mod_crypto Support du chiffrement/déchiffrement symétrique Extension mod_crypto.c crypto_module Disponible à partir de la version 2.5 du serveur HTTP Apache

Ce module permet de chiffrer et déchiffrer les données au niveau des piles de filtrage en entrée et en sortie.

En particulier, il permet d'effectuer un chiffrement HLS à la volée comme décrit dans le document draft-pantos-http-live-streaming-19.

Mais il peut aussi assurer la livraison sécurisée de données via un CDN non sécurisé aux clients qui le supportent.

Selon les besoins, on peut ajouter le filtre crypto à la pile de filtrage en entrée ou en sortie via les directives SetInputFilter, SetOutputFilter, AddOutputFilter ou AddOutputFilterByType.

Filtres
Format du flux de données

Le flux de données chiffrées comporte un bloc IV optionnel suivi des données chiffrées avec l'algorithme de chiffrement choisi. Le bloc final est éventuellement complété par bourrage avant d'être écrit. La taille des blocs est déterminée par l'algorithme de chiffrement choisi.

Lorsque le bloc IV est spécifié via la directive CryptoIV, il est utilisé, mais n'est pas injecté dans le flux d'entrée/sortie.

Clés et blocs IV

Les directives CryptoKey et CryptoIV acceptent comme arguments des valeurs binaires qui peuvent être spécifiées comme indiqué ci-après. Les bits les plus significatifs de ces valeurs sont utilisés, et si les valeurs sont trop petites, elles sont complétées par bourrage avec des bits à 0 par la gauche.

file:
La valeur est lue directement depuis le fichier spécifié.
hex:
Interprète l'expression en tant que valeur hexadécimale qui peut contenir des caractères ':' comme séparateurs.
decimal:
Interprète l'expression en tant que valeur décimale.
base64:
Interprète l'expression en tant que valeur codée en base64.
none
Aucune valeur n'est spécifiée.

Si le IV n'est pas spécifié, un IV aléatoire sera généré au cours du chiffrement et écrit comme premier bloc. Lors du déchiffrement, le premier bloc sera interprété en tant que IV.

A l'exception du format file:, les directives CryptoKey et CryptoIV supportent la syntaxe des expressions qui fournit plus de flexibilité pour définir les valeurs. Les clés et IVs peuvent ainsi être initialisées aléatoirement via des valeurs disponibles au niveau du serveur web comme REMOTE_USER ou l'URL.

Gestionnaire de clé de chiffrement

Le gestionnaire crypto-key permet de fournir la clé aux clients autorisés qui le supportent sans avoir à stocker cette dernière dans l'arborescence du serveur web. La même syntaxe d'expression peut ainsi être utilisée afin d'obtenir la clé pour les clients et pour le contenu chiffré.

Gestionnaire de clé de chiffrement avec un fichier <Location /key>
SetHandler crypto-key
CryptoCipher aes128
CryptoKey file:/path/to/file.key
AuthType basic
...
</Location>
HTTP Live Streaming (HLS)

Le protocole HLS supporte les flux chiffrés qui utilisent l'algorithme de chiffrement AES-128 et une clé correspondante. On autorise l'accès au flux en partageant la clé avec le client HLS en général via une connexion sécurisée.

Le IV utilisé pour le chiffrement de chaque segment de media est spécifié dans HLS de deux manières :

La valeur de la séquence de media est en générale incorporée dans les noms de segment de média et peut être recherchée en utilisant des expressions rationnelles nommées comme dans l'exemple ci-dessous.

Exemple HLS - IV de la séquence de média <LocationMatch (?<SEQUENCE>[\d]+)[^\d^/]+$>
SetOutputFilter ENCRYPT
CryptoCipher aes128
CryptoKey file:/path/to/file.key
CryptoIV decimal:%{env:MATCH_SEQUENCE}
</LocationMatch>
CryptoDriver Nom du pilote crypto à utiliser CryptoDriver name CryptoDriver openssl server config

La directive CryptoDriver permet de spécifier le nom du pilote crypto à utiliser. Un pilote recommandé par défaut est en général défini pour chaque plateforme. Les pilotes supportés sont openssl, commoncrypto et nss.

CryptoCipher L'algorithme de chiffrement que le filtre crypto doit utiliser CryptoCipher name CryptoCipher aes256 server config virtual host directory .htaccess

La directive CryptoCipher permet de spécifier l'algorithme de chiffrement à utiliser au cours des phases de chiffrement et de déchiffrement. L'algorithme de chiffrement par défaut est aes256.

C'est le pilote crypto utilisé qui détermine l'étendue du choix des algorithmes de chiffrement parmi les valeurs possibles suivantes :

  • 3des192
  • aes128
  • aes192
  • aes256
CryptoIV Le Vecteur d'Initialisation IV (Initialisation Vector) que le filtre crypto doit utiliser CryptoIV value CryptoIV none server config virtual host directory .htaccess

La directive CryptoIV permet de spécifier le IV (Initialisation Vector) pour l'espace d'URL considéré. Le IV peut être lu à partir d'un fichier ou défini via l'interpréteur d'expressions, ce qui confère plus de souplesse aux scénarios de définition des clés.

Les valeurs possibles peuvent être lues depuis un fichier ou exprimées sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes suivants :

  • file:
  • hex:
  • decimal:
  • base64:

La valeur 'none' désactive la définition du IV. Dans ce cas, un IV aléatoire sera généré durant le chiffrement et inséré en tant que premier bloc ; au cours du déchiffrement, le premier bloc sera interprété comme bloc IV.

CryptoKey Clé que le filtre crypto doit utiliser CryptoKey value CryptoKey none server config virtual host directory .htaccess

La directive CryptoKey permet de spécifier la clé de chiffrement/déchiffrement pour l'espace d'URL considéré. La clé peut être lue depuis un fichier ou défini via l'interpréteur d'expressions, ce qui confère plus de souplesse aux scénarios de définition des clés.

Les valeurs possibles peuvent être lues depuis un fichier ou exprimées sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes suivants :

  • file:
  • hex:
  • decimal:
  • base64:

La valeur 'none' désactive la clé. Toute requête pour obtenir sans clé un fichier via les filtres ENCRYPT ou DECRYPT se soldera alors par un échec.

CryptoSize Taille maximale en octets du tampon utilisé par le filtre crypto CryptoSize integer CryptoSize 131072 server config virtual host directory .htaccess

La directive CryptoSize permet de spécifier la quantité de données en octets qui sera mise en tampon pour chaque requête avant d'être chiffrée ou déchiffrée. La valeur par défaut est 128 Ko.