk]

Schön ist, wie Deluxe (die das Papier zweifellos maßgeblich formuliert haben), sich darin aus ihrer Verantwortung rausgequatscht haben. Angeblich alles schon lange bekannt, aber selbst im Dezember 2023 noch DCPs mit Ablaufdatum 31.12.2023 erstellt.

 

 

 

Bearbeitet 1. Februar von carstenk (Änderungen anzeigen)