フュージョンストリーム暗号化のしくみ - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

フュージョンストリーム暗号化を適用するには、暗号化されたデータを表示する権限を持つすべてのクライアントに秘密キーがインストールされている必要があります。秘密キーは、Archiver で構成されたいずれかの暗号化証明書と一致する必要があります。

2 レベル暗号化

Archiver は、2 レベル暗号化方式を使用してデータのプライバシーを保護します。
  • 第 1 レベルの暗号化: Archiver は、カメラからプレーンテキストでデータストリームを受信します。Archiver は、ランダムに生成され、1 分ごとに変更される対称キーを使用してデータストリームを暗号化します。対称キーのストリームはマスター・キー・ストリームと呼ばれます。マスター・キー・ストリームは、プライベートデータをロック解除するのに必要な第 1 キーです。このキーはすべてのクライアントマシンで共有されます。
  • 第 2 レベルの暗号化: 許可されたクライアントのみがマスター・キー・ストリームにアクセスできるようにするため、Archiver は公開キー暗号化を使用してこのキーを保護します (「RSA」を参照)。Archiver は、公開キーを使用して、許可された各クライアントのマスター・キー・ストリームを別個に暗号化します。(公開キーと一致する) 秘密キーがインストールされているクライアントのみが、マスター・キー・ストリーム (第 1 キー) をロック解除できます。秘密キーは、プライベートデータをロック解除するのに必要な第 2 キーです。この秘密キーは、クライアントマシンに保存されている必要があります。

公開キーと秘密キーは、特定のクライアントのために作成された暗号化証明書の一部です。この証明書はクライアントも識別します。暗号化を有効にするには、証明書から秘密キーを取り除き、その証明書を Archiver に渡す必要があります。Archiver は、証明書から公開キーを取り出し、そのクライアント用のマスター・キー・ストリームを暗号化します。このため、暗号化されたマスター・キー・ストリームはクライアント専用キーストリームと呼ばれます。

クライアントは、暗号化されたデータを要求するときにデータ要求とともに自身の証明書を送信することで、Archiver に対して自身の身元を明らかにします。Archiver は、この証明書に基づいてデータを要求しているクライアントを識別し、対応するクライアント専用キーストリームを暗号化されたデータストリームとともにクライアントに送信します。目的とするクライアントのみが一致する秘密キーを持っているため、目的とするクライアントのみが情報の暗号化を解除できます。

概要

保護する必要があるすべての動画は、要求元のクライアントに送信される前に Archiver を経由する必要があります。Archiver は、動画を暗号化し、要求された情報をフュージョンストリームという名前の複合ストリームにバンドルして送信します。フュージョンストリームには、暗号化されたデータストリームと、それに対応するクライアント専用キーストリームの両方が含まれています。

フュージョンストリームが目的とするクライアントへの転送中に権限のない利用者によって傍受されても、権限のない利用者は秘密キーを持っておらず、ストリームに含まれているデータの暗号化を解除できないため、ストリームは保護され続けます。
要確認: 動画の表示を要求するクライアントマシン上で暗号化証明書を作成することをお勧めします。これにより、秘密キーの露出を抑えることができます。