AES-128 video-encryptie — Hoe HLS-segmentencryptie werkt

AES-128 video-encryptie

AES-128 (Advanced Encryption Standard met 128-bits sleutel) is een symmetrische blokcipher die in 2001 door NIST werd gestandaardiseerd. Het wordt gebruikt door internetbankieren, overheidscommunicatie en de meeste streamingplatforms ter bescherming van video-inhoud.

In HLS wordt AES-128 op segmentniveau toegepast: elk segmentbestand wordt met een sleutel versleuteld (encryptie), en de player ontsleutelt tijdens het afspelen on the fly.

Hoe HLS AES-128 gebruikt

De HLS-specificatie definieert twee encryptiemodi:

  • AES-128 — encryptie op segmentniveau, sleutel apart geleverd via HTTP. Meest gangbaar.
  • SAMPLE-AES — encryptie op sampleniveau (versleutelt videoframes binnen het segment). Gebruikt met FairPlay DRM.

Voor pagina’s met „versleutelde video-hosting" — cursussen, afgeschermde inhoud, betaalde lidmaatschappen — is AES-128 op segmentniveau de standaard.

Sleutellevering

De encryptiesleutel is een willekeurige waarde van 16 bytes. De HLS-playlist vertelt de player waar hij de sleutel moet ophalen:

#EXT-X-KEY:METHOD=AES-128,URI="https://example.com/key/123",IV=0x1234...

De player haalt de sleutel via HTTP op (meestal met auth-credentials), ontsleutelt de segmenten in het geheugen en geeft ze door aan het video-element.

Single-key vs multi-key

Single-key: één video, één sleutel, één URL. Eenvoudig. Wordt de URL onderschept, dan is de hele video te ontsleutelen.

Multi-key (AVCaption): één video, vele sleutels (één per segment-batch). Elke sleutel wordt via een aparte signed URL opgehaald. Wordt één sleutel-URL onderschept, dan ligt alleen die batch (~60 seconden) bloot. Volledige extractie vereist het onderscheppen van elke sleutel-URL — gecombineerd met rate-limiting en aflopende signed tokens stijgen de kosten van geautomatiseerde piraterij aanzienlijk.

AES-128 vs DRM

AES-128 met sleutellevering wordt soms „DRM-lite" genoemd. Echt DRM (Widevine, PlayReady, FairPlay) voegt toe:

  • Hardware-gebonden ontsleuteling (TEE, Secure Enclave)
  • Licentieservers die afspeelrechten per apparaat en per tijdvenster afdwingen
  • Output-bescherming (HDCP) die schermopname naar niet-DRM-conforme displays blokkeert

DRM is vereist voor studio-gelicentieerde inhoud (Hollywoodfilms, premium series). Voor zelfgeproduceerde inhoud (cursussen, tutorials, B2B-trainingen, betaalde lidmaatschappen) volstaat AES-128 multi-key + signed URLs — en is dit dramatisch goedkoper.

Browserondersteuning

Native HLS-weergave (Safari) ondersteunt AES-128 standaard. HLS.js (Chrome/Firefox/Edge) ontsleutelt in JavaScript via de Web Crypto API. Beide werken op iOS, Android en desktop zonder plugins.

Gerelateerd

← content.back_to_index