PORT_ENC_ADV

포트 암호화의 레벨을 제어하고 AES 티켓의 사용을 가능하게 합니다. Requires IBM® Domino® 9.0.1 Fix Pack 7 or later.

Description: The advanced port encryption algorithms available for use when connecting to this Domino® server.

구문: PORT_ENC_ADV=sum where sum is the sum of the values in the following table that represents the options to enable:
Table 1. 고급 포트 암호화 알고리즘 옵션
옵션 추가 정보
1 레거시 RC4 포트 암호화를 위해 HMAC-SHA256 무결성 보호를 사용합니다. AES 암호화를 처리할 수 없는 자원 제한 서버에만 사용할 수 있습니다.
2 기밀성을 위해 RC4 및 무결성을 위해 HMAC-SHA256 보다는 AES-128 CBC를 사용합니다. 이번에는 AES-CBC 보다는 AES-GCM을 사용하기를 권장합니다.
4 기밀성 및 무결성을 위해 AES-128 GCM을 사용합니다. 현재 산업 우수 사례는 128비트 대칭 키가 전통적인 물리학 법칙을 기반으로 하는 공격에 대비하기에 충분히 강력하다는 것을 나타냅니다.
8 기밀성 및 무결성을 위해 AES-256 GCM을 사용합니다. 256비트 키는 양자 계산을 기반으로 하는 공격에 대해 128비트 레벨 보호를 제공할 것으로 예상됩니다. AES-256 GCM이 비밀 유지 전달 없이 사용 가능하게 설정된 경우 AES-128 GCM이 대신 사용됩니다.
16 2048비트 일회성 Diffie-Hellman(FFDHE-2048)을 사용하여 포트 암호화에 비밀 유지 전달 사용 Wikipedia 페이지: https://en.wikipedia.org/wiki/Forward_secrecy
32 X25519 ECDHE를 사용하여 포트 암호화에 비밀 유지 전달 사용 Wikipedia 페이지: https://en.wikipedia.org/wiki/Curve25519
64 AES 티켓 사용 티켓을 RC2-128에서 AES-128로 업그레이드합니다. 사용 가능하게 설정하는 것이 가장 좋습니다. 성능 영향이 최소입니다.
Note:
  • PORT_ENC_ADV를 사용하지 않을 경우 기본 암호화 수준은 PORT_ENC_ADV=104와 동일합니다. For more information about the default level of encryption, see Configuring the level of port encryption and authentication.
  • PORT_ENC_ADV=0은 모든 최신 알고리즘이 비활성화되는 유효한 설정입니다.

16과 32가 모두 활성화되면 둘 다 사용되며 두 조작의 출력이 네트워크 트래픽을 암호화하는 키를 생성하는 데 사용됩니다.

네트워크 연결의 클라이언트 측은 클라이언트가 어떤 알고리즘을 지원하는지 알리며, 서버는 서비스 측 notes.ini 설정을 기반으로 클라이언트와 서버가 모두 지원하는 가장 안전한 조합을 선택합니다. 클라이언트와 서버에서 지원되는 가장 안전한 옵션 세트가 사용됩니다. 예를 들어, 모든 옵션을 사용 가능하게 설정(PORT_ENC_ADV=127)하는 경우에는 8, 16, 64에 해당하는 옵션이 사용되며 1, 2, 4는 사용되지 않습니다. 이전 클라이언트가 업그레이드된 서버에 연결할 때는 이전 알고리즘이 사용됩니다.

Table 2. 용어 설명
용어 설명
AES AES(Advanced Encryption Standard)는 대칭 암호화 알고리즘입니다.
기밀성 도청에 대한 보호를 제공합니다.
GCM GCM(Galois/Counter Mode)은 데이터 신뢰성(무결성) 및 기밀성을 제공합니다.
비밀 유지 전달 A property of communications protocols that prevents recorded encrypted communications from being decrypted in the future even if long-term keys (Notes® ID files) are later compromised.
무결성 변조에 대한 보호를 제공합니다.
포트 암호화 SSL/TLS, 포트 암호화와 동등한 NRPC는 이동 중인 NRPC 데이터에 대한 무결성 및 기밀성을 제공합니다.
티켓 NRPC 인증의 성능을 개선하기 위해 사용된 암호로 생성된 비밀입니다.

적용: 서버

기본값: 사용 가능하게 설정된 새 옵션이 없음.

해당 UI: 없음.

예제
Table 3. 예제
목표 사용으로 설정된 옵션 notes.ini value
현재 보안 우수 사례
  • (4) 포트 암호화 및 전송 무결성을 위해 AES-128 GCM 사용
  • (32) 비밀 유지 전달
  • (64) AES 티켓 사용
 PORT_ENC_ADV=100
최대 보안
  • (8) 포트 암호화 및 전송 무결성을 위한 AES-256 GCM
  • (16+32) 비밀 유지 전달"
  • (64) AES 티켓
 PORT_ENC_ADV=120
최소 성능 영향
  • (1) 전송 무결성의 경우 HMAC-SHA256 및 네트워크 트래픽의 경우 128비트 RC4를 계속 사용함.
  • (64) AES 티켓
 PORT_ENC_ADV=65