AES-128 Video-Verschlüsselung
AES-128 (Advanced Encryption Standard mit 128-Bit-Schlüssel) ist eine symmetrische Blockchiffre, die 2001 von der NIST standardisiert wurde. Sie wird im Online-Banking, in Regierungskommunikation und in den meisten Streaming-Plattformen zum Schutz von Videoinhalten eingesetzt.
In HLS wird AES-128 auf Segmentebene angewendet: jede Segmentdatei wird mit einem Schlüssel verschlüsselt (Verschlüsselung, encryption), und der Player entschlüsselt während der Wiedergabe in Echtzeit.
Wie HLS AES-128 nutzt
Die HLS-Spezifikation definiert zwei Verschlüsselungsmodi:
- AES-128 — Verschlüsselung auf Segmentebene, Schlüssel separat per HTTP geliefert. Am verbreitetsten.
- SAMPLE-AES — Verschlüsselung auf Sample-Ebene (verschlüsselt einzelne Videoframes innerhalb des Segments). Wird mit FairPlay DRM eingesetzt.
Für „verschlüsseltes Video-Hosting" — Kurse, geschützte Inhalte, kostenpflichtige Mitgliedschaften — ist AES-128 auf Segmentebene Standard.
Schlüsselauslieferung
Der Schlüssel ist ein 16 Byte langer Zufallswert. Die HLS-Playlist sagt dem Player, wo er den Schlüssel holen soll:
#EXT-X-KEY:METHOD=AES-128,URI="https://example.com/key/123",IV=0x1234...
Der Player holt den Schlüssel per HTTP (in der Regel mit Auth-Daten), entschlüsselt die Segmente im Speicher und übergibt sie an das Video-Element.
Single-Key vs Multi-Key
Single-Key: ein Video, ein Schlüssel, eine URL. Einfach. Wird die URL abgegriffen, lässt sich das gesamte Video entschlüsseln.
Multi-Key (AVCaption): ein Video, viele Schlüssel (einer pro Segment-Batch). Jeder Schlüssel wird über eine separate signierte URL geholt. Wird eine einzelne Schlüssel-URL abgegriffen, ist nur dieser Batch (~60 Sekunden) betroffen. Eine vollständige Extraktion erfordert das Abgreifen jeder Schlüssel-URL — kombiniert mit Rate-Limiting und ablaufenden Tokens steigt der Aufwand für automatisierte Piraterie deutlich.
AES-128 vs DRM
AES-128 mit Schlüsselauslieferung wird umgangssprachlich „DRM-Lite" genannt (informeller Branchenbegriff — streng genommen ist es Transport-Verschlüsselung, kein Rights Management). Echtes DRM (Widevine, PlayReady, FairPlay) ergänzt:
- Hardwaregebundene Entschlüsselung (TEE, Secure Enclave)
- Lizenzserver, die Wiedergaberechte pro Gerät und Zeitfenster durchsetzen
- Output-Schutz (HDCP), der die Bildschirmaufnahme auf nicht-DRM-konforme Displays blockiert
DRM ist Pflicht für studio-lizenzierten Content (Kinofilme, Premium-Broadcast-Serien, vertraglich erzwungene Rechtedeals). Für eigenproduzierten Content (Kurse, Tutorials, B2B-Trainings, bezahlte Memberships) ist der Standard-Trade-off AES-128 Multi-Key plus signierte URLs plus zuschauerspezifisches Wasserzeichen — substantiell günstiger, vergleichbarer praktischer Schutz, einfacher auszuliefern. Die volle Entscheidungsmatrix steht in AES-128 vs DRM für Online-Kurse.
Browser-Unterstützung
Native HLS-Wiedergabe (Safari) unterstützt AES-128 von Haus aus. HLS.js (Chrome/Firefox/Edge) entschlüsselt in JavaScript über die Web Crypto API. Beides läuft auf iOS, Android und Desktop ohne Plugins.