Partilhar via


Revogação do PlayReady

O que é o PlayReady Revocation

A revogação é um processo para identificar clientes que comprometeram a segurança e impedir que esses clientes tenham acesso a licenças adicionais para descriptografar o conteúdo que foi protegido.

Quando a Microsoft identifica um cliente com segurança comprometida, o dispositivo pode ser revogado e adicionado a uma lista de revogação. A lista de revogação é baixada periodicamente pelos Servidores de Licença que emitem licenças para conteúdo protegido. Os Servidores de Licença usam essa lista de revogação para negar licenças a dispositivos que foram revogados, impedindo assim que o dispositivo reproduzisse conteúdo recém-protegido.

As listas de revogação são atualizadas em dispositivos quando não estão atualizadas. A lista de revogação também pode ser emitida com licenças. O componente DRM no dispositivo verifica essa lista de revogação antes de transferir conteúdo para outros dispositivos. Ao impedir a comunicação com componentes revogados, os aplicativos revogados não funcionam mais. Depois de revogada, a única maneira de corrigir a situação é substituir o elemento revogado ou remover o componente revogado de uma versão mais recente da lista de revogação.

A Microsoft compila e mantém a lista de revogação e sua estrutura de controle de versão. Os clientes do PlayReady podem baixar essa lista no seguinte link:

Lista de Revogação do PlayReady(https): https://aka.ms/revinfo

Lista de Revogação do PlayReady(http): https://go.microsoft.com/fwlink/?LinkId=110086

Requisito para servidores PlayReady

De acordo com os requisitos das regras de conformidade para produtos PlayReady, as empresas que operam um Servidor PlayReady "devem atualizar as listas de revogação de certificados do PlayReady Server Software Development Kit para cada Servidor PlayReady uma vez por semana". Isso garante que qualquer cliente comprometido receba suas solicitações de licença recusadas em um período razoável após sua adição pela Microsoft à Lista de Revogação.

Ignorando entradas individuais na lista de revogação do PlayReady

A partir do PlayReady Server versão 4.3, seu aplicativo de servidor pode ignorar explicitamente um ou mais hashes revogados e continuar a emitir conteúdo para eles mesmo que eles sejam revogados. Isso pode ser útil para empresas que produzem e distribuem conteúdo protegido e que desejam ter mais controle sobre onde esse conteúdo pode fluir.

Para utilizar esse recurso, você precisará criar um novo arquivo XML contendo os hashes de certificado que deseja ignorar, bem como adicionar uma nova entrada ao arquivo web.config da implementação do RMSDK. O arquivo XML tem o seguinte formato.

<?xml version="1.0" ENCODING="utf-8"?>
   <RevAllowInfo>
      <AllowList>
         <CertificateHash>2C4OCYBGE3XZ3ODIUVUWD0SVLWH4W1NX9EA5DMJZ/PK=</CertificateHash>
         <CertificateHash>9OHU9A1KAJYI9BUWQWAVXBOO7R4XS+GG8HV0ESDBTNW=</CertificateHash>
      </AllowList>
   </RevAllowInfo>

Os dados dentro do nó "CertificateHash" devem corresponder ao hash do modelo revogado ou do certificado da empresa. A Microsoft pretende publicar essas informações, juntamente com as informações de modelo correspondentes, para revogações futuras.

Você também deve fazer referência a esse arquivo XML de dentro da configuração do servidor.

  • Para implantações do RMSDK baseadas em .Net Core:

    • O arquivo XML deve ser adicionado como um projeto de item.
    • A cadeia de caracteres RevocationAllowFile em config/RMSDKConfig.cs deve ser atualizada com o caminho para o arquivo XML.
  • Para implantações RMSDK baseadas em IIS:

    • Adicione uma nova chave com um nome de "REVOCATIONALLOWFILE" que aponta para o arquivo XML para o arquivo web.config.
    • Por exemplo, se o arquivo XML acima tiver sido chamado de "REVOCATIONALLOWSAMPLE.XML", o arquivo web.config será atualizado da seguinte maneira.
<?xml version="1.0" encoding="utf-8"?>
   <configuration>
      <appSettings>
         ...
         <add key="RevocationAllowFile" value="REVOCATIONALLOWSAMPLE.XML">
         ...