PORT_ENC_ADV
포트 암호화의 레벨을 제어하고 AES 티켓의 사용을 가능하게 합니다. IBM® Domino® 9.0.1 수정팩 7 이상이 필요합니다.
설명: 이 Domino® 서버에 연결할 때 사용할 수 있는 고급 포트 암호화 알고리즘입니다.
구문:
PORT_ENC_ADV=sum 여기서 sum은 사용 가능하게 설정할 옵션을 표시하는 다음 테이블에서 값의 합계입니다.| 값 | 옵션 | 추가 정보 |
|---|---|---|
| 1 | 레거시 RC4 포트 암호화를 위해 HMAC-SHA256 무결성 보호를 사용합니다. | AES 암호화를 처리할 수 없는 자원 제한 서버에만 사용할 수 있습니다. |
| 2 | 기밀성을 위해 RC4 및 무결성을 위해 HMAC-SHA256 보다는 AES-128 CBC를 사용합니다. | 이번에는 AES-CBC 보다는 AES-GCM을 사용하기를 권장합니다. |
| 4 | 기밀성 및 무결성을 위해 AES-128 GCM을 사용합니다. | 현재 산업 우수 사례는 128비트 대칭 키가 전통적인 물리학 법칙을 기반으로 하는 공격에 대비하기에 충분히 강력하다는 것을 나타냅니다. |
| 8 | 기밀성 및 무결성을 위해 AES-256 GCM을 사용합니다. | 256비트 키는 양자 계산을 기반으로 하는 공격에 대해 128비트 레벨보호를 제공할 것으로 예상됩니다. AES-256 GCM이 비밀 유지 전달 없이 사용 가능하게 설정된 경우 AES-128 GCM이 대신 사용됩니다. |
| 16 | 2048비트 일회성 Diffie-Hellman(FFDHE-2048)을 사용하여 포트 암호화에 비밀 유지 전달 사용 | Wikipedia 페이지: https://en.wikipedia.org/wiki/Forward_secrecy |
| 64 | AES 티켓 사용 | 티켓을 RC2-128에서 AES-128로 업그레이드합니다. 사용 가능하게 설정하는 것이 가장 좋습니다. 성능 영향이 최소입니다. |
네트워크 연결의 클라이언트 측은 클라이언트가 어떤 알고리즘을 지원하는지 알리며, 서버는 서비스 측 notes.ini 설정을 기반으로 클라이언트와 서버가 모두 지원하는 가장 안전한 조합을 선택합니다. 클라이언트와 서버에서 지원되는 가장 안전한 옵션 세트가 사용됩니다. 예를 들어, 모든 옵션을 사용 가능하게 설정(PORT_ENC_ADV=127)하는 경우에는 8, 16, 64에 해당하는 옵션이 사용되며 1, 2, 4는 사용되지 않습니다. 이전 클라이언트가 업그레이드된 서버에 연결할 때는 이전 알고리즘이 사용됩니다.
| 용어 | 설명 |
|---|---|
| AES | AES(Advanced Encryption Standard)는 대칭 암호화 알고리즘입니다. |
| 기밀성 | 도청에 대한 보호를 제공합니다. |
| GCM | GCM(Galois/Counter Mode)은 데이터 신뢰성(무결성) 및 기밀성을 제공합니다. |
| 비밀 유지 전달 | 장기간 키(Notes® ID 파일)가 나중에 노출되는 경우에도 기록된 암호화 통신이 미래에 복호화되는 것을 예방하는 통신 프로토콜의 특성입니다. |
| 무결성 | 변조에 대한 보호를 제공합니다. |
| 포트 암호화 | SSL/TLS, 포트 암호화와 동등한 NRPC는 이동 중인 NRPC 데이터에 대한 무결성 및 기밀성을 제공합니다. |
| 티켓 | NRPC 인증의 성능을 개선하기 위해 사용된 암호로 생성된 비밀입니다. |
적용: 서버
기본값: 사용 가능하게 설정된 새 옵션이 없음.
해당 UI: 없음.
예제
| 목표 | 사용으로 설정된 옵션 | notes.ini value |
|---|---|---|
| 현재 보안 우수 사례 |
|
PORT_ENC_ADV=84 주: 이 설정으로 인해 서버 성능 문제가 발생하면 다음 값으로 변경하여 비밀 유지 전달을 사용 안함으로 설정하십시오. PORT_ENC_ADV=68 |
| 최대 보안 |
|
PORT_ENC_ADV=88 |
| 최소 성능 영향 |
|
PORT_ENC_ADV=65 |