Cifrado de flujo multimedia avanzado (AES-256)

De forma predeterminada, los flujos de medios que pasan por la plataforma de Vonage se codifican usando AES-128. En las sesiones enrutadas, los medios se codifican entre todos los clientes y el servidor de medios. En las sesiones retransmitidas, los medios se codifican entre cada par de clientes.

Para mayor seguridad, el protocolo AES-256 función adicional proporciona un nivel de cifrado AES-256 en los flujos multimedia.

Importante: Esta función está disponible como función adicional.

Con la función adicional AES-256 activada, cuando un cliente se conecta a un Media Router o a otro cliente, se negocia el cifrado a utilizar. Si el cliente soporta AES-256 entonces este será el cifrado negociado para el tráfico de medios. Si el cliente no lo soporta, se utilizará AES-128. En el caso de las sesiones retransmitidas, ambos clientes deben ser compatibles con AES-256; de lo contrario, volverán a utilizar AES-128.

Después de activar el complemento de cifrado AES-256, esta función se activará automáticamente para todos los proyectos de su cuenta.

Importante: Para garantizar que se utiliza AES-256, se recomienda configurar las sesiones para que utilicen el enrutador de medios (sesiones con la opción modo multimedia enrutado). En las sesiones retransmitidas, Chrome, Firefox, Opera, Samsung Internet, WebView Android, WebView en iOS y Edge basado en Chromium dan prioridad a AES-128 durante la negociación del cifrado DTLS SRTP, por lo que los flujos enviados por estos navegadores utilizarán AES-128.

En las sesiones retransmitidas, si el AES-256 está activado para su proyecto, los SDK de cliente de la Video API para Android, iOS, Windows y Linux dan prioridad a los cifrados AES-256 bits durante la negociación. Sin embargo, en las sesiones retransmitidas, los navegadores web utilizarán AES-128.

Soporte de cifrado en clientes SDK

AES-256 es compatible (además de AES-128) en cada uno de los SDK cliente (versión 2.18 y posteriores). Los SDK de cliente para Android, iOS, Windows y Linux admiten el cifrado AES-256. Sin embargo, para las aplicaciones web que utilizan OpenTok.js, AES-256 no es compatible con todos los navegadores. Las últimas versiones de los siguientes navegadores soportan AES-256:

  • Chrome 62+
  • Firefox 56+
  • Edge basado en Chromium
  • Ópera
  • Samsung Internet
  • Safari 15.4+

Notas importantes:

  • Safari no admite cifrados AES GCM, por lo que recurrirá a AES-128 (véase este informe de error de WebKit).
  • Incluso en versiones de Firefox y Chrome que soportan AES-256, en sesiones retransmitidas estos navegadores priorizan AES-128 durante la negociación del cifrado DTLS SRTP, lo que resulta en el uso de AES-128. Por este motivo, se recomienda configurar las sesiones para que utilicen el enrutador de medios (sesiones con la etiqueta modo multimedia enrutado) para garantizar el cifrado AES-256 en los navegadores compatibles.

Preguntas frecuentes

¿Qué es la función de cifrado AES-256?

La codificación AES-256 es un nivel más avanzado de codificación de medios que se puede usar con las transmisiones de medios de la API de video de Vonage. De manera predeterminada, los flujos de medios de la API de Video de Vonage usan AES-128, que ofrece los cifrados AEAD_AES_128_GCM y AES_CM_128_HMAC_SHA1_80 para una máxima conectividad. La función de cifrado AES-256 bits dirige los flujos de medios para que utilicen un cifrado de 256 bits, con una opción alternativa a AES-128. Esta función está disponible como función adicional.

¿Se puede utilizar el cifrado AES-256 bits para las sesiones retransmitidas y enrutadas?

Sí, sin embargo, para las sesiones retransmitidas, la capacidad viene determinada por el orden de prioridad de los cifrados utilizados durante la negociación DTLS-SRTP habilitada en la implementación del navegador. Para garantizar el uso de AES-256, las sesiones enrutadas son muy recomendables.

En las sesiones enrutadas, los medios se codifican entre todos los clientes y el servidor de medios de Vonage. Si AES-256 está habilitado para tu proyecto, el router de medios de Vonage negociará con cifrados AES-256 para dirigir la negociación de cifrado de 256 bits para el tráfico de medios de todos los clientes que se conecten al servidor de medios. (Sin embargo, Safari no admite el cifrado AES-256).

En las sesiones retransmitidas, los medios se cifran entre cada par de clientes. En el caso de las sesiones retransmitidas, ambos clientes deben admitir y dar prioridad a AES-256 durante la negociación DTLS-SRTP; de lo contrario, volverán a AES-128. Si AES-256 está habilitado para su proyecto, los SDK de cliente para Android, iOS, Windows y Linux darán prioridad al cifrado AES-256-bit y no negociarán SRTP_AES128_CM_SHA1_80.

Como resultado, si se habilita AES-256, fallará la configuración de medios de retransmisión entre SDK nativos y puntos finales que no admitan cifrados GCM, como las versiones de Safari anteriores a la 15.4. Sin embargo, en el caso de los navegadores (que utilizan OpenTok.js), la capacidad viene determinada por el orden de prioridad de los cifradores habilitados en la implementación del navegador, que actualmente no puede modificarse ya que no existe una API WebRTC estándar para gestionar el orden de prioridad de los cifradores. En sesiones retransmitidas, Chrome, Firefox, Opera, Samsung Internet, WebView Android, WebView en iOS, y Edge basado en Chromium priorizan AES-128 durante la negociación de cifrado DTLS SRTP, y por lo tanto los flujos enviados por estos navegadores utilizarán AES-128 en sesiones retransmitidas. Además, Safari no admite AES-256.

¿Se admite el cifrado de 256 bits si el tráfico multimedia se enruta a través de un servidor TURN?

Sí. El cifrado de medios es un protocolo de seguridad de extremo a extremo que utiliza DTLS-SRTP y no se vería afectado por el enrutamiento a través de un servidor TURN. En las sesiones retransmitidas, el cifrado de medios es de cliente a cliente. En las sesiones enrutadas, el cifrado de medios se negocia entre el cliente y el servidor de medios.