PORT_ENC_ADV

控制端口加密级别并启用 AES 凭单。需要 IBM® Domino® 9.0.1 Fix Pack 7 或更高版本。

描述:连接到此 Domino® 服务器时可以使用的高级端口加密算法。

语法: PORT_ENC_ADV=sum,其中 sum 是下表中表示要启用的选项所对应值的和:
1. 高级端口加密算法选项
选项 其他信息
1 为旧 RC4 端口加密启用 HMAC-SHA256 完整性保护。 仅适用于资源受约束而无法处理 AES 加密的服务器。
2 启用 AES-128 CBC(而非 RC4)以支持保密性,并启用 HMAC-SHA256 以支持完整性。 目前,我们建议您使用 AES-GCM,而不要使用 AES-CBC。
4 启用 AES-128 GCM 以支持保密性和完整性。 目前的业界最佳实践表明,128 位对称密钥基于经典物理定律,强度足以防御攻击。
8 启用 AES-256 GCM 以支持保密性和完整性。 256 位密钥基于量子计算,预期会提供 128 位级别的攻击防御。如果启用的 AES-256 GCM 不带“向前保密”功能,请改为使用 AES-128 GCM。
16 启用“向前保密”以使用 2048 位临时 Diffie-Hellman (FFDHE-2048) 来进行端口加密 维基百科页面:https://en.wikipedia.org/wiki/Forward_secrecy
32 为使用 X25519 ECDHE 的端口加密启用向前保密 维基百科页面:https://en.wikipedia.org/wiki/Curve25519
64 启用 AES 凭单 将凭单从 RC2-128 升级到 AES-128。这将启用最佳实践。对性能的影响最小。
注:
  • 如果不使用 PORT_ENC_ADV,那么缺省加密级别等效于 PORT_ENC_ADV=104。有关缺省加密级别的更多信息,请参阅配置端口加密和认证的级别
  • PORT_ENC_ADV=0 是导致禁用所有现代算法的有效设置。

如果同时启用了 16 和 32,那么将同时使用这两者对应的选项,并且这两个操作的输出都将用于生成用于加密网络流量的密钥。

网络连接的客户机会公布其支持的算法,而服务器会基于服务器端的 notes.ini 设置,选择客户机和服务器都支持的最安全组合。这将使用客户机和服务器支持的最安全的一组选项。例如,如果启用所有选项 (PORT_ENC_ADV=127),那么将使用对应于 8、16、32 和 64 的选项,而不会使用对应于 1、2 和 4 的选项。旧客户机连接到升级后的服务器时,将使用旧算法。

2. 术语描述
术语 描述
AES 高级加密标准 (AES) 是一种对称加密算法。
保密性 提供防窃听功能。
GCM Galois/Counter Mode (GCM) 提供数据真实性(完整性)和保密性。
向前保密 通信协议的一个属性,可防止记录的加密通信未来被解密,即便以后长期密钥(Notes® 标识文件)泄露也不例外。
完整性 提供防篡改功能。
端口加密 等效于 SSL/TLS 的 NRPC,端口加密提供 NRPC 动态数据的完整性和保密性。
凭单 以加密方式生成的密钥,用于改善 NRPC 认证的性能。

适用于: 服务器

缺省值:不启用任何新选项。

UI 等效项:无。

示例
3. 示例
目标 启用的选项 notes.inivalue
目前安全性最佳实践
  • (4) 启用 AES-128 GCM 以支持端口加密和传输完整性
  • (32) 向前保密
  • (64) 启用 AES 凭单
PORT_ENC_ADV=100
最高安全性
  • (8) 启用 AES-256 GCM 以支持端口加密和传输完整性
  • (16+32) 向前保密"
  • (64) AES 凭单
PORT_ENC_ADV=120
最低性能影响
  • (1) 启用 HMAC-SHA256 以支持完整性,并继续对网络流量使用 128 位 RC4 。
  • (64) AES 凭单
PORT_ENC_ADV=65