در باره عملکرد RTMPS
عملکرد RTMPS تنوعی از الگوریتم های رمزگذاری برای پخش زنده ایمن RTMPS را پشتیبانی می کند. برای اطمینان از سازگارپذیری با طیف گسترده ای از سِرورهای مقصد، چندین الگوریتم رمزگذاری، شامل برخی که ممکن است با بهترین شیوه های امنیتی فعلی مطابقت نداشته باشد، پشتیبانی می شوند.
الگوریتم های رمزگذاری پشتیبانی شده توسط عملکرد RTMPS
الگوریتم های رمزگذاری ذیل پشتیبانی می شوند.
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CCM
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CCM
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CCM
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CCM
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
در باره الگوریتم های رمزگذاری توصیه شده
بر اساس توصیه های NIST (NIST SP 800-57 Part 1, Revision 5) و استانداردهای امنیتی مربوطه، الگوریتم های رمزگذاری ذیل توصیه می شوند.
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CCM
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CCM
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
در باره الگوریتم های منسوخ شده
عملکرد RTMPS از الگوریتم های ذیل نیز به دلایل سازگارپذیری پشتیبانی می کند، اما آنها بر اساس توصیه های NIST (NIST SP 800-57 Part 1, Revision 5) و استانداردهای امنیتی مربوطه منسوخ شده اند و ممکن است در نسخه های آتی حذف شوند.
Key exchange algorithms
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CCM
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CCM
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
سازگارپذیری اتصال
عملکرد RTMPS برای موازنه امنیت و سازگارپذیری طراحی شده است. در حال حاضر، از الگوریتم های منسوخ شده به دلایل ذیل پشتیبانی می کنیم، اما ممکن است این الگوریتم ها را برای بهبود امنیت در نسخه های آتی حذف کنیم.
- برای استفاده از عملکرد پخش زنده RTMPS، شما نیاز به اتصال به سِرورهای گوناگونی دارید که از انتقال RTMPS پشتیبانی کنند.
- سازگارپذیری با سیستم های قدیمی تر و سِرورهای فن آوری قدیمی باید حفظ شود.
- تغییر دادن تنظیمات الگوریتم رمزگذاری از سمت سِرور پیچیده است، و همه کاربران آماده تغییر به یک تنظیم ایمن نیستند.
- تنظیمات سِرور RTMPS اغلب با سایر سرویسهای ایمن به اشتراک گذاشته میشوند، بنابراین لازم است تأثیر آن بر سایر سرویسهای روی سِرور در نظر گرفته شود، و اِعمال تغییرات ممکن است همیشه آسان نباشد.
- برای اطمینان از قابلیت همکاری در محیطهای متفاوت، پشتیبانی از طیف گستردهای از الگوریتمهای رمزگذاری ضروری است.
الگوریتم رمزگذاری مورد استفاده در حین اتصال RTMPS توسط مذاکره خودکار با سِرور مقصد تعیین میشود، بنابراین به تنظیمات سرور بستگی دارد. اگرچه ما از خطرات احتمالی امنیتی آگاه هستیم، در حال حاضر سازگارپذیری گسترده به منظور برآورده ساختن نیازهای گوناگون کاربران خود را در اولویت قرار می دهیم.
خطرات احتمالی امنیتی
استفاده از الگوریتم های منسوخ شده، شامل CBC و DHE، خطر رمزگشایی دادههای رمزگذاریشده توسط یک مهاجم را افزایش میدهد، که باعث افشای دادههای در حال پخش زنده میشود.
توصیه ها برای یک اتصال ایمن
هنگام استفاده کردن از عملکرد کلاینت RTMPS، از پیش بازبینی کنید آیا سِروری که در حال اتصال به آن هستید الگوریتم های رمزگذاری توصیه شده را پشتیبانی می کند. توصیه می کنیم فقط الگوریتم های توصیه شده را فعال کرده و الگوریتم های توصیه نشده را از طرف سِرور غیرفعال کنید.
مراجع
- Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
- Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
- Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
