デジタルシネマのコンテンツセキュリティの根幹をなす技術のひとつとして、X.509デジタル証明書に関連する一連の技術が使用されています。
最近になってこの証明書の有効期限に関する話題が注目されているので、利用者として知っておくべき点を解説します。
目次
デジタル証明書が担う役割
デジタルシネマで使用されるデジタル証明書には、大きく分けて制作機器の証明書と上映機器の証明書があり、それぞれが重要な機能を担いながらデジタルシネマのエコシステムを形成しています。
コンテンツ(DCP)の保証 〜 制作機器の証明書
劇場上映に使用される暗号化DCPを制作した機器による署名と証明書が埋め込まれており、このDCPを入手した人は誰でもその署名と証明書を検証し、コンテンツの正統性を検証することができます。
上映鍵(KDM)の保証 〜 制作機器の証明書と上映機器の証明書
コンテンツと上映機器を結び付ける鍵で、特定のコンテンツを特定の上映機器で特定の期間だけ上映を許可する鍵となります。
この鍵には制作機器の署名と証明書と共に、上映を許可する上映機器の(証明書から読み出される)識別情報も埋め込まれており、上映許可の正統性を検証することができます。
上映機器の保証 〜 上映機器の証明書
劇場上映で使用される上映機器はその正統性を証明する証明書と鍵対を有しており、上映鍵を検証、解読したり、上映記録に電子署名をする際などに使用されます。
これはコンテンツ制作者(上映鍵発行者)に対して上映機器の正統性を証明するものとなります。
デジタル証明書の有効期限
制作機器の証明書と上映機器の証明書にはそれぞれ個別に有効期限の情報が埋め込まれており、誰でも有効期限を読み取ることができます。
この証明書には鍵対(公開鍵と秘密鍵)が紐付けられており、証明書の有効期限が切れた鍵を使用して生成された署名等の利用は制限されます。
本来、有効期限が切れた証明書とそれに紐付く鍵対は使用を避けるべきですが、誤って使用された場合、例として以下のような問題が発生することが予想されます。
- 証明書の有効期限が切れた制作機器を使用して制作された暗号化コンテンツの正統性を検証することができず、劇場上映に支障をきたす。
- 証明書の有効期限が切れた制作機器を使用して生成された上映鍵の正統性を検証することができず、劇場上映に支障をきたす。
- 証明書の有効期限が切れた上映機器に対して生成された上映鍵の正統性を検証することができず、劇場上映に支障をきたす。
これらは容易に思い浮かぶ明白な運用違反なので、多くの制作機器、上映機器では事前に検知される筈ですが、ちょっと複雑な状況も出てきてしまいました。
コンテンツ(DCP)の有効期限?
証明書には有効期限があり、署名には有効期限がない
基本的に一旦正しく作られたDCPは品質が劣化することもないので、有効期限という考え方はありません。DCPの上映条件を指定するCPLも同様に有効期限という考え方はありません。対応する上映鍵(KDM)さえ発行されれば技術的に未来永劫上映可能です。
しかし最近になって、これまでDCIの規定で明確に言及されていなかった問題点が露呈してしまいました。
DCPの上映条件を指定するCPLには制作者による電子署名が付加されています。この署名自体には署名を行った日時が明記されているだけで、やはり有効期限はないのですが、署名を行うために使用される証明書には有効期限があります。
では、署名に使用された証明書の有効期限が切れるとどうなるでしょう?
有効期限内の証明書を使用して生成された署名はその時点で有効であり、DCPに改変が加えられない限り未来永劫検証可能です。署名そのものの有効期限が記載されている訳ではないので、その署名が付加されたCPLも未来永劫有効であると解釈するのが合理的に妥当といえるでしょう。
しかし、この解釈はこれまでDCIの規定(DCSS 1.4.3以前)に明記されておらず、DCIの認証試験でもこの観点でテストされてきませんでした。
そのため、いくつもの上映機器メーカーが、署名を行った証明書の有効期限が過ぎれば署名そのものも無効になるのだろうという想定の下に上映機器の設計していたにも関わらず誰も気付きませんでした。
デジタルシネマが始まって既に15年以上が経過していますが、最近までこの問題が露呈しなかった理由には、多くの制作機器で使用されている証明書がまだ有効期限中であったことが大きいと考えられますが、昨年頃から漸く現実の問題として認識されるようになった訳です。
短期的な解決方法としては、元のDCPはそのままで、有効期限内の証明書で署名を付け直したCPLを再発行することで問題を回避することが可能です。
映像音声等の素材ファイルを再生成する必要はありません。
この度、DCSS 1.4.4においてDCIの規定が明確化されましたが、世界中の劇場には新規定に対応していない何万という上映機器が稼働を続けています。こうした機器を新規定に対応するように確実にアップデートするのはまだかなりの時間を要することが予想されます。
関連記事:シネマテクノロジー : デジタルシネマシステム仕様 DCSS 1.4.4 公開
すべての上映機器で安心して上映できるようになるまでは、当面の間、制作側で有効期限の余裕をもった制作機器でコンテンツの制作もしくはCPLの再発行を心掛けるしかなさそうです。
SMPTE DCP だけの問題 〜 Interop DCP と SMPTE DCP による違い
日本国内の劇場で少し安心できるのは、今回の問題が発生するのは SMPTE DCP を使用した場合に限られ、日本市場で未だ主流である Interop DCP では発生しないと考えられている点です。
その理由は Interop DCP では CPL に署名を付加しない運用が主流であるためですが、規格上は Interop DCP でも署名を付加することは可能なので、制作者によっては署名を付加した形で配給する可能性もないとは言い切れません。
一部の特殊上映方式では SMPTE DCP が使用されていますが、対象となる上映機器と作品も限定されているため、問題の回避は難しくはないでしょう。
何れにしても、各社上映機器とも今回の問題について厳格なテストが行われたとは考えられませんので、万が一の対処方法は念頭に置いておくべきでしょう。
事業者相互の協力による解決を期待
今このような問題が発覚している理由として、いくつかの点が考えられます。
- DCIの規定(DCSS 1.4.3以前)でも証明書の期限が切れた時の事象を想定した記述がなされていなかった。
- 証明書の有効期限は一般的に10年以上の場合が多く、期限が切れた時の事象を十分にテストできていなかった。
- SMPTE DCPの普及が進んでいなかったため、期限切れによる影響が限定的で、共通の課題として認識されなかった。
- 不正上映を防ぐためのDCIの規約が多岐に渡って複雑かつ厳格であり、結果として多くの上映機器で過剰な制約を設ける設計となっていた。
これらの状況が絡み合った結果、証明書の期限による影響が拡大してきた今になって大きな騒ぎになってきたようです。
デジタルシネマの黎明期には制作から上映までそれぞれの役割を果たす事業者が互いに協力して日々様々な問題を解決しながらデジタルシネマの仕組みを作り上げてきました。
長年潜んでいた問題ではありますが、今回の問題も同様に対策を講じて解決できると信じています。
期限切れ証明書問題に関するFAQ
今回の問題に関して米国大手制作会社が上映機器メーカーの対応状況を整理した文書が公開されています。機器メーカー毎の具体的な対策等については下記関連情報をご覧ください。
関連情報:ISDCF : CPL Signer Certificate Expiration FAQ
【上映機器編】に続きます…