Linux-Magazin Clean Linux (Vorschau)

Programmieren
www.linux-magazin.de HTML-5-DRM 09/2013
98
HTML 5 zwischen Verschlüsselung und DRM
Schlüssel fürs Web
Im Rahmen von HTML 5 erhalten Webbrowser die Fähigkeit, Inhalte zu verschlüsseln. Das Sicherheitsfeature
hat sich nun zum Politikum entwickelt, denn die Anbieter von digitalen Inhalten möchten es für Digital Rights
Management (DRM) verwenden. Hier ein freier Blick auf die Technik. Andreas Möller, Mathias Huber
© feverpitched, 123RF.com
Die modernen Webtechnologien, die
HTML 5 zusammenfasst, stehen eigentlich
für Offenheit. Sie ermöglichen Webanwendungen
in HTML, Javascript und
CSS, die ohne proprietäre Fremdkörper
wie Adobe Flash oder Microsoft Silverlight
auskommen. Doch ausgerechnet
aus der HTML-5-Ecke sehen die Verfechter
des offenen Web nun eine neue Gefahr
heraufziehen.
Im Zuge der Verschlüsselungsfunktionen
in HTML 5 möchten Anbieter, zum
Beispiel der Online-Filmverleih Netflix
oder die britische Rundfunkanstalt BBC,
Digital Rights Management (DRM) für
digitale Inhalte umsetzen. Netflix bezeichnet
den Kopierschutz als „HTML 5
Premium Video Extensions“ [1] und die
BBC sieht es als gerechtfertigt an, ihre
Sendungen nur den britischen Gebührenzahlern
zugänglich zu machen [2].
Der passende Vorschlag beim Standardisierungsgremium
W3C heißt Encrypted
Media Extensions (EME) und befindet
sich im Entwurfsstadium [3].
Technisch fußt das geplante DRM auf
der künftigen Fähigkeit von Webbrowsern,
Anwendungsdaten mit Hilfe von
Javascript zu ver- und entschlüsseln. Die
Programmierschnittstelle dafür ist im
Web Cryptography API [4] spezifiziert,
das ebenfalls als Entwurf beim W3C liegt.
Ergänzend zur Transportsicherung per
HTTPS lassen sich damit Anwendungsdaten
verschlüsseln, etwa vor dem Speichern
in der Cloud oder vor ihrer Übertragung
mittels Websockets oder Web RTC.
Polyfills
Die Implementierung des Web Cryptography
API im Chrome-Browser [5] sowie
im Mozilla Firefox [6] hat bereits
begonnen. Bis die Browser die volle
Unterstützung mitbringen, dienen so genannte
Polyfills dazu, einzelne Features
nachzurüsten. Bei diesen – nach einer
beliebten britischen Spachtelmasse benannten
– Browser-Ausbesserungen handelt
es sich um Javascript-Bibliotheken,
die ein Webbrowser bei Bedarf aus dem
WWW lädt.
Dazu zählt auch Polycrypt [7], das zwar
einen älteren Entwurf des Web Cryptography
API implementiert, sich aber gut
zu Demonstrationzwecken eignet. Seine
Lizenz ist unklar, es steht aber im Web
zur kostenlosen Verwendung bereit. Der
Entwickler bindet Polycrypt wie jede andere
Javascript-Datei in ein HTML-Dokument
ein. Damit das Polyfill funktioniert,
muss er das HTML-Dokument über einen
Webserver laden. Abbildung 1 zeigt
Polycrypt im Einsatz auf der Javascript-
Konsole des Browsers.
Eine weitere Implementierung ist Webcrypto
von Netflix [8]. Im Unterschied
zu Polycrypt ist es aber keine Javascript-
Bibliothek, sondern ein nativ kompiliertes
Browser-Plugin für Google Chrome.
Symmetrische
Verschlüsselung
Zum Schutz von Anwendungsdaten in
einer Cloud ist das symmetrische Verschlüsselungsverfahren
AES [9] geeignet.
Listing 1 zeigt seine Verwendung
zusammen mit dem Web Cryptography
API. Zeile 1 speichert einen (im Listing
gekürzten) Schlüssel zum Ver- und Entschlüsseln
von Anwendungsdaten in der
Variablen »encRawKey« als hexadezimale
Zahlenfolge ab. Die Variable »encAlg« in
den Zeilen 2 bis 9 speichert ein Konfigurationsobjekt.
Dieses wählt im Feld »name« den AES-
Algorithmus im Betriebsmodus GCM mit
dem Initialisierungsvektor aus »iv« und