Torrent Gear

Göni oýunlarda maglumatlary şifrlemek nähili işleýär

1) Şifrlemek derejeleriniň suraty

Live-kazinoda şifrlemek bir wagtyň özünde dört gatlakda işleýär:

1. Kanallar: Media serwer müşderisi (WebRTC/DTLS-SRTP), CDN müşderisi (TLS), üpjün ediji platformasy (TLS 1. 3/mTLS).

2. Mazmuny: Wideo segmentleri we manifestleri goramak (AES-128/SAMPLE-AES, CENC c FairPlay/Widevine/PlayReady).

3. Geleşikler: Gol we şifrlemek API (JWT/JWS, HMAC-gollar webhook 'lar, anti-berkitmeler).

4. Saklamak: esasy infrastruktura (KMS/HSM), "ýeke-täk" şifrlemek (TDE/field-level), PII tokenizasiýasy.

2) Ulag kanallary: TLS 1. 3, mTLS и QUIC

Müşderiniň HTTP (S) soraglary (lobi, gapjyk, HLS/DASH manifestleri/segmentleri) TLS 1 boýunça gidýär. 3 AEAD-şifrleri (AES-GCM ýa-da ChaCha20-Poly1305) we PFS (ECDHE) bilen.

S2S integrasiýasy (üpjün ediji/agregator platformasy) mTLS (şahadatnamalar boýunça özara tassyklama), üstesine-de IP-allowlist we möhüm müşderilerde certificate pinning bilen goralýar.

HTTP/3 (QUIC) manifestleri we segmentleri gowşurmagyň jitterlerini/gizlinligini peseldýär; TLS wersiýalaryna gözegçilik etmek we köne şifrleri "kesmek" hökmanydyr.

Iň az tejribe toplumy: TLS 1. 3 preferred, TLS 1. 2 diňe legasi üçin; OCSP-stapling, şahadatnamalaryň gysga ömri, awtomatiki aýlanyş.

3) WebRTC we DTLS-SRTP: "janly" wideo/ses şifrlemek

DTLS-SRTP (ýa-da DTLS-açar alyş-çalşygy arkaly SRTP) RTP-mediany şifrleýär. Açarlar her akym üçin aýratyn DTLS el çarpyşmalaryndan çykarylýar (per-SSRC).

SRTP şifrleri: AES-CM-128 + HMAC-SHA1 (nusgawy) ýa-da SRTP-AES-GCM (az ýükli tassyklanan şifrlemek).

PFS DTLS (ECDHE) efemer açarlarynyň hasabyna gazanylýar. Uzak möhletli açaryň eglişigi köne sessiýalary açmaýar.

WebRTC-iň üstündäki E2EE (mysal üçin, SFrame) hususy otaglar üçin mümkindir: çarçuwa müşderide umumy topar açary bilen şifrlenýär, SFU diňe "şifr-teksti" görýär. Bahasy: keýmenedjmentiň çylşyrymlaşmagy we serwer gaplamalarynyň/fragmentleriniň mümkin däldigi.

4) LL-HLS/DASH we DRM: segmentleri we manifestleri goramak

Kesilen ýaýlymlar üçin (LL-HLS/DASH):

Segment derejesinde AES-128 (CBC) ýa-da SAMPLE-AES, açarlary Key Server berýär.
CENC (Common Encryption) cbcs/ctr we DRM (FairPlay/Widevine/PlayReady) ygtyýarlandyrylan serwerler arkaly.
Açarlaryň aýlanmagy: '#EXT -X-KEY '/KID her N minut/segmentde üýtgeýär; IV segment üçin özboluşly.
Açarlara giriş tokenized URL (gysga TTL, IP/Device ID/Audience bilen baglanyşyk) bilen goralýar.
LL-re modeimi üçin: gysga partial segment, prefetch ygtyýarnamalary, "el bilen" redaktirlemeleri azaltmak (her hop = syzmak/gijikdirmek töwekgelçiligi) möhümdir.

5) Geleşikler we wakalar: gol, kontrepey, idempotentlik

5. 1. JWT/JWS Müşderi we serwer çagyryşlary üçin

Oýun bellikleri we session-JWT JWS (ES256/RS256) tarapyndan aşakdaky bellikler bilen gol çekilýär:

`iss, aud, sub, iat, nbf, exp (≤ 15 мин), jti, kid`.
aud gaty düzedilen (kime belgi niýetlenendir), 'nbf/exp' - gysga penjireler, 'jti' - anti-bellik.

5. 2. Üpjün edijiniň webhook goly (HMAC)

Üpjün ediji başlyk bilen platforma tapgyrlaryň/tölegleriň wakalaryny iberýär, mysal üçin:

`X-Signature: t=169...; v1=hex(hmac_sha256(secret, t + "." + body))`

Platforma:

wagt deltasyny barlaýar '	now - t	≤ 300 s ', HMAC-ny tassyklaýar,' event _ id '(idempotentlik) boýunça gaýtalamany saýlaýar.

5. 3. Pul amallary

'debit/credit/rollback' - 'transaction _ id' -a gol çekilip, 'round _ id' -e birikdirildi.

Jogaplaryň hemmesinde serweriň goly we gözegçilik mukdary bar (mysal üçin, kadalaşdyrylan JSON boýunça SHA-256).

6) PII we gapjyk: rahat şifrlemek we maglumatlary azaltmak

'player _ id' tokenizasiýasy we maliýe kesgitleýjileriniň PII-den aýrylmagy.

Duýgur meýdanlar üçin field-level encryption (doly ady, telefon, e-mail): AES-GCM envelope encryption (data-key KMS/HSM-den master-key bilen şifrlenýär).

DB we snapshot derejesinde TDE/disk-encryption; ätiýaçlyk nusgalary hem şifrlenýär.

Saklamak syýasaty: iň az möhletler, awto-anonimleşdirmek, sebitler boýunça aýry-aýry açarlar (ýerli düzgünleriň berjaý edilmegi).

Gezelençleriň ýazgylary we göçürmeleri - WORM-ammarda (üýtgedip bolmaýar), giriş açarlary diňe çäkli rolda.

7) Açarlary dolandyrmak: KMS/HSM, aýlanyş we elýeterlilik

KMS/HSM baş açarlary saklaýar; amaly hyzmatlar TTL çäkli data-keys alýarlar.

Aýlanyş:

TLS-şahadatnamalar - awtomatiki usulda, 30-90 gün.
DRM açarlary/mazmun açarlary - akym/wagt penjiresine.
API syrlary - her 60-90 günde, hadysalarda derrew maýyplyk.
Giriş syýasaty: iň az artykmaçlyklaryň ýörelgesi, hyzmat hasaplaryna/rollaryna baglanyşyk, KMS-e haýyşlaryň barlagy.

8) Anti-howplar: şifrlemek nämäni ýapýar we nämäni ýapmaýar

Ýapýar:

Kanaldaky maglumatlary saklamak (MITM) we çalyşmak.
Wakalaryň we tokenleriň belligi (dogry 'exp/jti/timestamp').
CDN-den/DRM-siz segmentleri/açarlary ogurlamak.

Doly ýapmaýar:

Müşderi enjamynyň eglişigi (malware, giňeltmek).
Ekrany/kamerany çäklendirmek - suw alamatlary, özüni alyp barş düzgünleri we kanuny çäreler bilen çözülýär.
Içerki töwekgelçilikler - giriş segregasiýasy, KMS barlagy we WORM-logirleme arkaly azaldylýar.

9) Amaly mysallar

9. 1. TLS syýasaty

Rugsat berildi: TLS 1. 3 (TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256).

Legasy üçin kabul ederlikli: TLS 1. 2 c ECDHE + AES-GCM/CHACHA20 (CBC-siz, RSA-key-exchange-siz).

Gadagan edildi: SSL/TLS ≤ 1. 1, RC4, 3DES, AES-CBC, TLS gysyş.

9. 2. Wakalaryň golunyň kiçi aýratynlygy

http
POST /game/events
X-Signature: t=173...; v1=15c2...af
Content-Type: application/json

{
"event_id":"ev-7f3",  "type":"round. result",  "round_id":"r-2025-10-18-12:30:15Z-001",  "payload":{"roulette":{"number":17,"color":"black"}},  "seq":12070
}

Serwer: wagt penjiresini, HMAC, seq, 'event _ id' -ni barlaýar.

9. 3. DRM açar serweri

`POST /drm/license` с device-nonce, `kid`, `session_id`, токеном с `aud=drm`.

Enjam we sessiýa bilen baglanyşykly şifrlenen mazmuny yzyna gaýtarýar.

10) Kripto syn edilmegi we wakalar

Alertler: TLS-el çarpyşmalarynyň ýalňyşlyklarynyň köpelmegi, 'invalid _ signature', 'replay _ detected', KMS-e haýyşlaryň köpelmegi, JWT-iň paýy, OCSP-iň çökmegi.

Dashbordlar: Trafik TLS wersiýasy, cipher-suite paýlanyşy, TURN-relay (WebRTC) paýy, DRM-ygtyýarnamalaryň berilmegi latency, şahadatnamalaryň aýlanma wagty.

Runbook: şahadatnamany çalt yzyna almak, mTLS üçin client-cert gaýtadan çykarmak, HMAC-syrlary gyssagly çalyşmak, ähli gysga ömürli tokenleriň maýyplygy ('exp ≤ 5 min'), ätiýaçlyk DRM-endpointine geçirmek.

11) Laýyklyk we öndürijilik

"Howpsuzlyk" balansy: AEAD-şifrleri enjamyň tizlenmegi (AES-NI/ARMv8 Crypto), TLS-iň gysga el çarpmagy 1. 3, sessiýa keşi/0-RTT (gaýtalanýan soraglara seresap boluň!).

Jübi ulgamlary: AES-NI bolmadyk enjamlarda ChaCha20-Poly1305 has gowudyr.

WebRTC: SRTP-AES-GCM-i saýlamak, AES-CM + HMAC bilen deňeşdirilende ýalan barlaglary azaldar.

12) Önümçiligiň çek-sahypalary

Kanallar

TLS 1. 3 hemme ýerde, TLS 1. 2 diňe legasi üçin; OCSP-stapling, HSTS.
S2S üçin mTLS; IP-allowlist; Möhüm müşderilerde pinning.
Manifestler/segmentler üçin QUIC/HTTP3.

Mazmun

LL-HLS/DASH açar aýlawly; Premium mazmun üçin DRM.
Tokenized URLs (TTL ≤ 2-5 minut), aud/IP/Device baglanyşygy.
Rate-limit we audit bilen gizlin key-server.

Amallar

JWT c 'aud/exp/nbf/jti', JWK c 'kid' we rotasiýa.
Webhook goly (HMAC), anti-bellik penjiresi ≤ 5 minut.
Idempotentlik 'debit/credit/rollback'.

Saklamak

KMS/HSM, envelope-encryption, sebitler boýunça aýratyn açarlar.
PII üçin Field-level encryption, BD/bellikler üçin TDE.
WORM magazinesurnallary we berk giriş rollary.

Amallar

TLS/DRM/JWT/KMS boýunça aladalar; cipher-suite/wersiýasy.
Açarlary/syrlary gyssagly çalyşmagyň tertibi.
Pentestalar we kripto-review çykarylmazdan ozal.

Live-oýunlarda şifrlemek TLS-iň bir "belligi" däl-de, ylalaşylan ulgam: DTLS-SRTP/WebRTC, TLS 1. API we gowşuryş üçin 3/mTLS, segmentler üçin DRM/CENC, amallar üçin JWT/HMAC we açar aýlawly KMS/HSM we PFS. Her gatlak dogry ýerine ýetirilende we hakyky wagtda gözegçilik edilende, kazino hüjümlere çydamly kontury alýar, oýunçy bolsa howpsuzlyk meselesinde eglişiksiz göni formatyň tizligini we dogruçyllygyny alýar.