アドバンスト・メディア・ストリーム暗号化(AES-256)

デフォルトでは、Vonageプラットフォームを通過するメディアストリームはAES-128を使用して暗号化されます。ルーティングセッションの場合、メディアはすべてのクライアントとメディアサーバ間で暗号化されます。リレーセッションの場合、メディアは各クライアントペア間で暗号化されます。

セキュリティ強化のため、AES-256 アドオン機能 はメディアストリームにAES-256レベルの暗号化を提供する。

重要だ: この機能は アドオン機能.

AES-256アドオン機能を有効にすると、クライアントがメディアルーターま たは別のクライアントに接続するときに、使用する暗号がネゴシエートされます。クライアントがAES-256をサポートしている場合、メディアトラフィック用にネゴシエートされる暗号はこれになります。クライアントがAES-256をサポートしていない場合、AES-128が使用される。リレーセッションの場合、両方のクライアントがAES-256をサポートしていなければならない。

AES-256暗号化アドオンを有効にすると、アカウント内のすべてのプロジェクトでこの機能が自動的に有効になります。

重要だ: AES-256を確実に使用するには、メディアルーターを使用するようにセッションを設定することをお勧めします。 メディアモード routedに設定)。中継セッションにおいて、Chrome、Firefox、Opera、Samsung Internet、 WebView Android、WebView on iOS、およびChromiumベースのEdgeは、DTLS SRTP暗号ネゴシエーション時にAES-128を優先するため、これらのブラウザから送信されるストリームはAES-128を使用する。

中継セッションにおいて、プロジェクトで AES-256 が有効になっている場合、Android、iOS、Windows、Linux 用 Video API クライアント SDK は、ネゴシエーション時に AES-256 ビット暗号化を優先します。ただし、リレー セッションでは、Web ブラウザは AES-128 を使用します。

SDKクライアントでの暗号化サポート

AES-256は、各クライアントSDK(バージョン2.18以降)で(AES-128に加えて)サポートされています。Android、iOS、Windows、Linux用のクライアントSDKは、それぞれAES-256暗号化をサポートしています。ただし、OpenTok.jsを使用するウェブ・アプリでは、すべてのブラウザでAES-256がサポートされているわけではありません。以下のブラウザの最新バージョンはAES-256をサポートしています:

  • クローム62以上
  • Firefox 56+
  • クロムベースのエッジ
  • オペラ
  • サムスン・インターネット
  • サファリ 15.4+

重要な注意事項

  • Safari は AES GCM 暗号をサポートしていないため、AES-128 にフォールバックします ( このWebKitのバグレポート).
  • AES-256をサポートするFirefoxとChromeのバージョンでも、リレー セッションでは、これらのブラウザはDTLS SRTP暗号ネゴシエーション時に AES-128を優先するため、AES-128が使用される。このため、メディアルータを使用するようにセッションを構成すること を推奨する( メディアモード をroutedに設定)、対応ブラウザでAES-256暗号化を保証します。

よくあるご質問

AES-256暗号化機能とは何ですか?

AES-256 暗号化は、Vonage Video API メディア・ストリームで使用できる、より高度なメディア暗号化レベルです。デフォルトでは、Vonage Video API メディアストリームは AES-128 を使用し、AEAD_AES_128_GCM と AES_CM_128_HMAC_SHA1_80 の両方の暗号を提供し、最大限の接続性を実現します。AES-256ビット暗号化機能は、メディア・ストリームに256ビット暗号化を使用するよう指示し、AES-128へのフォールバック・オプションを提供する。この機能は アドオン機能.

AES-256ビットの暗号化をRelayedセッションやRoutedセッションに使用できますか?

ただし、中継セッションの場合、ブラウザの実装で有効になっている DTLS-SRTPネゴシエーションで使用される暗号の優先順位によって、可 能性が決定される。AES-256を確実に使用するには、ルーティングセッションを強く推奨する。

ルーティングされたセッションでは、メディアはすべてのクライアントと Vonage メディアサーバー間で暗号化されます。プロジェクトで AES-256 が有効になっている場合、Vonage メディア・ルーターはメディア・サーバーに接続するすべてのクライアントのメディア・トラフィックに対して 256 ビット暗号化ネゴシエーションを行うため、AES-256 暗号とネゴシエーションを行います。(ただし、Safari は AES-256 暗号化をサポートしていません)。

リレーセッションの場合、メディアは各クライアントペア間で暗号化される。リレーセッションの場合、DTLS-SRTPネゴシエーション時に、 両方のクライアントがAES-256をサポートし、優先する必要がある。プロジェクトでAES-256が有効になっている場合、Android、iOS、Windows、 LinuxのクライアントSDKは、AES-256ビット暗号化暗号を優先し、SRTP_AES128_CM_SHA1_80 をネゴシエートしない。

その結果、AES-256 が有効になっている場合、ネイティブ SDK と GCM 暗号をサポートしていないエンドポイント(Safari の 15.4 より前のバージョンなど)との間の中継メディアのセットアップは失敗します。しかし、(OpenTok.js を使用する)ブラウザの場合は、ブラウザの実装で有効になっている暗号の優先順位によって能力が決定され、暗号の優先順位を管理するための標準的な WebRTC API がないため、現在は変更できません。中継セッションにおいて、Chrome、Firefox、Opera、Samsung Internet、 WebView Android、WebView on iOS、およびChromiumベースのEdgeは、DTLS SRTP暗号ネゴシエー ション時にAES-128を優先するため、これらのブラウザが送信するストリーム は、中継セッションでAES-128を使用する。また、SafariはAES-256に対応していない。

メディアトラフィックがTURNサーバーを経由する場合、256ビットの暗号化はサポートされていますか?

はい。メディア暗号化は、DTLS-SRTPを使用するエンドツーエンドのセキュ リティプロトコルであり、TURNサーバーを経由するルーティングの影響は受け ない。リレーセッションの場合、メディア暗号化はクライアント間である。ルーティングされたセッションのメディア暗号化は、クライアントとメ ディアサーバー間でネゴシエートされる。