Historique des tailles de clés prises en charge dans Notes/Domino

Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

Matrice des tailles de clés RSA prises en charge par Notes et Domino

ID hiérarchiques ID hiérarchiques ID à plat ID à plat
Version Action Nationales International Nationales International
R8 - R12 accepter 8192/4096(*) 512 630 512
R8 - R12 générer 4096/2048(*) 512 0 0
R7 accepter 2048 512 630 512
R7 générer 1024 512 0 0
R6 accepter 1024 512 630 512
R6, R5 générer 630 512 0 0
R5, V4 accepter 760(*) 512 630 512
V4 générer 630 512 630 512
V3 accepter 760/630(*) 512 630 512
V3 générer 512 512 512 380
V2.1 accepter 0 0 512 512
V2.1 générer 0 0 512 380
V2, V1 accepter 0 0 512 380
V2, V1 générer 0 0 512 380

* Les clés RSA de plus de 630 bits doivent être au format BER.

  • R8 - R12 peut accepter des certificateurs 8 192 bits et des utilisateurs et des serveurs 4 096 bits.
  • R8 - R12 peut générer des certificateurs 4 096 bits et des utilisateurs et des serveurs 2 048 bits.
  • V3 peut accepter des clés publiques 760 bits et des clés privées 630 bits
  • Aucune version de Notes n'a jamais généré de clés entre 631 et 760 bits, ce qui rend cette prise en charge strictement théorique.

Tailles de clé prises en charge par la fonction

Tailles de clé de données en masse :
  • La prise en charge des clés AES 128 et 256 bits a été ajoutée dans la version 8.0.1
  • La prise en charge des clés RC2 128 bits a été ajoutée dans les versions 6.0.4/6.5.1
  • La prise en charge des clés RC2 64 bits a été ajoutée dans la version 3
  • 64/40 dans les versions 4 à 5.0.3 internationales
  • RC2 32 bits dans les versions 1, 2 et 3 internationales
Tailles des clés de chiffrement des documents (NEK) :
  • La prise en charge des clés AES 128 bits a été ajoutée dans la version 8.0.1
  • La prise en charge des clés RC2 128 bits a été ajoutée dans les versions 6.0.4/6.5.1
  • La prise en charge des clés RC2 64 bits existe dans toutes les versions nationales de Notes.
  • RC2 64/40 dans la version 4 et l'édition 5 (avant 5.0.3) internationales
  • RC2 40 bits dans la version française de Notes
  • RC2 32 bits dans les versions 2 et 3 internationales
Tailles des tickets (authentification réseau ):
  • La prise en charge des clés AES 128 bits a été ajoutée dans la version 9.0.1 FP7
  • La prise en charge des clés RC2 128 bits a été ajoutée dans l'édition 6
  • Les versions 3 et 4 et l'édition 5 nationales utilisent RC2 64 bits
  • V2 utilisait RC2 64 bits national, 40 bits international
  • 64/40 dans les notes internationales avant la version 5.0.3
Tailles des clés de session (chiffrement réseau) :
  • La confidentialité persistante pour les clés de session via X25519 a été ajoutée dans 12.0
  • La confidentialité persistante pour les clés de session via DHE-2048 a été ajoutée dans 9.0.1 FP7
  • La prise en charge des clés AES 128 et 256 bits a été ajoutée dans la version 9.0.1 FP7
  • La prise en charge des clés RC4 128 bits a été ajoutée dans l'édition 6
  • RC4 64 bits dans la version 4 et l'édition 5 nationales
  • RC4 64/40 dans la version 4 et l'édition 5 (avant 5.0.3) internationales
  • Les versions françaises de la version 4 et de l'édition 5 se sont fait passer pour la version 3 afin d'utiliser RC2 40 bits.
  • V3 utilisait RC2 64 bits national, RC2 40 bits international
  • Les versions 1 et 2 utilisaient RC2 64 bits national, RC2 26 bits international
Clés dérivées d'un mot de passe (clés de chiffrement du fichier d'ID) :
  • La prise en charge d'AES 128 bits et d'AES 256 bits avec HMAC-SHA256 itéré et HMAC-SHA512 itéré a été ajoutée et activée dans la version 9.0.
  • La prise en charge d'AES 128 bits et d'AES 256 bits avec HMAC-SHA1 itéré a été ajoutée et activée dans la version 8.0.1.
  • Des paramètres de stratégie de sécurité ont été ajoutés pour contrôler ou restreindre les forces de chiffrement des fichiers d'ID dans la version 8.0.1.
  • La prise en charge de RC2 128 bits a été ajoutée dans l'édition 6 et activée dans l'édition 7.
  • RC2 64 bits est pris en charge depuis le premier jour pour toutes les versions de Notes.

Chiffrement de la base de données locale :

Cette fonction a été ajoutée dans la version 4.1. Il existe quatre variantes de chiffrement de base de données locale :
  • Le chiffrement AES 128 bits a été ajouté dans la version 11.0.1.
  • Moyen et fort :
    • 128 bits dans l'édition 6
    • Clé en bloc 64 bits dans les versions Notes nationales entre l'édition 4.1 et 6
    • Clé en bloc 64/40 dans les versions Notes internationales entre 4.1 et 5.03
    • Clé en bloc 40 dans les versions françaises de Notes entre 4.1 et 5.03
  • Chiffrement faible : Substitution basée sur RC4
Le chiffrement de base de données faible et moyen est déprécié et ne peut pas être utilisé avec de nouvelles bases de données.
S/MIME
  • Prise en charge des signatures SHA-256, SHA-384 et SHA-512 ajoutées dans la version 9.0
  • Prise en charge du chiffrement AES-128, AES-192 et AES-256 ajoutée dans la version 9.0
  • 3DES
  • RC2 128 bits
  • RC2 64 bits
  • RC2 40 bits
  • DES
TLS

La prise en charge de SSLv3 a été supprimée. Seule la version TLS 1.2 est activée d'emblée.  La confidentialité persistante à l'aide de NIST P-256, NIST P-384 et de NIST P-521 a été ajoutée dans la version 9.0.1 FP4 IF2. La confidentialité persistante à l'aide de X25519 et X448 a été ajoutée dans la version 12.0.

  • ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (ajouté dans la version 12.0)
  • ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ajouté dans la version 12.0)
  • ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ajouté dans la version 9.0.1 FP4 IF2)
  • ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ajouté dans la version 9.0.1 FP4 IF2)
  • ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ajouté dans la version 9.0.1 FP4 IF2)
  • ECDHE_RSA_WITH_AES_256_CBC_SHA (ajouté dans la version 9.0.1 FP4 IF2)
  • ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ajouté dans la version 9.0.1 FP4 IF2)
  • ECDHE_RSA_WITH_AES_128_CBC_SHA (ajouté dans la version 9.0.1 FP4 IF2)
  • DHE_RSA_WITH_AES_256_GCM_SHA384 (ajouté dans la version 9.0.1 FP3 IF2)
  • DHE_RSA_WITH_AES_128_GCM_SHA256 (ajouté dans la version 9.0.1 FP3 IF2)
  • DHE_RSA_WITH_AES_256_CBC_SHA256 (ajouté dans la version 9.0.1 FP3 IF2)
  • DHE_RSA_WITH_AES_256_CBC_SHA (ajouté dans la version 9.0.1 FP3 IF2)
  • DHE_RSA_WITH_AES_128_CBC_SHA256 (ajouté dans la version 9.0.1 FP3 IF2)
  • DHE_RSA_WITH_AES_128_CBC_SHA (ajouté dans la version 9.0.1 FP3 IF2)
  • RSA_WITH_AES_256_GCM_SHA384 (ajouté dans la version 9.0.1 FP3 IF2)
  • RSA_WITH_AES_128_GCM_SHA256 (ajouté dans la version 9.0.1 FP3 IF2)
  • RSA_WITH_AES_256_CBC_SHA256 (ajouté dans la version 9.0.1 FP3 IF2)
  • RSA_WITH_AES_128_CBC_SHA256 (ajouté dans la version 9.0.1 FP3 IF2)
  • RSA_WITH_AES_128_CBC_SHA (ajouté dans la version 8.0)
  • RSA_WITH_AES_256_CBC_SHA (ajouté dans la version 8.0)
  • RSA_WITH_RC4_128_MD5
  • RSA_WITH_RC4_128_SHA
  • RSA_WITH_3DES_EDE_CBC_SHA
  • RSA_WITH_DES_CBC_SHA
  • RSA_EXPORT1024_WITH_DES_CBC_SHA
  • RSA_EXPORT_WITH_RC4_40_MD5
Données d'identification pour TLS
  • Les données d'identification TLS utilisant NIST P-256, NIST P-384 et NIST P-521 peuvent être utilisées sur n'importe quel serveur Domino version 12.0 ou supérieure.
  • Les fichiers de clés utilisant SHA-256, SHA-384 et SHA-512 peuvent être créés à l'aide de certreq et du processus de CA sur les versions 9.0 IF6 et 9.0.1 FP2 IF1 ou supérieures.
  • Les fichiers de clés utilisant SHA-256, SHA-384 et SHA-512 peuvent être créés à l'aide d'OpenSSL, d'une CA tierce et de kyrtool.
  • Les fichiers de clés utilisant SHA-256, SHA-384 et SHA-512 peuvent être utilisés sur n'importe quel serveur Domino version 9.0 ou supérieure.

Protocole TLS (Transport Layer Security) version 1.2 via IBM HTTP Server

Cette fonction a été ajoutée dans la version 9.0 et n'a jamais fait l'objet de restrictions d'exportation. Nécessite la sélection de l'option d'installation "IBM HTTP Server". Prend en charge les chiffrements qui utilisent AES et SHA-2.

L'option d'installation "IBM HTTP Server" a été supprimée dans Domino 10.0.

Récupération d'un fichier d'ID

Cette fonction a été ajoutée dans l'édition 5 et n'a jamais fait l'objet de restrictions d'exportation. La récupération d'un fichier d'ID utilise des clés asymétriques RSA 1 024 bits.
  • L'édition 5 générait et prenait en charge le chiffrement en masse RC2 64 bits.
  • L'édition 6 prenait en charge le chiffrement en masse RC2 64 et 128 bits, et utilisait RC2 128 bits si le fichier d'ID ne pouvait être utilisé qu'avec les éditions 6 et ultérieures pour d'autres raisons.

Un coffre d'ID Notes

Cette fonction a été ajoutée dans la version 8.5 et n'a jamais fait l'objet de restrictions d'exportation.
  • Fichier d'ID de coffre RSA 2 048 bits
  • Clé d'opérations de coffre (VO) RSA 2 048 bits
  • Clés de chiffrement de transport AES 256 bits
  • Clés de chiffrement de stockage AES 256 bits

Prestataire de services SAML (Security Assertion Markup Language)

Cette fonction a été ajoutée dans la version 9.0 et n'a jamais fait l'objet de restrictions d'exportation.

Algorithmes DigestMethod pris en charge :
Algorithmes SignatureMethod pris en charge :
Algorithmes EncryptionMethod (en masse) pris en charge :
Algorithmes EncryptionMethod (encapsulage) pris en charge :

La canonisation exclusive (xml-exc-c14n) doit être utilisée ; l'analyse de #WithComments ou de la canonisation inclusive (REC-xml-c14n) peut ne pas être effectuée avec succès.