Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Einige Versionen von Barbie und Oppenheimer dürften auch betroffen sein. Bei Barbie ist zumindest unsere OV betroffen, bei Oppenheimer sind alle Versionen von Deluxe gemastert.

Geschrieben
vor 3 Stunden schrieb daveangel:

Hab ich das richtig verstanden, dass wir mit IMS3000 keine Probleme haben?

 

Offenbar - wobei natürlich ein Restrisiko bleibt, dass Dolby in einem späteren Update den "Fehler" korrigiert - technisch ist es ja korrekt, dass die Server diese DCPs nicht abspielen.

Geschrieben (bearbeitet)

Allerdings wären sie jetzt mit dem Quast gepudert, eine strengere Prüfung noch zu implementieren, wo sich ihr einziger noch im Verkauf befindlicher Server als 'robust gegenüber der Konkurrenz' erwiesen hat. 😉

 

Wenn man sich überlegt, was da vonseiten anderer Mastering-Firmen möglicherweise noch an Zeitbomben in den DCP-Archiven lauert, sollte man wohl eher auf die anderen Serverhersteller (Sony, GDC, Christie) einwirken, dass die ein Softwareupdate rausbringen, das die Prüfung von signer certs nicht mehr am Datumsablauf scheitern lässt. Wenn ich das richtig verstanden habe, dann hatte Christie am Neujahrstag für ihren (noch eher seltenen) Serie-3 IMS sogar kurzfristig einen Patch veröffentlicht.

 

Ihr habt doch auch ein ziemlich üppiges Archiv auf dem NAS? Könnte sich lohnen, das mal per script auf ablaufende Zertifikate zu durchforsten. Die abgelaufenen Deluxe Zertifikate zu erkennen ist ja relativ einfach, aber universell auf Datum zu untersuchen, dafür müsste man die Zertifikate schon komplett dekodieren, das könnte etwas aufwendiger werden. Ich wüsste allerdings jemanden, der sicher sowas bauen könnte und vermutlich auch eigenes Interesse daran hat (weil Sony Betreiber).

 

- Carsten

 

Bearbeitet von carstenk (Änderungen anzeigen)
Geschrieben

Hmm, interessant - die neuen Zertifikate, die Deluxe seit Sylvester/Neujahr für das Signieren der DCPs verwendet, sind vom April 2021, und es sind keine Cinecert Zertifikate mehr, sondern von Deluxe selbst. Die hatten also schon neue eigene Zertifikate, haben sie nur noch nicht zum Signieren von DCPs verwendet. Wenn ich mir mal ein paar KDMs von Deluxe aus dem letzten Jahr anschaue, dann hatten die diese neuen Zertifikate schon lange zum Signieren von KDMs verwendet.

Warum nicht auch zum Signieren von DCPs/CPLs, das ist die interessante Frage...

Geschrieben (bearbeitet)

Heute kamen von Gofilex Napoleon und Aquaman 2, und da sind auch 'kaputte' OV/ATMOS CPLs von Deluxe dabei. Allerdings spielen wir nur die dazu gehörigen deutschen VFs, und die sind von Eikona und nicht betroffen. 

Bearbeitet von carstenk (Änderungen anzeigen)
Geschrieben
Am 4.1.2024 um 14:25 schrieb carstenk:

Allerdings wären sie jetzt mit dem Quast gepudert, eine strengere Prüfung noch zu implementieren, wo sich ihr einziger noch im Verkauf befindlicher Server als 'robust gegenüber der Konkurrenz' erwiesen hat. 😉

 

Stimmt einerseits, andererseits traue ich denen alles zu ...

(Und dem DCI-Konsortium traue ich ohnehin alles zu - am Schluss drängen die noch auf eine "korrekte" Implementierung.)

 

Am 4.1.2024 um 14:25 schrieb carstenk:

Ihr habt doch auch ein ziemlich üppiges Archiv auf dem NAS? Könnte sich lohnen, das mal per script auf ablaufende Zertifikate zu durchforsten. Die abgelaufenen Deluxe Zertifikate zu erkennen ist ja relativ einfach, aber universell auf Datum zu untersuchen, dafür müsste man die Zertifikate schon komplett dekodieren, das könnte etwas aufwendiger werden. Ich wüsste allerdings jemanden, der sicher sowas bauen könnte und vermutlich auch eigenes Interesse daran hat (weil Sony Betreiber).

 

Hmm - ist aber mehr akademisch interessant, wenn man Doremis hat, oder?

Kann ich denn bei einem verschlüsselten DCP feststellen, ob ich mit einem konkreten DCP ein Problem habe, wenn ich noch keinen KDM dafür habe?

Geschrieben (bearbeitet)

Ja, das problematische Zertifikat ist in der CPL lesbar und unabhängig von der Verschlüsselung. Im Grunde muss man das aber nicht mal dekodieren, es reicht eine CPL mit DLX und Datum im Namen vor 31.12.23. 

 

Bei uns heute wie gesagt bei Napoleon und Aquaman 2.

 

Zugegeben, wenn ihr bisher Glück mit den Dolbys/Doremis habt, betrifft euch das in der Tat wenig.

 

- Carsten

Bearbeitet von carstenk (Änderungen anzeigen)
Geschrieben

Wir spielen

  • 1070781_Priscilla_FTR-2_F_DE-XX_DE_51_4K_IND_20231211_DLX_IOP_OV
  • Priscilla_FTR-2_F_EN-DE_DE_51_4K_IND_20231208_DLX_IOP_OV

ohne Probleme (vermutlich dank IMS 3000).

 

 

Geschrieben (bearbeitet)
vor 4 Stunden schrieb daveangel:

Wir spielen

  • 1070781_Priscilla_FTR-2_F_DE-XX_DE_51_4K_IND_20231211_DLX_IOP_OV
  • Priscilla_FTR-2_F_EN-DE_DE_51_4K_IND_20231208_DLX_IOP_OV

ohne Probleme (vermutlich dank IMS 3000).

 

 

Auch auf Sony kein Problem.

Auch die 35mm läuft problemlos 😎

Bearbeitet von showmanship (Änderungen anzeigen)
Geschrieben (bearbeitet)

Priscilla ist Interop. Da müssen die Server nicht so intensiv prüfen, die Probleme treten nur bei SMPTE DCPs auf.

 

 

Die DCI hat extrem schnell reagiert und gerade ein update veröffentlicht:

 

https://www.dcimovies.com

 

DCSS Changelog since 1.4.3

  • Permit playback of CPLs after the signing certificate has expired

 

 

 

Die Interessante Frage ist, ob Sony sich befleissigt fühlt, deswegen nochmal ein Update für den S10/M10 rauszubringen.

Bearbeitet von carstenk (Änderungen anzeigen)
  • Thumsbup 1
Geschrieben (bearbeitet)

Wie gesagt, bei Interop tritt das Problem zumindest beim Sony nicht auf. Warum einige überhaupt immer noch Interop mastern, keine Ahnung. Vermutlich, weil sie glauben u.a. solchen Problemen damit aus dem Weg gehen zu können.

Bearbeitet von carstenk (Änderungen anzeigen)
Geschrieben

Hi,

 

ich habe mir unsere KDMs mal angesehen und glaube, dass man das erkennen kann ob die KDM "kaputt" ist. Könntet Ihr mir mal ein paar von den betroffenen KDMs zukommen lassen? (Gerne per PN)

 

Ich habe leider keine.

 

Viele Grüße

Christian

Geschrieben (bearbeitet)

Die KDMs sind nicht das Problem, sondern die CPLs (die KDMs der betroffenen Titel sind technisch einwandfrei). Die betroffenen zu erkennen ist recht einfach, man copy/pasted einfach die Signerzertifikate am Ende der CPL in einen der öffentlichen SSL decoder. Da momentan auch nur Deluxe vor 31.12.23 betroffen ist (und ausschließlich SMPTE DCPs), reicht es im Grunde auch, die DLX CPLs, die man spielen will, auf das Datum im CPL Namen zu prüfen, das geht ja ganz ohne Zusatzmittel.

 

Wonka_FTR-3_S_DE-XX_DE_51_4K_WR_20231114_DLX_SMPTE_VF

 

Die Frage ist, welche Signing-Certs anderer Mastering Firmen in der nahen Zukunft noch ablaufen. Da wäre es praktisch, mal eine Übersicht zu haben.

 

Ich habe mal eine der betroffenen CPLs angehängt. Von der gesamten Zertifikatskette ist derzeit nur eines abgelaufen - in diesem Fall das erste in der Datei. Man braucht im Grunde also nur Dateizugriff auf die CPL-Datei, und einen simplen Text-Editor für's copy paste. Wer hat, kann natürlich auch das oben erwähnte dcp_inspect oder Clairmeta benutzen, was aber beides etwas aufwendiger aufzusetzen ist als Texteditor und Webbrowser. Wenn mehrere Zertifikate in der CPL drinstecken, muss man halt alle durchprobieren, wobei es im Falle von Deluxe aber wohl immer das erste ist. Wenn, wie bei vielen synchronisierten Repertoire-Filmen, nur die OV von Deluxe ist und ein abgelaufenes Zertifikat enthält, die zu spielende VF aber von einem anderen Dienstleister (bei uns z.B. oft Eikona), dann tritt das Problem nicht auf, da es explizit nur die abzuspielende CPL betrifft, und die OV CPL spielt beim Abspiel einer VF-CPL keine Rolle.

 

https://www.sslshopper.com/certificate-decoder.html

 

image.png.8c604dab6992b73cb8abfbaa92d149ee.png

 

image.png.11202329652f4812f1dc3ab5ed3ae4a9.png

 

CPL_11ffdddb-c0e2-496c-beb1-a5fcd87c7304.xml

 

Bearbeitet von carstenk (Änderungen anzeigen)
Geschrieben

Ich tippe halt darauf, dass die gleichen Zertifikate auch in der KDM drin sind. Dann kann man das an den KDMs checken und muss nicht die CPL vom Projektor / der Festplatte kratzen. Denn auch in den KDMs sind Zertifikatsketten. 

 

Wühle mich auch seit gestern durch die DCI Spezifikation und den Testplan. (Insbesondere der Testplan ist super interessant, by the way)

 

Auch habe ich gestern ein Programm gebastelt welche alle KDMs des letzten Jahres ausliest und daraus ein Diagramm nach den CA Certificates der Verleiher baut.

 

Ein kleiner Ausschnitt:

 

image.thumb.png.33a0a041950df7390d8d798c06bd2ebe.png

 

Alle Filmlieferungen des letzten Jahres kamen "nur" von vier verschiedenen Verleihern / KDM Erstellern.

 

Cinecert hat dabei zwei komplett unabhängige Zertifikatsketten und eine der Ketten hat mehrere Zwischenzertifikate (wahrscheinlich eines pro Verleiher oder so).

 

Und das Cinecert Zertifikat im Screenshot läuft auch Ende 2024 aus. Ich habe leider die DCP von "Frühstück bei Tiffany" nicht mehr. Hätte ich gerne mal mit der CPL verglichen.

 

Daher würde es mich mal interessieren, wie das bei einer betroffenen KDM aussieht.

 

Viele Grüße

Christian

Geschrieben (bearbeitet)

Nee, bizzarerweise nutzte Deluxe für die KDMs schon länger neuere Zertifikate. Weiss der Henker, warum die früher separate Zertifikate für das Signieren von DCPs und KDMs benutzt haben. Jetzt sind es dieselben.

 

Bei einem kleineren Laden ist es sicher so, dass die grundsätzlich dieselben Zertifikate nutzen, aber das hängt halt von der Softwareumgebung ab. So ein großer Laden wie Deluxe verwendet da unterschiedliche Systeme für DCPs und KDMs.

 

 

Die bis vor kurzem gültige DCI spec, respektive die SMPTE spec, auf die die DCI spec sich bezieht, haben leider bezüglich der signercerts keine präzisen Auswertungsmethoden bzw. Konsequenzen vorgegeben, die sind zu pauschal formuliert und überlassen es somit dem Serverhersteller, was im Fall eines abgelaufenen signercerts zu passieren hat.

Bearbeitet von carstenk (Änderungen anzeigen)
Geschrieben

Wenn die unterschiedlich sind macht das ja noch weniger Sinn.

 

Ich verstehe nicht wieso die Zertifikate im CPL und KDM überhaupt existieren.

 

Laut Spezifikation liegen ja auf den Projektoren keine Root CAs um die KDM Signaturen zu verifizieren. Das macht der Projektor mit den Zertifikaten die im KDM mitgeliefert werden. Heißt also Projektor vertraut allem was von außen kommt. Wieso dann überhaupt Zertifikate?

 

Nur das Projektor Zertifikat wird gebraucht, damit der Verleiher den RSA Key für die DCP verschlüsseln kann. Das <CipherData> Feld in der KDM enthält dann zusätzlich auch noch mal die Spielzeiten, sodass dies sicher ist.

 

Aber der Rest der Daten die in der KDM stehen und die Signaturen ließen sich manipulieren. Das führt nur nicht zu irgendeinem wünschenswertem Ziel, weil halt das <CipherData> noch immer unveränderbar ist.

 

Oder vielleicht sind bei KDM und DCP doch wenigstens die Root CAs gleich, sodass die verglichen werden können?

 

Dann würde es wieder etwas mehr Sinn machen.

 

Ich wäre weiterhin an einer betroffenen KDM und einem CPL File interessiert, um das weiter zu untersuchen.

 

 

image.png.904b45c38c77915be577ea03a6963ddb.png

Geschrieben

Ah zumindest das Signer Zertifikat wird geprüft. Dafür wird der Fingerprint aus dem <CipherData> benutzt. Die Zertifikatekette macht also immer noch keinen Sinn, aber das "unterste" Zertifikat wird vom Media Block geprüft.

 

Und dabei wahrscheinlich auch das Ablaufdatum.

 

Quote

36) The SM shall check that the thumbprint of the signer’s certificate matches the signer of the KDM. If it is not correct, the KDM
shall be rejected

 

Geschrieben

Da geht es anders bei der Verschlüsselung nur darum, die Authentizität der CPL und PKLs überprüfen zu können. Kann man drüber diskutieren, ob es überhaupt Sinn macht, das zum Zeitpunkt der Ausspielung zu machen, oder ob das nicht eher nur aus anderen Gründen später erfolgen sollte.

 

 

- Carsten

  • 3 Wochen später...
Geschrieben

Wenn ich das richtig verstanden habe, wird auch an einem Update für die 320/220-Systeme gearbeitet, aber erst wenn das andere fertig ist.

600 CPL waren Ende Dezember betroffen, hoppla.

Geschrieben (bearbeitet)

Schön ist, wie Deluxe (die das Papier zweifellos maßgeblich formuliert haben), sich darin aus ihrer Verantwortung rausgequatscht haben. Angeblich alles schon lange bekannt, aber selbst im Dezember 2023 noch DCPs mit Ablaufdatum 31.12.2023 erstellt.

 

 

 

Bearbeitet von carstenk (Änderungen anzeigen)

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Filmvorführer.de mit Werbung, externen Inhalten und Cookies nutzen

  I accept

Filmvorfuehrer.de, die Forenmitglieder und Partner nutzen eingebettete Skripte und Cookies, um die Seite optimal zu gestalten und fortlaufend zu verbessern, sowie zur Ausspielung von externen Inhalten (z.B. youtube, Vimeo, Twitter,..) und Anzeigen.

Die Verarbeitungszwecke im Einzelnen sind:

  • Informationen auf einem Gerät speichern und/oder abrufen
  • Datenübermittlung an Partner, auch n Länder ausserhalb der EU (Drittstaatentransfer)
  • Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen
Durch das Klicken des „Zustimmen“-Buttons stimmen Sie der Verarbeitung der auf Ihrem Gerät bzw. Ihrer Endeinrichtung gespeicherten Daten wie z.B. persönlichen Identifikatoren oder IP-Adressen für diese Verarbeitungszwecke gem. § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO zu. Darüber hinaus willigen Sie gem. Art. 49 Abs. 1 DSGVO ein, dass auch Anbieter in den USA Ihre Daten verarbeiten. In diesem Fall ist es möglich, dass die übermittelten Daten durch lokale Behörden verarbeitet werden. Weiterführende Details finden Sie in unserer  Datenschutzerklärung, die am Ende jeder Seite verlinkt sind. Die Zustimmung kann jederzeit durch Löschen des entsprechenden Cookies widerrufen werden.