"Gut, man könnte die verschlüsselten Daten ja über das Netzwerk schicken, aber ob dafür die Netceiver-Hardware ausreicht?"
Ja, würde es. Das Konzept und eine prototypische Implementierung dazu gibt es auch schon, da wird dann auch über Multicast der Schlüsselaustausch erledigt.
Aber CI+ wird damit auch nix. Es ist am einfachsten, den NetCeiver als reinen Tunerersatz zu sehen und nur die normalen (verschlüsselten) TS-Streams an den Client zu liefern. Wenn der CI+-zertifziert ist, kann er damit alles machen (bzw. halt auch nix, was halt CI+ gerade erlaubt). Auf jeden Fall ist dann die Tunerschnittstelle nichts, was die Zertifzierung ver/behindern könnte, weil es keinen Unterschied zur direkten Anbindung des Tuners per HW gibt.
"Und dann das ganze auch noch auf den Clients jeweils entschlüsseln. "
Das ist kein Problem. Alle neueren STB-Chips haben neben dem DVB-CSA auch AES/3DES on-chip. Es gibt dann da auch nicht angreifbaren Kanäle in der HW , die direkt vom Descrambler zum Videodecoder gehen.
"Muss das alles in Hardware passieren oder gehen Teile davon auch in Software? "
Solange es kein Einfallstor gibt, ist es egal. Wenn es eins gibt, kommt die Kiste halt auf die Revocationlist und du guckst nur noch sauberen Schwarzwert...