حول وظيفة RTMPS
تدعم وظيفة RTMPS خوارزميات تشفير متنوعة لبث RTMPS الآمن. لضمان التوافق مع نطاق واسع من خوادم الوجهات، يتم دعم العديد من خوارزميات التشفير، بما في ذلك بعض الخوارزميات التي قد لا تتوافق مع أفضل ممارسات الأمان الحالية.
خوارزميات التشفير التي تدعمها وظيفة RTMPS
يتم دعم خوارزميات التشفير التالية.
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CCM
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CCM
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CCM
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CCM
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
حول خوارزميات التشفير الموصى بها
بناءً على توصيات NIST (المعهد الوطني للمعايير والتقنية) (NIST SP 800-57 Part 1, Revision 5) ومعايير الأمان ذات الصلة، يوصَى بخوارزميات التشفير التالية.
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CCM
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CCM
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
حول الخوارزميات المهملة
تدعم وظيفة RTMPS أيضًا الخوارزميات التالية لدواعي التوافق، لكنها مهملة بناءً على توصيات NIST (المعهد الوطني للمعايير والتقنية) (NIST SP 800-57 Part 1, Revision 5) ومعايير الأمان ذات الصلة وقد تُزال في الإصدارات المستقبلية.
Key exchange algorithms
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CCM
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CCM
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
توافق الاتصال
تم تصميم وظيفة RTMPS لتحقيق التوازن بين الأمان والتوافق. وفي الوقت الحالي، ندعم الخوارزميات المهملة للأسباب التالية، لكن قد نزيل هذه الخوارزميات في الإصدارات المستقبلية لتحسين الأمان.
- لاستخدام وظيفة بث RTMPS، سيتعين عليك الاتصال بخوادم مختلفة تدعم تسليم RTMPS.
- يجب الحفاظ على التوافق مع الأنظمة الأقدم والخوادم القديمة.
- يُعد تغيير إعدادات خوارزمية التشفير على جانب الخادم عملية معقدة، وليس كل المستخدمين مستعدين للتغيير إلى إعداد آمن.
- غالبًا ما تتم مشاركة إعدادات خادم RTMPS مع خدمات آمنة أخرى، لذا فمن الضروري مراعاة التأثير على الخدمات الأخرى على الخادم، وقد لا تكون التغييرات دائمًا سهلة التنفيذ.
- لضمان التوافقية في بيئات مختلفة، من الضروري توافر الدعم لنطاق واسع من خوارزميات التشفير.
تتحدد خوارزمية التشفير المستخدمة أثناء اتصال RTMPS عن طريق التفاوض التلقائي مع خادم الوجهة، لذا فهي تعتمد على إعدادات الخادم. على الرغم من أننا ندرك مخاطر الأمان، فإننا نعطي الأولوية حاليًا للتوافق الواسع من أجل تلبية الاحتياجات المتنوعة لمستخدمينا.
مخاطر الأمان
يزيد استخدام الخوارزميات المهملة، بما في ذلك CBC وDHE، من مخاطر فك تشفير البيانات المشفرة بواسطة مهاجم، وبالتالي كشف البيانات التي يتم بثها.
توصيات من أجل الاتصال الآمن
عند استخدام وظيفة بث RTMPS، تحقق مسبقًا مما إذا كان الخادم الذي تتصل به يدعم خوارزميات التشفير الموصى بها. نوصي بتمكين الخوارزميات الموصى بها فقط وتعطيل الخوارزميات غير الموصى بها على جانب الخادم.
المراجع
- Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
- Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
- Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
