Разработка клиентов уровня безопасности PlayReady 3000
1. Введение
Эта страница служит пошаговым руководством для лицензий PlayReady, которые ищут соответствие sl3000 для промежуточных или конечных продуктов PlayReady. В документе описывается комплексный процесс для промежуточных и конечных продуктов, а также подробно описаны требования к соответствующим промежуточным продуктам SL3000.
Эта страница содержит два main раздела:
В разделе Процесс разработки SL3000 описывается комплексный процесс, за которым должен следовать лицензиат PlayReady, который ищет соответствие SL3000 для промежуточного продукта или конечного продукта PlayReady.
В разделе Требования SL3000 подробно описаны требования к соответствующим промежуточным продуктам SL3000. Важно и обязательно, чтобы IPL проверяли эти требования и документировать эту проверку для ППВЛ в форме "контрольного списка", так как они глубоко в оборудовании и TEE, и ППВЛ не всегда могут быть в возможности проверки этих требований. Предоставленный тестовый отчет или контрольный список является инструментом для использования IPL, чтобы FPL знали, какие тесты уже были выполнены и пройдены, и могли с уверенностью выполнять дополнительные тесты, которые проверяют все соответствие конечного продукта.
Нет такого раздела с подробными сведениями о требованиях к конечным продуктам, так как FPL делают окончательную самостоятельную оценку конечного продукта, которую они распространяют среди конечных пользователей, и не обязаны сообщать о своих тестах кому-либо.
2. Общие сведения о процессе разработки SL3000
Уровень безопасности PlayReady — это общедоступное и широко понятное определение надежности продуктов PlayReady. Хотя продукты могут превышать требования к надежности для определенного уровня безопасности PlayReady, он устанавливает минимальную планку, которой должен соответствовать продукт для использования содержимого, требующего определенного уровня защиты. В правилах соответствия и надежности PlayReady, обновленных в апреле 2015 г., представлен уровень безопасности PlayReady 3000 (SL3000) и требования к реализации PlayReady TEE в соответствии с требованиями к безопасности оборудования для расширенной защиты содержимого PlayReady. PlayReady SL3000 разработан так, чтобы обеспечить соответствие стандартам безопасности для широкого круга производителей контента, включая премиум-голливудский контент.
PlayReady SL3000 Self-Assessment предназначен для того, чтобы помочь лицензиатам PlayReady в получении прав на распространение для UHD (4K), других типов расширенного содержимого (например, HDR, 3D и т. д.) и новых моделей расширенной доставки содержимого (например, раннее окно).
Безопасность продукта PlayReady критически зависит от надежности реализации PlayReady. Проверка безопасности, включая оборудование и встроенное ПО, требуется для получения промежуточных продуктов права на sl3000. Проверка безопасности основана на требованиях SL3000, описанных в разделе 3 этого документа. Эта проверка безопасности должна быть задокументирована, а документация должна быть передана компаниям, создающих окончательные продукты на основе этого промежуточного продукта. Эта проверка безопасности может быть проведена сторонней тестовой службой или самим разработчиком (IPL).
Окончательные продукты PlayReady не обязаны проверяться сторонним тестовым домом для соответствия требованиям SL3000. Однако конечные продукты, которые хотят поставляться с сертификатом SL3000, могут делать это только в том случае, если они соответствуют требованиям к конечным продуктам, соответствующим SL3000. Для этого конечный продукт должен использовать промежуточный продукт, соответствующий SL3000, и соответствовать правилам соответствия и надежности SL3000.
3. Требования SL3000 для промежуточных продуктов
Безопасность продукта PlayReady критически зависит от надежности реализации PlayReady. Таким образом, корпорация Майкрософт определила требования в правилах соответствия и надежности PlayReady , которым должны соответствовать все промежуточные продукты PlayReady, прежде чем они могут быть распространены среди конечных пользователей продуктов. Приведенный ниже контрольный список — это средство для IPL, чтобы задокументировать проверку безопасности, которую они выполнили в своем продукте перед его распространением. Эта документация по проверке безопасности должна быть передана компаниям, создаающим окончательный продукт на основе этого промежуточного продукта.
Требования разделены на 5 категорий:
- ЦС: специальные возможности содержимого
- CPR: надежность защиты содержимого
- PKR: надежность комплекта для переноса устройств PlayReady
- TEER: надежность доверенной среды выполнения (TEE) PlayReady
- TEEC: соответствие требованиям к доверенной среде выполнения (TEE) PlayReady
Отчет о требованиях sl3000 для промежуточных продуктов — контрольный список
| Требование | Базовое правило | Заголовок | Требование | Общие сведения о процедурах тестирования & использовании ресурсов | Результат |
|---|---|---|---|---|---|
| CA-1.1 | RR 2.2.1 | Дизайн продукта — TEE | Продукт PlayReady явно разработан таким образом, что он использует доверенную среду выполнения (TEE) PlayReady. | Проверка архитектуры и проверка кода | - |
| CA-1.2 | RR 2.2.1 | Дизайн продукта — TEE | Продукт PlayReady использует только функции защиты содержимого, реализованные playReady TEE. | Проверка архитектуры и проверка кода | - |
| CA-2.1 | RR 2.2.2.1 | Расшифрованное содержимое | Расшифрованное видеоконтентное содержимое не должно быть читаемым или размещаться за пределами доверенной среды выполнения PlayReady. Расшифрованное содержимое A/V не должно быть доступно для кода, выполняемого за пределами PLAYReady TEE. | Проверка архитектуры и проверка кода. Тесты на проникновение в средствах XYZ | - |
| CA-2.2 | RR 2.2.2.2 | Секреты приложений | Секреты приложения не должны быть доступны в непрерывной памяти с открытым текстом, за исключением случаев, когда они используются для расшифровки содержимого и (или) ключа материала. Секреты приложения не должны быть доступны для кода, выполняемого за пределами доверенной среды выполнения PlayReady. | Проверка архитектуры и проверка кода | - |
| CA-3 | RR 2.2.3 | Передача видео | Продукты PlayReady должны быть четко разработаны таким образом, чтобы при передаче части видео сжатого или несжатого расшифрованного аудио-видеосодержимого содержимого такие данные были защищены от несанкционированного перехвата с помощью широко доступных средств, специализированных инструментов или профессиональных программных средств и могут быть перехвачены только с трудом с помощью профессиональных аппаратных средств. Уровень сложности, применимый к профессиональным аппаратным инструментам, такой, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные инструменты с инструкциями или без нее для перехвата таких данных без риска серьезного повреждения продукта или травмы. | Проверка архитектуры и проверка кода | - |
| CPR-1.1 | RR 3.1.2 | Секреты устройств, секреты протокола и секреты приложений | Реализованы функции защиты содержимого и характеристики, изложенные в разделе 1.2.1 (обнаружение, раскрытие и(или) использование без разрешения секретов устройств, секретов протокола и (или) секретов приложений) правил надежности PlayReady: не могут быть побеждены или обходить с помощью широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего за пределами доверенной среды выполнения PlayReady. | Проверка архитектуры и проверка кода. Тесты на проникновение в средствах XYZ | - |
| CPR-1.2 | RR 3.1.2 | Секреты устройств, секреты протокола и секреты приложений | Реализованные функции защиты содержимого и характеристики, изложенные в разделе 1.2.1 (обнаружение, раскрытие и(или) использование без разрешения секретов устройств, секретов протокола и (или) секретов приложений) правил надежности PlayReady: с трудом можно победить или обойти с помощью профессиональных аппаратных средств. | Проверка архитектуры и проверка кода | - |
| CPR-2.1 | RR 3.2 | Ключи содержимого, ключи целостности лицензий и промежуточные ключи | Реализованные функции защиты содержимого и характеристики, изложенные в разделе 1.2.2 (Обнаружение, раскрытие и/или использование без разрешения ключей содержимого, ключей целостности лицензий и/или промежуточных ключей) правил надежности PlayReady: не могут быть побеждены или обходить с помощью широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего за пределами доверенной среды выполнения PlayReady. | Проверка архитектуры и проверка кода | - |
| CPR-2.2 | RR 3.2 | Ключи содержимого, ключи целостности лицензий и промежуточные ключи | Реализованы функции защиты содержимого и характеристики, изложенные в разделе 1.2.2 (Обнаружение, выявление и/или использование без разрешения ключей содержимого, ключей целостности лицензий и/или промежуточных ключей) правил надежности PlayReady: с трудом можно обойти или обойти с помощью профессиональных аппаратных средств. | Проверка архитектуры и проверка кода. Тесты на проникновение в средствах XYZ | - |
| CPR-3.1 | RR 3.3.2 | Корневые открытые ключи | Реализованные функции и характеристики защиты содержимого, изложенные в разделе 1.3.1 (Замена без полномочий корневых открытых ключей) правил надежности PlayReady: не могут быть побеждены или обходить с помощью широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего за пределами доверенной среды выполнения PlayReady. | Проверка архитектуры и кода | - |
| CPR-3.2 | RR 3.3.2 | Корневые открытые ключи | Реализованные функции защиты содержимого и характеристики, изложенные в разделе 1.3.1 (Замена без полномочий корневых открытых ключей) правил надежности PlayReady: можно только с трудом победить или обойти с помощью профессиональных аппаратных средств. | Прочее | - |
| CPR-4.1 | RR 3.4.1 | Конфиденциальная информация | Реализованные функции и характеристики защиты содержимого, изложенные в разделе 1.4 (Сохранение конфиденциальности) Правил надежности PlayReady, где бы это ни применялось: не могут быть побеждены или обходить с помощью широко доступных средств. | Прочее | - |
| CPR-4.2 | RR 3.4.1 | Конфиденциальная информация | Реализованные функции и характеристики защиты содержимого, изложенные в разделе 1.4 (Сохранение конфиденциальности) Правил надежности PlayReady, где бы это ни применялось: можно только с трудом победить или обойти с помощью специализированных средств, профессиональных программных средств или профессиональных аппаратных средств. | Прочее | - |
| PKR-1.1 | RR 5.2.2.1 | Анти-откат часов - последнее известное хорошее время | Реализованные значения доверия и характеристики, изложенные в разделе 5.1.2.8 (Последние известные хорошие дата и время для конечных продуктов PlayReady, реализующих часы защиты от отката) правил надежности PlayReady: не могут быть изменены без использования широко доступных средств или специализированных средств. | Прочее | - |
| PKR-1.2 | RR 5.2.2.1 | Анти-откат часов - последнее известное хорошее время | Реализованные значения доверия и характеристики, изложенные в разделе 5.1.2.8 (Последние известные хорошие даты и время для конечных продуктов PlayReady, реализующих часы защиты от отката) правил надежности PlayReady: могут быть изменены только с трудом без использования профессиональных программных средств или профессиональных аппаратных средств. | Прочее | - |
| PKR-2.1 | RR 5.2.4 | Состояние проверки и состояние таймера | Реализованные значения и характеристики доверия, изложенные в разделе 5.1.2.5 (состояние проверки) и разделе 5.1.2.6 (состояние таймера) правил надежности PlayReady: не могут быть изменены без использования широко доступных средств. | Прочее | - |
| PKR-2.2 | RR 5.2.4 | Состояние проверки и состояние таймера | Реализованные значения и характеристики доверия, изложенные в разделе 5.1.2.5 (состояние проверки) и разделе 5.1.2.6 (состояние таймера) правил надежности PlayReady: с трудом могут быть изменены без использования специализированных средств, профессиональных программных средств или профессиональных аппаратных средств. | Прочее | - |
| TEER-1.1 | RR 7.2.1 | Безопасные часы — состояние безопасных часов | Реализованные функции и характеристики защиты содержимого, изложенные в разделе 7.1.2.3 (Состояние безопасных часов для конечных продуктов PlayReady, реализующих безопасные часы) правил надежности PlayReady: не могут быть изменены без использования широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего вне доверенной среды выполнения. | Прочее | - |
| TEER-1.2 | RR 7.2.1 | Безопасные часы — состояние безопасных часов | Реализованы функции защиты содержимого и характеристики, изложенные в разделе 7.1.2.3 (Состояние безопасных часов для конечных продуктов PlayReady, реализующих безопасные часы) правил надежности PlayReady: можно изменять только с трудом, не используя профессиональные аппаратные средства. Уровень сложности, применимый к профессиональным аппаратным средствам, заключается в том, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные средства с инструкциями или без них, чтобы без разрешения изменять функции защиты содержимого и характеристики, изложенные в разделе 7.1.2.3 (Состояние безопасных часов, для реализаций среды доверенного выполнения PlayReady, реализующих безопасные часы), без риска серьезного повреждения продукта или личных повреждений. | Прочее | - |
| TEER-2.1 | RR 7.2.2 | Секреты устройства, данные отзыва, состояние таймера, секреты протокола, рабочий набор и состояние защиты выходных данных | Реализованы значения доверия и характеристики, изложенные в разделе 7.1.2.1 (секреты устройства), разделе 7.1.2.4 (данные отзыва), разделе 7.1.2.5 (состояние таймера, Для продуктов PlayReady, реализующих безопасные часы), раздел 7.1.2.6 (Секреты протокола), раздел 7.1.2.8 (рабочий набор) и раздел 7.1.2.9 (состояние защиты от вывода) правил надежности PlayReady: не могут быть изменены без использования широко доступных средств, специализированных средств, Профессиональные программные средства или любое программное обеспечение, работающее вне доверенной среды выполнения. | Прочее | - |
| TEER-2.2 | RR 7.2.2 | Секреты устройства, данные отзыва, состояние таймера, секреты протокола, рабочий набор и состояние защиты выходных данных | Реализованы значения доверия и характеристики, изложенные в разделе 7.1.2.1 (секреты устройства), разделе 7.1.2.4 (данные отзыва), разделе 7.1.2.5 (состояние таймера, Для продуктов PlayReady, реализующих безопасные часы), раздел 7.1.2.6 (Секреты протокола), раздел 7.1.2.8 (рабочий набор) и раздел 7.1.2.9 (состояние защиты от вывода) правил надежности PlayReady: могут быть изменены только с трудом без разрешения с помощью профессиональных аппаратных средств. Уровень сложности, применимый к профессиональным аппаратным средствам, заключается в том, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные инструменты с инструкциями или без них, чтобы без разрешения изменять значения доверия и характеристики, изложенные в разделе 7.1.2.1 (секреты устройства), раздел 7.1.2.4 (данные отзыва), раздел 7.1.2.5 (состояние таймера для продуктов PlayReady, реализующих безопасные часы), Раздел 7.1.2.6 (Секреты протокола), раздел 7.1.2.8 (рабочий набор) и раздел 7.1.2.9 (состояние защиты вывода) без риска серьезного повреждения продукта или повреждения личности. | Прочее | - |
| TEER-3.1 | RR 7.2.3 | Серийные номера | Реализованные значения доверия и характеристики, изложенные в разделе 7.1.2.2 (серийный номер) правил надежности PlayReady: не могут быть специально заданы с помощью широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего за пределами доверенной среды выполнения. | Прочее | - |
| TEER-3.2 | RR 7.2.3 | Серийные номера | Реализованные значения доверия и характеристики, изложенные в разделе 7.1.2.2 (серийный номер) правил надежности PlayReady, могут быть заданы только с трудом с помощью профессиональных аппаратных средств. Уровень сложности, применимый к профессиональным аппаратным средствам, такой, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные инструменты с инструкциями или без них, чтобы задать значения доверия и характеристики, изложенные в разделе 7.1.2.2 (серийный номер), без риска серьезного повреждения продукта или травмы. | Прочее | - |
| TEER-4.1 | RR 7.2.4 | Безопасный код | Реализованные значения доверия и характеристики, изложенные в разделе 7.1.2.7 (безопасный код) правил надежности PlayReady: не могут быть изменены без использования широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего вне доверенной среды выполнения. | Прочее | - |
| TEER-4.2 | RR 7.2.4 | Безопасный код | Реализованные значения доверия и характеристики, изложенные в разделе 7.1.2.7 (безопасный код) правил надежности PlayReady: не могут быть изменены без полномочий из-за перехода состояния власти, как авторизованного, так и несанкционированного. | Прочее | - |
| TEER-4.3 | RR 7.2.4 | Безопасный код | Реализованные значения доверия и характеристики, изложенные в разделе 7.1.2.7 (безопасный код) правил надежности PlayReady: не могут быть изменены без полномочий из-за отсутствия требуемого процесса, включая, помимо прочего, процессы безопасной загрузки. | Прочее | - |
| TEER-4.4 | RR 7.2.4 | Безопасный код | Реализованные значения доверия и характеристики, изложенные в разделе 7.1.2.7 (безопасный код) правил надежности PlayReady, могут быть изменены только с трудом без полномочий с помощью профессиональных аппаратных средств. Уровень сложности, применимый к профессиональным аппаратным средствам, такой, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные инструменты, с инструкциями или без них, чтобы изменить без разрешения значения доверия и характеристики, изложенные в разделе 7.1.2.7 (Безопасный код), без риска серьезного повреждения продукта или травмы. | Прочее | - |
| TEER-5.1 | RR 7.3.1 | Процесс безопасной загрузки | Реализованы необходимые процессы, изложенные в разделе 7.1.3.1 (Процессы безопасной загрузки) правил надежности PlayReady, включая без исключения используемые ими данные, секреты и поток процессов: не могут быть изменены без использования широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего за пределами доверенной среды выполнения. | Прочее | - |
| TEER-5.2 | RR 7.3.1 | Процесс безопасной загрузки | Реализованные необходимые процессы, изложенные в разделе 7.1.3.1 (Процессы безопасной загрузки) правил надежности PlayReady, включая без исключения используемые ими данные, секреты и поток процессов: могут быть изменены только с трудом без разрешения с помощью профессиональных аппаратных средств. Уровень сложности, применимый к профессиональным аппаратным средствам, такой, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные инструменты, с инструкциями или без них, чтобы без разрешения изменять значения доверия и характеристики, изложенные в разделе 7.1.3.1 (процесс безопасной загрузки), без риска серьезного повреждения продукта или травмы личности | Прочее | - |
| TEER-6.1 | RR 7.3.2 | Процесс безопасного обновления | Реализованные необходимые процессы, изложенные в разделе 7.1.3.2 (Процессы безопасного обновления) правил надежности PlayReady: не могут быть изменены без использования широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего вне доверенной среды выполнения. | Прочее | - |
| TEER-6.2 | RR 7.3.2 | Процесс безопасного обновления | Реализованные необходимые процессы, описанные в разделе 7.1.3.2 (Процессы безопасного обновления) правил надежности PlayReady: невозможно выполнить откат до предыдущего состояния, если это приведет к снижению уровня надежности процесса или любых связанных значений доверия. | Прочее | - |
| TEER-6.3 | RR 7.3.2 | Процесс безопасного обновления | Реализованные необходимые процессы, изложенные в разделе 7.1.3.2 (Процессы безопасного обновления) правил надежности PlayReady: могут быть изменены только с трудом без использования профессиональных аппаратных средств. Уровень сложности, применимый к профессиональным аппаратным средствам, такой, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные инструменты, с инструкциями или без них, чтобы без разрешения изменять значения доверия и характеристики, изложенные в разделе 7.1.3.2 (процесс безопасного обновления), без риска серьезного повреждения продукта или травмы личности | Прочее | - |
| TEER-7.1 | RR 7.4.1 | Удаленная подготовка | Реализованные необязательные процессы, изложенные в разделе 7.1.4.1 (Удаленная подготовка) правил надежности: не могут быть изменены без использования широко доступных средств, специализированных средств, профессиональных программных средств или любого программного обеспечения, работающего за пределами доверенной среды выполнения. | Прочее | - |
| TEER-7.2 | RR 7.4.1 | Удаленная подготовка | Реализованные необязательные процессы, изложенные в разделе 7.1.4.1 (Удаленная подготовка) правил надежности, могут быть изменены только с трудом без разрешения с помощью профессиональных аппаратных средств. Уровень сложности, применимый к профессиональным аппаратным средствам, такой, что типичный потребитель не должен иметь возможности использовать профессиональные аппаратные инструменты с инструкциями или без них, чтобы без разрешения изменять значения доверия и характеристики, изложенные в разделе 7.1.4.1 (удаленная подготовка), без риска серьезного повреждения продукта или личных повреждений. | Прочее | - |
| TEER-7.3 | RR 7.4.1 | Удаленная подготовка | Реализованы необязательные процессы, изложенные в разделе 7.1.4.1 (Удаленная подготовка) Правил надежности: не могут использовать секреты устройства для подтверждения подлинности, если такие секреты не являются уникальными для устройства и не соответствуют требованиям, изложенным в разделе 7.2.2. | Прочее | - |
| TEEC-1.1 | CR 19.2.1 | Идентификация оборудования | Доверенная среда выполнения PlayReady (TEE) предоставляет уникальный идентификатор оборудования. | Прочее | - |
| TEEC-1.2 | CR 19.2.2 | Идентификация оборудования | Идентификатор оборудования PlayReady TEE сохраняется при перезагрузках устройства. | Прочее | - |
| TEEC-1.3 | CR 19.2.2 | Идентификация оборудования | Идентификатор оборудования PlayReady TEE сохраняется при обновлении встроенного ПО устройства. | Прочее | - |
| TEEC-2.1 | CR 19.3.1 | Определение интерфейса | Все функции интерфейса PlayReady для доверенных сред выполнения (PRiTEE) реализованы в TEE PlayReady. | Прочее | - |
| TEEC-2.2 | CR 19.3.1 | Определение интерфейса | Реализована безопасная реализация замены для любой функции, которая задокументирована как требующая замены в реализации Майкрософт. | Прочее | - |
| TEEC-2.3 | CR 19.3.3 | Определение интерфейса | PlayReady TEE не изменяет структуру или содержимое параметров метода, определенных PRiTEE. | Прочее | - |
| TEEC-3.1 | CR 19.3.2 | Материал ключа | TEE playReady Product предоставляет симметричный ключ, уникальный для каждого клиента. | Прочее | - |
| TEEC-3.2 | CR 19.3.2 | Материал ключа. | Симметричный ключ playReady Product доступен только для кода, выполняемого внутри PLAYReady TEE. | Прочее | - |
| TEEC-4 | CR 19.4.1 | Обязательные политики защиты | В PlayReady TEE реализованы элементы управления выходными данными, как описано в разделе 3.6 (Элементы управления выходными данными) правил соответствия требованиям PlayReady. | Прочее | - |
| TEEC-5.1 | CR 19.5.1 | Требования к защите выходных данных | PlayReady TEE поддерживает все требования к управлению выходными данными, приведенные в разделе 3.6 (Элементы управления выходными данными) правил соответствия требованиям PlayReady. | Прочее | - |
| TEEC-5.2 | CR 19.5.1 | Требования к защите выходных данных | Все требования к защите выходных данных применяются в TEE PlayReady независимо от минимального уровня безопасности лицензий любой интерпретируемой лицензии. | Прочее | - |
| TEEC-6.1 | CR 19.6.2 | Безопасные часы | Безопасные часы, реализованные в PlayReady TEE, не предоставляют допустимое время после сброса. | Прочее | - |
| TEEC-6.2 | CR 19.6.2 | Безопасные часы | Безопасные часы можно задать только из playReady TEE. | Прочее | - |
| TEEC-6.3 | CR 19.6.2 | Безопасные часы | Безопасные часы можно устанавливать на регулярной основе. | Прочее | - |
| TEEC-6.4 | CR 19.6.3 | Безопасные часы | Отчеты PlayReady TEE, поддерживающие безопасные часы, используют такие часы для принудительного истечения срока действия лицензии. | Прочее | - |
| TEEC-7 | CR 19.8.1 | Журнал ключей | После обновления или изменения ключа PlayReady TEE может восстановить все предыдущие ключи для расшифровки сохраненного содержимого. | Прочее | - |