В Google Chrome встроили плагин для работы с защищенным контентом
Плагин Widevine Content Decryption Module (Widevine CDM) добавлен в браузер для поддержки Encrypted Media Extensions (EME) API, который в свою очередь появился в спецификации HTML5 для работы с DRM (технические средства защиты авторских прав).
А теперь простыми словами. Владельцы аудио- и видео-контента хотят транслировать его в сети средствами HTML5, но не хотят давать право его копировать. Для этого организация W3C добавила EME в спецификацию HTML5. А на стороне браузера поддержкой этого дела должен заниматься специальный плагин (в случае с Google Chrome, это Widevine CDM).
Другого мнения придерживается Brendan Eich, создатель языка Javascript и технический директор Mozilla. По его словам, решение поддержать EME подрывает открытость Web и ущемляет права пользователей. А еще он считает, что EME открывает дорогу для появления бесконечного числа нестандартизированных CDM-плагинов, которые по сути являются аналогами ActiveX и создаются под конкретные ОС.
Кстати, Widevine CDM не является частью проекта Chromium, а представляет из себя такой же закрытый плагин Google, как и Flash (PPAPI) и PDF Viewer. Т.е. встраивается исключительно в Chrome. В мобильную версию Google Chrome плагин встроить планируют в 32 версии.
Взломана DRM-защита Widevine L3
На днях специалист по кибербезопасности Дэвид Бьюкенен из Великобритании заявил об успешном взломе технологии защиты аудио/видео контента Widevine L3. Взлом дает возможность дампить все данные, которые передаются через защищенный этой технологией канал связи.
Widevine L3 является разработкой корпорации Google. Она используется для защиты авторского контента, распространяемого по сети. В частности, эта технология внедрена в сервисы Netflix, Disney, Amazon Video, BBC, HBO, Facebook, Hulu, Spotify и т.п.
Для декодирования защищенного контента используется CDM-модуль. Он работает, в частности, в браузерах Chrome, ChromeOS, Android и Firefox. Также его применяют Samsung, Intel, Sony и LG в ряде своих продуктов.
Стоит отметить, что Widevine L3 — самый слабый уровень защиты от Google. Чаще всего с ним работают для распространения медиаконтента низкого качества (ниже 1080р). Уже второй уровень защиты дает возможность выполнять криптографические операции на стороне аппаратно изолированного TEE-окружения (Trusted Execution Environment, например, Intel SGX, ARM TrustZone и AMD PSP).
Soooo, after a few evenings of work, I’ve 100% broken Widevine L3 DRM. Their Whitebox AES-128 implementation is vulnerable to the well-studied DFA attack, which can be used to recover the original key. Then you can decrypt the MPEG-CENC streams with plain old ffmpeg.
Взлом был осуществлен благодаря ошибке в реализации алгоритма шифрования Whitebox AES-128. Как оказалось, алгоритм подвержен атаке DFA (Differential Fault Analysis). Она позволяет получить доступ к ключу шифрования, после чего аудио и видео-контент, зашифрованный при помощи Widevine L3, становится возможным сохранять без особых проблем.
Что касается Widevine второго и первого уровней, то их найденный метод не затрагивает.
Данных о том, поделился ли Бьюкенен информацией о найденной уязвимости с Google перед публикацией технических подробностей, нет. Также непонятно, будет ли Google менять что-либо в Widevine L3.
Widevine DRM: где посмотреть, какой уровень поддерживает смартфон
Технология так называемого «управления цифровыми правами» Widevine DRM достаточно широко применяется не только онлайн, но и в Android-приложениях популярных сервисов потокового видео.
Тем не менее Widevine DRM поддерживают не все Android-смартфоны и планшеты, даже из новых.
Что такое Widevine DRM?
Если вкратце, то это специальное решение для защиты видеоконтента от несанкционированного копирования. В настоящее время эту технологию применяю. В частности Netflix, HBO, Disney+, Prime Video, Hulu, Sling, DirectTV и многие другие сервисы.
В Widevine предусмотрено 3 уровня защиты данных:
Сегодня поддержка Widevine L1 (часто в сочетании с другими методами DRM) предусмотрена у большинства Android-устройств, сертифицированных Google. Однако модифицированные устройства (к примеру, смартфоны с root-правами) или несертифицированные поддерживают только уровни L3 или L2. Кроме того, в ряде случаев (чаще всего, когда прошивка устарела) поддержка Widevine DRM даже у сертифицированных устройств автоматом понижается до L2 или L3.
как проверить поддерживает ли смартфон Widevine DRM
Для этого тоже есть специальный программный инструмент, проще говоря, приложение. Прога называется DRM Info, она простенькая, бесплатная и лежит в Play Маркете — вот [ССЫЛКА].
Приложение показывает все технологии DRM, которые поддерживает смартфон, притом в виде отдельных карточек. В карточках Widevine DRM помимо прочего отображается также и инфа об уровне защиты. Выглядит карточка примерно следующим образом:
Следовательно, если проверка показывает уровни L2 или L3, то воспроизводить защищенные медиафайлы в высоком разрешении смартфон не будет, а некоторые приложения могут вообще не работать.
Отметим также, что есть еще и такие приложения, которые проверяют статус SafetyNet устройства и автоматом определяют, можно ли воспроизводить мультимедиа.
У Netflix, например, есть свой комплект таких тестов. И чтобы приложение воспроизводило на смартфоне контент в высоком разрешении, ему требуется не только поддержка Widevine L1, модель должна быть сертифицирована Netflix-ом (вот полный список смартфонов, которые имеют сертификаты сервиса и с них можно смотреть контент в HD и HDR).
Но проверить, поддерживает ли смартфон видео высокого качества, можно и прям в приложении Netflix («Настройки» > раздел «Характеристики воспроизведения» — здесь сдержится список форматов, доступных для данной конкретной модели, а также указан уровень DRM Widevine).
Использование общего динамического шифрования PlayReady и (или) Widevine DRM
Для работы с этим учебником требуется учетная запись Azure. Дополнительные сведения см. в разделе Бесплатная пробная версия Azure. В Службы мультимедиа версии 2 больше не добавляются новые компоненты или функциональные возможности.
Ознакомьтесь с новейшей версией Служб мультимедиа — версией 3. Также изучите руководство по миграции из версии 2 в версию 3.
Обзор
Службы мультимедиа обеспечивают доставку лицензий PlayReady и DRM Widevine. Они также предоставляют API-интерфейсы, которые вы можете использовать для настройки прав и ограничений, применяемых в среде выполнения PlayReady или Widevine DRM, когда пользователь воспроизводит защищенное содержимое. Когда пользователь запрашивает защищенное содержимое DRM, приложение проигрывателя в свою очередь запрашивает лицензию из службы лицензий служб мультимедиа. Если приложение проигрывателя авторизовано, служба лицензий служб мультимедиа выдает лицензию для проигрывателя. Лицензия PlayReady или Widevine содержит ключ расшифровки, который может использоваться клиентским проигрывателем для расшифровки и потоковой передачи содержимого.
Кроме того, предоставить лицензии Widevine могут следующие партнеры служб мультимедиа:
Дополнительные сведения см. в статьях, посвященных интеграции с Axinom и castLabs.
Службы мультимедиа поддерживают несколько способов авторизации пользователей, которые запрашивают ключи. Для политики авторизации ключа содержимого можно задать одно или несколько ограничений: открытая авторизация или авторизация с помощью маркера. При ограничении с помощью маркера к политике должен прилагаться маркер, выданный службой маркеров безопасности (STS). Службы мультимедиа поддерживают маркеры в форматах простого веб-маркера (SWT) и JSON Web Token (JWT).
Чтобы воспользоваться преимуществами динамического шифрования, создайте ресурс с набором исходных файлов MP4 с несколькими скоростями или Smooth Streaming с несколькими скоростями. Вам также потребуется настроить политику доставки для ресурса (описывается далее в этой статье). В зависимости от формата, указанного в URL-адресе потоковой передачи, сервер потокового воспроизведения по запросу обеспечивает доставку содержимого по выбранному протоколу. Благодаря этому можно хранить и оплачивать файлы в одном формате хранения. Службы мультимедиа создают и обрабатывают соответствующий ответ HTTP на каждый запрос клиента.
Эта статья полезна для разработчиков приложений, которые предоставляют мультимедийные файлы, защищенные с помощью нескольких лицензий DRM, например PlayReady и Widevine. В этой статье объясняется, как настроить политики авторизации для службы доставки лицензий PlayReady, чтобы только авторизованные клиенты могли получать лицензии PlayReady или Widevine. Также показано, как использовать динамическое шифрование с помощью PlayReady или Widevine DRM через DASH.
При создании учетной записи служб мультимедиа в нее добавляется конечная точка потоковой передачи по умолчанию в состоянии «Остановлена». Чтобы начать потоковую передачу содержимого и воспользоваться динамической упаковкой и динамическим шифрованием, конечная точка потоковой передачи, из которой необходимо выполнять потоковую передачу содержимого, должна находиться в состоянии «Выполняется».
Скачивание примера приложения
Пример, описанный в этой статье, можно скачать на странице с примерами Azure в GitHub.
Настройка общего динамического шифрования и службы доставки лицензий DRM
Выполните описанные ниже общие действия для защиты файлов с помощью PlayReady, используя службу доставки лицензий служб мультимедиа и динамическое шифрование.
Создайте ресурс и отправьте в него другие файлы.
Закодируйте ресурс с файлами в набор MP4-файлов с переменной скоростью.
Создайте ключ содержимого и свяжите его с закодированным ресурсом. В службах мультимедиа ключ содержимого содержит ключ шифрования ресурса.
Настройте политику авторизации ключа содержимого. Потребуется настроить политику авторизации для ключа содержимого. Прежде чем ключ содержимого будет доставлен в клиент, его нужно привести в соответствие с политикой.
Когда вы создаете политику авторизации ключа содержимого, задайте метод доставки (PlayReady или Widevine) и ограничения (открытая авторизация или авторизация с помощью маркера). Также укажите сведения, характерные для типа доставки ключей, которые определяют порядок доставки ключа к клиенту (шаблон лицензии PlayReady или Widevine).
Настройте политику доставки для ресурса-контейнера. Конфигурация политики доставки включает протокол доставки (например, MPEG-DASH, HLS, Smooth Streaming или все перечисленные). Конфигурация также включает тип динамического шифрования (например, общее шифрование) и PlayReady или URL-адрес получения лицензии Widevine.
К разным протоколам можно применять разные политики в отношении одного и того же ресурса. Например, вы можете применить шифрование PlayReady при использовании Smooth или DASH и конвертное шифрование AES при использовании HLS. Потоковая передача по тем протоколам, которые не определены в политике доставки (например, если вы добавили одну политику, которая предусматривает использование только протокола HLS), блокируется. Исключением являются те случаи, когда политика доставки ресурсов вообще не определена. Тогда все протоколы разрешено использовать в незашифрованном виде.
Создайте указатель OnDemand, чтобы получить URL-адрес для потоковой передачи.
На следующем изображении показан описанный выше рабочий процесс. В этом случае для аутентификации используется маркер.
В оставшейся части статьи приводятся подробные объяснения, примеры кода и ссылки на статьи с инструкциями для выполнения описанных выше задач.
Текущие ограничения
При добавлении или обновлении политики для доставки ресурсов необходимо удалить любой связанный указатель и создать новый.
Сейчас для шифрования с использованием Widevine с помощью служб мультимедиа не поддерживается использование нескольких ключей содержимого.
Создание ресурса-контейнера и отправка в него файлов
Для кодирования и потоковой передачи видео, а также управления ими сначала необходимо отправить содержимое в службы мультимедиа. Отправленное содержимое будет сохранено в безопасном облачном хранилище для последующей обработки и потоковой передачи.
Кодирование ресурса с файлами в набор MP4-файлов с переменной скоростью
При использовании динамического шифрования создается ресурс, содержащий набор MP4-файлов или исходных файлов Smooth Streaming (оба типа относятся к файлам с несколькими скоростями). Затем с учетом формата, указанного в манифесте или запросе фрагмента, сервер потоковой передачи по запросу организует передачу содержимого по выбранному протоколу. Так можно хранить и оплачивать файлы в одном формате хранения. Службы мультимедиа создают и обрабатывают соответствующий ответ с учетом запросов клиента. Чтобы узнать больше, ознакомьтесь с общими сведениями о динамической упаковке.
Создание ключа содержимого и связывание его с закодированным ресурсом-контейнером
В службах мультимедиа ключ содержимого содержит ключ, который используется для шифрования ресурса-контейнера.
Дополнительные сведения см. в руководстве по созданию ключей содержимого.
Настройка политики авторизации для ключа содержимого
Службы мультимедиа поддерживают несколько способов аутентификации пользователей, которые запрашивают ключи. Потребуется настроить политику авторизации для ключа содержимого. Прежде чем ключ будет доставлен в клиент (проигрыватель), его нужно привести в соответствие с политикой. Для политики авторизации ключа содержимого можно задать одно или несколько ограничений: открытая авторизация или авторизация с помощью маркера.
Настройка политики доставки для ресурса
Настройте политику доставки для ресурса-контейнера. Вот некоторые элементы, входящие в конфигурацию политики доставки:
Создание указателя потоковой передачи по запросу для получения URL-адреса для потоковой передачи
При использовании протоколов Smooth Streaming, DASH или HLS вам необходимо предоставить пользователю URL-адрес для потоковой передачи.
При добавлении или обновлении политики доставки ресурсов необходимо удалить все существующие указатели и создать новый.
Указания по публикации ресурса и созданию URL-адреса потоковой передачи см. в статье Создание URL-адреса потоковой передачи.
Получение маркера тестирования
Получите маркер тестирования в зависимости от ограничения по маркеру, заданного в политике авторизации ключа.
Для проверки потока можно использовать проигрыватель служб мультимедиа Azure.
Создание и настройка проекта Visual Studio
Добавьте следующие элементы в appSettings, определенные в файле app.config:
Пример
Замените код в файле Program.cs кодом, приведенным в этом разделе.
Для разных политик служб мультимедиа действует ограничение в 1 млн записей (например, для политики Locator или ContentKeyAuthorizationPolicy). Если вы используете одни и те же даты, разрешения доступа и т. д., указывайте один и тот же идентификатор политики. Например, это политики для указателей, которые должны оставаться на месте в течение длительного времени (не политики передачи).
Обязательно обновите переменные, чтобы они указывали на папки, в которых находятся входные файлы.
Дополнительные замечания
Дальнейшие действия
Службы мультимедиа версии 3 (последняя версия)
Ознакомьтесь с последней версией Служб мультимедиа Azure.
Службы мультимедиа версии 2 (прежняя версия)
Отзывы
На форуме User Voice можно оставить свои отзывы о работе служб мультимедиа Azure или предложения по их улучшению. Вы также можете перейти непосредственно к одной из следующих категорий:
Как технология Widevine Video работает на Android?
Управление цифровыми правами, или DRM, часто используется правообладателями для ограничить использование цифрового контента определенными устройствами. Он часто применяется к мультимедийному контенту, такому как музыка, фильмы, книги и т. Д. Наш мобильный телефон является идеальным центром воспроизведения мультимедиа с доступом к десяткам платформ, защищенных авторским правом.
Widevine на видеоплатформах
Widevine использует отраслевые стандарты для защищать контент, который распространяется по сети и играет на устройствах. Для этого используется комбинация CENC (Common Шифрование) шифрование, обмен лицензионными ключами и адаптивное качество потоковой передачи, которые управляют видео и доставляют его пользователям.
Уровни безопасности на мобильном телефоне
В Widevine качество воспроизведения зависит от сертификации мобильного телефона, а также от уровня его безопасности. В конечном счете, именно поставщик контента может предоставлять доступ или ограничивать контент, чтобы сделать качество передачи зависимым от безопасности принимающего устройства. К тому же, Widevine имеет три уровня безопасности, являются уровнями L1 и L3, используемыми в Android. От них зависит, что содержимое таких платформ, как Netflix, можно будет просматривать в качестве HD (Widevine L1) или SD (Widevine L3).
Однако возможно, что даже с Widevine L1, определенное устройство не может воспроизводить HD-контент на таких платформах, как Netflix. Это связано с тем, что компании сертифицируют или создают белые списки с терминалами, специально утвержденными для воспроизведения. Однако отсутствие в этих списках не означает, что контент не будет воспроизводиться в HD.
Как узнать, у какого Widevine есть мобильный телефон?
Среди технических характеристик мобильного телефона, коробки, сайта производителя и т. Д. Нелегко сразу найти информацию, касающуюся Widevine. К счастью, есть инструменты, которые позволят нам избавиться от сомнений за секунды. Возможно, лучше всего Информация о DRM, приложение доступно на Гугл игры который предлагает различную информацию об этом программном обеспечении, включая уровень его безопасности.
