Erweiterte Media Stream Encryption (AES-256)

Standardmäßig werden die Medienströme, die die Vonage-Plattform durchlaufen, mit AES-128 verschlüsselt. Bei gerouteten Sitzungen werden die Medien zwischen allen Clients und dem Medienserver verschlüsselt. Bei Relayed-Sitzungen werden die Medien zwischen jedem Client-Paar verschlüsselt.

Für mehr Sicherheit sorgt das AES-256 Add-on-Feature bietet eine AES-256-Verschlüsselung für Medienströme.

Das ist wichtig: Diese Funktion ist verfügbar als Add-on-Feature.

Wenn die AES-256-Zusatzfunktion aktiviert ist, wird bei der Verbindung eines Clients mit einem Media Router oder einem anderen Client die zu verwendende Verschlüsselung ausgehandelt. Wenn der Client AES-256 unterstützt, wird diese Verschlüsselung für den Medienverkehr ausgehandelt. Wenn der Client dies nicht unterstützt, wird AES-128 verwendet. Bei weitergeleiteten Sitzungen müssen beide Clients AES-256 unterstützen, andernfalls greifen sie auf AES-128 zurück.

Nachdem Sie das Add-on AES-256-Verschlüsselung aktiviert haben, wird diese Funktion automatisch für alle Projekte in Ihrem Account aktiviert.

Das ist wichtig: Um sicherzustellen, dass AES-256 verwendet wird, empfiehlt es sich, Sitzungen so zu konfigurieren, dass der Media Router verwendet wird (Sitzungen mit der Option Medienbetrieb auf geroutet gesetzt). In weitergeleiteten Sitzungen priorisieren Chrome, Firefox, Opera, Samsung Internet, WebView Android, WebView auf iOS und das Chromium-basierte Edge AES-128 während der DTLS-SRTP-Verschlüsselungsaushandlung, sodass von diesen Browsern gesendete Streams AES-128 verwenden.

Wenn AES-256 für Ihr Projekt aktiviert ist, bevorzugen die Video API-Client-SDKs für Android, iOS, Windows und Linux in weitergeleiteten Sitzungen AES-256-Bit-Verschlüsselungscodes während der Aushandlung. In weitergeleiteten Sitzungen verwenden Webbrowser jedoch AES-128.

Verschlüsselungsunterstützung auf SDK-Clients

AES-256 wird (zusätzlich zu AES-128) in jedem der Client-SDKs (Version 2.18 und höher) unterstützt. Die Client-SDKs für Android, iOS, Windows und Linux unterstützen jeweils AES-256-Verschlüsselung. Für Webanwendungen, die OpenTok.js verwenden, wird AES-256 jedoch nicht in allen Browsern unterstützt. Die neuesten Versionen der folgenden Browser unterstützen AES-256:

  • Chrom 62+
  • Firefox 56+
  • Chromium-basierter Edge
  • Oper
  • Samsung Internet
  • Safari 15.4+

Wichtige Hinweise:

  • Safari unterstützt keine AES-GCM-Chiffren und greift daher auf AES-128 zurück (siehe dieser WebKit-Fehlerbericht).
  • Selbst in den Versionen von Firefox und Chrome, die AES-256 unterstützen, bevorzugen diese Browser in weitergeleiteten Sitzungen AES-128 während der DTLS-SRTP-Chiffrieraushandlung, was zur Verwendung von AES-128 führt. Aus diesem Grund empfehlen wir, Sitzungen so zu konfigurieren, dass der Media Router verwendet wird (Sitzungen mit der Option Medienbetrieb auf geroutet gesetzt), um eine AES-256-Verschlüsselung in unterstützten Browsern zu gewährleisten.

FAQs

Was ist die AES-256-Verschlüsselung?

Die AES-256-Verschlüsselung ist eine fortschrittlichere Stufe der Medienverschlüsselung, die mit Vonage Video API-Medienstreams verwendet werden kann. Standardmäßig verwenden Vonage Video API-Medienströme AES-128 und bieten die beiden Chiffren AEAD_AES_128_GCM und AES_CM_128_HMAC_SHA1_80 für maximale Konnektivität. Die AES-256-Bit-Verschlüsselungsfunktion weist Medienströme an, 256-Bit-Verschlüsselung zu verwenden, mit einer Rückfalloption zu AES-128. Diese Funktion ist verfügbar als Add-on-Feature.

Kann die AES-256-Bit-Verschlüsselung für Relayed- und Routed-Sitzungen verwendet werden?

Ja, aber bei weitergeleiteten Sitzungen wird die Fähigkeit durch die Prioritätsreihenfolge der Chiffren bestimmt, die während der DTLS-SRTP-Aushandlung verwendet werden, die in der Browserimplementierung aktiviert ist. Um die Verwendung von AES-256 zu gewährleisten, werden weitergeleitete Sitzungen dringend empfohlen.

Bei gerouteten Sitzungen werden die Medien zwischen allen Clients und dem Vonage-Medienserver verschlüsselt. Wenn AES-256 für Ihr Projekt aktiviert ist, verhandelt der Vonage Media Router mit AES-256-Chiffren, um die 256-Bit-Verschlüsselung des Medienverkehrs für alle Clients, die sich mit dem Medienserver verbinden, direkt zu verhandeln. (Safari unterstützt jedoch keine AES-256-Verschlüsselung.)

Bei weitergeleiteten Sitzungen werden die Medien zwischen jedem Client-Paar verschlüsselt. Bei weitergeleiteten Sitzungen müssen beide Clients während der DTLS-SRTP-Aushandlung AES-256 unterstützen und priorisieren, andernfalls greifen sie auf AES-128 zurück. Wenn AES-256 für Ihr Projekt aktiviert ist, priorisieren die Client-SDKs für Android, iOS, Windows und Linux den AES-256-Bit-Verschlüsselungscode und handeln nicht SRTP_AES128_CM_SHA1_80 aus.

Wenn AES-256 aktiviert ist, schlägt daher die Einrichtung von Relay-Medien zwischen nativen SDKs und Endpunkten, die keine GCM-Chiffren unterstützen, wie Safari-Versionen vor 15.4, fehl. Bei Browsern (mit OpenTok.js) wird die Fähigkeit jedoch durch die Prioritätsreihenfolge der in der Browserimplementierung aktivierten Chiffren bestimmt, die derzeit nicht geändert werden kann, da es keine standardmäßige WebRTC-API für die Verwaltung der Chiffren-Prioritätsreihenfolge gibt. In Relayed-Sitzungen priorisieren Chrome, Firefox, Opera, Samsung Internet, WebView Android, WebView auf iOS und der Chromium-basierte Edge AES-128 während der DTLS-SRTP-Verschlüsselungsaushandlung, so dass von diesen Browsern gesendete Streams in Relayed-Sitzungen AES-128 verwenden. Außerdem unterstützt Safari kein AES-256.

Wird eine 256-Bit-Verschlüsselung unterstützt, wenn der Medienverkehr über einen TURN-Server geleitet wird?

Ja. Die Medienverschlüsselung ist ein Ende-zu-Ende-Sicherheitsprotokoll unter Verwendung von DTLS-SRTP und wird durch das Routing über einen TURN-Server nicht beeinträchtigt. Bei weitergeleiteten Sitzungen erfolgt die Medienverschlüsselung von Client zu Client. In gerouteten Sitzungen wird die Medienverschlüsselung zwischen dem Client und dem Medienserver ausgehandelt.