このセクションでは、メディアを暗号化する 2 つの方法と、FFmpeg と Shaka Packager でそれらを使用する方法について説明します。ここで説明する暗号化の 2 つの戦略は、Clear Key と Google Widevine などのサービスを使用する方法です。どちらの戦略も、ユーザーがメディアに対して行える操作を制御するデジタル著作権管理(DRM)の一種です。ただし、認証のためにキーが渡される方法が異なるため、本質的に一方は他方よりも安全性が低くなります。そのため、DRM サービスの方が適している場合があります。
ウェブ向けの主な DRM サービスは、Google Widevine、Microsoft PlayReady、Apple FairPlay ですが、この記事ではこれらすべてを説明しません。ただし、すべての最新ブラウザをターゲットとしている場合は、3 つの DRM サービスをすべて使用している可能性があります。
変換と暗号化は、次のアプリケーションで実行されます。
鍵の暗号化をクリア
Clear Key を使用する前に、Clear Key の機能と制限事項を理解しておく必要があります。既存の DRM サービスを使用したくない場合や、メディアの基本的な暗号化が有効なオプションである場合は、Clear Key を使用します。ただし、このタイプの暗号化は、いずれかの DRM サービスを使用する場合と同じレベルのセキュリティを提供しません。これは、ライセンス サーバーに保存されている復号鍵によって生成された暗号鍵とは異なり、キー値ペアが別の鍵で暗号化されていないためです。また、Clear Key は Key-Value ペアをクリアテキストとして送信するため、メディアを暗号化する際に、復号鍵は秘密になりません。
キーを作成
同じ方法で DASH と HLS の両方のキーを作成できます。これは OpenSSL を使用して行います。次のコマンドでは、16 個の 16 進数値で構成される暗号鍵を作成します。
openssl rand -hex 16 > media.key
IV を作成する
次に、初期化ベクトル(IV)を生成します。
openssl rand -hex 16
6143b5373a51cb46209cfed0d747da66
クリアキーで暗号化する
次の例では、Shaka Packager と未加工の鍵を使用しています。ここでは、keys と key_ids が Shaka Packager に直接提供されます。その他の例については、ドキュメントをご覧ください。
key フラグには、media.key ファイルに保存されている、前に作成した鍵を使用します。ただし、コマンドラインで入力する際は、必ず空白文字を削除してください。key_id フラグの場合は、media.id 値を繰り返すか、上記で生成した IV 値を使用します。
packager \
input=glocken.mp4,stream=audio,output=glockena.m4a \
input=glocken.mp4,stream=video,output=glockenv.mp4 \
--enable_fixed_key_encryption \
--keys label=audio:key=INSERT_AUDIO_KEY_HERE:key_id=INSERT_AUDIO_KEY_ID_HERE,label=video:key=INSERT_VIDEO_KEY_HERE:key_id=INSERT_VIDEO_KEY_ID_HERE
鍵情報ファイルを作成する
HLS 用に暗号化するには、鍵ファイルに加えて鍵情報ファイルが必要です。キー情報ファイルは、次の形式のテキスト ファイルです。拡張子は .keyinfo にする必要があります。例: encrypt.keyinfo。
key URI
key file path
private key
鍵の URI は、media.key(上記で作成)がサーバーに配置される場所です。鍵ファイルのパスは、鍵情報ファイルを基準とした相対位置です。最後の秘密鍵は media.key ファイル自体の内容、または前に作成した IV です。例:
https://example.com/keys/media.key
/path/to/media.key
6143b5373a51cb46209cfed0d747da66
HLS 用に暗号化する
packager \
'input=input.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \
'input=input.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \
--hls_master_playlist_output="master_playlist.m3u8" \
--hls_base_url="http://localhost:5000/"
このコマンドは、16 文字または 32 文字の鍵を受け入れます。
ffmpeg -i myvideo.mov -c:v libx264 -c:a aac -hls_key_info_file encrypt.keyinfo myvideo.m3u8
Widevine 暗号化
ここまで、クリアキー暗号化の概要と使用する場面について学習しました。では、セキュリティを強化するために DRM サービスを使用すべき状況とはどのような場合でしょうか。ここで、Widevine などのサービスを使用してメディアを安全に暗号化および復号します。Widevine は MPEG-DASH と HLS をサポートしており、Google の DRM です。Widevine は、Google Chrome と Firefox のウェブブラウザ、Android MediaDRM、Android TV、Encrypted Media Extensions と Media Source Extensions を使用するその他の家電製品で使用され、Widevine がコンテンツを復号します。
Widevine で暗号化する
この記事のほとんどの例では、クリアキー暗号化を使用しています。ただし、Widevine の場合は、次のオプションを置き換える必要があります。
--enable_fixed_key_encryption \
--enable_fixed_key_decryption \
--keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE
ファイル名と --content-id フラグを除き、demultiplexer(demux)コマンドの内容はすべて、この例から正確にコピーする必要があります。--content-id は 16 桁または 32 桁のランダムな 16 進数です。独自の鍵ではなく、ここで提供されている鍵を使用してください。Widevine Key Server の使用に関する Shaka Packager のドキュメントで、その他の例を確認する。
音声と動画を分離し(分離)、新しいファイルを暗号化して、Media Presentation Description(MPD)ファイルを出力します。
packager \ input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \ input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \ --enable_widevine_encryption \ --key_server_url "https://license.uat.widevine.com/cenc/getcontentkey/widevine_test" \ --content_id "fd385d9f9a14bb09" \ --signer "widevine_test" \ --aes_signing_key "1ae8ccd0e7985cc0b6203a55855a1034afc252980e970ca90e5202689f947ab9" \ --aes_signing_iv "d58ce954203b7c9a9a9d467f59839249"音声ストリームと動画ストリームを再多重化(結合)します。動画フレームワークを使用している場合は、この操作は不要です。
ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocke.mp4
メディア変換シーケンス
このセクションでは、未加工の .mov ファイルから DASH または HLS 用にパッケージ化された暗号化されたアセットを取得するために必要なコマンドを順番に説明します。目標を明確にするために、ソースファイルを 1080p(1920 x 1080)の解像度で 8 Mbs のビットレートに変換します。必要に応じてこれらの値を調整します。
DASH/WebM
ファイルの種類とコーデックを変換します。
このコマンドでは、オーディオ コーデックに
liborbisまたはlibopusを使用できます。ffmpeg -i glocken.mov -c:v libvpx-vp9 -c:a libvorbis -b:v 8M -vf setsar=1:1 -f webm tmp_glocken.webmClear Key 暗号鍵を作成します。
openssl rand -hex 16 > media.key音声と動画を Demux(分離)し、新しいファイルを暗号化して、Media Presentation Description(MPD)ファイルを出力します。
packager \ input=tmp_glocken.webm,stream=video,output=glocken_video.webm \ input=tmp_glocken.webm,stream=audio,output=glocken_audio.webm \ --enable_fixed_key_encryption \ --enable_fixed_key_decryption \ --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \ --mpd_output glocken_webm_vod.mpd音声ストリームと動画ストリームを再結合(結合)します。動画フレームワークを使用している場合は、この操作は不要な場合があります。
ffmpeg -i glocken_video.webm -i glocken_audio.webm -c copy glocken.webm
DASH/MP4
ファイル形式、動画コーデック、ビットレートを変換します。
ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 tmp_glocken.mp4Clear Key 暗号鍵を作成します。
openssl rand -hex 16 > media.key音声と動画を Demux(分離)し、新しいファイルを暗号化して、Media Presentation Description(MPD)ファイルを出力します。
packager \ input=tmp_glocken.mp4,stream=video,output=glocken_video.mp4 \ input=tmp_glocken.mp4,stream=audio,output=glocken_audio.m4a \ --enable_fixed_key_encryption \ --enable_fixed_key_decryption \ --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE \ --mpd_output glocken_mp4_vod.mpd音声ストリームと動画ストリームを再多重化(結合)します。動画フレームワークを使用している場合は、この操作は不要です。
ffmpeg -i glocken_video.mp4 -i glocken_audio.m4a -c copy glocken.mp4
HLS/MP4
HLS は MP4 のみをサポートしているため、まず MP4 コンテナとサポートされているコーデックに変換する必要があります。
ファイル形式、動画コーデック、ビットレートを変換します。
ffmpeg -i glocken.mov -c:v libx264 -c:a aac -b:v 8M -strict -2 glocken.mp4Clear Key 暗号鍵を作成します。
openssl rand -hex 16 > media.key鍵情報ファイルを作成する
packager \ 'input=glocken.mp4,stream=video,segment_template=output$Number$.ts,playlist_name=video_playlist.m3u8' \ 'input=glocken.mp4,stream=audio,segment_template=output_audio$Number$.ts,playlist_name=audio_playlist.m3u8,hls_group_id=audio,hls_name=ENGLISH' \ --hls_master_playlist_output="master_playlist.m3u8" \ --hls_base_url="http://localhost:5000/" \ --enable_fixed_key_encryption \ --enable_fixed_key_decryption \ --keys label=:key=INSERT_KEY_HERE:key_id=INSERT_KEY_ID_HERE
内容は多岐にわたりましたが、これで安心してメディアを暗号化できるようになりました。次に、サイトにメディアを追加する方法を説明します。