实时非对称视频加密的高效硬件实现

Question

我想直接加密视频的来源，它被捕获，例如在摄像机内。这样，我就可以安全地在WiFi上传输加密的流。

我可以在相机内部的芯片上使用AES，但这会对半导体封装造成攻击，在那里，演员可以检索AES加密密钥，并使用它解密数据。

是否有像RSA这样的非对称加密算法(不幸的是，这种算法对视频流的加密效率不高)，对视频流的加密是有效的，并且也可以在硬件上实现(比如在ASIC芯片上)？

这将允许我只在ASIC中存储公钥，从而提高安全性。在接收到加密流之后，我将能够使用私钥来解密它。

您会推荐在加密之前压缩视频流吗？

Answer 1

您会推荐在加密之前压缩视频流吗？

这本身就是一个很好的问题。压缩所做的是识别数据中的冗余并删除这些冗余。因此，它将数据的长度作为其值的函数进行更改。现在密码学并不保证隐藏传输数据的长度，因为这是一个不可能达到的目标。因此，外部攻击者现在可以通过加密，只需查看数据包传输的长度和频率，就可以推断出一些关于明文的信息。事实上，这是一种名为犯罪的著名攻击，导致TLS放弃了安全协议级别的压缩。因此，你必须评估你自己，对于你来说，泄漏和尺寸收益的权衡是否值得。

当然，由于视频可以用有损方法很好地编码，您可以得到一个恒定的比特率编码，其中每个视频材料的时间单位被编码到相同的比特输出单位。正如其他答复和评论中所指出的那样，这应该很少泄露任何信息。

关于你的实际问题：

(杂交) McEliece

McEliece是一种古老的基于代码的签名方案.它通过矩阵向量乘法(作为向量)对数据进行加密，然后在结果中添加有限的噪声。解密涉及的范围更广，本质上是对应用于删除这些错误的纠错码的工作。所以让我们来研究一下为什么这是一个好的选择：

• 速度太快了。正如您在上面所读的，它只是一个二进制矩阵向量乘法和二进制向量相加，带有一些精心产生的噪声。因此，从本质上讲，它是一堆和和异或门的泻湖和一个HW RNG的输出，这可以构建得相当快，有点容易。
• 它是量子后抗性的。McEliece (它的变体)目前被认为是NIST的后量子竞赛，McEliece已经经受了几十年的时间和量子算法的考验。
• 它有一个很大的公钥。考虑到你似乎并不想传输公钥，这在你的情况下应该不会是一个问题，即使这样，你主要是传输视频数据，额外的兆字节的公钥不会结束这个世界。
• 解密有点复杂。但据我所知，这对你来说并不是什么大问题。
• 它得到了相当糟糕的支持。也就是说，它的使用非常少。考虑到你自己的ASIC，你似乎可以在这里设定你自己的标准，但要确保通过适当的密码程序运行，而不是只是随机的互联网土豆！
• 它缺乏许多标准化。当您使用"raw“时，这并不像现在通常使用的那样用于混合加密，您需要四处看看，以找到一种使McEliece IND-CCA2安全的填充方案，这确实是您想要的一个安全概念，但同样，请在这方面咨询适当的加密程序！

现在来看看你的实际问题:非对称密码的缓慢速度。好吧，这就是混合加密的解决方案。也就是说，您使用您最喜欢的加密方案(如McEliece)，对大量随机字节进行加密，将密文添加到消息中，并使用字节的散列作为经过验证的对称加密的密钥。这样做的优点是，您现在可以将密钥保存(短)一段时间在易失性寄存器中，并使用快速对称密码来完成大部分工作。当然，您也可以将混合加密与慢非对称加密(如RSA )配对，只需在循环中继续运行RSA加密，每秒钟生成一次新的会话密钥。混合加密的优点是，您需要在非对称加密上花费更少的面积(因为您需要更少的并行实例/更少的区域-时间权衡)，而更多的是在实际逻辑上，当然，您应该没有问题为这样的对称加密模块找到预先生成的IP。

Answer 2

是否有像RSA这样的非对称加密算法(不幸的是，这种算法对视频流的加密效率不高)，对视频流的加密是有效的，并且也可以在硬件上实现(比如在ASIC芯片上)？

通常的方法是使用混合购买方案。生成随机对称密钥，并使用公钥加密将其发送给收件人。关于这一点，其他的答案已经有了更多的细节。

为了最大限度地减少在相机被破坏的情况下的伤害，这个秘密密钥应该只保存在内存中，并且应该经常更换。为了可靠起见，我建议在收信人生命的开始和结束时将(加密的)密钥发送给收信人。

您会推荐在加密之前压缩视频流吗？

是的但是你得小心点。

视频压缩对于以可管理的比特率产生可接受的高质量视频至关重要。加密后压缩是不现实的，因此需要在加密前进行压缩。

然而，不小心实现的压缩很容易泄漏信息。加密隐藏数据包的内容，但不隐藏数据包的大小或时间。必须注意确保压缩和分组系统在固定的时间间隔内产生固定大小的数据包以进行加密。