Comment configurer le chiffrement SRT (AES-128/256)

Guide pas à pas pour configurer le chiffrement SRT avec AES-128 ou AES-256 pour un transport vidéo en direct sécurisé.

Pourquoi chiffrer vos flux SRT ?

Tout flux vidéo transitant par l’internet public est vulnérable aux interceptions. Le chiffrement AES intégré à SRT garantit que même si quelqu’un capture vos paquets, il ne peut pas décoder le contenu.

Contrairement au RTMP (qui nécessite un wrapper TLS séparé), le chiffrement SRT est natif au protocole — il est toujours disponible, sans infrastructure supplémentaire requise.

Choisir la longueur de clé

SRT prend en charge trois longueurs de clé AES :

Longueur de cléNiveau de sécuritéImpact sur les performancesRecommandation
AES-128ÉlevéMinimal (<1% CPU)Usage général
AES-192Très élevéMinimalRarement utilisé
AES-256MaximumMinimal (~1-2% CPU)Contenu sensible

Notre recommandation : Utilisez AES-256 pour tout. La différence de performance est négligeable sur le matériel moderne, et vous bénéficiez d’une sécurité maximale.

Configuration

La phrase de passe

Le chiffrement SRT nécessite une phrase de passe partagée entre l’appelant (caller) et l’écouteur (listener) :

  • Longueur minimale : 10 caractères
  • Longueur maximale : 79 caractères
  • Les deux côtés doivent correspondre — des phrases de passe différentes provoquent un échec de connexion silencieux

Bonnes pratiques pour les phrases de passe :

  • Utilisez 20 caractères ou plus
  • Mélangez majuscules, minuscules, chiffres et symboles
  • Ne réutilisez jamais entre les flux
  • Générez avec un gestionnaire de mots de passe ou openssl rand -base64 32

Paramètres d’URL SRT

srt://server:9000?passphrase=MySecurePass2026!&pbkeylen=32
  • passphrase — votre secret partagé
  • pbkeylen — longueur de la clé en octets : 16 (AES-128), 24 (AES-192), ou 32 (AES-256)

Configuration dans Vajra Cast

Dans Vajra Cast, le chiffrement se configure par ingest :

  1. Ouvrez les paramètres de l’ingest
  2. Activez “Chiffrement”
  3. Saisissez votre phrase de passe
  4. Sélectionnez AES-256 (recommandé)
  5. Partagez la phrase de passe avec l’opérateur de l’encodeur distant

Le côté sortie ne nécessite pas de configuration de chiffrement séparée — il hérite de l’ingest ou peut être configuré indépendamment pour chaque sortie.

Comment fonctionne le chiffrement SRT

Sous le capot, SRT utilise PBKDF2 (Password-Based Key Derivation Function 2) pour dériver la clé AES réelle à partir de votre phrase de passe :

  1. Le listener génère un sel aléatoire
  2. Les deux côtés dérivent la clé AES à partir de la phrase de passe + le sel via PBKDF2
  3. Toutes les données utiles sont chiffrées avec la clé dérivée
  4. Les en-têtes SRT restent non chiffrés (nécessaire pour le routage des paquets)
  5. Les clés sont périodiquement renégociées pour assurer la confidentialité persistante (forward secrecy)

Cela signifie :

  • La phrase de passe ne transite jamais sur le réseau
  • Chaque session utilise une clé dérivée unique
  • Compromettre une session ne compromet pas les sessions passées ou futures

Vérification du chiffrement

Comment confirmer que votre flux est effectivement chiffré :

  1. Vérifiez les statistiques SRT — Vajra Cast affiche l’état du chiffrement par flux
  2. Inspection des paquets — capturez avec Wireshark ; la charge utile doit être illisible
  3. Test de discordance — essayez de vous connecter avec une mauvaise phrase de passe ; la connexion doit échouer silencieusement (pas d’erreur, simplement pas de connexion)

Dépannage

La connexion échoue silencieusement

Cause la plus fréquente : discordance de la phrase de passe. SRT ne signale pas d’erreur — il refuse simplement de se connecter. Vérifiez :

  • La phrase de passe exacte des deux côtés (attention aux espaces en fin de chaîne)
  • Le même pbkeylen des deux côtés
  • Pas de fautes de frappe (le copier-coller est plus sûr)

Préoccupations de performance

Le chiffrement AES sur les processeurs modernes utilise l’accélération matérielle (AES-NI). À moins que vous n’utilisiez du matériel très ancien, le chiffrement a un impact négligeable sur les performances. Si vous constatez des problèmes, vérifiez que AES-NI est activé dans votre BIOS.

Rotation des clés

Pour les flux de longue durée, envisagez de changer périodiquement les phrases de passe :

  1. Configurez un nouvel ingest avec la nouvelle phrase de passe
  2. Basculez l’encodeur vers le nouvel ingest
  3. Supprimez l’ancien ingest

Vajra Cast prend en charge la gestion à chaud — vous pouvez créer et modifier des ingests sans interrompre les flux en cours.

Prochaines étapes

← Retour au guide principal