À propos de la fonction RTMPS

La fonction RTMPS prend en charge un éventail d’algorithmes de chiffrement pour une diffusion RTMPS sécurisée. Afin d’assurer la compatibilité avec un large éventail de serveurs de destination, plusieurs algorithmes de chiffrement sont pris en charge, notamment certains qui peuvent ne pas être conformes aux bonnes pratiques de sécurité actuelles.

Algorithmes de chiffrement pris en charge par la fonction RTMPS

Les algorithmes de chiffrement suivants sont pris en charge.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

À propos des algorithmes de chiffrement recommandés

Basés sur les recommandations NIST (NIST SP 800-57 Part 1, Revision 5) et les normes de sécurité connexes, les algorithmes de chiffrement suivants sont recommandés.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

À propos des algorithmes déconseillés

La fonction RTMPS prend également en charge les algorithmes suivants pour des raisons de compatibilité, mais étant donné qu’ils sont déconseillés sur la base des recommandations NIST (NIST SP 800-57 Part 1, Revision 5) et des normes de sécurité connexes, ils pourraient être supprimés dans les versions futures.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Compatibilité de connexion

La fonction RTMPS est conçue pour équilibrer sécurité et compatibilité. Actuellement, nous prenons en charge des algorithmes déconseillés pour les raisons suivantes, mais nous pourrions supprimer ces algorithmes dans les versions futures afin d’améliorer la sécurité.

  • Pour utiliser la fonction de diffusion RTMPS, vous devez vous connecter à différents serveurs prenant en charge la transmission RTMPS.
  • La compatibilité avec les systèmes anciens et les serveurs existants doit être maintenue.
  • La modification des paramètres des algorithmes de chiffrement du côté serveur est complexe, et tous les utilisateurs ne sont pas prêts à changer pour un paramètre sécurisé.
  • Les paramètres du serveur RTMPS étant souvent partagés avec d’autres services sécurisés, il est nécessaire d’examiner l’impact sur d’autres services du serveur, et les changements peuvent ne pas toujours être faciles à mettre en œuvre.
  • Pour garantir l’interopérabilité dans des environnements différents, la prise en charge d’un large éventail d’algorithmes de chiffrement est nécessaire.

L'algorithme de chiffrement utilisé pendant la connexion RTMPS étant déterminé par négociation automatique avec le serveur de destination, il dépend des réglages du serveur. Conscients des risques inhérents à la sécurité, nous privilégions actuellement la compatibilité étendue afin de répondre aux différents besoins de nos utilisateurs.

Risques de sécurité

L’utilisation d’algorithmes déconseillés, notamment CBC et DHE, augmente le risque que des données chiffrées soient déchiffrées par un attaquant, exposant les données diffusées.

Recommandations pour une connexion sécurisée

Lors de l’utilisation de la fonction de diffusion RTMPS, vérifiez au préalable si le serveur auquel vous vous connectez prend en charge les algorithmes de chiffrement recommandés. Nous vous recommandons d’activer uniquement les algorithmes recommandés et de désactiver les algorithmes non recommandés du côté serveur.


Références

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Haut de la page
TP1002071108