Como a criptografia de transmissão de fusão funciona? - Security Center 5.9

Guia do Administrador do Security Center 5.9

series
Security Center 5.9
revised_modified
2020-01-20

A aplicação da criptografia de transmissão de fusão requer que todas as máquinas clientes autorizadas a ver dados criptografados tenham uma chave privada instalada. A chave privada deve corresponder a um dos certificados de criptografia configurados no Archiver.

Criptografia em dois níveis

O Archiver usa uma estratégia de criptografia de dois níveis para proteger a privacidade de seus dados.
  • Criptografia de primeiro nível: O Archiver recebe a transmissão de dados como texto simples da câmera. Em seguida, o Archiver criptografa a transmissão de dados usando chaves simétricas geradas aleatoriamente que mudam a cada minuto. O fluxo de chaves simétricas é chamado de transmissão de chave principal. A transmissão de chave principal é a primeira chave necessária para desbloquear os dados privados. Ele é compartilhado por todas as máquinas clientes.
  • Criptografia de segundo nível: Para garantir que somente clientes autorizados possam acessar a transmissão de chave principal, o Archiver a protege usando criptografia por chave pública (consulte RSA). O Archiver criptografa o fluxo de chaves principal individualmente para cada cliente autorizado, usando uma chave pública. Somente o cliente que tem a chave privada (correspondente à chave pública) instalada pode desbloquear a transmissão de chave principal (a primeira chave). A chave privada é a segunda chave necessária para desbloquear os dados privados. Essa chave privada deve ser mantida na máquina cliente.

As chaves públicas e privadas fazem parte de um certificado de criptografia que é criado para um cliente específico. O certificado também identifica o cliente. Para ativar a criptografia, o certificado deve ser removido de sua chave privada e entregue ao Archiver. O Archiver então pega a chave pública do certificado para criptografar o fluxo de chaves principal para aquele cliente. Por esse motivo, o fluxo de chave mestre criptografada é chamado de transmissão de chave específica do cliente.

Quando o cliente solicita dados criptografados, ele se identifica ao Archiver enviando seu certificado junto com a solicitação de dados. Com base no certificado, o Archiver sabe qual cliente está solicitando os dados e envia o fluxo de chave específico do cliente correspondente ao fluxo de dados criptografados para o cliente. Uma vez que apenas o cliente pretendido tem a chave privada correspondente, apenas o cliente pretendido pode descriptografar as informações.

Resumo

Todos os vídeos que devem ser protegidos devem passar pelo Archiver antes de serem enviados para o cliente solicitante. O Archiver criptografa o vídeo e envia as informações solicitadas agrupadas em um fluxo composto chamado de transmissão de fusão. O fluxo de fusão contém os fluxos de dados criptografados e seus fluxos de chave específica do cliente correspondentes.

Se o fluxo de fusão é interceptado por uma parte não autorizada em seu caminho para o cliente pretendido, ele permanece protegido porque a parte não autorizada não tem a chave privada e, portanto, não pode descriptografar os dados contidos dentro.
MELHOR PRÁTICA: É recomendável criar o certificado de criptografia na máquina cliente que solicitará a exibição do vídeo. Isso limita a exposição da chave privada.