К блогу
drm video streaming widevine explainer

Что такое DRM-защищённый контент? Как на самом деле работают Widevine, FairPlay и PlayReady

DRM-защищённый контент — это зашифрованные цифровые медиафайлы, воспроизведение которых доступно только авторизованным устройствам. Понятное руководство по Widevine, FairPlay, PlayReady, уровням Widevine L1 и L3, и почему Netflix выглядит хуже на ноутбуке.

By

DRM-защищённый контент — это цифровые медиафайлы (видео, аудио, электронные книги или программное обеспечение), зашифрованные таким образом, что их может воспроизводить только устройство, прошедшее аутентификацию на лицензионном сервере и получившее действительный ключ расшифровки. Эта технология занимает центральное место в коммерческом стриминге с конца 1990-х годов и лежит в основе практически каждого платного стримингового сервиса в 2026 году, включая Netflix, Disney+, Spotify, Apple TV+ и экосистему Amazon Kindle. Система состоит из трёх компонентов: шифрование контента на этапе упаковки, лицензионный сервер, выдающий ключи при воспроизведении, и защищённый модуль расшифровки на вашем устройстве.

В этом руководстве объясняется, как работает DRM шаг за шагом, три отраслевых стандарта (Widevine, FairPlay, PlayReady), с которыми вы сталкиваетесь каждый день, что означают уровни безопасности Widevine для качества видео, и какие юридические компромиссы вы принимаете, подписываясь на стриминговый сервис.

Диаграмма последовательности воспроизведения DRM-защищённого видео: клиентское устройство отправляет запрос лицензии на лицензионный сервер стримингового сервиса, сервер проверяет права и возвращает обёрнутый ключ контента, затем защищённый модуль расшифровки на устройстве распаковывает ключ и расшифровывает видеокадры напрямую в GPU.
Рис. 1. Последовательность шифрование → лицензия → расшифровка, которой следует каждая крупная система потокового DRM при каждом запуске воспроизведения.

Главное

  • DRM = шифрование + лицензионный сервер + защищённая расшифровка. Три компонента, все обязательны.
  • Три системы доминируют в потребительском стриминге: Widevine (Google, используется в Chrome/Firefox/Edge/Android), FairPlay (Apple, используется в Safari/iOS), PlayReady (Microsoft, используется в Edge на Windows/Xbox).
  • Widevine L1 открывает 4K, Widevine L3 ограничивает до 480p–720p. Уровень определяется аппаратной поддержкой, а не вашей подпиской.
  • DRM — это принуждение к исполнению контрактов, а не защита от пиратства. Студии требуют его; стриминговые сервисы внедряют его, чтобы вообще иметь возможность лицензировать контент.
  • Encrypted Media Extensions (EME) — стандартизированный W3C браузерный API, связывающий веб-страницы с DRM-модулями — спецификация W3C EME.
  • Обход DRM регулируется законом — DMCA §1201 в США и аналогичными законами в других странах (17 U.S.C. §1201).
  • Загрузки имеют срок действия. Даже файлы, «сохранённые для офлайн-просмотра», перестают работать, когда лицензионный сервер прекращает выдавать ключи.

Что такое DRM-защищённый контент?

DRM-защищённый контент — это любой цифровой файл (видео, аудио, электронная книга, игра или программное обеспечение), зашифрованный так, что только авторизованные устройства могут расшифровать и воспроизвести его. DRM расшифровывается как Digital Rights Management (управление цифровыми правами). Защита носит математический, а не только политический характер: необработанные байты файла нечитаемы без ключа, а ключ хранится на удалённом лицензионном сервере, контролируемом правообладателем.

Вы сталкиваетесь с DRM-защищённым контентом каждый раз, когда смотрите Netflix, берёте в аренду фильм на Apple TV+, слушаете Spotify или открываете книгу на Kindle. Защита незаметна на устройстве, которому сервис доверяет, и очевидна на том, которому не доверяет: ноутбуки с Linux, устаревшие Smart TV и браузеры без поддерживаемого модуля расшифровки контента либо воспроизводят контент с пониженным качеством, либо вообще отказываются его воспроизводить. Даже бесплатные уровни с рекламой крупных стриминговых сервисов (Tubi, платные аренды YouTube, бесплатный уровень большинства рекламных платформ, запущенных в 2022–2024 годах) находятся за DRM-защитой, если базовый контент лицензирован у студии.

Распространённые DRM-защищённые форматы в 2026 году включают потоки MPEG-DASH и HLS, зашифрованные по стандарту MPEG Common Encryption (CENC, впервые опубликованному как ISO/IEC 23001-7 в 2012 году и ныне выпущенному в третьей редакции), потоки Apple HLS, зашифрованные с помощью FairPlay, а также форматы аудиокниг и электронных книг с DRM-слоями, специфичными для каждого поставщика.

Как работает DRM? Трёхэтапный процесс: шифрование → лицензия → расшифровка

Каждая крупная DRM-система следует одному трёхэтапному процессу: контент шифруется перед распространением, ваше устройство запрашивает лицензию при нажатии кнопки воспроизведения, и защищённый модуль расшифровывает поток непосредственно перед его отображением GPU.

Шаг 1: Шифрование на этапе упаковки

Прежде чем контент поступает в CDN, исходный видео- или аудиофайл шифруется — как правило, с использованием AES-128 в режиме CTR — с помощью ключа контента. Зашифрованные байты бесполезны сами по себе; соответствующий ключ никогда не поставляется вместе с файлом. MPEG Common Encryption (CENC) — это стандарт, который обеспечивает совместимость одного зашифрованного файла с несколькими DRM-системами.

Рабочий процесс упаковки DRM: исходный мастер-файл медиа шифруется с помощью AES-128 по стандарту MPEG Common Encryption (CENC), создавая зашифрованный пакет, который отправляется в CDN, тогда как ключ контента хранится отдельно на лицензионном сервере правообладателя.
Рис. 2. Шифрование происходит один раз на этапе упаковки. Зашифрованный файл поступает в CDN; ключ остаётся на лицензионном сервере.

Шаг 2: Запрос лицензии при воспроизведении

При нажатии кнопки воспроизведения DRM-клиент на вашем устройстве — встроенный в браузер, операционную систему телефона или стриминговое приложение — отправляет запрос лицензии на лицензионный сервер сервиса. Запрос включает подтверждение личности (подписка, доверие к устройству, регион) и запрашивает ключ, необходимый для воспроизведения именно этого потока прямо сейчас.

Взаимодействие с лицензионным сервером DRM: клиентское устройство отправляет запрос лицензии, содержащий данные о подписке, идентификаторе устройства и регионе; лицензионный сервер проверяет права и возвращает ключ контента, обёрнутый для доверенного исполняемого модуля устройства.
Рис. 3. Лицензионный сервер — это точка принуждения к исполнению политики. Отмените подписку — и этот сервер прекратит выдавать ключи.

Шаг 3: Расшифровка внутри защищённого модуля

Если лицензионный сервер даёт разрешение, он возвращает ключ контента, обёрнутый так, чтобы его мог распаковать только доверенный исполняемый модуль (TEE) на вашем устройстве. Расшифрованные видеокадры передаются напрямую из TEE в GPU для отображения — они никогда не оказываются в обычной оперативной памяти приложения, откуда их мог бы захватить записывающий экран инструмент.

Весь этот процесс занимает менее секунды при каждом запуске воспроизведения и повторяется каждые несколько минут по мере обновления лицензий.

Widevine против FairPlay против PlayReady: что делает каждая система?

Три DRM-системы, используемые практически каждым потребительским стриминговым сервисом в 2026 году, — это Widevine (Google), FairPlay (Apple) и PlayReady (Microsoft). Какая из них воспроизводит ваш поток, зависит от операционной системы и браузера — а не от сервиса или самого контента. Все три системы старше современного стриминга: PlayReady появился в 2007 году, Widevine был приобретён Google в 2010 году, а FairPlay присутствует в платформах Apple с тех пор, как iTunes добавил DRM для музыки в 2003 году (стриминговый вариант, FairPlay Streaming, появился в 2015 году).

DRM-системаВладелецОсновные устройстваИспользуется в
WidevineGoogleAndroid, ChromeOS, Chrome / Edge / Firefox на ПКNetflix, YouTube, Disney+, Prime Video, HBO Max
FairPlay StreamingAppleiPhone, iPad, Mac, Apple TV, SafariApple TV+, iTunes Store, стриминг через Safari
PlayReadyMicrosoftWindows, Xbox, Smart TV, приставкиNetflix на Windows/Xbox, BBC iPlayer, многие европейские вещатели
Матрица совместимости устройств для трёх основных DRM-систем: Widevine охватывает Android, ChromeOS и настольные браузеры на базе Chromium; FairPlay охватывает iPhone, iPad, Mac, Apple TV и Safari; PlayReady охватывает Windows, Xbox, Smart TV и приставки. Один и тот же стриминговый сервис, как правило, упаковывает контент для всех трёх систем.
Рис. 4. То, какая DRM-система обслуживает ваш поток, определяется вашим устройством, а не стриминговым сервисом или контентом.

Один и тот же стриминговый контент, как правило, упаковывается один раз и передаётся всем трём системам. Ваше устройство ведёт переговоры с сервисом через Encrypted Media Extensions (EME) — браузерный API W3C, ставший официальной рекомендацией W3C в сентябре 2017 года (спецификация W3C EME), — и сервис возвращает ту DRM-систему, которую поддерживает ваш модуль расшифровки контента (CDM). Именно поэтому фильм Netflix без проблем воспроизводится на iPhone, ноутбуке с Windows и Smart TV — три разные DRM-системы тихо выполняют одну и ту же работу.

Что такое уровни безопасности Widevine (L1, L2, L3)?

У Widevine есть три уровня безопасности (L1, L2, L3), которые определяют, где происходит расшифровка, и стриминговые сервисы используют уровень, чтобы решить, какое качество вы можете получить. L1 обязателен для 4K. L3 ограничивает до 480p–720p на большинстве сервисов.

  • Widevine L1 — все криптографические операции и обработка медиаданных происходят внутри доверенного исполняемого модуля (TEE) с аппаратной поддержкой. Это единственный уровень, при котором на таких сервисах, как Netflix и Disney+, доступны потоки в 4K и HDR. Современные Android-смартфоны, iPhone, Smart TV и игровые консоли используют L1.
  • Widevine L2 — криптографические операции выполняются аппаратно, но обработка медиаданных происходит программно. Редко используется в производственных средах.
  • Widevine L3 — все операции выполняются программно. Именно этот уровень используется в настольных Chrome, Firefox и Edge на Windows, macOS и Linux. Стриминговые сервисы ограничивают потоки L3 разрешением 480p–720p, поскольку программная защита легче поддаётся атаке.
Сравнение уровней безопасности Widevine: L1 держит криптографию и декодирование медиа полностью внутри доверенного исполняемого модуля с аппаратной поддержкой (разрешены 4K и HDR); L2 держит криптографию в аппаратном обеспечении, но переносит декодирование медиа в программное обеспечение (редко применяется); L3 выполняет всё программно (большинство стриминговых сервисов ограничивают до 480p–720p).
Рис. 5. Widevine L1 аппаратно защищён на всех этапах. L3 полностью программный — именно поэтому в браузере на ноутбуке Netflix ограничивается разрешением 720p.

Вот почему одна и та же учётная запись Netflix, транслирующая контент в 4K на телефоне, показывает 720p в браузере ноутбука. Контент идентичен; уровень доверия DRM — нет. Нет никаких настроек, которые позволили бы разблокировать 4K в браузере без аппаратного L1 — Netflix и Disney+ проверяют уровень безопасности CDM при каждом запросе лицензии и отказываются выдавать ключи 4K клиентам L3.

Что означает «защищённый» на практике?

DRM делает больше, чем просто шифрует файл. Он также устанавливает правила поведения расшифрованного потока на вашем устройстве — именно здесь проявляется большинство неудобств, заметных пользователю.

Защита вывода DRM на практике: HDMI-соединение должно поддерживать шифрование HDCP, иначе разрешение будет снижено; защищённые видеокадры отображаются как чёрный прямоугольник в записях экрана; ненадёжные устройства вывода получают поток с ограниченным разрешением вместо полного качества.
Рис. 6. Защита вывода — это система сигнализации, срабатывающая после преодоления замка шифрования: HDCP по кабелю, затемнение в записях экрана, ограничение разрешения на ненадёжных устройствах вывода.
  • Защита вывода (HDCP). При подключении ноутбука к внешнему монитору через HDMI DRM проверяет, поддерживает ли соединение шифрование HDCP. Неподдерживаемые докстанции, KVM-переключатели или карты захвата либо снижают разрешение, либо выводят чёрный экран.
  • Запись экрана заблокирована. В iOS, Android, Windows и macOS операционная система отображает DRM-защищённые видеокадры таким образом, что программы записи экрана захватывают их как чёрный прямоугольник. Пиксели присутствуют на экране, но никогда не попадают в конвейер записи.
  • Ограничение разрешения на ненадёжных устройствах. Настольные Linux-системы, устаревшие Android-смартфоны и любая конфигурация браузера, поддерживающая только Widevine L3, у большинства крупных сервисов ограничены стандартным разрешением.
  • Лицензии, привязанные к устройству. Некоторые лицензии привязаны к аппаратному идентификатору конкретного устройства. Сброс настроек устройства или перемещение файла на другой компьютер делают лицензию недействительной, даже если ваш аккаунт активен.
  • Истечение срока действия лицензии для «загрузок». Даже офлайн-контент имеет таймер лицензии — как правило, 48 часов с момента начала просмотра для аренды и 30 дней для скачанного контента по подписке.

Шифрование — это замок. Эти правила — система сигнализации, срабатывающая при попытке его обойти.

Почему стриминговые сервисы используют DRM?

DRM существует прежде всего для принуждения к исполнению бизнес-контрактов между правообладателями и дистрибьюторами, а не для борьбы с пиратством. К 2026 году каждая крупная DRM-система была взломана решительными злоумышленниками в течение нескольких недель после выхода. Что DRM реально делает — так это вообще делает легитимное распространение возможным.

  • Требования студий к лицензированию. Когда Netflix лицензирует фильм Warner Bros., контракт обязывает Netflix использовать конкретную DRM-систему на определённом уровне безопасности. Без DRM студия откажется лицензировать контент. Это и есть реальный движущий фактор: стриминговые платформы внедряют DRM, потому что этого требуют поставщики.
  • Окна выпуска. Фильм может одновременно демонстрироваться в кинотеатрах, быть доступен в премиальном видео по запросу и на подписочном стриминге в пересекающихся окнах по разным ценам. DRM принуждает к соблюдению правила «кто что может смотреть и за какую цену».
  • Географические ограничения. Лицензионные сделки, как правило, заключаются пострановно. Лицензионный сервер проверяет вашу геолокацию перед выдачей ключа — вот почему шоу, доступное в США, может просто не воспроизводиться в другом регионе даже под тем же аккаунтом.
  • Принуждение к соблюдению подписки. Отмените подписку — и лицензионный сервер перестанет выдавать ключи. Зашифрованные файлы на вашем устройстве, даже те, что вы «скачали для офлайн-просмотра», становятся невоспроизводимыми в течение нескольких часов или дней.

Как только вы начинаете воспринимать DRM как систему принуждения к исполнению контрактов, а не как антипиратскую систему, все его особенности становятся предсказуемыми.

DRM против защиты от копирования против водяных знаков — в чём разница?

DRM, защита от копирования и водяные знаки решают разные задачи, и их часто путают.

  • DRM предотвращает несанкционированное воспроизведение посредством шифрования и контроля лицензий. Нет ключа — нет воспроизведения.
  • Защита от копирования предотвращает несанкционированное дублирование — схемы физических носителей, такие как Blu-ray AACS, или дисковые ключи эпохи дискет. Для цифрового контента DRM в значительной мере поглотил эту категорию.
  • Водяные знаки ничего не предотвращают. Они встраивают скрытый идентификатор в контент, чтобы в случае утечки копии можно было отследить её источник. Криминалистические водяные знаки — стандарт для предрелизных скринеров и дисков 4K UHD Blu-ray.

Современный стриминговый сервис нередко использует все три: DRM для контроля воспроизведения, водяные знаки для сдерживания инсайдеров и защиту от копирования для любого физического распространения.

Каковы компромиссы DRM для пользователей?

DRM незаметен на поддерживаемых устройствах и создаёт препятствия везде, где поддержки нет. Неудобства проявляются в пяти повторяющихся ситуациях.

  • Трудности с переносом между устройствами. Книга Kindle, купленная на Amazon, не открывается в Apple Books. Фильм, приобретённый в iTunes, не воспроизводится на Google TV. Каждый магазин использует свою DRM; формат файла вторичен.
  • Ограничения офлайн-доступа. Загрузки имеют срок действия. Количество загрузок на устройство ограничено. Некоторые контент нельзя скачать вообще.
  • Штраф за качество на менее надёжных платформах. Пользователи Linux регулярно застревают на 720p в Netflix. Пользователи Firefox иногда не могут воспроизвести 1080p на сервисах, требующих Widevine L1.
  • Закрытие сервиса прекращает доступ. Когда Microsoft закрыла Zune Video, а UltraViolet прекратил работу, купленный пользователями контент перестал воспроизводиться. Лицензионные серверы были отключены. Файлы без ключей стали мёртвыми байтами.
  • Расходы на доступность. Программы чтения с экрана, пользовательские скорости воспроизведения и вспомогательные инструменты могут не работать из-за защиты вывода DRM, поскольку защищённый конвейер воспроизведения видео закрыт для стороннего программного обеспечения.

Вы покупаете не контент в DRM-защищённом магазине. Вы покупаете лицензию на доступ к контенту при условии, что магазин продолжает работать с лицензионным сервером.

Как VidMost работает с DRM-защищёнными потоками

VidMost — это настольный загрузчик видео со встроенным браузерным движком, поддерживающим Widevine L3 зашифрованные потоки наряду с MPEG-DASH, HLS, RTMP и MP4/MKV/WebM. Там, где более простые инструменты командной строки не справляются с зашифрованным контентом, двухдвижковая архитектура VidMost — интеллектуальный анализатор ресурсов плюс встроенный браузерный движок на базе Chromium — справляется с теми видами потоков, с которыми обычные загрузчики не могут работать.

VidMost создан для личного использования и офлайн-доступа к контенту, на который у вас есть законное право: лекции, за которые вы заплатили, прямые трансляции, которые вы хотите архивировать, видео, которые ваш браузер уже может воспроизвести. VidMost даёт вам локальную копию на вашем устройстве, на ваших условиях. Для знакомства с функциями и настройкой смотрите наше руководство Начало работы с VidMost.

Скачать VidMost для Windows или macOS →

DRM незаметен, когда работает, и раздражает, когда нет. Понимание процесса шифрование → лицензия → расшифровка, трёх основных систем (Widevine, FairPlay, PlayReady) и студийных контрактов, движущих всем этим механизмом, достаточно, чтобы разобраться практически в любой ситуации «почему это не воспроизводится?», с которой вы столкнётесь в современном интернете.

Читайте больше в блоге VidMost.

Часто задаваемые вопросы

Что означает «DRM-защищённый»?
DRM-защищённый означает, что цифровой контент зашифрован и привязан к лицензионному серверу, поэтому он может воспроизводиться только на устройствах, которые прошли аутентификацию на этом сервере и получили действительный ключ расшифровки. Без лицензии файл математически нечитаем.
В чём разница между Widevine L1 и Widevine L3?
Widevine L1 выполняет все операции расшифровки внутри доверенного исполняемого модуля (TEE) с аппаратной поддержкой и обязателен для стриминга в 4K и HDR. Widevine L3 выполняет расшифровку программно и применяется в большинстве настольных браузеров. Такие сервисы, как Netflix, ограничивают потоки L3 разрешением от 480p до 720p, поскольку программная защита слабее.
Является ли скачивание DRM-защищённого контента незаконным?
В США раздел 1201 DMCA запрещает обход DRM на защищённых авторским правом произведениях, даже если вы законно ими владеете, с узкими исключениями для исследований в области безопасности и обеспечения доступности. В ЕС, Великобритании, Канаде и Австралии действуют схожие, но не идентичные законы против обхода защиты. Всегда проверяйте законодательство вашей юрисдикции.
Можно ли воспроизводить DRM-защищённые видео в офлайн-режиме?
Да. Большинство крупных стриминговых приложений позволяют скачивать контент для просмотра офлайн. Скачанный файл по-прежнему зашифрован, а рядом с ним хранится локальная лицензия со сроком действия. Когда лицензия истекает, файл перестаёт воспроизводиться, даже если остаётся на устройстве.
Почему Netflix на Linux или Firefox выглядит хуже, чем на телефоне?
Настольные Linux-системы и Firefox на большинстве платформ поддерживают только Widevine L3 (программная расшифровка), которую Netflix ограничивает разрешением 720p. На телефоне или Smart TV используется Widevine L1 с аппаратной расшифровкой, открывающей доступ к потокам в 1080p и 4K.
Что происходит со скачанным контентом, если стриминговый сервис прекращает работу?
Почти всегда он перестаёт работать. Без действующего лицензионного сервера для обновления ключей зашифрованные файлы становятся невоспроизводимыми в течение нескольких часов или дней. Именно это произошло с Microsoft Zune Video, UltraViolet и библиотекой собственного контента Funimation.
Является ли DRM тем же, что и платный доступ (paywall)?
Нет. Paywall проверяет оплату перед показом контента, но не может помешать скопировать байты после доставки. DRM обеспечивает защиту на уровне файла: сами байты зашифрованы, и никакие манипуляции с буфером обмена не дадут доступа к исходным медиаданным.
Относятся ли Encrypted Media Extensions в HTML5 к DRM?
EME — это браузерный API, позволяющий веб-страницам взаимодействовать с модулем расшифровки контента (CDM). Сам по себе EME — это мост, а не DRM. Настоящий DRM — это CDM за ним: Widevine в Chrome, Firefox и Edge; FairPlay в Safari; PlayReady в Edge для Windows и Xbox.