PORT_ENC_ADV
控制端口加密级别并启用 AES 凭单。需要 IBM® Domino® 9.0.1 Fix Pack 7 或更高版本。
描述:连接到此 Domino® 服务器时可以使用的高级端口加密算法。
语法:
PORT_ENC_ADV=sum,其中 sum 是下表中表示要启用的选项所对应值的和:| 值 | 选项 | 其他信息 |
|---|---|---|
| 1 | 为旧 RC4 端口加密启用 HMAC-SHA256 完整性保护。 | 仅适用于资源受约束而无法处理 AES 加密的服务器。 |
| 2 | 启用 AES-128 CBC(而非 RC4)以支持保密性,并启用 HMAC-SHA256 以支持完整性。 | 目前,我们建议您使用 AES-GCM,而不要使用 AES-CBC。 |
| 4 | 启用 AES-128 GCM 以支持保密性和完整性。 | 目前的业界最佳实践表明,128 位对称密钥基于经典物理定律,强度足以防御攻击。 |
| 8 | 启用 AES-256 GCM 以支持保密性和完整性。 | 256 位密钥基于量子计算,预期会提供 128 位级别的攻击防御。如果启用的 AES-256 GCM 不带“向前保密”功能,请改为使用 AES-128 GCM。 |
| 16 | 启用“向前保密”以使用 2048 位临时 Diffie-Hellman (FFDHE-2048) 来进行端口加密 | 维基百科页面:https://en.wikipedia.org/wiki/Forward_secrecy |
| 32 | 为使用 X25519 ECDHE 的端口加密启用向前保密 | 维基百科页面:https://en.wikipedia.org/wiki/Curve25519 |
| 64 | 启用 AES 凭单 | 将凭单从 RC2-128 升级到 AES-128。这将启用最佳实践。对性能的影响最小。 |
注:
- 如果不使用 PORT_ENC_ADV,那么缺省加密级别等效于 PORT_ENC_ADV=104。有关缺省加密级别的更多信息,请参阅配置端口加密和认证的级别。
- PORT_ENC_ADV=0 是导致禁用所有现代算法的有效设置。
如果同时启用了 16 和 32,那么将同时使用这两者对应的选项,并且这两个操作的输出都将用于生成用于加密网络流量的密钥。
网络连接的客户机会公布其支持的算法,而服务器会基于服务器端的 notes.ini 设置,选择客户机和服务器都支持的最安全组合。这将使用客户机和服务器支持的最安全的一组选项。例如,如果启用所有选项 (PORT_ENC_ADV=127),那么将使用对应于 8、16、32 和 64 的选项,而不会使用对应于 1、2 和 4 的选项。旧客户机连接到升级后的服务器时,将使用旧算法。
| 术语 | 描述 |
|---|---|
| AES | 高级加密标准 (AES) 是一种对称加密算法。 |
| 保密性 | 提供防窃听功能。 |
| GCM | Galois/Counter Mode (GCM) 提供数据真实性(完整性)和保密性。 |
| 向前保密 | 通信协议的一个属性,可防止记录的加密通信未来被解密,即便以后长期密钥(Notes® 标识文件)泄露也不例外。 |
| 完整性 | 提供防篡改功能。 |
| 端口加密 | 等效于 SSL/TLS 的 NRPC,端口加密提供 NRPC 动态数据的完整性和保密性。 |
| 凭单 | 以加密方式生成的密钥,用于改善 NRPC 认证的性能。 |
适用于: 服务器
缺省值:不启用任何新选项。
UI 等效项:无。
示例
| 目标 | 启用的选项 | notes.inivalue |
|---|---|---|
| 目前安全性最佳实践 |
|
PORT_ENC_ADV=100 |
| 最高安全性 |
|
PORT_ENC_ADV=120 |
| 最低性能影响 |
|
PORT_ENC_ADV=65 |