Informazioni sulla funzione RTMPS

La funzione RTMPS supporta una varietà di algoritmi di crittografia per uno streaming RTMPS sicuro. Per garantire la compatibilità con un'ampia gamma di server di destinazione, sono supportati diversi algoritmi di crittografia, inclusi alcuni che potrebbero non essere conformi con le migliori pratiche di sicurezza attuali.

Algoritmi di crittografia supportati dalla funzione RTMPS

Sono supportati i seguenti algoritmi di crittografia.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Informazioni sugli algoritmi di crittografia consigliati

In base alle Raccomandazioni NIST (NIST SP 800-57 Part 1, Revision 5) e agli standard di sicurezza correlati, sono consigliati i seguenti algoritmi di crittografia.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Informazioni sugli algoritmi deprecati

La funzione RTMPS supporta anche i seguenti algoritmi per motivi di compatibilità, ma sono deprecati in base alle Raccomandazioni NIST (NIST SP 800-57 Part 1, Revision 5) e agli standard di sicurezza correlati e potrebbero venire rimossi nelle versioni future.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Compatibilità della connessione

La funzione RTMPS è progettata per bilanciare sicurezza e compatibilità. Attualmente, supportiamo gli algoritmi deprecati per i seguenti motivi, ma potremmo rimuovere tali algoritmi nelle versioni future per migliorare la sicurezza.

  • Per utilizzare la funzione di streaming RTMPS, è necessario connettersi a vari server che supportano la trasmissione RTMPS.
  • È necessario mantenere la compatibilità con i sistemi più vecchi e con i server legacy.
  • Il cambiamento delle impostazioni dell'algoritmo di crittografia lato server è complesso e non tutti gli utenti sono preparati per cambiare un'impostazione sicura.
  • Le impostazioni RTMPS del server vengono spesso condivise con altri servizi protetti, pertanto è necessario tenere in considerazione l'impatto sugli altri servizi sul server e i cambiamenti potrebbero non essere sempre facili da implementare.
  • Per garantire l'interoperabilità in ambienti diversi, è necessario il supporto di un'ampia gamma di algoritmi di crittografia.

L'algoritmo di crittografia usato durante la connessione RTMPS è determinato dalla negoziazione automatica con il server di destinazione e dipende pertanto dalle impostazioni del server. Benché siamo consapevoli dei rischi per la sicurezza, al momento diamo la priorità a un'ampia compatibilità per soddisfare le diverse esigenze dei nostri utenti.

Rischi per la sicurezza

L'uso di algoritmi deprecati, inclusi CBC e DHE, aumenta il rischio che i dati crittografati possano essere decrittografati da un attaccante, esponendo i dati trasmessi in streaming.

Consigli per una connessione protetta

Quando si usa la funzione di streaming RTMPS, controllare prima se il server a cui ci si sta connettendo supporta gli algoritmi di crittografia consigliati. Si consiglia di abilitare solo gli algoritmi consigliati e di disabilitare gli algoritmi non consigliati lato server.


Riferimenti

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Vai all'inizio della pagina
TP1002070628