Module Apache mod_crypto

Langues Disponibles: en | fr

Description:	Support du chiffrement/déchiffrement symétrique
Statut:	Extension
Identificateur de Module:	crypto_module
Fichier Source:	mod_crypto.c
Compatibilité:	Disponible à partir de la version 2.5 du serveur HTTP Apache

Sommaire

Ce module permet de chiffrer et déchiffrer les données au niveau des piles de filtrage en entrée et en sortie.

En particulier, il permet d'effectuer un chiffrement HLS à la volée comme décrit dans le document draft-pantos-http-live-streaming-19.

Mais il peut aussi assurer la livraison sécurisée de données via un CDN non sécurisé aux clients qui le supportent.

Selon les besoins, on peut ajouter le filtre crypto à la pile de filtrage en entrée ou en sortie via les directives SetInputFilter, SetOutputFilter, AddOutputFilter ou AddOutputFilterByType.

Directives

CryptoCipher
CryptoDriver
CryptoIV
CryptoKey
CryptoSize

Traitement des bugs

Voir aussi

Filtres
Commentaires

Format du flux de données ¶

Le flux de données chiffrées comporte un bloc IV optionnel suivi des données chiffrées avec l'algorithme de chiffrement choisi. Le bloc final est éventuellement complété par bourrage avant d'être écrit. La taille des blocs est déterminée par l'algorithme de chiffrement choisi.

Lorsque le bloc IV est spécifié via la directive CryptoIV, il est utilisé, mais n'est pas injecté dans le flux d'entrée/sortie.

Clés et blocs IV ¶

Les directives CryptoKey et CryptoIV acceptent comme arguments des valeurs binaires qui peuvent être spécifiées comme indiqué ci-après. Les bits les plus significatifs de ces valeurs sont utilisés, et si les valeurs sont trop petites, elles sont complétées par bourrage avec des bits à 0 par la gauche.

file:: La valeur est lue directement depuis le fichier spécifié.
hex:: Interprète l'expression en tant que valeur hexadécimale qui peut contenir des caractères ':' comme séparateurs.
decimal:: Interprète l'expression en tant que valeur décimale.
base64:: Interprète l'expression en tant que valeur codée en base64.
none: Aucune valeur n'est spécifiée.

Si le IV n'est pas spécifié, un IV aléatoire sera généré au cours du chiffrement et écrit comme premier bloc. Lors du déchiffrement, le premier bloc sera interprété en tant que IV.

A l'exception du format file:, les directives CryptoKey et CryptoIV supportent la syntaxe des expressions qui fournit plus de flexibilité pour définir les valeurs. Les clés et IVs peuvent ainsi être initialisées aléatoirement via des valeurs disponibles au niveau du serveur web comme REMOTE_USER ou l'URL.

Gestionnaire de clé de chiffrement ¶

Le gestionnaire crypto-key permet de fournir la clé aux clients autorisés qui le supportent sans avoir à stocker cette dernière dans l'arborescence du serveur web. La même syntaxe d'expression peut ainsi être utilisée afin d'obtenir la clé pour les clients et pour le contenu chiffré.

Gestionnaire de clé de chiffrement avec un fichier

<Location /key> SetHandler crypto-key CryptoCipher aes128 CryptoKey file:/path/to/file.key AuthType basic ... </Location>

HTTP Live Streaming (HLS) ¶

Le protocole HLS supporte les flux chiffrés qui utilisent l'algorithme de chiffrement AES-128 et une clé correspondante. On autorise l'accès au flux en partageant la clé avec le client HLS en général via une connexion sécurisée.

Le IV utilisé pour le chiffrement de chaque segment de media est spécifié dans HLS de deux manières :

Spécifié explicitement via un attribut IV dans le tag EXT-X-KEY sous la forme d'une valeur hexadécimale.
Spécifié implicitement en interprétant la valeur décimale du tag EXT-X-MEDIA-SEQUENCE.

La valeur de la séquence de media est en générale incorporée dans les noms de segment de média et peut être recherchée en utilisant des expressions rationnelles nommées comme dans l'exemple ci-dessous.

Exemple HLS - IV de la séquence de média

<LocationMatch (?<SEQUENCE>[\d]+)[^\d^/]+$> SetOutputFilter ENCRYPT CryptoCipher aes128 CryptoKey file:/path/to/file.key CryptoIV decimal:%{env:MATCH_SEQUENCE} </LocationMatch>

Directive CryptoCipher ¶

Description:	L'algorithme de chiffrement que le filtre crypto doit utiliser
Syntaxe:	`CryptoCipher name`
Défaut:	`CryptoCipher aes256`
Contexte:	configuration globale, serveur virtuel, répertoire, .htaccess
Statut:	Extension
Module:	mod_crypto

La directive CryptoCipher permet de spécifier l'algorithme de chiffrement à utiliser au cours des phases de chiffrement et de déchiffrement. L'algorithme de chiffrement par défaut est aes256.

C'est le pilote crypto utilisé qui détermine l'étendue du choix des algorithmes de chiffrement parmi les valeurs possibles suivantes :

3des192
aes128
aes192
aes256

Directive CryptoDriver ¶

Description:	Nom du pilote crypto à utiliser
Syntaxe:	`CryptoDriver name`
Défaut:	`CryptoDriver openssl`
Contexte:	configuration globale
Statut:	Extension
Module:	mod_crypto

La directive CryptoDriver permet de spécifier le nom du pilote crypto à utiliser. Un pilote recommandé par défaut est en général défini pour chaque plateforme. Les pilotes supportés sont openssl, commoncrypto et nss.

Directive CryptoIV ¶

Description:	Le Vecteur d'Initialisation IV (Initialisation Vector) que le filtre crypto doit utiliser
Syntaxe:	`CryptoIV value`
Défaut:	`CryptoIV none`
Contexte:	configuration globale, serveur virtuel, répertoire, .htaccess
Statut:	Extension
Module:	mod_crypto

La directive CryptoIV permet de spécifier le IV (Initialisation Vector) pour l'espace d'URL considéré. Le IV peut être lu à partir d'un fichier ou défini via l'interpréteur d'expressions, ce qui confère plus de souplesse aux scénarios de définition des clés.

Les valeurs possibles peuvent être lues depuis un fichier ou exprimées sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes suivants :

file:
hex:
decimal:
base64:

La valeur 'none' désactive la définition du IV. Dans ce cas, un IV aléatoire sera généré durant le chiffrement et inséré en tant que premier bloc ; au cours du déchiffrement, le premier bloc sera interprété comme bloc IV.

Directive CryptoKey ¶

Description:	Clé que le filtre crypto doit utiliser
Syntaxe:	`CryptoKey value`
Défaut:	`CryptoKey none`
Contexte:	configuration globale, serveur virtuel, répertoire, .htaccess
Statut:	Extension
Module:	mod_crypto

La directive CryptoKey permet de spécifier la clé de chiffrement/déchiffrement pour l'espace d'URL considéré. La clé peut être lue depuis un fichier ou défini via l'interpréteur d'expressions, ce qui confère plus de souplesse aux scénarios de définition des clés.

Les valeurs possibles peuvent être lues depuis un fichier ou exprimées sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes suivants :

file:
hex:
decimal:
base64:

La valeur 'none' désactive la clé. Toute requête pour obtenir sans clé un fichier via les filtres ENCRYPT ou DECRYPT se soldera alors par un échec.

Directive CryptoSize ¶

Description:	Taille maximale en octets du tampon utilisé par le filtre crypto
Syntaxe:	`CryptoSize integer`
Défaut:	`CryptoSize 131072`
Contexte:	configuration globale, serveur virtuel, répertoire, .htaccess
Statut:	Extension
Module:	mod_crypto

La directive CryptoSize permet de spécifier la quantité de données en octets qui sera mise en tampon pour chaque requête avant d'être chiffrée ou déchiffrée. La valeur par défaut est 128 Ko.