PORT_ENC_ADV
Contrôle le niveau de chiffrement de port et active l'utilisation de tickets AES. Requiert IBM® Domino® 9.0.1 Fix Pack 7 ou ultérieur.
Description : algorithmes de chiffrement de port avancé disponibles pour utilisation lors de la connexion à ce serveur Domino®.
PORT_ENC_ADV=sum
où sum est la somme des valeurs du tableau suivant qui présente les options à activer :Valeur | Option | Informations supplémentaires |
---|---|---|
1 | Activer la protection d'intégrité HMAC-SHA256 pour le chiffrement de port RC4 existant. | Utile uniquement pour les serveurs aux ressources limitées qui ne peuvent pas gérer le chiffrement AES. |
2 | Activer AES-128 CBC au lieu de RC4 pour la confidentialité et HMAC-SHA256 pour l'intégrité. | Pour le moment, nous recommandons d'utiliser AES-GCM plutôt que AES-CBC. |
4 | Activer AES-128 GCM pour la confidentialité et l'intégrité. | Les meilleures pratiques actuelles de l'industrie indiquent que les clés symétriques 128 bits sont suffisamment fortes pour assurer une protection contre les attaques basées sur les lois de la physique classiques. |
8 | Activer AES-256 GCM pour la confidentialité et l'intégrité. | Les clés 256 bits sont prévues pour assurer une protection de niveau 128 bitscontre les attaques basées sur l'informatique quantique. Si AES-256 GCM est activé sans confidentialité persistante (Forward Secrecy), AES-128 GCM est utilisé à la place. |
16 | Activer la confidentialité persistante pour le chiffrement de port en utilisant le protocole d'échange de clés Diffie-Hellman éphémère 2048 bits (FFDHE-2048) | Page Wikipedia : https://fr.wikipedia.org/wiki/Forward_secrecy |
64 | Activer les tickets AES. | Procède à la mise à niveau des tickets de RC2-128 vers AES-128. La meilleure pratique recommande d'activer cette option. L'impact sur les performances est minime. |
Le côté client de la connexion réseau indique quels algorithmes sont pris en charge et le serveur sélectionne la combinaison la plus sécurisée prise en charge à la fois par le client et le serveur sur la base des paramètres notes.ini côté service. La combinaison la plus sécurisée des options prises en charge par le client et le serveur est utilisée. Par exemple, si vous activez toutes les options (PORT_ENC_ADV=127), les options 8, 16 et 64 sont utilisées tandis que les options 1, 2 et 4 ne le sont pas. Lorsqu'un client plus ancien se connecte à un serveur mis à niveau, les anciens algorithmes sont utilisés.
Terme | Description |
---|---|
AES | De l'anglais Advanced Encryption Standard est un algorithme de chiffrement symétrique. |
Confidentialité | Offre une protection contre les écoutes clandestines. |
GCM | De l'anglais Galois/Counter Mode assure l'authenticité (intégrité) et la confidentialité des données. |
Confidentialité persistante | Propriété des protocoles de communication qui évite le déchiffrement ultérieur des communications chiffrées enregistrées même si des clés à long terme (fichiers d'ID Notes®) sont ultérieurement compromises. |
Intégrité | Assure une protection contre les falsifications. |
Chiffrement de port | Equivalent NRPC de SSL/TLS, le chiffrement de port assure l'intégrité et la confidentialité des données NRPC dynamiques. |
Ticket | Valeur confidentielle générée au niveau du chiffrement et utilisée pour améliorer les performances de l'authentification NRPC. |
Applicable à : Serveurs
Valeur par défaut : pas de nouvelles options activées.
Equivalence dans l'interface utilisateur : aucune.
Objectif | Options activées | notes.inivalue |
---|---|---|
Meilleures pratiques actuelles en matière de sécurité |
|
PORT_ENC_ADV=84 Remarque : Si ce paramètre nuit aux performances du serveur, désactivez la confidentialité persistante en modifiant la valeur suivante : PORT_ENC_ADV=68 |
Sécurité maximale |
|
PORT_ENC_ADV=88 |
Impact minimum sur les performances |
|
PORT_ENC_ADV=65 |