¿Cómo funciona la encriptación de flujos de fusión? - Security Center 5.8

Guía para el Administrador de Security Center 5.8

Applies to
Security Center 5.8
Last updated
2019-08-28
Language
Español
Product
Security Center
Version
5.8

La aplicación de la encriptación de flujos de fusión requiere que todas las máquinas de clientes autorizadas para ver datos encriptados tengan instalada una clave privada. La clave privada debe coincidir con uno de los certificados de encriptación configurados en el Archiver.

Encriptación de dos niveles

El Archiver utiliza una estrategia de encriptación de dos niveles para proteger la privacidad de sus datos.
  • Encriptación de primer nivel: El Archiver recibe la secuencia de datos como texto sin formato de la cámara. Luego, el Archiver encripta la secuencia de datos con claves simétricas generadas de manera aleatoria que cambian a cada minuto. La secuencia de claves simétricas se denomina secuencia de clave maestra. La secuencia de clave maestra es la primera clave necesaria para desbloquear los datos privados. La comparten todas las máquinas de clientes.
  • Encriptación de segundo nivel: Para garantizar que solo los clientes autorizados tengan acceso a la secuencia de clave maestra, el Archiver la protege con encriptación de la clave pública (consulte Restricted Security Area Surveillance). El Archiver encripta la secuencia de clave maestra de forma individual para cada cliente autorizado, usando una clave pública. Solo el cliente que tiene la clave privada (que coincida con la clave pública) instalada puede desbloquear la secuencia de clave maestra (la primera clave). La clave privada es la segunda clave necesaria para desbloquear los datos privados. Esta clave privada se debe conservar en la máquina del cliente.

Las claves pública y privada son parte de un certificado de encriptación que se crea para un cliente determinado. El certificado también identifica al cliente. Para habilitar la encriptación, se debe quitar la clave privada del certificado y entregársela al Archiver. Luego, el Archiver toma la clave pública del certificado para encriptar la secuencia de clave maestra para ese cliente. Por este motivo, la secuencia de clave maestra encriptada se denomina transmisión clave específica del cliente.

Cuando el cliente solicita datos encriptados, se identifica a sí mismo ante el Archiver enviando su certificado junto con la solicitud de datos. Sobre la base del certificado, el Archiver sabe qué cliente está solicitando los datos y envía la transmisión clave específica del cliente correspondiente con la secuencia de datos encriptados al cliente. Debido a que solo el cliente deseado tiene la clave privada que coincide, solo el cliente deseado puede desencriptar la información.

Resumen

Todos los videos que deben protegerse deben pasar primero por el Archiver antes de que se envíen al cliente que los solicita. El Archiver encripta el video y envía la información solicitada incluida en una secuencia compuesta denominada flujos de fusión. El flujo de fusión contiene tanto secuencias de datos encriptados como sus secuencias de claves específicas del cliente correspondientes.

Si una parte no autorizada intercepta el flujo de fusión en su trayecto hacia el cliente deseado, permanece protegida porque esta parte no autorizada no tiene la clave privada y, por lo tanto, no puede desencriptar los datos que contiene.
MEJOR PRÁCTICA: Se recomienda crear el certificado de encriptación en la máquina del cliente que solicitará visualizar el video. Esto limita la exposición de la clave privada.