O funkci RTMPS

Funkce RTMPS podporuje pro bezpečné streamování RTMPS různé šifrovací algoritmy. Aby byla zajištěna kompatibilita s celou řadou různých cílových serverů, je podporováno několik šifrovacích algoritmů, přičemž některé nemusí být v souladu se současnými osvědčenými postupy v oblasti zabezpečení.

Šifrovací algoritmy podporované funkcí RTMPS

Podporovány jsou následující šifrovací algoritmy.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

O doporučených šifrovacích algoritmech

Na základě doporučení organizace NIST (NIST SP 800-57 Part 1, Revision 5) a souvisejících standardů zabezpečení doporučujeme následující šifrovací algoritmy.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

O zastaralých algoritmech

Funkce RTMPS dále podporuje následující algoritmy kvůli zachování kompatibility. Ty jsou však na základě doporučení organizace NIST (NIST SP 800-57 Part 1, Revision 5) a souvisejících standardů zabezpečení zastaralé a nemusí být součástí budoucích verzí.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Kompatibilita připojení

Funkce RTMPS je navržena tak, aby byly zabezpečení a kompatibilita v rovnováze. V současnosti podporujeme zastaralé algoritmy z následujících důvodů, ale tyto algoritmy nemusí být v rámci zvýšení zabezpečení součástí budoucích verzí.

  • Chcete-li používat funkci streamování RTMPS, je třeba se připojit k různým serverům, které podporují doručení RTMPS.
  • Nutnost zachování kompatibility se staršími systémy a zastaralými servery.
  • Složitost změny nastavení šifrovacího algoritmu na straně serveru a nepřipravenost všech uživatelů na změnu nastavení zabezpečení.
  • Časté sdílení nastavení serveru RTMPS s jinými zabezpečenými službami, proto je třeba vzít v úvahu vliv na další služby serveru, přičemž implementace změn nemusí být vždy snadná.
  • Nezbytnost podpory pro celou řadu kryptografických algoritmů k zajištění interoperability v různých prostředích.

Šifrovací algoritmus používaný během připojení RTMPS je určen automatickou interakcí s cílovým serverem, takže závisí na nastaveních serveru. Přestože jsme si vědomi bezpečnostních rizik, v současnosti upřednostňujeme širokou kompatibilitu, abychom vyhověli různým potřebám našich uživatelů.

Bezpečnostní rizika

Použití zastaralých algoritmů včetně CBC a DHE zvyšuje riziko, že šifrovaná data budou dešifrována útočníkem, což může vést k odhalení streamovaných dat.

Doporučení pro zabezpečené připojení

Pokud používáte funkci streamování RTMPS, zkontrolujte předem, zda server, ke kterému se připojujete, podporuje doporučené šifrovací algoritmy. Doporučujeme povolit pouze doporučené algoritmy a zakázat ty nedoporučené na straně serveru.


Odkazy

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Začátek stránky
TP1002071163