PORT_ENC_ADV

ポート暗号化のレベルを制御し、AES チケットの使用を有効にします。IBM® Domino® 9.0.1 Fix Pack 7 以降が必要です。

説明: この Domino サーバーへの接続時に使用できる拡張ポート暗号化アルゴリズム。

構文: PORT_ENC_ADV=sum ここで、sum は、次の表に示された、有効にするオプションを表す値の合計です。
表 1. 拡張ポート暗号化アルゴリズムのオプション
オプション 追加情報
1 既存の RC4 ポート暗号化のために HMAC-SHA256 保全性保護を有効にする リソースが制約されているために AES 暗号化を処理できないサーバーでのみ役立ちます。
2 RC4 による機密性保護と HMAC-SHA256 による保全性保護の代わりに AES-128 CBC を有効にする 現時点では、AES-CBC の代わりに AES-GCM を使用することをお勧めします。
4 機密性と保全性のために AES-128 GCM を有効にする 現在の業界のベストプラクティスによれば、128 ビットの対称鍵は、古典的な物理法則に基づいた攻撃に対する保護として十分な強度を持っています。
8 機密性と保全性のために AES-256 GCM を有効にする 256 ビットの鍵は、量子コンピューティングに基づいた攻撃に対する 128 ビットレベル の保護を提供すると想定されています。AES-256 GCM が Forward Secrecy なしで有効になっている場合は、代わりに AES-128 GCM が使用されます。
16 2048 ビットの一時 Diffie-Hellman (FFDHE-2048) を使用したポート暗号化のために Forward Secrecy を有効にする ウィキペディアのページ: https://en.wikipedia.org/wiki/Forward_secrecy
64 AES チケットを有効にする チケットを RC2-128 から AES-128 にアップグレードします。ベストプラクティスとして、有効にすることをお勧めします。パフォーマンスへの影響は最小限です。

ネットワーク接続のクライアント側は、クライアントがサポートしているアルゴリズムを通知します。サーバーは、サービス側の notes.ini 設定に基づいて、クライアントとサーバーの両方がサポートしている最も安全性の高い組み合わせを選択します。クライアントとサーバーによってサポートされている最も安全性の高いオプションのセットが使用されます。例えば、すべてのオプションを有効にした場合 (PORT_ENC_ADV=127) は、8、16、64 に対応するオプションが使用され、1、2、4 は使用されません。古いクライアントがアップグレード後のサーバーに接続するときには、古いアルゴリズムが使用されます。

表 2. 用語の説明
用語 説明
AES Advanced Encryption Standard (AES) は、対称暗号化アルゴリズムの 1 つです。
機密性 盗聴に対する保護を提供します。
GCM Galois/Counter Mode (GCM) は、データの認証性 (保全性) と機密性を提供します。
Forward Secrecy 将来、長期暗号鍵 (Notes® ID ファイル) が漏えいした場合でも、記録された暗号化通信が後から暗号解除されることを防止する通信プロトコルのプロパティ。
保全性 不正変更に対する保護を提供します。
ポート暗号化 ポート暗号化は、NRPC において SSL/TLS と同等の機能を持ち、移動中の NRPC データの保全性と機密性を提供します。
チケット 暗号手法で生成されたシークレットであり、NRPC 認証のパフォーマンスを向上させるために使用されます。

適用: サーバー

デフォルト: 新しいオプションは有効になりません。

対応する UI: なし。

表 3.
目的 有効なオプション notes.ini
現在のセキュリティベストプラクティス
  • (4) ポート暗号化とトランスポート保全性のために AES-128 GCM を有効にする
  • (16) Forward Secrecy
  • (64) AES チケットを有効にする
PORT_ENC_ADV=84
注: この設定でサーバーのパフォーマンス上の問題が発生する場合は、値を次に示すものに変更して、Forward Secrecy を無効にします: PORT_ENC_ADV=68
最大セキュリティ
  • (8) ポート暗号化とトランスポート保全性のために AES-256 GCM を有効にする
  • (16) Forward Secrecy
  • (64) AES チケット
PORT_ENC_ADV=88
最小限のパフォーマンスへの影響
  • (1) トランスポート保全性のために HMAC-SHA256 を有効にし、ネットワークトラフィックのために 128 ビットの RC4 を引き続き使用する
  • (64) AES チケット
PORT_ENC_ADV=65