DRM, online video işinde kaliteli içerik sunmak istiyorsanız, servisinizin yapıtaşlarından biridir. OTT servislerinin kurulma aşamalarında veya bir servis değerlendirilirken DRM hızlıca geçilen konulardan biridir. DRM ve buna bağlı olarak güvenlik, genelde apayrı bir dünyada varolan ve bize asla açılmaması gereken bir kutu gibi sunulmaktadır. DRM’in gizem perdesinin asıl nedeni, bu konudaki bilgi eksikliği olduğu açıkça ortada. Peki, herkesin bulaşmak istemediği DRM nedir? Mevcut OTT servisleri DRM’i tam anlamıyla kullanabiliyor mu? Bu yazımızda DRM’in sis perdesini kaldıracağız. Yazıda mecburen yer yer değinilen teknik kısımları DEEP DIVE şeklinde belirttik.
DRM, Digital Rights Management, aslında küçük birçok parçanın bir araya gelmesiyle oluşturulmuş bir sistemdir. Bu sistemi bir içerik kontrolü ve güvenliği sisteminin, CRM ile birleştirilmiş hali olarak düşünebilirsiniz. Yani DRM, birçoğunun kabul ettiği gibi içerik şifrelemeye yarayan bir sistem değildir. İçerik şifreleme, DRM’in altkümlerinden biridir.
DRM’in yapıtaşları:
- İçerik koruma
- İçerik kontrolü
- Üye doğrulama, yetkilendirme
- Üye hesap ve paket yetkilendirme
DRM’in en üst seviye anlatımını şu şekilde yapabiliriz; “Bir kullanıcı, sisteme login olduktan sonra, bir filmi izlemek için sunucuya kimlik bilgilerini gönderir (credentials), bu bilgiler kullanılarak kullanıcının üyelik paketinin o flmi izlemesine olanak verip vermediği kontrol edilir, Kullanıcının cihazına film şifreli bir şekilde aktarılır ve beraberinde o şifreyi çözmesi çin gerekli anahtar gönderilir. Kullanıcının cihazı da bu anahtarı kullanarak içeriğin şifresini çözer ve izler.”
DEEP DIVE:
DRM genelde Public Key Cryptography algoritmaları kullanır. DRM çözümlerinde Symmetric Key cryptography, Elliptic Curve Cryptography, Digital signature Algorithm gibi metodlar kullanılabilir.
Her şirket kendi master key’ini oluşturarak bunu DRM serverlar aracılığıyla cihazlara dağıtır. DRM sistemi, Public Key/Private Key mantığıyla şifreleme ve şifre çözme işlemlerini gerçekleştirir. Serverlardan cihazlara key gönderimi de önemlidir. Burada önemli nokta key’in gerçekten doğru kişiden gelip gelmediğini doğrulamasıdır. Bu noktada PKI (Public Key Infrastructure) dediğimiz yöntem kullanılır. PKI, public keylerin SSL sertifikaları ile gönderilmesini sağlar. Sertifikayı ve beraberinde public key’i alan istemci, sertifikayı kontrol ederek göndericinin gerçekten o server olup olmadığını anlayabilir. Key’leri sertifika ile korumaya çalıştık, ama pratikte herkes bu sertifikaları istediği şirket adına yaratabilir, peki sertifikanın gerçekten o şirketten gelip gelmediğini nasıl anlayacağız? İşte bu iş için ise CA (Certificate Authority) yapısı devreye girer. CA, global olarak bilinen yapılardır. Yani istemci gelen sertifikayı bir üst mecraya sorarak doğruluğunu kontrol eder, sertifika doğrulanmışsa public key’in doğru yerden geldiğini kabul ederek bu key’i ve private key’ini kullanır ve içeriği çözer. Peki CA bilgisinin doğru olup olmadığını nasıl anlarız? Güvenlik konularındaki paranoya sınırlarına geldik:). CA, cihaza kendi root sertifikalarını ekler, bu sayede de CA’in gerçekten o CA olup olmadığını kontrol edebilirsiniz.
DRM’in kullanılmayan yönleri:
Pek çok DRM, sadece içerik şifreleme ve CRM entegrasyonu yapmakla kalmaz, bunun yanısıra DRM firmalarının diğerlerinden farklılaşmak için kullandıkları, ama müşterilerin ise anlayamadkları için hiçbir zaman kullanamadığı özellikler vardır. Bu özellikler de DRM’in altkümelerini oluşturur. Bu hidden gem’ler nelerdir?
- Metering
- İçeriği terkar lisanslama
- İçeriğin lisansını dağıtma
- İçerik için lisansı aldıktan sonra cihazın kendi lisansını oluşturup içeriği dağıtması
DRM’in farklı özellikleri, firmalar için farklı iş modelleri geliştirmek için tasarlanmışlardır. Yukarıda sayılan maddeleri arttırabiliriz fakat pratikte, bu özelliklerin birçok operatörde kullanılmadığını görüyoruz. Örneğin şifrelenmiş bir içeriğin multi-screen mantığıyla ev içi diğer cihazlara yien şifreli şekilde dağıtılması, içeriğn tekrar lisanslama yöntemiyle offline olarak izlenebilr hale gelmesi gibi senaryolar endüstrinin multi-screen multi-device stratejilerindeki DRM eksiğini kapatmak için sunulan özelliklerdir.
DRM gibi geniş bir konu hakkında bu kadar kısa bir yazı tabiki yeterli olmayacaktır fakat DRM’in high level’da ne olduğunu anlamak için iyi bir başlangış noktası olabilir diye umuyoruz.
