Как безопасно дешифровать видеоданные в Android без извлечения видеоданных из приложения Android

Question

Я занимаюсь разработкой приложения для Android, которое транслирует зашифрованное видео с сервера и расшифровывает в Android.Потоковая передача происходит с использованием временных ссылок.

Проблемы, которые я обнаружил здесь, заключались в том, что когда ключевые и временные ссылки передаются на устройство Android, злоумышленнику легко расшифровать мои данные с помощью ключа, временной ссылки и алгоритма.который уже был в файле apk (алгоритм расшифровки может быть обнаружен путем обращения файла apk).

Примечание: - Здесь алгоритмы, подобные RSA, не могут быть использованы, потому что дешифрование происходит на стороне клиента

IsЕсть ли способ расшифровать данные в Android без раскрытия ключа безопасности и алогрита в файле apk?

Answer 1

Что вы описываете, так это основные функциональные возможности, которые система DRM привносит в защиту мультимедиа.

Большинство DRM используют один и тот же хорошо известный открытый алгоритм шифрования AES, поддерживаемый практически всеми устройствами и часто в HW длялучшая производительность, поэтому они добавляют, и, как правило, проприетарным способом, это безопасный обмен ключами между сервером и клиентом - именно ту уязвимость, которую вы определили.

Как уже отмечалось, различные механизмыобычно являются частными для систем DRM, но на очень высоком уровне они шифруют сам ключ с помощью материнского ключа DRM, который уникально связан с клиентом, и обычно в аппаратном обеспечении или в TEE для более высоких уровней безопасности DRM..

Для Android, как говорит @Morrison в комментариях, родным DRM является Widevine, хотя иногда можно найти поддержку и для других DRM, хотя они часто основаны на программном обеспечении, а не привязаны к HW.