Codificación de video DRM

Navega tus respuestas
0

Tenía algunos trabajos donde necesitaba asegurar la transmisión. Así que eché un vistazo a todas las protecciones DRM que están actualmente disponibles, y luego descubrí que tenía 3 opiniones, la primera en usar una DRM muy costosa (Adobe) que costaría una fortuna, la segunda era usar una barata que requería la instalación de algunas los complementos de mala calidad no tienen soporte para todos los navegadores y el tercero fue usar la encripción AES-128 que no es realmente DRM, pero puede manejar algunas cosas. Entonces empiezo a pensar, y esto es lo que hice.

Creé un servidor de transmisión que: Cree una clave separada para CADA fragmento en CADA sesión, eso significa que la clave nunca se repite. Los trozos son relativamente pequeños 1 chunk por 3 segundos. luego codifiqué clave por base64 y obtuve 24 bytes que eran exactamente 192 bits, que es de la misma longitud que AES-192. Después, cambié cada byte para un número específico de espacios, para cada desplazamiento de carácter diferente y reemplacé el relleno de 64 con algunos caracteres aleatorios . Como resultado obtuve una base64 irreconocible que se parece a una clave aleatoria. Entonces después de eso hice reversión en el flash player. y como resultado conseguí que el jugador trabajara bastante bien. Y cambié de jugador a información falsa de lista de reproducción de aes 192 by m3u8.

Básicamente, el sitio está dirigido a un grupo pequeño de personas (alrededor de 12 mil) y generalmente no tiene contenido muy valioso (videos que son valiosos para los estudiantes). Ahora, ¿qué piensa, qué posibilidad tiene alguien para averiguar qué se está haciendo y cómo descifrar (básicamente creo que intentarán descodificar primero como AES-192 debido a la longitud de la clave y la información de m3u8)? ¿Crees que esto es lo suficientemente seguro para un presupuesto bajo en un país de bajo salario?

    
pregunta Milos Radojevic 09.06.2015 - 12:15
fuente

2 respuestas

5

Primero eliminemos esto: DRM no es un problema solucionable .

Simplemente cargue el flash player en una herramienta de ingeniería inversa y leer el código revelará lo que hizo, y dado que les está dando la clave, ellos solo pueden descifrar el video. Es algo que cualquiera que esté familiarizado con la ingeniería inversa de Flash podría hacer, y probablemente sea algo que pueda obtener de Google si tiene antecedentes en el código general y los conceptos de seguridad.

Si está buscando algo más sólido, puede buscar soluciones que usen HDCP , que esencialmente proporciona encriptación de extremo a extremo del contenido hasta el dispositivo de visualización real (por ejemplo, un monitor de computadora). Sin embargo, esto puede limitar su base de usuarios, ya que la función HDCP fue diseñada principalmente para su uso en dispositivos como reproductores BluRay donde se sabe que los televisores soportan HDCP, en lugar de casos como monitores de computadora que pueden no (aunque muchos lo hacen).

En definitiva, solo tienes que decidir cuánto esfuerzo quieres poner como elemento disuasorio. Si alguien quiere tu video, puede capturarlo bien usando una aplicación de captura de pantalla (por ejemplo, Fraps) o explotar el agujero analógico .

    
respondido por el Polynomial 09.06.2015 - 12:59
fuente
1

Este es un diseño de "seguridad por oscuridad" que es incorrecto porque se basa en el secreto del protocolo en lugar del secreto de una clave de cifrado. Mientras haya una motivación para deshacerse de la corriente, alguien (especialmente los estudiantes) romperá esto. Por otro lado, si no hay motivación para volcar el flujo, no hay razón para DRM.

Personalmente, creo que el DRM es una mala idea y nunca va a funcionar como se supone que debe hacerlo (es decir, prevenir la piratería). En todos los casos, me encontré con clientes que no se preocupan por el DRM, ya que no les molesta o encuentran su camino hacia el contenido no-drm (pagado o de otro tipo), ya que no quieren ser molestados por las restricciones impuestas por el DRM. (como instalar Silverlight o tal). En cualquier caso, la piratería no se evita: el primer grupo no pirateará mientras que el otro lo hará, si el contenido no está disponible fácilmente a un precio razonable sin DRM.

Hablando en términos de seguridad: un DRM solo funciona si toda la cadena está asegurada, por lo tanto, todos sus clientes de 12mil necesitarán dispositivos, sistemas operativos, navegadores, tarjetas gráficas y pantallas habilitados para DRM y usted deberá pagar el DRM a alguien. Quien puede garantizar la integridad de sus datos a lo largo de esta cadena. Cualquier cosa menos no es un DRM.

    
respondido por el mikky 09.06.2015 - 12:54
fuente

Lea otras preguntas en las etiquetas

malentendido del cliente nmap [cerrado] Seguridad de las claves de cifrado