PORT_ENC_ADV
控制埠加密的層次,以及啟用 AES 通行證。 Requires IBM® Domino® 9.0.1 Fix Pack 7 or later.
Description: The advanced port encryption algorithms available for use when connecting to this Domino® server.
語法:
PORT_ENC_ADV=sum where sum is the sum of the values in the following table that represents the options to enable:| 值 | 選項 | 其他資訊 |
|---|---|---|
| 1 | 為舊式 RC4 埠加密啟用 HMAC-SHA256 整合性保護。 | 僅適用於無法處理 AES 加密的資源受限伺服器。 |
| 2 | 啟用 AES-128 CBC(而不是 RC4) | 目前,我們建議使用 AES-GCM 而非 AES-CBC。 |
| 4 | 啟用 AES-128 GCM 以確保機密性和完整性。 | 現行業界最佳作法指出,根據物理學的經典定律,128 位元對稱金鑰的強度即足以防護攻擊。 |
| 8 | 啟用 AES-256 GCM 以確保機密性和完整性。 | 根據量子運算,256 位元金鑰預期可提供「128 位元層次」的保護來防止攻擊。如果啟用 AES-256 GCM,而未啟用「秘密轉遞」,則會改用 AES-128 GCM。 |
| 16 | 啟用「秘密轉遞」,以使用 2048 位元暫時 Diffie-Hellman (FFDHE-2048) 進行埠加密 | 維基百科頁面:https://en. |
| 32 | 使用 X25519 ECDHE 啟用秘密轉遞以進行埠加密 | 維基百科頁面:https://en. |
| 64 | 啟用 AES 通行證 | 將通行證從 RC2-128 升級至 AES-128。最佳作法是要啟用。效能衝擊最小。 |
Note:
- 如果未使用 PORT_ENC_ADV,則預設加密層次相當於 PORT_ENC_ADV=104。 For more information about the default level of encryption, see Configuring the level of port encryption and authentication.
- PORT_ENC_ADV=0 是一個有效的設定,其會導致所有新式演算法停用。
如果同時啟用了 16 及 32,則會使用這兩者,並使用兩種作業的輸出來產生金鑰,以加密網路流量。
網路連線的用戶端會通告其支援的演算法,而伺服器會根據服務端的 notes.ini設定,選取用戶端和伺服器都支援的最安全組合。PORT_ENC_ADV=127將會使用用戶端和伺服器支援的最安全選項集。 When an older client connects to an upgraded server, the older algorithms are used.
| 術語 | 說明 |
|---|---|
| AES | 「進階加密標準」(Advanced 加密 Standard, AES) 是對稱的加密演算法。 |
| 機密性 (Confidentiality) | 提供竊聽防護。 |
| GCM | Galois/計數器模式 (Galois/Counter 模式, GCM) 提供資料確實性(完整性)和機密性。 |
| 秘密轉遞 (Forward Secrecy) | A property of communications protocols that prevents recorded encrypted communications from being decrypted in the future even if long-term keys (Notes® ID files) are later compromised. |
| 完整性 (integrity) | 可防止竄改。 |
| 埠加密 (port 加密) | 埠加密是等同於 SSL/TLS 的 NRPC,可為 NRPC 動態資料提供完整性和機密性。 |
| 通行證 (ticket) | 以加密方式產生的機密,可用來增進 NRPC 鑑別的效能。 |
套用: 伺服器
預設值:未啟用任何新選項。
使用者介面對等項目:無。
範例
| 目標 | 啟用的選項 | notes.ininotes.ini |
|---|---|---|
| 現行安全最佳作法 |
|
PORT_ENC_ADV=100 |
| 安全性最高 |
|
PORT_ENC_ADV=120 |
| 效能衝擊最小 |
|
PORT_ENC_ADV=65 |