Az RTMPS-funkció bemutatása

Az RTMPS-funkció számos titkosítási algoritmus támogatásával teszi lehetővé a biztonságos RTMPS-streaminget. A célkiszolgálók széles körével való kompatibilitás biztosítása érdekében számos titkosítási algoritmus támogatott, köztük olyanok is, amelyek nem feltétlenül felelnek meg az aktuális legjobb biztonsági gyakorlatoknak.

Az RTMPS-funkció által támogatott titkosítási algoritmusok

A következő algoritmusok támogatottak.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Tudnivalók a javasolt titkosítási algoritmusokról

Az NIST ajánlásai (NIST SP 800-57 Part 1, Revision 5) és a kapcsolódó biztonsági szabványok értelmében a következő titkosítási algoritmusokat javasoljuk.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Tudnivalók az elavult algoritmusokról

A kompatibilitás érdekében az RTMPS-funkció az alábbi algoritmusokat is támogatja, azonban ezek az NIST ajánlásai (NIST SP 800-57 Part 1, Revision 5) és a kapcsolódó biztonsági szabványok értelmében elavultak, és a későbbi verziókban eltávolításra kerülhetnek.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Kapcsolati kompatibilitás

Az RTMPS-funkciót a biztonság és a kompatibilitás közötti egyensúly megteremtését szem előtt tartva terveztük. Jelenleg az alábbi okokból támogatjuk az elavult algoritmusokat, azonban a biztonság fokozása érdekében előfordulhat, hogy a későbbi verziókból eltávolítjuk ezeket az algoritmusokat.

  • Az RTMPS-streaming funkció használatához többféle kiszolgálóhoz kell csatlakoznia, amelyek támogatják az RTMPS-átvitelt.
  • Fenn kell tartani a kompatibilitást a régebbi rendszerekkel és elavult kiszolgálókkal.
  • A titkosítási algoritmus beállításainak módosítása a kiszolgálóoldalon összetett feladat, és nem minden felhasználó felkészült arra, hogy biztonságos beállításra váltson.
  • Az RTMPS-kiszolgálók beállításai gyakran osztoznak más biztonságos szolgáltatásokéval, ezért figyelembe kell venni a kiszolgálón található más szolgáltatásokra gyakorolt hatást, valamint azt, hogy a módosítások elvégzése nem mindig egyszerű.
  • A különböző környezetek közötti interoperabilitás biztosítása érdekében kriptográfiai algoritmusok széles körének támogatása szükséges.

Az RTMPS-kapcsolat során használt titkosítási algoritmust a célkiszolgálóval történő automatikus egyeztetés határozza meg, tehát a kiszolgáló beállításaitól függ. Ugyan tisztában vagyunk a biztonság kockázatokkal, jelenleg a széles körű kompatibilitást részesítjük előnyben, hogy megfelelhessünk ügyfeleink szerteágazó igényeinek.

Biztonsági kockázatok

Az elavult algoritmusok – például CBC és DHE – használata a fokozza annak kockázatát, hogy támadók visszafejtik a titkosított adatokat, így azok hozzáférhetővé válnak a streamelés során.

Biztonságos kapcsolatra vonatkozó ajánlások

Az RTMPS-streaming funkció használata során előre ellenőrizze, hogy a kiszolgáló, amelyhez csatlakozik, támogatja-e a javasolt titkosítási algoritmusokat. Javasoljuk, hogy a kiszolgálóoldalon csak a javasolt algoritmusokat engedélyezze, és tiltsa le a nem támogatott algoritmusokat.


Hivatkozások

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Ugrás a lap tetejére
TP1002071168