Um Fusion-Streamverschlüsselung nutzen zu können, muss auf allen Clientcomputern, die eine Berechtigung zur Anzeige von verschlüsselten Daten haben, ein privater Schlüssel installiert sein. Der private Schlüssel muss mit einem der Verschlüsselungszertifikate übereinstimmen, die auf dem Archiver konfiguriert sind.
Zweistufige Verschlüsselung
- Erste Verschlüsselungsstufe: Der Archiver erhält den Datenstrom als Klartext von der Kamera. Dann verschlüsselt der Archiver den Datenstream mit zufällig generierten symmetrischen Schlüsseln, die sich minütlich ändern. Der Stream von symmetrischen Schlüsseln wird Master-Schlüsselstream genannt. Der Master Key Stream ist der erste Schlüssel, der für das Entsperren der privaten Daten benötigt wird. Er wird von allen Clientcomputern geteilt.
- Zweite Verschlüsselungsstufe: Um sicherzustellen, dass nur autorisierte Clients Zugriff auf den Master Key Stream haben, wird er vom Archiver mithilfe eines Public-Key-Verschlüsselung geschützt (siehe RSA). Mit einem Public Key verschlüsselt der Archiver den Master Key Stream individuell für jeden autorisierten Client. Nur der Client, der den Privater Schlüssel (passend zum öffentlichen Schlüssel) installiert hat, kann den Master Key Stream (den ersten Schlüssel) entsperren. Der private Key ist der zweite Schlüssel, der für das Entsperren der privaten Daten benötigt wird. Der private Schlüssel muss auf dem Clientcomputer verbleiben.
Der öffentliche und private Schlüssel sind Teil eines Verschlüsselungszertifikat, das für einen spezifischen Client erstellt wird. Das Zertifikat identifiziert auch den Client. Um die Verschlüsselung zu aktivieren, muss das Zertifikat von dessen privatem Schlüssel getrennt und dem Archiver übergeben werden. Der Archiver nutzt dann den öffentlichen Schlüssel des Zertifikats, um den Master Key Stream für diesen Client zu verschlüsseln. Aus diesem Grund wird der verschlüsselte Master Key Stream Client-spezifischer Schlüsselstream genannt.
Wenn der Client verschlüsselte Daten anfordert, identifiziert er sich dem Archiver gegenüber, indem er sein Zertifikat zusammen mit dieser Datenanforderung sendet. Basierend auf diesem Zertifikat weiß der Archiver, welcher Client die Daten anfordert und sendet dann den entsprechenden Client-spezifischen Schlüsselstream mit dem verschlüsselten Datenstream an den Client. Da nur der beabsichtigte Client den passenden privaten Schlüssel hat, kann auch nur er die Information entschlüsseln.
Zusammenfassung
Alle zu schützenden Videos müssen erst durch den Archiver laufen, bevor sie an den anfordernden Client gesendet werden. Der Archiver verschlüsselt das Video und sendet die angeforderten Informationen gebündelt in einem Stream, dem Fusion-Stream. Der Fusion-Stream enthält sowohl die verschlüsselten Datenstreams als auch deren entsprechende, Client-spezifischen Schlüsselstreams.