Info zur RTMPS-Funktion

Die RTMPS-Funktion unterstützt eine Vielzahl von Verschlüsselungsalgorithmen für sicheres RTMPS-Streaming. Um die Kompatibilität mit einer Vielzahl von Zielservern zu gewährleisten, werden mehrere Verschlüsselungsalgorithmen unterstützt, darunter auch solche, die möglicherweise nicht den aktuellen bewährten Sicherheitsverfahren entsprechen.

Von der RTMPS-Funktion unterstützte Verschlüsselungsalgorithmen

Die folgenden Verschlüsselungsalgorithmen werden unterstützt.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Info zu empfohlenen Verschlüsselungsalgorithmen

Auf der Grundlage der NIST-Empfehlungen (NIST SP 800-57 Part 1, Revision 5) und zugehöriger Sicherheitsstandards werden die folgenden Verschlüsselungsalgorithmen empfohlen.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Info zu veralteten Algorithmen

Die RTMPS-Funktion unterstützt aus Kompatibilitätsgründen auch die folgenden Algorithmen, die jedoch auf der Grundlage der NIST-Empfehlungen (NIST SP 800-57 Part 1, Revision 5) und verwandter Sicherheitsstandards veraltet sind und in zukünftigen Versionen entfernt werden können.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Verbindungskompatibilität

Die RTMPS-Funktion wurde entwickelt, um ein Gleichgewicht zwischen Sicherheit und Kompatibilität herzustellen. Derzeit unterstützen wir aus den folgenden Gründen veraltete Algorithmen, die wir jedoch in zukünftigen Versionen entfernen können, um die Sicherheit zu erhöhen.

  • Um die RTMPS-Streaming-Funktion zu nutzen, müssen Sie eine Verbindung zu verschiedenen Servern herstellen, die die Bereitstellung von RTMPS unterstützen.
  • Die Kompatibilität mit älteren Systemen und Legacy-Servern muss erhalten bleiben.
  • Die Änderung der Einstellungen für den Verschlüsselungsalgorithmus auf der Serverseite ist komplex, und nicht alle Benutzer sind bereit, zu einer sicheren Einstellung zu wechseln.
  • RTMPS-Servereinstellungen werden häufig mit anderen sicheren Diensten gemeinsam genutzt, daher müssen die Auswirkungen auf andere Dienste auf dem Server berücksichtigt werden, und Änderungen sind unter Umständen nicht immer einfach zu implementieren.
  • Um die Interoperabilität in verschiedenen Umgebungen zu gewährleisten, ist die Unterstützung eines breiten Spektrums von kryptografischen Algorithmen erforderlich.

Der Verschlüsselungsalgorithmus, der während der RTMPS-Verbindung verwendet wird, wird durch automatische Aushandlung mit dem Zielserver bestimmt und hängt daher von den Einstellungen des Servers ab. Obwohl wir uns der Sicherheitsrisiken bewusst sind, legen wir derzeit den Schwerpunkt auf eine breite Kompatibilität, um den unterschiedlichen Bedürfnissen unserer Benutzer gerecht zu werden.

Sicherheitsrisiken

Die Verwendung veralteter Algorithmen, einschließlich CBC und DHE, erhöht das Risiko, dass verschlüsselte Daten von einem Angreifer entschlüsselt werden können, wodurch die gestreamten Daten offengelegt werden.

Empfehlungen für eine sichere Verbindung

Prüfen Sie bei Verwendung der RTMPS-Streaming-Funktion im Voraus, ob der Server, mit dem Sie sich verbinden, die empfohlenen Verschlüsselungsalgorithmen unterstützt. Wir empfehlen Ihnen, nur die empfohlenen Algorithmen zu aktivieren und nicht empfohlene Algorithmen auf der Serverseite zu deaktivieren.


Referenzen

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Zum Seitenanfang
TP1002071123