Widevine CDM: Google geht gegen DRM-Entschlüsselungs-Tool vor

Die Software-Verschlüsselung für Streamingdienste von Google ließ sich knacken. Der Hersteller geht nun gegen die Code-Veröffentlichung vor.

Artikel veröffentlicht am ,
Bei Software-DRM-Systemen müssen die privaten Schlüssel irgendwie mit ausgeliefert werden.
Bei Software-DRM-Systemen müssen die privaten Schlüssel irgendwie mit ausgeliefert werden. (Bild: plenty.r./CC-BY-SA 2.0)

Der Code-Hoster Github hat den Code eines Werkzeugs zum Entschlüsseln von eigentlich per DRM geschützten Inhalten offline genommen. Das geht aus einer DMCA-Anfrage im Auftrag von Google hervor, die der Code-Hoster wie üblich in einem speziell dafür vorgesehenen Repository auf seiner Plattform veröffentlicht hat. Demnach konnte mit dem Werkzeug die Verschlüsselung von Googles Widevine-DRM umgangen werden, das unter anderem im Chrome-Browser für die Videostreams von Netflix, Amazon oder anderen Streamingdiensten benutzt wird.

Stellenmarkt
  1. IT Consultant (w/m/d) Microsoft 365
    Bechtle GmbH, Hamburg
  2. Technical Support Analyst (m/w/d)
    Homann Feinkost GmbH, Bad Essen, Lintorf
Detailsuche

Der Digital Millennium Copyright Act (DMCA) der USA soll unter anderem die Rechtedurchsetzung für Urheber vereinfachen. Darin festgelegt ist zum Beispiel, dass die Verbreitung von Werkzeugen zur Umgehung des sogenannten Digital Rights Management (DRM) illegal ist. Der Code für das Werkzeug mit dem Namen Widevine L3 Decryptor kursiert seit mehreren Wochen öffentlich in verschiedenen Github-Repositorys.

Zur Funktionsweise zitiert Google in seiner DMCA-Anfrage selbst aus der Beschreibung des Werkzeugs: "Die am wenigsten sichere Sicherheitsstufe von Widevine, L3, wie sie in den meisten Browsern und PCs verwendet wird, ist jedoch zu 100 Prozent in Software implementiert (d.h. ohne Hardware-TEEs), wodurch sie untersuchbar und umgehbar wird."

Weiter heißt es: "Diese Chrome-Erweiterung zeigt, wie es möglich ist, Widevine DRM zu umgehen, indem Anrufe an die Encrypted Media Extensions (EME) des Browsers übernommen und alle übertragenen Widevine-Inhaltsschlüssel entschlüsselt werden - und es so effektiv zu einem Clearkey-DRM wird." Da das System letztlich komplett in Software implementiert ist, muss auch ein privater Schlüssel zum Entschlüsseln der Daten auf die Geräte verteilt werden.

Software-DRM-Systeme sind anfällig

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Per Reverse-Engineering ist es nun offenbar gelungen, Zugriff auf diesen Schlüssel zu erhalten, wie Google bestätigt. In der DMCA-Anfrage heißt es, dass das Werkzeug "den geheimen privaten Widevine RSA-Schlüssel enthält, der aus dem Widevine CDM extrahiert wurde und in anderen Umgehungstechnologien verwendet werden kann". Der private Schlüssel wie auch der Code selbst finden sich aber auch weiterhin an verschiedenen Stellen im Internet und diese werden weiter verteilt.

Bereits im Oktober schrieb der Google-Angestellte Matthew Garret zu der Problematik: "Die Idee, dass ein softwarebasiertes DRM niemals gebrochen werden kann, ist absolut magisches Denken. Es kann sicherlich Personen, die Inhalte ohne DRM wollen, verlangsamen, aber wenn es genügend Motivation gibt, gibt es genügend Beweise dafür, dass [DRM-Systeme] irgendwann geknackt werden."

Das ist offenbar auch Google und allen anderen Beteiligten von Anfang klar gewesen. Deshalb hat etwa Netflix seine Streams nur in geringen Auflösungen angeboten, wenn diese auf Geräten abgespielt worden sind, die nur die L3-Sicherheitsstufe unterstützt haben. Für Google heißt die öffentliche Verfügbarkeit des Werkzeugs, dass das Widevine CDM umgestaltet werden muss.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


BoMbY 14. Nov 2020

DRM an und für sich ist bereits magisches Denken. Solange ein Inhalt irgendwo irgendwie...

NeoChronos 14. Nov 2020

In der Szene zirkulieren die entsprechenden Tools schon eine Weile

Schnarchnase 13. Nov 2020

Die Frage ist allerdings, warum es einen Grund geben sollte etwas zu unternehmen...

\pub\bash0r 13. Nov 2020

Ich hab auch schon Serien gekauft und dann trotzdem noch über Torrent gezogen. Zuletzt...

derdiedas 13. Nov 2020

aber genau das versucht DRM, was zum scheitern verurteilt ist. Und weil es nicht geht...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Ist eine scheinexistente Behörde für Wikipedia relevant?

Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
Artikel
  1. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

  2. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

  3. Neues Geschäftsmodell: Luca-App plant flexible Abos und will Preise senken
    Neues Geschäftsmodell
    Luca-App plant flexible Abos und will Preise senken

    Angesichts drohender Kündigungen will die Luca-App den Bundesländern entgegenkommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /