Fonctionnement du chiffrement flux fusion - Security Center 5.11

Guide de l’administrateur Security Center 5.11

Product
Security Center
Content type
Guides > Guides d'administration
Version
5.11
Language
Français (France)
Last updated
2024-04-03

Pour l'application du chiffrement flux fusion, une clé privée doit être installée sur tous les postes client autorisés à consulter des données chiffrées. La clé privée doit correspondre à l'un des certificats de chiffrement configurés sur l'Archiveur.

Chiffrement à deux niveaux

L'Archiveur utilise une stratégie de chiffrement à deux niveaux pour assurer la confidentialité de vos données.
  • Premier niveau de chiffrement : L'Archiveur reçoit le flux de données en texte en clair de la caméra. L'Archiveur chiffre ensuite le flux de données à l'aide de clés symétriques générées aléatoirement qui changent chaque minute. Le flux de clés symétriques est appelé le flux principal de clés. Le flux principal de clés est la première clé nécessaire pour déverrouiller les données privées. Il est partagé par tous les postes client.
  • Deuxième niveau de chiffrement : Pour garantir que seuls les clients autorisés puissent accéder au flux principal de clés, l'Archiveur le protège par chiffrement à clé publique (voir RSA). L'Archiveur chiffre le flux principal de clés individuellement pour chaque client autorisé à l'aide d'une clé publique. Seul le client qui dispose de la clé privée (correspondant à la clé publique) peut déverrouiller le flux principal de clés (la première clé). La clé privée est la deuxième clé nécessaire pour déverrouiller les données privées. Cette clé privée doit être conservée sur le poste client.

Les clés publiques et privées appartiennent à un certificat de chiffrement créé pour un client particulier. Le certificat identifie également le client. Pour permettre le chiffrement, le certificat doit être amputé de sa clé privée et transmise à l'Archiveur. L'Archiveur extrait alors la clé publique du certificat pour chiffrer le flux principal de clés pour ce client. C'est pour cela que le flux principal de clés chiffré est également appelé le flux client de clés.

Lorsque le client demande des données chiffrées, il s'identifie auprès de l'Archiveur en envoyant son certificat avec la requête. En fonction du certificat, l'Archiveur sait quel client demande les données, et il lui envoie le flux client de clés correspondant avec le flux de données chiffré. Puisque seul le client ciblé possède la clé privée correspondante, il est le seul à pouvoir déchiffrer les informations.

Genetec™ Mobile et Genetec™ Web App ne peuvent pas déchiffrer directement les flux fusion. Lorsqu'un client mobile ou Web demande une vidéo chiffrée, le rôle Passerelle multimédia déchiffre le flux fusion. Le système transmet ensuite le flux vidéo au demandeur par l'intermédiaire du rôle (Mobile Server ou Serveur Web App) qui le gère. Cette transmission est sécurisée via Transport Layer Security (TLS).
REMARQUE : Pour déchiffrer une vidéo chiffrée par flux fusion, vous devez installer un certificat de chiffrement avec une clé privée sur le serveur qui héberge le rôle Passerelle multimédia.

Summary

Toute vidéo qui doit être protégée doit d'abord passer par l'Archiveur avant d'être acheminée vers le client qui a émis la requête. L'Archiveur chiffre la vidéo, puis envoie les informations demandées imbriquées dans un flux composite appelé le flux fusion. Le flux fusion contient à la fois les flux de données chiffrés et les flux client de clés correspondants.

Si le flux fusion est intercepté par un tiers en chemin vers le client cible, il reste protégé car le tiers ne possède pas la clé privée et ne peut donc pas déchiffrer le contenu.
BONNE PRATIQUE : Il est recommandé de créer le certificat de chiffrement sur le poste client qui demandera l'accès à la vidéo. Vous limitez ainsi le degré d'exposition de la clé privée.