Этот алгоритм используется во всем мире и был принят в качестве стандартного алгоритма шифрования правительством США для шифрования конфиденциальных данных. Кроме того, он является основой большинства доступных DRM-систем, например Apple FairPlay, Microsoft Playready, Widevine и Verimatrix. Использование шифрования AES часть общего стандарта шифрования для MPEG-DASH и HLS.
Алгоритм шифрования AES надежен и безопасен.
Однако шифрование в целом настолько безопасно, насколько это его самое слабое место.
В нашем случае это безопасность ключа дешифрования.
Это та область, на которой сосредоточены многие технологии DRM.
Они фокусируются на защите ключей и часто используют хитрые или сложные схемы для получения ключей дешифрования.
AES-128 алгоритм не является полноценной DRM-системой; получение ключей в нём был сохранено простым, что облегчило его реализацию, оставляя достаточно свободы, чтобы сделать защиту ключей как и очень простой, так и достаточно продвинутой.
Как защитить ключ расшифровки?
Спецификация HLS упоминает только один вариант получения ключа: URL-адрес, с которого ключ может быть загружен, должен быть частью файла манифеста.
Защита этого ресурса зависит от самого издателя.
Чаще всего мы видим целый ряд различных подходов к защите ключа дешифрования:
- Защита манифеста. Этот подход опирается на сокрытие URL-адреса ключа дешифрования. Он не обеспечивает высокого уровня безопасности, так как URL-адрес может утечь или быть перехвачен в сети
- Использование аутентификационных файлов cookie. Аутентификационные файлы cookie могут быть отправлены плеером при запросе ключа. Это позволяет серверу ключей проверить, какой пользователь запрашивает ключ. Если пользователю не разрешен доступ к потоку, ключ не будет возвращен. В результате ключ дешифрования получат только те пользователи, которые имеют надлежащую аутентификацию
- Использование подписанных URL-адресов. Подписанные URL-адреса можно использовать, предоставляя уникальные манифесты каждому пользователю. Затем пользовательский манифест будет содержать ссылку на ключ дешифрования, содержащий маркер аутентификации. Затем сервер может проверить маркер аутентификации и определить, можно ли предоставить доступ к ключу или нет
Практический пример
HLS использует AES в режиме cipher block chaining (CBC). Это означает, что каждый блок шифруется с использованием зашифрованного текста предыдущего блока.
Отсюда проблема: как мы шифруем первый блок?
Перед ним ведь нет блока.
Чтобы обойти эту проблему, мы используем так называемый вектор инициализации (IV).
В данном случае это 16-байтовое случайное значение, которое используется для инициализации процесса шифрования.
Его не нужно держать в секрете, чтобы шифрование было безопасным.
Специальные предложения
Получите скидку 20%
При оплате трафика за год на него предоставляется скидка - 20%. Для ее получения обратитесь к менеджеру с просьбой выставить счет на 12 месяцев.
Сопутствующие продукты
DRM
Защита видеоконтента является важным механизмом в основе любого видеосервиса.
Не нужно быть крупной голливудской студией, чтобы стремиться обеспечить защиту своих медиаактивов – монетизация...
Защита подписью
Предлагаем защитить ваши трансляции с помощью ЭЦП (MD5). В данной услуге используется криптография с открытым ключом.
В отличие от симметричной криптографии, где для зашифровывания и расшифровывания...
Доступ по паролю
Пароль доступа поможет защитить ссылки на видео от передачи.