PORT_ENC_ADV

ポート暗号化のレベルを制御し、AES チケットの使用を有効にします。IBM® Domino® 9.0.1 Fix Pack 7 以降が必要です。

説明: この Domino® サーバーへの接続時に使用できる拡張ポート暗号化アルゴリズム。

構文: PORT_ENC_ADV=sum ここで、sum は、次の表に示された、有効にするオプションを表す値の合計です。
1. 拡張ポート暗号化アルゴリズムのオプション
オプション 追加情報
1 既存の RC4 ポート暗号化のために HMAC-SHA256 保全性保護を有効にする リソースが制約されているために AES 暗号化を処理できないサーバーでのみ役立ちます。
2 RC4 による機密性保護と HMAC-SHA256 による保全性保護の代わりに AES-128 CBC を有効にする 現時点では、AES-CBC の代わりに AES-GCM を使用することをお勧めします。
4 機密性と保全性のために AES-128 GCM を有効にする 現在の業界のベストプラクティスによれば、128 ビットの対称鍵は、古典的な物理法則に基づいた攻撃に対する保護として十分な強度を持っています。
8 機密性と保全性のために AES-256 GCM を有効にする 256 ビットの鍵は、量子コンピューティングに基づいた攻撃に対する 128 ビットレベル の保護を提供すると想定されています。AES-256 GCM が Forward Secrecy なしで有効になっている場合は、代わりに AES-128 GCM が使用されます。
16 2048 ビットの一時 Diffie-Hellman (FFDHE-2048) を使用したポート暗号化のために Forward Secrecy を有効にする ウィキペディアのページ: https://en.wikipedia.org/wiki/Forward_secrecy
32 X25519 ECDHE を使用してポート暗号化の前方秘匿性を有効にする ウィキペディアのページ: https://en.wikipedia.org/wiki/Curve25519
64 AES チケットを有効にする チケットを RC2-128 から AES-128 にアップグレードします。ベストプラクティスとして、有効にすることをお勧めします。パフォーマンスへの影響は最小限です。
注:
  • PORT_ENC_ADVを使用しない場合、暗号化のデフォルト・レベルは PORT_ENC_ADV=104 と同じになります。暗号化のデフォルト・レベルの設定方法について詳しくは、『ポート暗号化と認証のレベルの設定』を参照してください。
  • PORT_ENC_ADV=0 は、すべての最新アルゴリズムを無効にするために有効な設定です。

16 と 32 の両方が有効になっている場合は、両方が使用され、両方の操作の出力を使用して、ネットワーク ・トラフィックを暗号化するためのキーが生成されます。

ネットワーク接続のクライアント側は、クライアントがサポートしているアルゴリズムを通知します。サーバーは、サービス側の notes.ini 設定に基づいて、クライアントとサーバーの両方がサポートしている最も安全性の高い組み合わせを選択します。クライアントとサーバーによってサポートされている最も安全性の高いオプションのセットが使用されます。例えば、すべてのオプションを有効にした場合 (PORT_ENC_ADV=127) は、8、16、32、64 に対応するオプションが使用され、1、2、4 は使用されません。古いクライアントがアップグレード後のサーバーに接続するときには、古いアルゴリズムが使用されます。

2. 用語の説明
用語 説明
AES Advanced Encryption Standard (AES) は、対称暗号化アルゴリズムの 1 つです。
機密性 盗聴に対する保護を提供します。
GCM Galois/Counter Mode (GCM) は、データの認証性 (保全性) と機密性を提供します。
Forward Secrecy 将来、長期暗号鍵 (Notes® ID ファイル) が漏えいした場合でも、記録された暗号化通信が後から暗号解除されることを防止する通信プロトコルのプロパティ。
保全性 不正変更に対する保護を提供します。
ポート暗号化 ポート暗号化は、NRPC において SSL/TLS と同等の機能を持ち、移動中の NRPC データの保全性と機密性を提供します。
チケット 暗号手法で生成されたシークレットであり、NRPC 認証のパフォーマンスを向上させるために使用されます。

適用: サーバー

デフォルト: 新しいオプションは有効になりません。

対応する UI: なし。

3.
目的 有効なオプション notes.ini
現在のセキュリティベストプラクティス
  • (4) ポート暗号化とトランスポート保全性のために AES-128 GCM を有効にする
  • (32) Forward Secrecy
  • (64) AES チケットを有効にする
 PORT_ENC_ADV=100
最大セキュリティ
  • (8) ポート暗号化とトランスポート保全性のために AES-256 GCM を有効にする
  • (16+32) Forward Secrecy
  • (64) AES チケット
 PORT_ENC_ADV=120
最小限のパフォーマンスへの影響
  • (1) トランスポート保全性のために HMAC-SHA256 を有効にし、ネットワークトラフィックのために 128 ビットの RC4 を引き続き使用する
  • (64) AES チケット
 PORT_ENC_ADV=65