La aplicación del cifrado de flujo de fusión requiere que todas las máquinas cliente autorizadas para ver datos cifrados tengan una clave privada instalada. La clave privada debe coincidir con uno de los certificados de cifrado configurados en el Archiver.
Encriptación de dos niveles
- Cifrado de primer nivel: el Archiver recibe el flujo de datos como texto sin formato de la camara. Luego, Archiver cifra el flujo de datos utilizando claves simétricas generadas aleatoriamente que cambian cada minuto. El flujo de claves simétricas se llama secuencia clave maestra . La secuencia de clave maestra es la primera clave necesaria para desbloquear los datos privados. Es compartido por todas las máquinas cliente.
- Cifrado de segundo nivel: para garantizar que solo los clientes autorizados puedan acceder al flujo de clave maestra, Archiver lo protege mediante encriptación de clave pública (Ver RSA ). Archiver cifra la secuencia de clave maestra individualmente para cada cliente autorizado, utilizando un clave pública . Solo el cliente que tiene el clave privada (que coincida con la clave pública) instalado puede desbloquear la secuencia de clave maestra (la primera clave ). La clave privada es la segunda clave necesaria para desbloquear los datos privados. Esta clave privada debe mantenerse en la máquina del cliente.
Las claves públicas y privadas son parte de un certificado de encriptación que se crea para un cliente específico. El certificado también identifica al cliente. Para habilitar el cifrado, el certificado debe ser despojado de su clave privada y entregado al Archiver. Luego, Archiver toma la clave pública del certificado para cifrar la secuencia de clave maestra para ese cliente. Por esta razón, la secuencia de clave maestra cifrada se denomina transmisión clave específica del cliente .
Cuando el cliente solicita datos cifrados, se identifica al Archiver enviando su certificado junto con la solicitud de datos. Según el certificado, Archiver sabe qué cliente está solicitando los datos y envía la secuencia de claves específica del cliente correspondiente con la secuencia de datos cifrados al cliente. Como solo el cliente previsto tiene la clave privada correspondiente, solo el cliente previsto puede descifrar la información.
Resumen
Todos los videos que deben protegerse deben pasar primero por el Archiver antes de ser enviados al cliente solicitante. Archiver cifra el video y envía la información solicitada incluida en una secuencia compuesta llamada flujos de fusión . La secuencia de fusión contiene tanto las secuencias de datos cifradas como sus secuencias de claves específicas del cliente correspondientes.