Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # SPEKE API v2 Dies ist die REST-API für Secure Packager und Encoder Key Exchange (SPEKE) v2. Mit dieser Spezifizierung stellen Sie Kunden, die Verschlüsselung verwenden, DRM-Urheberrechtsschutz bereit. Um SPEKE-konform zu sein, muss Ihr DRM-Schlüsselanbieter die in dieser Spezifikation beschriebene REST-API verfügbar machen. Der Verschlüsseler führt API-Aufrufe Ihres Schlüsselanbieters durch. **Anmerkung** Die Codebeispiele in dieser Spezifikation dienen lediglich der Illustration. Sie können die Beispiele nicht ausführen, da sie nicht Teil einer vollständigen SPEKE-Implementierung sind. SPEKE verwendet die Datenstrukturdefinition des DASH Industry Forum Content Protection Information Exchange Format (DASH-IF-CPIX) für den Schlüsselaustausch, mit einigen Einschränkungen. DASH-IF-CPIXdefiniert ein Schema, das einen erweiterbaren Multi-DRM-Austausch von der DRM-Plattform zum Verschlüsseler ermöglicht. So wird für alle Verpackungsformate mit adaptiven Bitraten zum Zeitpunkt der Inhaltkompression und -verpackung Inhaltsverschlüsselung bereitgestellt. Zu den Verpackungsformaten mit adaptiven Bitraten gehören HLS, DASH und MSS. Ab der Version 2.0 ist SPEKE auf eine bestimmte CPIX-Version ausgerichtet: Auf der SPEKE-Seite wird dies durch die Verwendung des `X-Speke-Version` HTTP-Headers und auf der CPIX-Seite durch die Verwendung des Attributs erzwungen. `CPIX@version` Das Fehlen dieser Elemente in den Anfragen ist typisch für ältere SPEKE v1-Workflows. In SPEKE v2-Workflows wird erwartet, dass der Schlüsselanbieter CPIX-Dokumente nur verarbeitet, wenn er beide Versionsparameter unterstützt. Detaillierte Informationen zum Austauschformat finden Sie in der [CPIX](https://dashif.org/docs/CPIX2.3/Cpix.html) 2.3-Spezifikation des DASH Industry Forum. Insgesamt bringt SPEKE v2.0 im Vergleich zu SPEKE v1.0 die folgenden Weiterentwicklungen: + Alle Tags aus dem SPEKE-XML-Namespace sind zugunsten gleichwertiger Tags im CPIX-XML-Namespace veraltet + `SPEKE:ProtectionHeader`ist veraltet und wird ersetzt durch `CPIX:DRMSystem.SmoothStreamingProtectionHeaderData` + `CPIX:URIExtXKey`, `SPEKE:KeyFormat` und `SPEKE:KeyFormatVersions` sind veraltet und wurden ersetzt durch `CPIX:DRMSystem.HLSSignalingData` + `CPIX@id`wird ersetzt durch `CPIX@contentId` + Neue obligatorische CPIX-Attribute:, `CPIX@version` `ContentKey@commonEncryptionScheme` + Neues optionales CPIX-Element: `DRMSystem.ContentProtectionData` + Support für mehrere Inhaltsschlüssel + Versionsübergreifender Mechanismus zwischen SPEKE und CPIX + Entwicklung der HTTP-Header: neuer Header, Header umbenannt in `X-Speke-Version` `Speke-User-Agent` `X-Speke-User-Agent` + Veraltete Heartbeat-API Da die SPEKE v1.0-Spezifikation unverändert bleibt, müssen bestehende Implementierungen nicht geändert werden, um SPEKE v1.0-Workflows weiterhin zu unterstützen. **Topics** + [SPEKE API v2 — Anpassungen und Einschränkungen der DASH-IF-Spezifikation](speke-constraints-v2.md) + [SPEKE API v2 — Standard-Payload-Komponenten](standard-payload-components-v2.md) + [SPEKE API v2 - Verschlüsselungsvertrag](encryption-contract-v2.md) + [SPEKE API v2 — Beispiele für Live-Workflow-Methodenaufrufe](live-workflow-methods-v2.md) + [SPEKE API v2 — Beispiele für VOD-Workflow-Methodenaufrufe](vod-workflow-method-v2.md) + [SPEKE API v2 — Verschlüsselung von Inhaltsschlüsseln](content-key-encryption-v2.md) + [SPEKE API v2 — Überschreiben der Schlüssel-ID](kid-override-v2.md) # SPEKE API v2 — Anpassungen und Einschränkungen der DASH-IF-Spezifikation Die [CPIX 2.3-Spezifikation](https://dashif.org/docs/CPIX2.3/Cpix.html) des DASH Industry Forum unterstützt eine Reihe von Anwendungsfällen und Topologien. Die SPEKE API v2.0-Spezifikation definiert sowohl ein CPIX-Profil als auch eine API für CPIX. Um diese beiden Ziele zu erreichen, hält sie sich an die CPIX-Spezifikation mit den folgenden Anpassungen und Einschränkungen: **CPIX-Profil** + SPEKE folgt dem Encryptor Consumer-Workflow. + Für verschlüsselte Inhaltsschlüssel wendet SPEKE die folgenden Einschränkungen an: + SPEKE unterstützt keine Überprüfung digitaler Signaturen (XMLDSIG) für Payloads von Anfragen oder Antworten. + SPEKE benötigt 2048 RSA-basierte Zertifikate. + SPEKE nutzt nur einen Teil der CPIX-Funktionen: + SPEKE lässt die Funktionalität weg. `UpdateHistoryItemList` Wenn die Liste in der Antwort vorhanden ist, ignoriert SPEKE sie. + SPEKE lässt die wichtigsten Funktionen aus. root/leaf Wenn das `ContentKey@dependsOnKey` Attribut in der Antwort vorhanden ist, ignoriert SPEKE es. + SPEKE lässt das `BitrateFilter` Element und das Attribut weg. `VideoFilter@wcg` Wenn diese Elemente oder Attribute in der CPIX-Nutzlast vorhanden sind, ignoriert SPEKE sie. + Nur die Elemente oder Attribute, auf die auf der Seite [Standard-Payload-Komponenten oder der Seite](standard-payload-components-v2.md) mit dem [Verschlüsselungsvertrag](encryption-contract-v2.md) als „Unterstützt“ verwiesen wird, können in CPIX-Dokumenten verwendet werden, die mit SPEKE v2 ausgetauscht werden. + Wenn sie vom Verschlüsseler in einer CPIX-Anfrage enthalten sind, müssen alle Elemente und Attribute in der CPIX-Antwort des Schlüsselanbieters einen gültigen Wert enthalten. Wenn nicht, stoppt der Verschlüsseler und gibt einen Fehler aus. + SPEKE unterstützt die Schlüsselrotation mit `KeyPeriodFilter` Elementen. SPEKE verwendet nur die`ContentKeyPeriod@index`, um den Schlüsselzeitraum zu verfolgen. + Für die HLS-Signalisierung müssen mehrere `DRMSystem.HLSSignalingData` Elemente verwendet werden: eines mit dem `DRMSystem.HLSSignalingData@playlist` Attributwert „media“ und eines mit dem `DRMSystem.HLSSignalingData@playlist` Attributwert „master“. + Beim Anfordern von Schlüsseln verwendet der Verschlüsseler möglicherweise das optionale Attribut `@explicitIV` des Elements `ContentKey`. Der Schlüsselanbieter kann mit einem IV unter Verwendung von `@explicitIV` antworten, auch wenn das Attribut nicht in der Anforderung enthalten ist. + Die Verschlüsseler erstellt die Schlüssel-ID (`KID`), die für alle Inhalts-IDs und Schlüsselzeiträume gleich bleibt. Der Schlüsselanbieter schließt `KID` in seiner Antwort auf das Anforderungsdokument ein. + Der Verschlüsseler muss einen Wert für das Attribut enthalten. `CPIX@contentId` Wenn der Schlüsselanbieter einen leeren Wert für dieses Attribut erhält, gibt er einen Fehler mit der Beschreibung „Missing CPIX @contentId“ zurück. `CPIX@contentId`Der Wert kann vom Schlüsselanbieter nicht überschrieben werden. `CPIX@id`Wert, falls nicht Null, muss vom Schlüsselanbieter ignoriert werden. + Der Verschlüsseler muss einen Wert für das `CPIX@version` Attribut enthalten. Wenn der Schlüsselanbieter einen leeren Wert für dieses Attribut erhält, gibt er einen Fehler mit der Beschreibung „Missing CPIX @version“ zurück. Wenn eine Anfrage mit einer nicht unterstützten Version empfangen wird, muss die vom Schlüsselanbieter zurückgegebene Fehlerbeschreibung „Unsupported CPIX @version“ lauten. `CPIX@version`Der Wert kann vom Schlüsselanbieter nicht überschrieben werden. + Der Verschlüsseler muss für jeden angeforderten Schlüssel einen Wert für das `ContentKey@commonEncryptionScheme` Attribut angeben. Wenn der Schlüsselanbieter einen leeren Wert für dieses Attribut erhält, gibt er einen Fehler mit der Beschreibung „Missing ContentKey @ commonEncryptionScheme for KID`id`“ zurück. Ein einzelnes CPIX-Dokument kann nicht mehrere Werte für verschiedene Attribute kombinieren. `ContentKey@commonEncryptionScheme` Beim Empfang einer solchen Kombination gibt der Schlüsselanbieter einen Fehler mit der Beschreibung „Nicht konforme ContentKey @-Kombination“ zurück. commonEncryptionScheme Nicht alle `ContentKey@commonEncryptionScheme` Werte sind mit allen DRM-Technologien kompatibel. Beim Empfang einer solchen Kombination gibt der Schlüsselanbieter einen Fehler mit der Beschreibung „ContentKey@ commonEncryptionScheme nicht kompatibel mit DRMSystem `id`“ zurück. `ContentKey@commonEncryptionScheme`Der Wert kann vom Schlüsselanbieter nicht überschrieben werden. + Beim Empfang verschiedener Werte für ein `DRMSystem.ContentProtectionData` `` InnerXML-Element im CPIX-Antworttext stoppt der Verschlüsseler `DRMSystem@PSSH` und gibt einen Fehler aus. **API für CPIX** + Der Schlüsselanbieter muss einen Wert für den `X-Speke-User-Agent` HTTP-Antwort-Header angeben. + Ein SPEKE-kompatibler Verschlüsseler fungiert als Client und sendet POST-Operationen an den Endpunkt des Schlüsselanbieters. + Der Verschlüsseler muss einen Wert für den `X-Speke-Version` HTTP-Anforderungsheader enthalten, wobei die SPEKE-Version, die bei der Anfrage verwendet wurde, formuliert ist als. MajorVersion MinorVersion, wie '2.0' für SPEKE v2.0. Wenn der Schlüsselanbieter die vom Verschlüsseler für die aktuelle Anfrage verwendete SPEKE-Version nicht unterstützt, gibt der Schlüsselanbieter einen Fehler mit der Beschreibung „SPEKE-Version nicht unterstützt“ zurück und versucht nicht, das CPIX-Dokument nach bestem Wissen zu verarbeiten. Der vom Verschlüsseler definierte `X-Speke-Version` Header-Wert kann vom Schlüsselanbieter in der Antwort auf die Anfrage nicht geändert werden. + Beim Empfang von Fehlern im Antworttext gibt der Verschlüsseler einen Fehler aus und versucht die Anfrage nicht erneut mit einer SPEKE v1.0-Version. Wenn der Schlüsselanbieter keinen Fehler zurückgibt, aber kein CPIX-Dokument zurückgibt, das die obligatorischen Informationen enthält, sollte der Verschlüsseler den Vorgang beenden und einen Fehler ausgeben. In der folgenden Tabelle sind die Standardnachrichten zusammengefasst, die vom Schlüsselanbieter im Hauptteil der Nachricht zurückgegeben werden müssen. Der HTTP-Antwortcode muss in Fehlerfällen ein 4XX oder ein 5XX sein, niemals ein 200. Der 422-Fehlercode kann für alle Fehler im Zusammenhang mit SPEKE/CPIX verwendet werden. | Fehlerfall | Fehlermeldung | | --- | --- | | CPIX @contentId ist nicht definiert | CPIX @contentId fehlt | | CPIX @version ist nicht definiert | CPIX @version fehlt | | CPIX @version wird nicht unterstützt | CPIX @version wird nicht unterstützt | | ContentKey@ commonEncryptionScheme ist nicht definiert | ContentKey@ commonEncryptionScheme für KID fehlt `id` (wo dem Wert ContentKey @kid `id` entspricht) | | In einem einzigen CPIX-Dokument werden mehrere ContentKey commonEncryptionScheme @-Werte verwendet | Nicht konforme @-Kombination ContentKey commonEncryptionScheme | | ContentKey@ commonEncryptionScheme ist nicht mit der DRM-Technologie kompatibel | ContentKey@ ist commonEncryptionScheme nicht kompatibel mit DRMSystem `id` (wo dem `id` Wert DRMSystem @systemId entspricht) | | X-Speke-Version Der Header-Wert ist keine unterstützte SPEKE-Version | SPEKE-Version wird nicht unterstützt | | Der Verschlüsselungsvertrag ist falsch formatiert | Fehlerhafter Verschlüsselungsvertrag | | Der Verschlüsselungsvertrag widerspricht den Einschränkungen der DRM-Sicherheitsstufen | Der angeforderte CPIX-Verschlüsselungsvertrag wird nicht unterstützt | | Der Verschlüsselungsvertrag enthält keine OE-Elemente VideoFilter AudioFilter | Fehlender CPIX-Verschlüsselungsvertrag | # SPEKE API v2 — Standard-Payload-Komponenten Durch eine einzige SPEKE-Anfrage kann der Verschlüsseler mehrere Inhaltsschlüssel zusammen mit der erforderlichen Manifestsignalisierung für mehrere Verpackungsformate anfordern, je nach dem Verschlüsselungsvertrag, der für einen bestimmten Inhalt definiert ist. Um all diese Aspekte abzudecken, besteht ein Standard-CPIX-Dokument aus drei obligatorischen Listenabschnitten sowie einem optionalen Listenabschnitt für die Schlüsselrotation bei Live-Inhalten. ** Abschnitt und Element der obersten Ebene** Dies ist ein obligatorischer Abschnitt, der sowohl für Live- als auch für VOD-Streaming relevant ist und die verschiedenen Inhaltsschlüssel definiert, die vom Verschlüsseler verwendet werden müssen. Das `` Element kann ein oder mehrere `` untergeordnete Elemente enthalten, von denen jedes einen eigenen Inhaltsschlüssel beschreibt. Gemäß der CPIX-Spezifikation sind die möglichen Werte des `ContentKey@commonEncryptionScheme` Attributs in der Spezifikation Common Encryption in ISO-Basisdateien für Mediendateien (ISO/IEC 23001-7:2016) definiert: + 'cenc': Verschlüsselung von Vollproben im AES-CTR-Modus und Video-NAL-Untermusterverschlüsselung + 'cbc1': AES-CBC-Modus für vollständige Stichproben und Video-NAL-Teilmusterverschlüsselung + 'cens': Partielle Video-NAL-Musterverschlüsselung im AES-CTR-Modus + 'cbcs': Partielle Video-NAL-Musterverschlüsselung im AES-CBC-Modus Das folgende Beispiel zeigt ein CPIX-Dokument mit einem einzigen, unverschlüsselten Inhaltsschlüssel: ``` 5dGAgwGuUYu4dHeHtNlxJw== ... ``` Standardmäßig sind Inhaltsschlüssel nicht verschlüsselt, wie im Beispiel unten. Die Verschlüsselung von Inhaltsschlüsseln kann jedoch vom Verschlüsseler mithilfe des Elements angefordert werden. DeliveryDataList Weitere Informationen finden Sie im Abschnitt Verschlüsselung von Inhaltsschlüsseln. | Element, das von SPEKE unterstützt wird | Obligatorische Attribute | Optionale Attribute | Obligatorische untergeordnete Elemente | Optionale untergeordnete Elemente | | --- | --- | --- | --- | --- | | | Inhalts-ID, Version, xmlns: cpix, xmlns: pskc | name, xmlns:enc | eins , eins, eins DRMSystemContentKeyUsageRuleList | ein , eins | | | - | id | mindestens ein ContentKey | - | | ContentKey | Kind, Data commonEncryptionScheme | id, Algorithmus, explizitiv | eins | - | | | PlainValue oder EncryptedValue | Wert MAC | - | , CipherData | **Abschnitt DRMSystem** Dies ist ein obligatorischer Abschnitt, der sowohl für Live- als auch für VOD-Streaming relevant ist und in dem die verschiedenen DRM-Systeme definiert werden, die zusammen mit den Inhaltsschlüsseln genutzt werden müssen. Das folgende Beispiel zeigt eine DRM-Systemliste mit einer einzigen PlayReady DRM-Systemspezifikation: ``` HicXmbZ2m[...]4== HicXmbZ2m[...]jEi t7WwH24FI[...]YCC FFFFanBzc[...]A== s5RrJ12HL[...]UBB ``` Eine vollständige Liste der DRM-Systeme IDs finden Sie im [Abschnitt Content Protection](https://dashif.org/identifiers/content_protection/) des DASH-IF Identifiers-Repositorys. | Element, das von SPEKE unterstützt wird | Obligatorische Attribute | Optionale Attribute | Obligatorische untergeordnete Elemente | Optionale untergeordnete Elemente | | --- | --- | --- | --- | --- | | DRMSystem | - | id | mindestens ein DRMSystem | - | | DRMSystem | Kind, SystemID | ID, Name, PSSH | - | ContentProtectionData, SmoothStreamingProtectionHeaderData, zwei -Elemente mit unterschiedlichen Playlist-Attributwerten | `DRMSystem@PSSH`ist obligatorisch, wenn die ISO-BMFF-Kapselung auf Mediensegmente angewendet wird. `DRMSystem.ContentProtectionData`Das `` InnerXML-Element wird vom Verschlüsseler nur für manifeste Signalzwecke genutzt. Wenn vorhanden `DRMSystem@PSSH` ist und ein `` InnerXML-Element `DRMSystem.ContentProtectionData` enthält, müssen beide Werte identisch sein. Wenn die `DRMSystem` Signalisierung in HLS-Manifesten erfolgen soll, müssen sowohl a `` - als auch `` a-Elemente in der CPIX-Anfrage und -Antwort enthalten sein. **Abschnitt ContentKeyPeriodList** Dies ist ein optionaler Abschnitt, der nur für Live-Streaming relevant ist und in dem die Krypto-Perioden definiert werden, die auf den Inhalt angewendet werden. Das `` Element kann ein oder mehrere `` untergeordnete Elemente enthalten, von denen jedes eine bestimmte Krypto-Periode in der Live-Timeline beschreibt. Die Verwendung UUIDs als Teil des Werts des ID-Attributs ist ein häufig verwendeter Ansatz. ``` ``` | Element, das von SPEKE unterstützt wird | Obligatorische Attribute | Optionale Attribute | Obligatorische untergeordnete Elemente | Optionale untergeordnete Elemente | | --- | --- | --- | --- | --- | | ContentKeyPeriodList | - | id | mindestens ein ContentKeyPeriod | - | | ContentKeyPeriod | ID, Index | - | - | - | Wenn Kryptoperioden verwendet werden, müssen die Verschlüsselungsschlüssel auch an eine der Kryptoperioden im CPIX-Dokument angehängt werden, wie im folgenden Abschnitt gezeigt. **Abschnitt ContentKeyUsageRuleList** Dies ist ein obligatorischer Abschnitt, der sowohl für Live- als auch für VOD-Streaming relevant ist und definiert, wie die verschiedenen Inhaltsschlüssel Tracks innerhalb des Streamsets und während der Krypto-Perioden schützen. Das -Element kann ein oder mehrere untergeordnete -Elemente enthalten, von denen jedes die Spuren beschreibt, auf die der Verschlüsseler einen bestimmten Inhaltsschlüssel angewendet hat, möglicherweise während einer bestimmten Kryptoperiode. In einem -Element muss mindestens ein - oder ein -Element vorhanden sein. ContentKeyUsageRule Das folgende Beispiel zeigt eine einfache Liste mit nur einer Regel, die einen einzigen Inhaltsschlüssel auf alle Audio- und Videotracks während einer bestimmten Kryptoperiode anwendet. ``` ``` | Element, das von SPEKE unterstützt wird | Obligatorische Attribute | Optionale Attribute | Obligatorische untergeordnete Elemente | Optionale untergeordnete Elemente | | --- | --- | --- | --- | --- | | ContentKeyUsageRuleList | - | id | mindestens ein ContentKeyUsageRule | - | | ContentKeyUsageRule | Kind, intendedTrackType | - | mindestens ein oder ein (\$1) VideoFilter | KeyPeriodFilter | | KeyPeriodFilter | Perioden-ID | - | - | - | | AudioFilter | - | MinChannels, MaxChannels | - | - | | VideoFilter | - | MinPixels, MaxPixels, hdr, MinFPS, MaxFPS | - | - | *[(\$1) Eine ausführliche Erklärung zur Verwendung einzelner oder mehrerer Inhaltsschlüssel zum Schutz eines oder mehrerer Tracks in einem Streamset finden Sie in der Dokumentation zum Verschlüsselungsvertrag.](encryption-contract-v2.md) \$1* # SPEKE API v2 - Verschlüsselungsvertrag Der Verschlüsselungsvertrag legt auf der Grundlage der Eigenschaften der Tracks fest, welche Inhaltsschlüssel welche Tracks innerhalb eines bestimmten Streamsets schützen. Die Verwendung mehrerer Inhaltsschlüssel für verschiedene Titel in einem Streamset ist zwar eine in der Branche empfohlene bewährte Methode, ist aber nicht verpflichtend, wird aber empfohlen — mindestens zwei verschiedene Inhaltsschlüssel, einer für Audiotracks und einer für Videotracks. Die Verwendung eines einzigen Inhaltsschlüssels zur Verschlüsselung mehrerer Titel ist möglich, muss aber in dem vom Verschlüsseler an den Schlüsselanbieter gesendeten CPIX-Dokument explizit signalisiert werden. Im Allgemeinen beschreibt der Verschlüsseler immer genau, wie viele Inhaltsschlüssel benötigt werden und wie sie zur Verschlüsselung der verschiedenen Medientracks genutzt werden. **Prinzipien** Der Verschlüsselungsvertrag befindet sich im `` Abschnitt des CPIX-Dokuments. In diesem Abschnitt entspricht jeder in diesem `` Abschnitt definierte Inhaltsschlüssel einem bestimmten `` Element, das Folgendes beinhalten muss: + ein `ContentKeyUsageRule@intendedTrackType` Attribut, das auf eine oder mehrere Unterkomponenten verweisen kann, getrennt durch das Zeichen „\$1“, wenn mehrere Unterkomponenten verwendet werden. Der Wert von `ContentKeyUsageRule@intendedTrackType` muss in einem Verschlüsselungsvertrag einmalig sein und kann nicht in mehreren `ContentKeyUsageRule` Elementen verwendet werden. + ein oder mehrere `` oder `` untergeordnete Elemente, abhängig vom Wert des `ContentKeyUsageRule@intendedTrackType` Attributs. Für diese Beziehung gelten die folgenden Regeln: + Wenn alle Audio- und Videotracks des Streamsets mit einem eindeutigen Inhaltsschlüssel geschützt werden müssen, `'ALL'` muss die Zeichenfolge als `ContentKeyUsageRule@intendedTrackType` Attributwert verwendet werden. Beispiel 1 zeigt einen solchen Anwendungsfall. In dieser Situation müssen `` sowohl ein als auch ein `` untergeordnetes Element ohne Attribut enthalten sein. Jede andere Kombination von `` and/or `` Elementen ist in diesem speziellen Kontext ungültig. + Für alle anderen Anwendungsfälle kann der Wert des `ContentKeyUsageRule@intendedTrackType` Attributs frei definiert werden, und die Anzahl der `` `` untergeordneten Elemente muss der Anzahl der Unterkomponenten entsprechen, die durch das Pluszeichen aggregiert werden. Die Beispiele 2/3/4/5/6/7/9/10 veranschaulichen diese Anforderung, wenn eine einzelne Unterkomponente im Attributwert vorhanden ist. `ContentKeyUsageRule@intendedTrackType` Beispiel 8 verdeutlicht die Verwendung mehrerer Unterkomponenten: `ContentKeyUsageRule@intendedTrackType="SD+HD"` wird durch zwei unterschiedliche `` untergeordnete Elemente mit unterschiedlichen Attributwerten beschrieben und `ContentKeyUsageRule@intendedTrackType="HDR+HFR+UHD"` wird durch drei unterschiedliche untergeordnete Elemente mit unterschiedlichen Attributwerten beschrieben. `` **Filter** CPIX definiert mehrere Filterelemente und Attribute, aber SPEKE unterstützt nur eine Teilmenge davon. Die folgende Tabelle fasst diese Unterschiede zusammen: | CPIX-Filtertyp | Allgemeine SPEKE-Unterstützung | Von SPEKE unterstützte Filterattribute | Filterattribute werden von SPEKE nicht unterstützt | | --- | --- | --- | --- | | VideoFilter | Ja | minPixels, maxPixels, hdr, minFps, maxFPS (optionale Attribute) | wcg | | AudioFilter | Ja | minChannels, maxChannels (optionale Attribute) | | | KeyPeriodFilter | Ja | PeriodID (obligatorisches Attribut) | | | BitrateFilter | Nein | – | – | | LabelFilter | Nein | – | – | Gemäß der CPIX-Spezifikation für ist [minPixels VideoFilter, maxPixels] ein All-Inclusive-Bereich in beiden Dimensionen, während (minFPS, maxFPS] nur für die maxFPS-Dimension inklusiv ist. Denn [minChannels AudioFilter, maxChannels] ist ein inklusiver Bereich in beiden Dimensionen. **Problematische Situationen** Es gibt Situationen, in denen die im Verschlüsselungsvertrag enthaltenen Informationen unvollständig, mehrdeutig oder falsch sein können. In diesen Fällen ist es wichtig, dass sich der Verschlüsseler und der Schlüsselanbieter angemessen verhalten und einen angemessenen Schutz der Inhalte gewährleisten. Die folgende Tabelle zeigt das empfohlene Verhalten in diesen Situationen: | In dieser Situation | Der Verschlüsseler... should/shall | Der Schlüsselanbieter... should/shall | | --- | --- | --- | | Für einen oder mehrere Titel im Streamset gilt keine Regel (siehe Beispiel 3 unten) | Der Verschlüsseler sollte sich seine Konfiguration (außerhalb der CPIX-Payload) ansehen und sicherstellen, dass die betreffenden Tracks nicht verschlüsselt werden müssen. Wenn dies nicht den Erwartungen entspricht, sollte der Verschlüsseler einen Fehler ausgeben und die Verarbeitung beenden. | *Nicht relevant: Der Schlüsselanbieter hat keine Kenntnis von der Streamset-Struktur.* | | Mehrere Regeln überschneiden sich und schlagen mehrere Inhaltsschlüssel vor, um einen bestimmten Titel zu verschlüsseln | Der Verschlüsseler sollte den zuletzt ContentKeyUsageRule erfolgreich bewerteten Code in der Reihenfolge des Dokuments anwenden. | *Nicht relevant: Der Schlüsselanbieter hat keine Kenntnis von der Streamset-Struktur.* | | Der Verschlüsselungsvertrag ändert sich in einem einzigen SPEKE-Zyklus request/response | Der Verschlüsseler löst eine Ausnahme aus und stoppt die Verarbeitung, da der Schlüsselanbieter nicht für die Definition des Verschlüsselungsvertrags verantwortlich ist. | Um zu verhindern, dass diese Situation von vornherein eintritt, darf der Schlüsselanbieter einen Verschlüsselungsvertrag, der in der CPIX-Payload der SPEKE-Anfrage empfangen wurde, nicht ändern. | | Fehlerhafter Verschlüsselungsvertrag: Ausnahme mit intendedTrackType/Filters Kardinalitätseinschränkungen, nicht unterstützte Filter oder Attribute | Der Verschlüsseler muss eine Ausnahme auslösen, die Verarbeitung beenden und die SPEKE-Anfrage nicht an den Schlüsselanbieter senden, da dies höchstwahrscheinlich zu einem fehlerhaften Schutz der Inhalte führen oder einige Spuren ungeschützt lassen würde. | Der Schlüsselanbieter löst eine Ausnahme aus und gibt die Fehlermeldung „Fehlerhafter Verschlüsselungsvertrag“ zurück. | | Gut formulierter Verschlüsselungsvertrag, der jedoch gegen die DRM-Sicherheitsregeln verstößt: Beispielsweise wird ein einziger Inhaltsschlüssel angefordert, um sowohl Audiotracks als auch UHD-Videotracks zu schützen | Wenn der Verschlüsseler die Einschränkungen der DRM-Sicherheitsstufen kennt, sollte er eine Ausnahme auslösen, die Verarbeitung beenden und die SPEKE-Anfrage nicht an den Schlüsselanbieter senden, da dies höchstwahrscheinlich zum Schutz fehlerhafter Inhalte führen würde. | Der Schlüsselanbieter muss eine Ausnahme auslösen und den Fehler „Angeforderter CPIX-Verschlüsselungsvertrag wird nicht unterstützt“ zurückgeben. | | Fehlender Verschlüsselungsvertrag | Der Verschlüsseler darf keine CPIX-Dokumente versenden, die kein OE-Element enthalten. VideoFilter AudioFilter | Der Schlüsselanbieter löst eine Ausnahme aus und gibt die Fehlermeldung „Fehlender CPIX-Verschlüsselungsvertrag“ zurück. | **Beispiele für Verschlüsselungsverträge** *Beispiel 1: Ein Inhaltsschlüssel für alle Audio- und Videotracks* ``` ``` *Beispiel 2: ein Inhaltsschlüssel für alle Videospuren, ein Inhaltsschlüssel für alle Audiospuren* ``` ``` *Beispiel 3: ein Inhaltsschlüssel für alle Videospuren, unverschlüsselte Audiospuren* ``` ``` *Beispiel 4: mehrere Inhaltsschlüssel für verschiedene Videospuren (SD/HD), ein Inhaltsschlüssel für alle Audiospuren* ``` ``` *Beispiel 5: mehrere Inhaltsschlüssel für verschiedene Videospuren (SD/HD/UHD), ein Inhaltsschlüssel für alle Audiospuren* ``` ``` *Beispiel 6: mehrere Inhaltsschlüssel für verschiedene Videospuren (SD/HD/UHD1/UHD2), ein Inhaltsschlüssel für alle Audiospuren* ``` ``` *Beispiel 7: mehrere Inhaltsschlüssel für verschiedene Videospuren (SD/HD1/HD2/UHD1/UHD2), ein Inhaltsschlüssel für alle Audiospuren* ``` ``` *Beispiel 8: mehrere Inhaltsschlüssel für verschiedene Videospuren (basierend auf mehreren Attributtypen), ein Inhaltsschlüssel für alle Audiospuren* ``` ``` *Beispiel 9: eine Inhaltstaste für alle Videospuren, mehrere Inhaltstasten für Stereo- und Mehrkanal-Audiospuren* ``` ``` *Beispiel 10: ein Inhaltstasten für alle Videospuren, mehrere Inhaltstasten für Stereo und zwei Arten von Mehrkanal-Audiospuren* ``` ``` # SPEKE API v2 — Beispiele für Live-Workflow-Methodenaufrufe *Beispiel für eine Anforderungssyntax* Die folgende URL ist lediglich ein Beispiel und gibt kein bestimmtes Format vor: ``` POST https://speke-compatible-server/speke/v2.0/copyProtection ``` *Anforderungstext* Ein CPIX-Dokument. *Anforderungs-Header* | Name | Typ | Auftreten | Description | | --- | --- | --- | --- | | `AWS Authorization` | Zeichenfolge | 1..1 | Weitere Informationen finden Sie unter [AWS Sigv4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html). | | `X-Amz-Security-Token` | Zeichenfolge | 1..1 | Weitere Informationen finden Sie unter [AWS Sigv4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html). | | `X-Amz-Date` | Zeichenfolge | 1..1 | Weitere Informationen finden Sie unter [AWS Sigv4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html). | | `Content-Type` | Zeichenfolge | 1..1 | application/xml | | `X-Speke-Version` | Zeichenfolge | 1..1 | SPEKE-API-Version, die mit der Anfrage verwendet wurde, formuliert als. MajorVersion MinorVersion, wie '2.0' für SPEKE v2.0 | *Antwort-Header* | Name | Typ | Auftreten | Description | | --- | --- | --- | --- | | `X-Speke-User-Agent` | Zeichenfolge | 1..1 | Zeichenfolge, die den Schlüsselanbieter identifiziert. | | `Content-Type` | Zeichenfolge | 1..1 | application/xml | | `X-Speke-Version` | Zeichenfolge | 1..1 | SPEKE-API-Version, die mit der Anfrage verwendet wurde, formuliert als. MajorVersion MinorVersion, wie '2.0' für SPEKE v2.0 | *Request Response (Antwort anfordern)* | HTTP-CODE | Name der Nutzlast | Auftreten | Description | | --- | --- | --- | --- | | `200 (Success)` | CPIX | 1..1 | DASH-CPIX-Nutzlastantwort | | `4XX (Client error)` | Client-Fehlermeldung | 1..1 | Beschreibung des Client-Fehlers. | | `5XX (Server error)` | Server-Fehlermeldung | 1..1 | Beschreibung des Server-Fehlers. | **Anmerkung** Die Beispiele in diesem Abschnitt zeigen keine Inhaltsschlüssel-Verschlüsselung. Informationen zum Hinzufügen von Inhaltsschlüsselverschlüsselung finden Sie unter [Inhaltsschlüsselverschlüsselung](content-key-encryption-v2.md). *Beispiel für eine Live-Anforderungsnutzlast mit entschlüsselten Schlüsseln* Das folgende Beispiel zeigt eine typische Payload für Live-Anfragen vom Verschlüsseler an den DRM-Schlüsselanbieter mit einem Inhaltsschlüssel für alle Videospuren und einem Inhaltsschlüssel für alle Audiospuren: ``` ``` *Beispiel für eine Live-Antwortnutzlast mit entschlüsselten Schlüsseln* Das folgende Beispiel zeigt eine typische Antwortnutzlast des DRM-Schlüsselanbieters (die zurückgegebenen Werte wurden aus Gründen der Lesbarkeit mit [...] gekürzt): ``` 5dGAgwGuUYu4dHeHtNlxJw== h3toSFIlyAYpfXVQ795m6x== aHR0cHM6L[...]WZm Y29tLmFwc[...]XJ5 trBAnbMcj[...]u44 mn626PjyR[...]2fi Ifa2V5LWl[...]nNB oIARIQeSI[...]Nd2l RoNd2lkZXZ[...]Nib AAAAanBzc[...]A== lTznjvtzL[...]GfJ XgzdzQH7p[...]zeX TdgRnuJsZ[...]wDw mYZbjpWdS[...]D== HicXmbZ2m[...]4== GVzdCIfa2[...]Eta t7WwH24FI[...]YCC FFFFanBzc[...]A== s5RrJ12HL[...]UBB BptGzwis2[...]Iej 3c9SXdVa0[...]MBH HotJCMQyc[...]GpU S6UD43ybN[...]f== VBFUv2or0[...]JeP ``` # SPEKE API v2 — Beispiele für VOD-Workflow-Methodenaufrufe *Beispiel für eine Anforderungssyntax* Die folgende URL ist lediglich ein Beispiel und gibt kein bestimmtes Format vor. ``` POST https://speke-compatible-server/speke/v2.0/copyProtection ``` *Anforderungstext* Ein CPIX-Dokument. *Anforderungs-Header* | Name | Typ | Auftreten | Description | | --- | --- | --- | --- | | `AWS Authorization` | Zeichenfolge | 1..1 | Weitere Informationen finden Sie unter [AWS Sigv4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html). | | `X-Amz-Security-Token` | Zeichenfolge | 1..1 | Weitere Informationen finden Sie unter [AWS Sigv4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html). | | `X-Amz-Date` | Zeichenfolge | 1..1 | Weitere Informationen finden Sie unter [AWS Sigv4](https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html). | | `Content-Type` | Zeichenfolge | 1..1 | application/xml | | `X-Speke-Version` | Zeichenfolge | 1..1 | SPEKE-API-Version, die mit der Anfrage verwendet wurde, formuliert als. MajorVersion MinorVersion, wie '2.0' für SPEKE v2.0 | *Antwort-Header* | Name | Typ | Auftreten | Description | | --- | --- | --- | --- | | `X-Speke-User-Agent` | Zeichenfolge | 1..1 | Zeichenfolge, die den Schlüsselanbieter identifiziert. | | `Content-Type` | Zeichenfolge | 1..1 | application/xml | | `X-Speke-Version` | Zeichenfolge | 1..1 | SPEKE-API-Version, die mit der Anfrage verwendet wurde, formuliert als. MajorVersion MinorVersion, wie '2.0' für SPEKE v2.0 | *Request Response (Antwort anfordern)* | HTTP-CODE | Name der Nutzlast | Auftreten | Description | | --- | --- | --- | --- | | `200 (Success)` | CPIX | 1..1 | DASH-CPIX-Nutzlastantwort | | `4XX (Client error)` | Client-Fehlermeldung | 1..1 | Beschreibung des Client-Fehlers. | | `5XX (Server error)` | Server-Fehlermeldung | 1..1 | Beschreibung des Server-Fehlers. | **Anmerkung** Die Beispiele in diesem Abschnitt zeigen keine Inhaltsschlüssel-Verschlüsselung. Informationen zum Hinzufügen von Inhaltsschlüsselverschlüsselung finden Sie unter [Inhaltsschlüsselverschlüsselung](content-key-encryption-v2.md). *Beispiel für eine VOD-Anforderungsnutzlast mit entschlüsselten Schlüsseln* Das folgende Beispiel zeigt eine typische Payload für VOD-Anfragen vom Verschlüsseler an den DRM-Schlüsselanbieter mit einem Inhaltsschlüssel für alle Videospuren und einem Inhaltsschlüssel für alle Audiospuren: ``` ``` *Beispiel für eine VOD-Antwortnutzlast mit entschlüsselten Schlüsseln* Das folgende Beispiel zeigt eine typische Antwort-Payload des DRM-Schlüsselanbieters (die zurückgegebenen Werte wurden aus Gründen der Lesbarkeit mit [...] gekürzt): ``` 5dGAgwGuUYu4dHeHtNlxJw== h3toSFIlyAYpfXVQ795m6x== aHR0cHM6L[...]WZm Y29tLmFwc[...]XJ5 trBAnbMcj[...]u44 mn626PjyR[...]2fi Ifa2V5LWl[...]nNB oIARIQeSI[...]Nd2l RoNd2lkZXZ[...]Nib AAAAanBzc[...]A== lTznjvtzL[...]GfJ XgzdzQH7p[...]zeX TdgRnuJsZ[...]wDw mYZbjpWdS[...]D== HicXmbZ2m[...]4== GVzdCIfa2[...]Eta t7WwH24FI[...]YCC FFFFanBzc[...]A== s5RrJ12HL[...]UBB BptGzwis2[...]Iej 3c9SXdVa0[...]MBH HotJCMQyc[...]GpU S6UD43ybN[...]f== VBFUv2or0[...]JeP ``` # SPEKE API v2 — Verschlüsselung von Inhaltsschlüsseln Sie können Ihrer SPEKE-Implementierung optional eine Inhaltsschlüsselverschlüsselung hinzufügen. Die Inhaltsschlüsselverschlüsselung garantiert vollständigen end-to-end Schutz, indem sie zusätzlich zur Verschlüsselung des Inhalts selbst auch die Inhaltsschlüssel für die Übertragung verschlüsselt. Wenn Sie dies nicht für Ihren Schlüsselanbieter implementieren, verlassen Sie sich aus Sicherheitsgründen auf die Verschlüsselung der Transportschicht sowie auf eine starke Authentifizierung. Um die Inhaltsschlüsselverschlüsselung für Verschlüsseler zu verwenden, die in der AWS-Cloud ausgeführt werden, importieren Kunden Zertifikate in den AWS Certificate Manager und verwenden das resultierende Zertifikat dann ARNs für ihre Verschlüsselungsaktivitäten. Der Verschlüsseler verwendet das Zertifikat ARNs und den ACM-Service, um dem DRM-Schlüsselanbieter verschlüsselte Inhaltsschlüssel bereitzustellen. **Einschränkungen** SPEKE unterstützt die Verschlüsselung von Inhaltsschlüsseln gemäß der DASH-IF CPIX-Spezifikation mit den folgenden Einschränkungen: + SPEKE unterstützt keine Überprüfung digitaler Signaturen (XMLDSIG) für Payloads von Anfragen oder Antworten. + SPEKE benötigt 2048 RSA-basierte Zertifikate. Diese Einschränkungen sind auch unter [Anpassungen und Einschränkungen der DASH-IF-Spezifikation](speke-constraints-v2.md) aufgeführt. **Implementieren der Inhaltsschlüssel-Verschlüsselung** Um Inhaltsschlüssel-Verschlüsselung bereitzustellen, führen Sie in den Implementierungen Ihres DRM-Schlüsselanbieters Folgendes aus: + Verarbeiten Sie das Element `` in den Anforderungs- und Antwortnutzlasten. + Stellen Sie in der `` der Antwortnutzlasten verschlüsselte Werte bereit. Weitere Informationen zu diesen Elementen finden Sie in der [DASH-IF](https://dashif.org/docs/CPIX2.3/Cpix.html) CPIX 2.3-Spezifikation. *Beispiel für das Inhaltsschlüssel-Verschlüsselungselement ` ` in der Anforderungsnutzlast* ``` ... ``` *Beispiel für das Inhaltsschlüssel-Verschlüsselungselement ` ` in der Antwortnutzlast* ``` qnei/5TsfUwDu+8bhsZrLjDRDngvmnUZD2eva7SfXWw= DGqdpHUfFKxdsO9+EWrPjtdTCVfjPLwwtzEcFC/j0xY= ... ``` *Beispiel für das Inhaltsschlüssel-Verschlüsselungselement ` ` in der Antwortnutzlast* Das folgende Beispiel zeigt die Behandlung des verschlüsselten Inhaltsschlüssels im ``-Element der Antwortnutzlast. Hier wird das Element `` verwendet: ``` NJYebfvJ2TdMm3k6v+rLNVYb0NoTJoTLBBdbpe8nmilEfp82SKa7MkqTn2lmQBPB t9lW4WCebfS1GP+dh0IicMs+2+jnrAmfDa4WU6VGHc4= ``` Im Vergleich dazu zeigt das folgende Beispiel eine ähnliche Antwortnutzlast mit dem unverschlüsselten Inhaltsschlüssel als entschlüsselter Schlüssel. Hier wird das Element `` verwendet: ``` 5dGAgwGuUYu4dHeHtNlxJw== ``` # SPEKE API v2 — Überschreiben der Schlüssel-ID Der Verschlüsseler erstellt bei jeder Rotation der Schlüssel eine neue Schlüssel-ID (Key Identifier, KID). Er übergibt die KID an den DRM-Schlüsselanbieter bei dessen Anforderungen. Beinahe immer antwortet der Schlüsselanbieter mit derselben KID. Er kann jedoch in der Antwort auch einen anderen Wert für die KID bereitstellen. Im Folgenden finden Sie eine Beispielanforderung mit der KID `11111111-1111-1111-1111-111111111111`: ``` ``` Die folgende Antwort überschreibt die KID zu `22222222-2222-2222-2222-222222222222`: ``` 5dGAgwGuUYu4dHeHtNlxJw== Ifa2V5LWl[...]nNB oIARIQeSI[...]Nd2l RoNd2lkZXZ[...]Nib AAAAanBzc[...]A== ```