<-
Apache > Serveur HTTP > Documentation > Version 2.5 > Modules

Module Apache mod_crypto

Langues Disponibles:  en  |  fr 

Description:Support du chiffrement/déchiffrement symétrique
Statut:Extension
Identificateur de Module:crypto_module
Fichier Source:mod_crypto.c
Compatibilité:Disponible à partir de la version 2.5 du serveur HTTP Apache

Sommaire

Ce module permet de chiffrer et déchiffrer les données au niveau des piles de filtrage en entrée et en sortie.

En particulier, il permet d'effectuer un chiffrement HLS à la volée comme décrit dans le document draft-pantos-http-live-streaming-19.

Mais il peut aussi assurer la livraison sécurisée de données via un CDN non sécurisé aux clients qui le supportent.

Selon les besoins, on peut ajouter le filtre crypto à la pile de filtrage en entrée ou en sortie via les directives SetInputFilter, SetOutputFilter, AddOutputFilter ou AddOutputFilterByType.

Sujets

Directives

Traitement des bugs

Voir aussi

top

Format du flux de données

Le flux de données chiffrées comporte un bloc IV optionnel suivi des données chiffrées avec l'algorithme de chiffrement choisi. Le bloc final est éventuellement complété par bourrage avant d'être écrit. La taille des blocs est déterminée par l'algorithme de chiffrement choisi.

Lorsque le bloc IV est spécifié via la directive CryptoIV, il est utilisé, mais n'est pas injecté dans le flux d'entrée/sortie.

top

Clés et blocs IV

Les directives CryptoKey et CryptoIV acceptent comme arguments des valeurs binaires qui peuvent être spécifiées comme indiqué ci-après. Les bits les plus significatifs de ces valeurs sont utilisés, et si les valeurs sont trop petites, elles sont complétées par bourrage avec des bits à 0 par la gauche.

file:
La valeur est lue directement depuis le fichier spécifié.
hex:
Interprète l'expression en tant que valeur hexadécimale qui peut contenir des caractères ':' comme séparateurs.
decimal:
Interprète l'expression en tant que valeur décimale.
base64:
Interprète l'expression en tant que valeur codée en base64.
none
Aucune valeur n'est spécifiée.

Si le IV n'est pas spécifié, un IV aléatoire sera généré au cours du chiffrement et écrit comme premier bloc. Lors du déchiffrement, le premier bloc sera interprété en tant que IV.

A l'exception du format file:, les directives CryptoKey et CryptoIV supportent la syntaxe des expressions qui fournit plus de flexibilité pour définir les valeurs. Les clés et IVs peuvent ainsi être initialisées aléatoirement via des valeurs disponibles au niveau du serveur web comme REMOTE_USER ou l'URL.

top

Gestionnaire de clé de chiffrement

Le gestionnaire crypto-key permet de fournir la clé aux clients autorisés qui le supportent sans avoir à stocker cette dernière dans l'arborescence du serveur web. La même syntaxe d'expression peut ainsi être utilisée afin d'obtenir la clé pour les clients et pour le contenu chiffré.

Gestionnaire de clé de chiffrement avec un fichier

<Location /key>
SetHandler crypto-key
CryptoCipher aes128
CryptoKey file:/path/to/file.key
AuthType basic
...
</Location>

top

HTTP Live Streaming (HLS)

Le protocole HLS supporte les flux chiffrés qui utilisent l'algorithme de chiffrement AES-128 et une clé correspondante. On autorise l'accès au flux en partageant la clé avec le client HLS en général via une connexion sécurisée.

Le IV utilisé pour le chiffrement de chaque segment de media est spécifié dans HLS de deux manières :

La valeur de la séquence de media est en générale incorporée dans les noms de segment de média et peut être recherchée en utilisant des expressions rationnelles nommées comme dans l'exemple ci-dessous.

Exemple HLS - IV de la séquence de média

<LocationMatch (?<SEQUENCE>[\d]+)[^\d^/]+$>
SetOutputFilter ENCRYPT
CryptoCipher aes128
CryptoKey file:/path/to/file.key
CryptoIV decimal:%{env:MATCH_SEQUENCE}
</LocationMatch>

top

Directive CryptoCipher

Description:L'algorithme de chiffrement que le filtre crypto doit utiliser
Syntaxe:CryptoCipher name
Défaut:CryptoCipher aes256
Contexte:configuration globale, serveur virtuel, répertoire, .htaccess
Statut:Extension
Module:mod_crypto

La directive CryptoCipher permet de spécifier l'algorithme de chiffrement à utiliser au cours des phases de chiffrement et de déchiffrement. L'algorithme de chiffrement par défaut est aes256.

C'est le pilote crypto utilisé qui détermine l'étendue du choix des algorithmes de chiffrement parmi les valeurs possibles suivantes :

top

Directive CryptoDriver

Description:Nom du pilote crypto à utiliser
Syntaxe:CryptoDriver name
Défaut:CryptoDriver openssl
Contexte:configuration globale
Statut:Extension
Module:mod_crypto

La directive CryptoDriver permet de spécifier le nom du pilote crypto à utiliser. Un pilote recommandé par défaut est en général défini pour chaque plateforme. Les pilotes supportés sont openssl, commoncrypto et nss.

top

Directive CryptoIV

Description:Le Vecteur d'Initialisation IV (Initialisation Vector) que le filtre crypto doit utiliser
Syntaxe:CryptoIV value
Défaut:CryptoIV none
Contexte:configuration globale, serveur virtuel, répertoire, .htaccess
Statut:Extension
Module:mod_crypto

La directive CryptoIV permet de spécifier le IV (Initialisation Vector) pour l'espace d'URL considéré. Le IV peut être lu à partir d'un fichier ou défini via l'interpréteur d'expressions, ce qui confère plus de souplesse aux scénarios de définition des clés.

Les valeurs possibles peuvent être lues depuis un fichier ou exprimées sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes suivants :

La valeur 'none' désactive la définition du IV. Dans ce cas, un IV aléatoire sera généré durant le chiffrement et inséré en tant que premier bloc ; au cours du déchiffrement, le premier bloc sera interprété comme bloc IV.

top

Directive CryptoKey

Description:Clé que le filtre crypto doit utiliser
Syntaxe:CryptoKey value
Défaut:CryptoKey none
Contexte:configuration globale, serveur virtuel, répertoire, .htaccess
Statut:Extension
Module:mod_crypto

La directive CryptoKey permet de spécifier la clé de chiffrement/déchiffrement pour l'espace d'URL considéré. La clé peut être lue depuis un fichier ou défini via l'interpréteur d'expressions, ce qui confère plus de souplesse aux scénarios de définition des clés.

Les valeurs possibles peuvent être lues depuis un fichier ou exprimées sous une forme hexadécimale, décimale ou en base64 en fonction des préfixes suivants :

La valeur 'none' désactive la clé. Toute requête pour obtenir sans clé un fichier via les filtres ENCRYPT ou DECRYPT se soldera alors par un échec.

top

Directive CryptoSize

Description:Taille maximale en octets du tampon utilisé par le filtre crypto
Syntaxe:CryptoSize integer
Défaut:CryptoSize 131072
Contexte:configuration globale, serveur virtuel, répertoire, .htaccess
Statut:Extension
Module:mod_crypto

La directive CryptoSize permet de spécifier la quantité de données en octets qui sera mise en tampon pour chaque requête avant d'être chiffrée ou déchiffrée. La valeur par défaut est 128 Ko.

Langues Disponibles:  en  |  fr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Libera.chat, or sent to our mailing lists.