PORT_ENC_ADV

Contrôle le niveau de chiffrement de port et active l'utilisation de tickets AES. Requiert IBM® Domino® 9.0.1 Fix Pack 7 ou ultérieur.

Description : algorithmes de chiffrement de port avancé disponibles pour utilisation lors de la connexion à ce serveur Domino®.

Syntaxe : PORT_ENC_ADV=sumsum est la somme des valeurs du tableau suivant qui présente les options à activer :
Tableau 1. Options des algorithmes de chiffrement de port avancé
Valeur Option Informations supplémentaires
1 Activer la protection d'intégrité HMAC-SHA256 pour le chiffrement de port RC4 existant. Utile uniquement pour les serveurs aux ressources limitées qui ne peuvent pas gérer le chiffrement AES.
2 Activer AES-128 CBC au lieu de RC4 pour la confidentialité et HMAC-SHA256 pour l'intégrité. Pour le moment, nous recommandons d'utiliser AES-GCM plutôt que AES-CBC.
4 Activer AES-128 GCM pour la confidentialité et l'intégrité. Les meilleures pratiques actuelles de l'industrie indiquent que les clés symétriques 128 bits sont suffisamment fortes pour assurer une protection contre les attaques basées sur les lois de la physique classiques.
8 Activer AES-256 GCM pour la confidentialité et l'intégrité. Les clés 256 bits sont prévues pour assurer une protection de niveau 128 bits contre les attaques basées sur l'informatique quantique. Si AES-256 GCM est activé sans confidentialité persistante (Forward Secrecy), AES-128 GCM est utilisé à la place.
16 Activer la confidentialité persistante pour le chiffrement de port en utilisant le protocole d'échange de clés Diffie-Hellman éphémère 2048 bits (FFDHE-2048) Page Wikipedia : https://fr.wikipedia.org/wiki/Forward_secrecy
64 Activer les tickets AES. Procède à la mise à niveau des tickets de RC2-128 vers AES-128. La meilleure pratique recommande d'activer cette option. L'impact sur les performances est minime.

Le côté client de la connexion réseau indique quels algorithmes sont pris en charge et le serveur sélectionne la combinaison la plus sécurisée prise en charge à la fois par le client et le serveur sur la base des paramètres notes.ini côté service. La combinaison la plus sécurisée des options prises en charge par le client et le serveur est utilisée. Par exemple, si vous activez toutes les options (PORT_ENC_ADV=127), les options 8, 16 et 64 sont utilisées tandis que les options 1, 2 et 4 ne le sont pas. Lorsqu'un client plus ancien se connecte à un serveur mis à niveau, les anciens algorithmes sont utilisés.

Tableau 2. Description des termes
Terme Description
AES De l'anglais Advanced Encryption Standard est un algorithme de chiffrement symétrique.
Confidentialité Offre une protection contre les écoutes clandestines.
GCM De l'anglais Galois/Counter Mode assure l'authenticité (intégrité) et la confidentialité des données.
Confidentialité persistante Propriété des protocoles de communication qui évite le déchiffrement ultérieur des communications chiffrées enregistrées même si des clés à long terme (fichiers d'ID Notes®) sont ultérieurement compromises.
Intégrité Assure une protection contre les falsifications.
Chiffrement de port Equivalent NRPC de SSL/TLS, le chiffrement de port assure l'intégrité et la confidentialité des données NRPC dynamiques.
Ticket Valeur confidentielle générée au niveau du chiffrement et utilisée pour améliorer les performances de l'authentification NRPC.

Applicable à : Serveurs

Valeur par défaut : pas de nouvelles options activées.

Equivalence dans l'interface utilisateur : aucune.

Exemples
Tableau 3. Exemples
Objectif Options activées notes.inivalue
Meilleures pratiques actuelles en matière de sécurité
  • (4) Activer AES-128 GCM pour l'intégrité du transport et du chiffrement de port
  • (16) Confidentialité persistante
  • (64) Active les tickets AES
PORT_ENC_ADV=84
Remarque : Si ce paramètre nuit aux performances du serveur, désactivez la confidentialité persistante en modifiant la valeur suivante : PORT_ENC_ADV=68
Sécurité maximale
  • (8) AES-256 GCM pour l'intégrité du transport et du chiffrement de port
  • (16) Confidentialité persistante
  • (64) Tickets AES
PORT_ENC_ADV=88
Impact minimum sur les performances
  • (1) HMAC-SHA256 pour l'intégrité du transport et continuer à utiliser RC4 128 bits pour le trafic réseau.
  • (64) Tickets AES
PORT_ENC_ADV=65