Tietoja RTMPS-toiminnosta

RTMPS-toiminto tukee erilaisia salausalgoritmeja suojattua RTMPS-suoratoistoa varten. Jotta varmistetaan yhteensopivuus erilaisten kohdepalvelimien kanssa, tuetaan useita salausalgoritmeja, myös sellaisia, jotka eivät välttämättä noudata nykyisiä suojauksen parhaita käytäntöjä.

RTMPS-toiminnon tukemat salausalgoritmit

Seuraavia salausalgoritmeja tuetaan.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Tietoja suositeltavista salausalgoritmeista

NIST-suositusten (NIST SP 800-57 Part 1, Revision 5) ja niihin liittyvien turvallisuusstandardien perusteella suositellaan seuraavia salausalgoritmeja.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Tietoja vanhentuneista algoritmeista

RTMPS-toiminto tukee myös seuraavia algoritmeja yhteensopivuussyistä, mutta ne ovat vanhentuneita NIST-suositusten (NIST SP 800-57 Part 1, Revision 5) ja niihin liittyvien turvallisuusstandardien perusteella, ja ne saatetaan poistaa tulevista versioista.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Yhteyden yhteensopivuus

RTMPS-toiminto on suunniteltu tasapainottamaan turvallisuus ja yhteensopivuus. Vanhentuneita algoritmeja tuetaan tällä hetkellä seuraavista syistä, mutta nämä algoritmit voidaan poistaa tulevista versioista turvallisuuden parantamiseksi.

  • RTMPS-suoratoistotoiminnon käyttämistä varten täytyy muodostaa yhteys erilaisiin palvelimiin, jotka tukevat RTMPS-toimitusta.
  • Yhteensopivuus vanhempien järjestelmien ja vanhojen palvelimien kanssa täytyy säilyttää.
  • Salausalgoritmin asetusten muuttaminen palvelimen puolella on monimutkaista, eivätkä kaikki käyttäjät ole valmiita vaihtamaan suojattuun asetukseen.
  • RTMPS-palvelinasetukset jaetaan usein muiden turvallisten palveluiden kanssa, joten on otettava huomioon vaikutukset muihin palveluihin palvelimella, eikä muutosten toteuttaminen välttämättä ole aina helppoa.
  • Yhteentoimivuuden varmistamiseksi eri ympäristöissä tarvitaan tukea monenlaisille salausalgoritmeille.

RTMPS-yhteyden aikana käytettävä salausalgoritmi määritetään automaattisella neuvottelulla kohdepalvelimen kanssa, joten se riippuu palvelimen asetuksista. Vaikka olemme tietoisia turvallisuusriskeistä, asetamme tällä hetkellä laajan yhteensopivuuden etusijalle vastataksemme käyttäjien erilaisiin tarpeisiin.

Turvallisuusriskit

Vanhentuneiden algoritmien, mukaan lukien CBC ja DHE, käyttäminen lisää riskiä, että hyökkääjä voi purkaa salatun datan, jolloin tiedot paljastuvat suoratoiston aikana.

Turvallista yhteyttä koskevat suositukset

Tarkista RTMPS-suoratoistotoimintoa käytettäessä etukäteen, tukeeko palvelin, johon yhteys muodostetaan, suositeltuja salausalgoritmeja. On suositeltavaa ottaa käyttöön vain suositellut algoritmit ja poistaa ei-suositellut algoritmit käytöstä palvelimen puolella.


Lähteet

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Siirry sivun alkuun
TP1002071183