mod_crypto
Support du chiffrement/déchiffrement symétrique
Extension
mod_crypto.c
crypto_module
Disponible à partir de la version 2.5 du serveur HTTP Apache
Ce module permet de chiffrer et déchiffrer les données au
niveau des piles de filtrage en entrée et en sortie.
En particulier, il permet d'effectuer un chiffrement HLS à la
volée comme décrit dans le document draft-pantos-http-live-streaming-19.
Mais il peut aussi assurer la livraison sécurisée de données via un CDN
non sécurisé aux clients qui le supportent.
Selon les besoins, on peut ajouter le filtre crypto à la pile de filtrage
en entrée ou en sortie via les directives SetInputFilter, SetOutputFilter, AddOutputFilter ou AddOutputFilterByType.
Filtres
Clés et blocs IV
Les directives CryptoKey et
CryptoIV acceptent comme
arguments des valeurs binaires qui peuvent être spécifiées comme indiqué
ci-après. Les bits les plus significatifs de ces valeurs sont utilisés, et
si les valeurs sont trop petites, elles sont complétées par bourrage avec
des bits à 0 par la gauche.
- file:
- La valeur est lue directement depuis le fichier spécifié.
- hex:
- Interprète l'expression en tant que valeur hexadécimale qui
peut contenir des caractères ':' comme séparateurs.
- decimal:
- Interprète l'expression en tant que valeur décimale.
- base64:
- Interprète l'expression en tant que valeur codée en
base64.
- none
- Aucune valeur n'est spécifiée.
Si le IV n'est pas spécifié, un IV aléatoire sera généré au cours du
chiffrement et écrit comme premier bloc. Lors du déchiffrement, le premier
bloc sera interprété en tant que IV.
A l'exception du format file:, les directives CryptoKey et CryptoIV supportent la syntaxe des expressions qui fournit plus de
flexibilité pour définir les valeurs. Les clés et IVs peuvent ainsi être
initialisées aléatoirement via des valeurs disponibles au niveau du serveur
web comme REMOTE_USER ou l'URL.
Gestionnaire de clé de chiffrement
Le gestionnaire crypto-key permet de fournir la clé aux
clients autorisés qui le supportent sans avoir à stocker cette dernière dans
l'arborescence du serveur web. La même syntaxe
d'expression peut ainsi être utilisée afin d'obtenir la clé pour les
clients et pour le contenu chiffré.
Gestionnaire de clé de chiffrement avec un fichier
<Location /key>
SetHandler crypto-key
CryptoCipher aes128
CryptoKey file:/path/to/file.key
AuthType basic
...
</Location>
HTTP Live Streaming (HLS)
Le protocole HLS supporte les flux chiffrés qui utilisent l'algorithme de
chiffrement AES-128 et une clé correspondante. On autorise l'accès au flux
en partageant la clé avec le client HLS en général via une connexion
sécurisée.
Le IV utilisé pour le chiffrement de chaque segment de media est spécifié
dans HLS de deux manières :
-
Spécifié explicitement via un attribut IV dans le tag EXT-X-KEY sous
la forme d'une valeur hexadécimale.
-
Spécifié implicitement en interprétant la valeur
décimale du tag EXT-X-MEDIA-SEQUENCE.
La valeur de la séquence de media est en générale incorporée dans les
noms de segment de média et peut être recherchée en utilisant des
expressions rationnelles nommées comme dans l'exemple ci-dessous.
Exemple HLS - IV de la séquence de média
<LocationMatch (?<SEQUENCE>[\d]+)[^\d^/]+$>
SetOutputFilter ENCRYPT
CryptoCipher aes128
CryptoKey file:/path/to/file.key
CryptoIV decimal:%{env:MATCH_SEQUENCE}
</LocationMatch>
CryptoDriver
Nom du pilote crypto à utiliser
CryptoDriver name
CryptoDriver openssl
server config
La directive CryptoDriver
permet de spécifier le nom du pilote crypto à utiliser. Un pilote recommandé
par défaut est en général défini pour chaque plateforme. Les pilotes
supportés sont openssl, commoncrypto et
nss.
CryptoCipher
L'algorithme de chiffrement que le filtre crypto doit utiliser
CryptoCipher name
CryptoCipher aes256
server config
virtual host
directory
.htaccess
La directive CryptoCipher permet de spécifier
l'algorithme de chiffrement à utiliser au cours des phases de chiffrement et
de déchiffrement. L'algorithme de chiffrement par défaut est
aes256.
C'est le pilote crypto utilisé qui détermine l'étendue du choix des algorithmes de
chiffrement parmi les valeurs possibles suivantes :
- 3des192
- aes128
- aes192
- aes256
CryptoIV
Le Vecteur d'Initialisation IV (Initialisation Vector) que le
filtre crypto doit utiliser
CryptoIV value
CryptoIV none
server config
virtual host
directory
.htaccess
La directive CryptoIV permet de spécifier le IV
(Initialisation Vector) pour l'espace d'URL considéré. Le IV peut être lu à
partir d'un fichier ou défini via l'interpréteur
d'expressions, ce qui confère plus de souplesse aux scénarios de
définition des clés.
Les valeurs possibles peuvent être lues depuis un fichier ou exprimées
sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes
suivants :
La valeur 'none' désactive la définition du IV. Dans ce cas, un IV
aléatoire sera généré durant le chiffrement et inséré en tant que premier
bloc ; au cours du déchiffrement, le premier bloc sera interprété comme bloc
IV.
CryptoKey
Clé que le filtre crypto doit utiliser
CryptoKey value
CryptoKey none
server config
virtual host
directory
.htaccess
La directive CryptoKey permet de spécifier la clé
de chiffrement/déchiffrement pour l'espace d'URL considéré. La clé peut être
lue depuis un fichier ou défini via l'interpréteur
d'expressions, ce qui confère plus de souplesse aux scénarios de
définition des clés.
Les valeurs possibles peuvent être lues depuis un fichier ou exprimées
sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes
suivants :
La valeur 'none' désactive la clé. Toute requête pour obtenir sans clé un fichier
via les filtres ENCRYPT ou DECRYPT se soldera alors par un échec.
CryptoSize
Taille maximale en octets du tampon utilisé par le filtre crypto
CryptoSize integer
CryptoSize 131072
server config
virtual host
directory
.htaccess
La directive CryptoSize permet
de spécifier la quantité de données en octets qui sera mise en tampon pour
chaque requête avant d'être chiffrée ou déchiffrée. La valeur par défaut est
128 Ko.