Cifratura video AES-128 — Come funziona la cifratura dei segmenti HLS

Cifratura video AES-128

AES-128 (Advanced Encryption Standard con chiave a 128 bit) è una cifra (cifratura) a blocchi simmetrica standardizzata da NIST nel 2001. È usata dall’online banking, dalle comunicazioni governative e dalla maggior parte delle piattaforme di streaming per proteggere i contenuti video.

In HLS, AES-128 è applicata a livello di segmento: ogni file di segmento viene cifrato con una chiave e il player decifra al volo durante la riproduzione.

Come HLS usa AES-128

La specifica HLS definisce due modalità di cifratura:

  • AES-128 — cifratura a livello di segmento, chiave consegnata separatamente via HTTP. La più diffusa.
  • SAMPLE-AES — cifratura a livello di sample (cifra i fotogrammi all’interno del segmento). Usata con FairPlay DRM.

Per le pagine di “hosting video cifrato” — corsi, contenuti riservati, abbonamenti a pagamento — AES-128 a livello di segmento è lo standard.

Consegna della chiave

La chiave di cifratura è un valore casuale di 16 byte. La playlist HLS indica al player dove recuperare la chiave:

#EXT-X-KEY:METHOD=AES-128,URI="https://example.com/key/123",IV=0x1234...

Il player recupera la chiave via HTTP (di norma con credenziali di autenticazione), decifra i segmenti in memoria e li passa all’elemento video.

Singola chiave vs multi-chiave

Singola chiave: un video, una chiave, un URL. Semplice. Se l’URL viene catturato, l’intero video è decifrabile.

Multi-chiave (AVCaption): un video, molte chiavi (una per batch di segmenti). Ogni chiave è recuperata tramite un URL firmato distinto. Se viene catturato un singolo URL di chiave, è esposto solo quel batch (~60 secondi). L’estrazione completa richiede di catturare ogni URL di chiave: combinata con rate-limiting e scadenza dei token firmati, fa salire molto il costo della pirateria automatizzata.

AES-128 vs DRM

AES-128 con consegna della chiave è talvolta chiamata “DRM-lite”. Il vero DRM (Widevine, PlayReady, FairPlay) aggiunge:

  • Decifratura legata all’hardware (TEE, Secure Enclave)
  • Server di licenza che applicano diritti di riproduzione per dispositivo e finestra temporale
  • Protezione dell’output (HDCP) che blocca la cattura schermo verso display non conformi

Il DRM è obbligatorio per contenuti su licenza degli studios (film hollywoodiani, serie premium). Per contenuti auto-prodotti (corsi, tutorial, formazione B2B, abbonamenti) AES-128 multi-chiave + URL firmati è sufficiente — e nettamente più economico.

Supporto browser

La riproduzione HLS nativa (Safari) supporta AES-128 di default. HLS.js (Chrome/Firefox/Edge) decifra in JavaScript tramite la Web Crypto API. Entrambi funzionano su iOS, Android e desktop senza plugin.

Correlati

← content.back_to_index