PORT_ENC_ADV
控制埠加密的層次,以及啟用 AES 通行證。需要 IBM® Domino® 9.0.1 Fix Pack 7 或更新版本。
說明:連接至此 Domino® 伺服器時,可使用進階埠加密演算法。
語法:
PORT_ENC_ADV=sum,其中 sum 是下表中代表所要啟用之選項的值總和:| 值 | 選項 | 其他資訊 |
|---|---|---|
| 1 | 為舊式 RC4 埠加密啟用 HMAC-SHA256 整合性保護。 | 僅適用於無法處理 AES 加密的資源受限伺服器。 |
| 2 | 啟用 AES-128 CBC(而不是 RC4)以確保機密性,並啟用 HMAC-SHA256 以確保完整性。 | 目前,我們建議使用 AES-GCM 而非 AES-CBC。 |
| 4 | 啟用 AES-128 GCM 以確保機密性和完整性。 | 現行業界最佳作法指出,根據物理學的經典定律,128 位元對稱金鑰的強度即足以防護攻擊。 |
| 8 | 啟用 AES-256 GCM 以確保機密性和完整性。 | 根據量子運算,256 位元金鑰預期可提供「128 位元層次」的保護來防止攻擊。如果啟用 AES-256 GCM,而未啟用「秘密轉遞」,則會改用 AES-128 GCM。 |
| 16 | 啟用「秘密轉遞」,以使用 2048 位元暫時 Diffie-Hellman (FFDHE-2048) 進行埠加密 | 維基百科頁面:https://en.wikipedia.org/wiki/Forward_secrecy |
| 64 | 啟用 AES 通行證 | 將通行證從 RC2-128 升級至 AES-128。最佳作法是要啟用。效能衝擊最小。 |
網路連線的用戶端會通告其支援的演算法,而伺服器會根據服務端的 notes.ini 設定,選取用戶端和伺服器都支援的最安全組合。將會使用用戶端和伺服器支援的最安全選項集。例如,如果您啟用所有選項 (PORT_ENC_ADV=127),則會使用對應於 8、16 和 64 的選項,而不使用對應於 1、2 和 4 的選項。當較舊的用戶端連接至已升級的伺服器時,會使用較舊的演算法。
| 術語 | 說明 |
|---|---|
| AES | 「進階加密標準」(Advanced 加密 Standard, AES) 是對稱的加密演算法。 |
| 機密性 (Confidentiality) | 提供竊聽防護。 |
| GCM | Galois/計數器模式 (Galois/Counter 模式, GCM) 提供資料確實性(完整性)和機密性。 |
| 秘密轉遞 (Forward Secrecy) | 通訊協定的一項內容,可防止所記錄的加密通訊日後被解密,即使之後長期金鑰(Notes® ID 檔)受損。 |
| 完整性 (integrity) | 可防止竄改。 |
| 埠加密 (port 加密) | 埠加密是等同於 SSL/TLS 的 NRPC,可為 NRPC 動態資料提供完整性和機密性。 |
| 通行證 (ticket) | 以加密方式產生的機密,可用來增進 NRPC 鑑別的效能。 |
套用:伺服器
預設值:未啟用任何新選項。
使用者介面對等項目:無。
範例
| 目標 (Goal) | 啟用的選項 | notes.ini 值 |
|---|---|---|
| 現行安全最佳作法 |
|
PORT_ENC_ADV=84 註: 如果此設定造成伺服器效能問題,請變更為下列值,以停用「秘密轉遞」: PORT_ENC_ADV=68 |
| 安全性最高 |
|
PORT_ENC_ADV=88 |
| 效能衝擊最小 |
|
PORT_ENC_ADV=65 |