Certificati PEM per generazione KDM

[Digital]

Su questo quoto in pieno! Ma Vipao parlava del Sony.

[Antonio Marcheselli]

Sul Sony se ne può parlare, si possono salvare dalla GUI... Ma indagherò su questa cosa, mi sembra strano che Sony mandi i certificati di migliaia di server per email.

[luca1975]

Qui si parla di uno studio che chiama un cinema che è passato al digitale da 5 anni e ha un Doremi! Andiamo, questa non è difficoltà nel reperire il certificato, è incompetenza.

Ma anche in un cinema che è passato al digitale da 3 giorni non ho riscontrato tali problemi: da noi l'installazione di un Christie con server GDC è stata fatta il 18 e 19 settembre 2012, il 22 settembre abbiamo proiettato per la prima volta Madagascar 3. Certo l'installatore appena arrivato in sala mi ha dato i dati per iscrivere l'impianto al registro impianti digitali, non abbiamo atteso che fosse installato e collaudato prima di procedere, e noi abbiamo chiamato cinetel e "sollecitato" la nostra registrazione. Ma nessuno, neppure quella volta, ci ha richiesto certificati PEM o altro (oltre a quanto indicato nella scheda di registrazione) per poterci generare la prima KDM.

Come già detto in precedenza, io sono dell'opinione che quando qualcuno paga per avere un servizio sia suo pieno diritto avere questo servizio. Quando lo spettatore paga per venire a vedere un film tocca a me fare il possibile perchè lo veda al meglio.
Quando io pago per avere un film tocca a qualcun altro fare il possibile perchè io lo possa effettivamente avere nei tempi e modi corretti.

[Antonio Marcheselli]

Sennò sarebbe come se tu chiedessi allo spettatore di fornirti il PEM per vedere il film. Del resto è un FTP pubblico, che problema c'è?

[Sydneyblue120d]

Oppure come se il pubblico dovesse alzarsi e andare a dire che la proiezione non parte o che è scomparso l'audio in Sala o.... Aspetta ma questo succede davvero in qualche cinema, e addirittura gli spettatori lo ritengono normale

[Antonio Marcheselli]

questo succede da tempo, anche quando c'era il 35mm.

[nbkm00]

Buongiorno signori,
mi permetto di unirmi alla discussione non in qualità di proiezionista, ma di persona che si occupa di generazione di KDM, in maniera tale da rendervi esplicite le problematiche del nostro lavoro.
Come qualcuno di voi ha giustamente intuito, non esiste una procedura standardizzata, ma tutto viene lasciato all'intraprendenza dei singoli. I grossi laboratori hanno un canale di comunicazione diretto con i produttori, mentre per quelli più piccoli le cose sono un pò più complicate (ma la situazione è in netto miglioramento).

Al momento la situazione è:
Cinemeccanica : FTP aggiornatissimo
Dolby : FTP non aggiornato, ma contatto con customer care abbastanza rapido (orario d'ufficio)
Doremi : FTP super aggiornato (numeri 1)
DCineX : FTP aggiornato
GDC : FTP aggiornato
QUBE : FTP abbastanza aggiornato
QUVIS : FTP abbastanza aggiornato

SONY : non ha ftp, i PEM vanno richiesti per email in orario d'ufficio
CHRISTIE : non ha ftp, il customer care non invia PEM. L'unica fonte di accesso sono gli installatori e gli esercenti

KODAK: La disperazione. Non esiste più nessuno a cui rivolgersi per ottenere i certificati, bisogna quindi sperare che l'installatore o l'esercente ne siano in possesso.

La distribuzione ci invia richiesta per la generazione delle KDM comunicandoci i seriali, sta a noi procurarci i PEM.

Nel nostro caso, chiediamo il PEM all'esercente solamente quando si tratta di un Sony, Christie o Dolby e per qualche motivo non riusciamo a contattare il produttore e l'installatore (es. giorno festivo o ora tarda), e questo lo facciamo solamente per provvedere alla creazione della KDM nella maniera più veloce possibile, non per nostra pigrizia credetemi!

Va anche detto che installatore ed agenzia dovrebbero inviarci PEM e xls in automatico dopo ogni nuova installazione, ma purtroppo ciò non sempre avviene.

Detto ciò , quando contattiamo un esercente, lo facciamo sempre in maniera amichevole e chiedendo per favore, in quanto effettivamente non spetta a voi dover fornire i PEM al laboratorio ma si tratta di una cortesia che ci fate nel nostro e vostro interesse.

buon lavoro a tutti!

[Antonio Marcheselli]

Ciao e benvenuto,

Chiaramente deve esserci collaborazione e nessuno dice che non si debbano chiedere i certificati. Il problema è che capita ogni tanto che un laboratorio pigro prende e manda una bella email a tutti gli esercenti chiedendo i PEM - che siano Doremi, Dolby, Sony, GDC...
Questa, se mi consenti, è pigrizia o cialtroneria. Poi è chiaro che se ti trovi il venerdì alle 18 e ti serve un certificato per un Sony mandi una mail all'esercente, considerando che c'è proprio una funzione sul server per salvarli.

Infine, perché dovrebbe essere l'installatore a mandare il modulo di registrazione? Cosa ne so io di chi è alla distribuzione? E poi le distribuzioni sono tante: a chi mando la registrazione, tutte?

No, io fornisco le informazioni necessarie al cliente, poi lui manderà il modulo a chi di competenza e quando necessario.

Piuttosto, quand'è che aggiornate gli XLS di registrazione e smettete di chiedere se il server supporta il Jpeg2000, se il server supporta il Cinelink e la versione firmware del mediablock? Tanto a voi serve marca, modello e seriale!

Ciao
Antonio

[nbkm00]

Ciao Antonio,
leggendo i post precedenti avevo capito che il problema era riferito alla pigrizia di alcuni! In effetti oggi ci sono un po troppi che si improvvisano nella creazione DCP e gestione KDM, a me arrivano spesso chiamate per KDM mai ricevute anche di film che non gestiamo noi.

Il discorso dell'installatore era riferito ai Dolby: dovrebbe essere l'installatore che carica il certificato sul ftp una volta installato il server (o perlomeno così mi hanno scritto una volta, dato che io chiedevo perché l'ftp non fosse aggiornato). In effetti quello che dici te è giusto: l'installatore comunica i dati al cliente, il cliente alle agenzie, le agenzie a loro volta li comunicano alle distribuzioni e ai laboratori.

Ed infine, mi trovi d'accordissimo sul discorso marca/seriale! Io non chiederei neanche il modello in quanto si evince dal seriale, e da tempo produco solo DCP SMPTE e non Interop!

Ciao
mario

[Elia Orselli]

da tempo produco solo DCP SMPTE e non Interop

Devo contraddirti: uno degli ultimi film che ho proiettato era interop

[Antonio Marcheselli]

Ciao,

L'installatore manda a Dolby il modulo di registrazione del server e Dolby provvede ad inserire i certificati sull'FTP. L'installatore non ha accesso in scrittura al server FTP della Dolby, ci mancherebbe altro!
Diciamo che il modulo di registrazione del server e' l'ultima priorita' in assoluto in un'installazione e puo' capitare che venga rimandata finche' il cliente ha bisogno di un certificato e il piccolo produttore non lo trova sul server FTP Dolby.

[Fbrighi]

Ciao a tutti,

Approfitto della presenza sul forum di un "addetto" alla generazione delle KDM per soddisfare alcune mie curiosità sui sistemi di codifica. Mi sono letto un po di basi matematiche sulla crittografia simmetrica (AES) e asimmetrica (RSA - SHA1), cosi ho capito piu o meno come funziona la crittazione dei DCP. In pratica, ogni reel a se stante viene codificato tramite AES con chiave simmetrica (1 chiave diversa per ogni rullo). Successivamente, la serie di chiavi AES che forma la sequenza di rulli da riprodurre (e che quindi identifica univocamente la CPL) viene codificata con RSA usando la chiave pubblica del server di destinazione (contenuta nel certificato del server stesso), aggiungendo in specifica posizione l'intervallo di validità. Il risultato è la KDM.

Volevo chiedere per curiosità, ma se un laboratorio esterno viene "subappaltato" di generare le KDM, significa che gli vengono fornite tutte le chiavi AES utilizzate dal distributore? Non c'è pericolo che vengano poi diffuse? oppure in genere chi crea e cripta il DCP è sempre colui il quale genera anche le KDM?

Grazie e ciao
FKB

[fabiooo]

Supponiamo per assurdo che un laboratorio abbia in sub-appalto il servizio di generazione delle kdm ma non abbia le chiavi AES:
- Come farebbero a crittografare le chiavi AES se non le hanno?
- Cosa impedirebbe al laboratorio di crearsi una KDM per loro stessi costruita su un certificato .pem di cui conosce la chiave privata invece che con il certificato di un server/proiettore? con tale chiave privata poi potrebbe decrittarsi le chiavi AES e con quelle decrittare il film.

[Fbrighi]

Dubbi piu che leciti..però potrebbe esistere un livello di sicurezza aggiuntivo sulle chiavi AES, tra distributore e laboratorio. Ipotizzo eh, che il distributore dia al laboratorio le chiavi AES cifrate con un algoritmo asimmetrico, e il laboratorio disponga di un "simil server", entro cui inserendo il certificato del server per cui generare la chiave e un certificato aggiuntivo, generato da un ente certificatore esterno e solo per quel laboratorio, restituisca la KDM.

Nulla vieta al laboratorio di poter decrittare il film, se gli fosse nota la chiave privata dell'attrezzatura...ma tale rischio è lo stesso di qualsiasi cinema...ci basiamo sull'assunzione che "aprire" un mediablock per estrarne la chiave privata sia impossibile...

Lo so sono pippe mentali...ma vi assicuro molto meno dell'analisi matematica che ci sta dietro (roba alla star trek, so che Antonio apprezzerà il rieferimento...spero ).

FKB

[fabiooo]

Mi sa che è come dici anche io implementerei il sistema con dei "simil server".

Probabilmente la strategia del finto certificato che ho spiegato prima non funzionerà perchè probabilmente il "simil server" se è stato progettato bene e controllerà che il certificato .pem sia firmato da un produttore di server "cinemeccanica,dolby,gdc,sony..." prima di usarlo per generare una KDM.
In tal caso per rubare un film i pirati dovrebbero corrompere sia un omino del laboratorio che un omino di un produttore di server ma visto che poi la qualità dei film pirata è pessima mi sa che fanno prima con una telecamerina piccolina.

Aprire un server o un imb non è una buona idea sono pieni di sensori e batterie per cancellare la chiave privata in caso di manomissioni.

[nbkm00]

Nel caso si debba autorizzare un altro laboratorio ad operare su un DCP, viene emessa una DKDM : Distribution Key Delivery Message. Praticamente è identica ad una KDM, però generata con il certificato pubblico di un altra macchina di mastering, e non di un server.

Nel momento in cui si emette una DKDM, l'altro laboratorio prende il controllo totale del DCP in questione: può generare KDM, creare Versioning, esportare il film in altri formati, etc.

Esempio: ci arriva un DCP di un film straniero, il laboratorio di produzione ci richiede il nostro certificato pubblico ed emette una DKDM che ci permette di aprire il DCP. La produzione/distribuzione ci invia il Mix audio italiano, oppure dei sottotitoli, noi modifichiamo il DCP creando un nuovo master "localizzato" che poi verrà distribuito in italia. Come ben saprete, questo master può sia essere sotto forma di un Version File aggiuntivo al DCP Original Version, oppure un nuovo OV.
Le specifiche DCI raccomandano fermamente di non intervenire mai sulla compressione di un film già encodato in jpeg2000: quando si crea il versioning praticamente si copiano nel nuovo DCP i file MXF video senza modificarli in nessun modo. Purtroppo questa procedura non è rispettata da tutti, è capitato che siano stati creati versioning italiani 2k partendo da DCP master 4k: questo tipo di operazione deve ricomprimere il video, con un fortissimo decadimento della qualità dell'immagine. La maniera corretta per fare questa operazione è ovviamente partire dai file non compressi originali.

Buona giornata!

[Antonio Marcheselli]

e la produzione cosa ne pensa di questa macelleria digitale?

[pclarici]

Domanda OT: come mai da un po' di tempo a questa parte la maggior parte dei DCP, distribuiti sia via satellite che fisicamente, non riportano più i dati di offset? L'offset è di fatto l'unica informazione indispensabile non desumibile dal nome del file e/o dall'interfaccia del server, tutto il resto possiamo saperlo in un secondo. Se poi fossero segnalate chiaramente anche le eventuali scene bonus dopo i crediti principali sarebbe ancora meglio.

[nbkm00]

Ciao

Antonio, purtroppo a volte alla qualità si antepongono altre priorità!

Riguardo all'offset, noi lo comunichiamo alla distribuzione, insieme al timecode dei cambi di rullo da usare come eventuali pause. Da oggi in poi lo inserirò anche nelle informazioni sul package del DCP

[Antonio Marcheselli]

io non sono sicuro che la distribuzione, quella americana, sia a conoscenza di queste cose. Non investi miliardi in una produzione per poi risparmiare poche migliaia di euro (se sono migliaia di euro) per la distribuzione di un DCP.

So di un caso omonimo dove un tecnico si ostinava a voler ricomprimere il DCP, e dopo lunga discussione hanno interpellato il responsabile tecnico della facility che ha risposto "certo che devi richiedere i TIFF per ricomprimere!". Ma lasciamo perdere, tanto è un muro di gomma.
Vorrei davvero sapere che genere di vantaggi possono avere da questa cosa.