Szyfrowanie multimediów

Derek Herman
Derek Herman
Joe Medley
Joe Medley

W tej sekcji omówimy 2 różne strategie szyfrowania multimediów oraz podamy praktyczne przykłady ich stosowania w FFmpeg i Shaka Packager. Omówimy 2 strategie szyfrowania: Clear Key i użycie usługi takiej jak Google Widevine. Obie strategie to forma cyfrowego zarządzania prawami (DRM) umożliwiająca kontrolowanie tego, co użytkownicy mogą robić z Twoimi treściami multimedialnymi. Jednak jedna z nich jest z założenia mniej bezpieczna ze względu na sposób przekazywania kluczy w celu uwierzytelniania, dlatego usługa DRM może być bardziej odpowiednia.

Główne usługi DRM w internecie to Google Widevine, Microsoft PlayReadyApple FairPlay, ale nie omówimy ich wszystkich w tym artykule. Jeśli jednak kierujesz reklamy na wszystkie nowoczesne przeglądarki, prawdopodobnie będziesz korzystać ze wszystkich 3 usług DRM.

Konwersja i szyfrowanie są wykonywane za pomocą tych aplikacji:

Szyfrowanie Clear Key

Zanim zaczniesz korzystać z Clear Key, musisz dobrze rozumieć, czym jest ten system i czym nie jest. Jeśli nie chcesz korzystać z istniejącej usługi DRM i uważasz, że podstawowe szyfrowanie multimediów jest odpowiednim rozwiązaniem, użyj Clear Key. Pamiętaj jednak, że ten typ szyfrowania nie zapewnia takiego samego poziomu bezpieczeństwa jak korzystanie z usług DRM. Dzieje się tak, ponieważ para klucz-wartość nie jest zaszyfrowana innym kluczem, w przeciwieństwie do zaszyfrowanych kluczy, które są generowane przez klucz odszyfrowywania przechowywany na serwerze licencji. Dodatkowo Clear Key wysyła parę klucz-wartość jako tekst zwykły, więc podczas szyfrowania multimediów klucz do ich odszyfrowywania nie jest tajemnicą.

Utwórz klucz

Możesz użyć tej samej metody do utworzenia klucza zarówno dla DASH, jak i HLS. Zrób to za pomocą OpenSSL. Poniżej przedstawiono sposób utworzenia klucza szyfrowania złożonego z 16 wartości szesnastkowych.

openssl rand -hex 16 > media.key

Tworzenie IV

Następnie możemy wygenerować wektor inicjujący (IV).

openssl rand -hex 16
6143b5373a51cb46209cfed0d747da66

Szyfrowanie przy użyciu klucza Clear Key

W tym przykładzie używamy Shaka Packager z kluczami w postaci danych nieprzetworzonych, gdzie keyskey_ids są przekazywane bezpośrednio do Shaka Packager. Więcej przykładów znajdziesz w dokumentacji.

W przypadku flagi key użyj wcześniej utworzonego klucza, który jest przechowywany w pliku media.key. Pamiętaj jednak, aby usunąć spacje. W przypadku flagi key_id powtórz wartość media.id lub użyj wygenerowanej powyżej wartości IV.

packager \
  input=glocken.mp4,stream=audio,output=glockena.m4a \
  input=glocken.mp4,stream=video,output=glockenv.mp4 \
  --enable_fixed_key_encryption \
  --keys label=audio:key=INSERT_AUDIO_KEY_HERE:key_id=INSERT_AUDIO_KEY_ID_HERE,label=video:key=INSERT_VIDEO_KEY_HERE:key_id=INSERT_VIDEO_KEY_ID_HERE

Tworzenie pliku z kluczowymi informacjami

Aby zaszyfrować dane dla HLS, oprócz pliku klucza musisz mieć plik informacji o kluczu. Plik z kluczowymi informacjami to plik tekstowy w formacie podanym poniżej. Plik powinien mieć rozszerzenie .keyinfo. Na przykład: encrypt.keyinfo.

key URI
key file path
private key

Identyfikator URI klucza to miejsce, w którym na serwerze znajduje się klucz media.key (utworz go powyżej). Ścieżka pliku klucza to jego lokalizacja względem pliku informacji o kluczu. Na koniec klucz prywatny to zawartość pliku media.key lub wygenerowany wcześniej IV. Na przykład:

https://example.com/keys/media.key
/path/to/media.key
6143b5373a51cb46209cfed0d747da66

Szyfrowanie na potrzeby HLS

packager \
  'input=input.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \
  'input=input.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \
  --hls_master_playlist_output="master_playlist.m3u8" \
  --hls_base_url="http://localhost:5000/"

To polecenie przyjmuje klucz o długości 16 lub 32 znaków.

ffmpeg -i myvideo.mov -c:v libx264 -c:a aac -hls_key_info_file encrypt.keyinfo myvideo.m3u8

Szyfrowanie Widevine

Teraz już wiesz, czym jest szyfrowanie Clear Key i kiedy go używać. Kiedy należy używać usługi DRM w celu zapewnienia dodatkowego bezpieczeństwa? W tym przypadku do bezpiecznego szyfrowania i deszyfrowania multimediów używana byłaby usługa Widevine lub inna usługa. Widevine obsługuje MPEG-DASH i HLS oraz jest technologią DRM firmy Google. Widevine jest używany przez przeglądarki Google Chrome i Firefox, Android MediaDRM, Android TV oraz inne urządzenia konsumenckie, które korzystają z rozszerzeń Encrypted Media Extensions i Media Source Extensions, gdzie Widevine odszyfrowuje treści.

Szyfrowanie za pomocą Widevine

Większość przykładów w tym artykule używa szyfrowania Clear Key. W przypadku Widevine musisz jednak zastąpić te opcje.

--enable_fixed_key_encryption \
--enable_fixed_key_decryption \
--keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE

Wszystko w komnadzie demultipleksera (demux) z wyjątkiem nazwy plików i flagi --content-id należy skopiować dokładnie z przykładu. Wartość --content-id to 16 lub 32 losowych cyfr szesnastkowych. Zamiast własnych kluczy użyj kluczy podanych tutaj. Więcej przykładów znajdziesz w dokumentacji Shaka Packager na temat używania serwera kluczy Widevine.

  1. Demuxowanie (oddzielanie) dźwięku i obrazu, szyfrowanie nowych plików i zapisywanie pliku z opisem prezentacji multimedialnej (Media Presentation Description, MPD).

    packager \
      input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \
      input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \
      --enable_widevine_encryption \
      --key_server_url "https://license.uat.widevine.com/cenc/getcontentkey/widevine_test" \
      --content_id "fd385d9f9a14bb09" \
      --signer "widevine_test" \
      --aes_signing_key "1ae8ccd0e7985cc0b6203a55855a1034afc252980e970ca90e5202689f947ab9" \
      --aes_signing_iv "d58ce954203b7c9a9a9d467f59839249"
    
  2. Remux (połącz) strumienie audio i wideo. Jeśli używasz frameworku wideo, możesz nie musieć tego robić.

    ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocke.mp4
    

Sekwencja konwersji multimediów

W tej sekcji znajdziesz polecenia potrzebne do przekształcenia nieskompresowanego pliku .mov w zaszyfrowane zasoby zapakowane do DASH lub HLS. Aby zilustrować ten cel, konwertujemy plik źródłowy do szybkości transmisji danych 8 Mb/s przy rozdzielczości 1080p (1920 x 1080). Dostosuj te wartości zgodnie ze swoimi potrzebami.

DASH/WebM

  1. Konwertuj typ pliku i kodek.

    W tym poleceniu możesz użyć kodeka audio liborbis lub libopus.

    ffmpeg -i glocken.mov -c:v libvpx-vp9 -c:a libvorbis -b:v 8M -vf setsar=1:1 -f webm tmp_glocken.webm
    
  2. Utwórz klucz szyfrowania Clear Key.

    openssl rand -hex 16 > media.key
    
  3. Demuxowanie (oddzielanie) dźwięku i obrazu, szyfrowanie nowych plików i zapisywanie pliku z opisem prezentacji multimedialnej (Media Presentation Description, MPD).

    packager \
      input=tmp_glocken.webm,stream=video,output=glocken_video.webm \
      input=tmp_glocken.webm,stream=audio,output=glocken_audio.webm \
      --enable_fixed_key_encryption \
      --enable_fixed_key_decryption \
      --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \
      --mpd_output glocken_webm_vod.mpd
    
  4. Remux (połącz) strumienie audio i wideo. Jeśli używasz frameworku wideo, możesz nie musieć tego robić.

    ffmpeg -i glocken_video.webm -i glocken_audio.webm -c copy glocken.webm
    

DASH/MP4

  1. Konwertuj typ pliku, kodek wideo i szybkość transmisji bitów.

    ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 tmp_glocken.mp4
    
  2. Utwórz klucz szyfrowania Clear Key.

    openssl rand -hex 16 > media.key
    
  3. Demuxowanie (oddzielanie) dźwięku i obrazu, szyfrowanie nowych plików i zapisywanie pliku z opisem prezentacji multimedialnej (Media Presentation Description, MPD).

    packager \
      input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \
      input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \
      --enable_fixed_key_encryption \
      --enable_fixed_key_decryption \
      --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \
      --mpd_output glocken_mp4_vod.mpd
    
  4. Remux (połącz) strumienie audio i wideo. Jeśli używasz frameworku wideo, możesz nie musieć tego robić.

    ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocken.mp4
    

HLS/MP4

HLS obsługuje tylko MP4, więc najpierw musisz przekonwertować plik do kontenera MP4 i obsługiwanych kodeków.

  1. Konwertuj typ pliku, kodek wideo i szybkość transmisji bitów.

    ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 glocken.mp4
    
  2. Utwórz klucz szyfrowania Clear Key.

    openssl rand -hex 16 > media.key
    
  3. Tworzenie pliku z kluczowymi informacjami

    packager \
      'input=glocken.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \
      'input=glocken.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \
      --hls_master_playlist_output="master_playlist.m3u8" \
      --hls_base_url="http://localhost:5000/" \
      --enable_fixed_key_encryption \
      --enable_fixed_key_decryption \
      --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE
    

To sporo informacji, ale mam nadzieję, że teraz możesz pewnie szyfrować swoje multimedia. Następnie pokażemy Ci, jak dodać multimedia do witryny.