Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SPEKEAPIv2 - Crittografia delle chiavi del contenuto

Facoltativamente, puoi aggiungere la crittografia con chiave di contenuto alla tua SPEKE implementazione. La crittografia delle chiavi di contenuto garantisce una end-to-end protezione completa crittografando le chiavi di contenuto per il transito, oltre alla crittografia del contenuto stesso. Se non la implementate per il vostro fornitore di chiavi, vi affidate alla crittografia a livello di trasporto e all'autenticazione avanzata per la sicurezza.

Per utilizzare la crittografia con chiave di contenuto per i crittografi in esecuzione nel AWS Cloud, i clienti importano i certificati nel AWS Certificate Manager e quindi utilizzano il certificato risultante ARNs per le loro attività di crittografia. L'encryptor utilizza il certificato ARNs e il ACM servizio per fornire chiavi di contenuto crittografate al fornitore delle chiavi. DRM

Restrizioni

SPEKEsupporta la crittografia delle chiavi di contenuto come specificato nella CPIX specifica DASH -IF con le seguenti restrizioni:

Queste restrizioni sono elencate anche in Personalizzazioni e vincoli alla specifica -IF. DASH

Implementazione della crittografia delle chiavi di contenuti

Per fornire la crittografia delle chiavi di contenuto, includi quanto segue nelle implementazioni del provider di chiavi: DRM

Per ulteriori informazioni su questi elementi, vedere la specifica DASH-IF CPIX 2.3.

Elemento di crittografia della chiave dei contenuti di esempio <cpix:DeliveryDataList> nel payload della richiesta

<cpix:CPIX contentId="abc123"
    version="2.3"
    xmlns:cpix="urn:dashif:org:cpix"
    xmlns:pskc="urn:ietf:params:xml:ns:keyprov:pskc">
    <cpix:DeliveryDataList>
        <cpix:DeliveryData id="<ORIGIN SERVER ID>">
            <cpix:DeliveryKey>
                <ds:X509Data>
                    <ds:X509Certificate><X.509 CERTIFICATE, BASE-64 ENCODED></ds:X509Certificate>
                </ds:X509Data>
            </cpix:DeliveryKey>
        </cpix:DeliveryData>
    </cpix:DeliveryDataList>
    <cpix:ContentKeyList>
     ...
    </cpix:ContentKeyList>
</cpix:CPIX>

Elemento di crittografia della chiave dei contenuti di esempio <cpix:DeliveryDataList> nel payload della risposta

<cpix:CPIX contentId="abc123"
    version="2.3"
    xmlns:cpix="urn:dashif:org:cpix"
    xmlns:pskc="urn:ietf:params:xml:ns:keyprov:pskc">
    <cpix:DeliveryDataList>
        <cpix:DeliveryData id="<ORIGIN SERVER ID>">
            <cpix:DeliveryKey>
                <ds:X509Data>
                    <ds:X509Certificate><X.509 CERTIFICATE, BASE-64 ENCODED></ds:X509Certificate>
                </ds:X509Data>
            </cpix:DeliveryKey>
            <cpix:DocumentKey Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc">
                <cpix:Data>
                    <pskc:Secret>
                        <pskc:EncryptedValue>
                            <enc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p" />
                            <enc:CipherData>
                                <enc:CipherValue><RSA CIPHER VALUE></enc:CipherValue>
                            </enc:CipherData>
                        </pskc:EncryptedValue>
                        <pskc:ValueMAC>qnei/5TsfUwDu+8bhsZrLjDRDngvmnUZD2eva7SfXWw=</pskc:ValueMAC>
                    </pskc:Secret>
                </cpix:Data>
            </cpix:DocumentKey>
            <cpix:MACMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#hmac-sha512">
                <cpix:Key>
                    <pskc:EncryptedValue>
                        <enc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p" />
                        <enc:CipherData>
                            <enc:CipherValue><RSA CIPHER VALUE></enc:CipherValue>
                        </enc:CipherData>
                    </pskc:EncryptedValue>
                    <pskc:ValueMAC>DGqdpHUfFKxdsO9+EWrPjtdTCVfjPLwwtzEcFC/j0xY=</pskc:ValueMAC>
                </cpix:Key>
            </cpix:MACMethod>
        </cpix:DeliveryData>
    </cpix:DeliveryDataList>
    <cpix:ContentKeyList>
     ...
    </cpix:ContentKeyList>
</cpix:CPIX>

Elemento di crittografia della chiave dei contenuti di esempio <cpix:ContentKeyList> nel payload della risposta

L'esempio seguente mostra la gestione della chiave dei contenuti crittografati nell'elemento <cpix:ContentKeyList> del payload di risposta. Questo utilizza l'elemento <pskc:EncryptedValue>:

<cpix:ContentKeyList>
     <cpix:ContentKey explicitIV="OFj2IjCsPJFfMAxmQxLGPw==" kid="98ee5596-cd3e-a20d-163a-e382420c6eff" commonEncryptionScheme="cbcs">
         <cpix:Data>
             <pskc:Secret>
                 <pskc:EncryptedValue>
                     <enc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" />
                     <enc:CipherData>
                         <enc:CipherValue>NJYebfvJ2TdMm3k6v+rLNVYb0NoTJoTLBBdbpe8nmilEfp82SKa7MkqTn2lmQBPB</enc:CipherValue>
                     </enc:CipherData>
                 </pskc:EncryptedValue>
                 <pskc:ValueMAC>t9lW4WCebfS1GP+dh0IicMs+2+jnrAmfDa4WU6VGHc4=</pskc:ValueMAC>
             </pskc:Secret>
         </cpix:Data>
     </cpix:ContentKey>
 </cpix:ContentKeyList>

In base al confronto, l'esempio seguente mostra un payload di risposta simile con la chiave di contenuti distribuita non crittografata, come chiave in chiaro. Questo utilizza l'elemento <pskc:PlainValue>:

<cpix:ContentKeyList>
    <cpix:ContentKey explicitIV="OFj2IjCsPJFfMAxmQxLGPw==" kid="98ee5596-cd3e-a20d-163a-e382420c6eff" commonEncryptionScheme="cbcs">
        <cpix:Data>
            <pskc:Secret>
                <pskc:PlainValue>5dGAgwGuUYu4dHeHtNlxJw==</pskc:PlainValue>
            </pskc:Secret>
        </cpix:Data>
    </cpix:ContentKey>
</cpix:ContentKeyList>