Om RTMPS-funksjonen

RTMPS-funksjonen støtter en rekke krypteringsalgoritmer for sikker RTMPS-strømming. For å sikre kompatibilitet med en lang rekke målservere, støttes flere krypteringsalgoritmer, inkludert noen som kanskje ikke er i samsvar med den beste sikkerheten.

Krypteringsalgoritmer som støttes av RTMPS-funksjonen

Følgende krypteringsalgoritmer støttes:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Om anbefalte krypteringsalgoritmer

Basert på NIST-anbefalingene (NIST SP 800-57 Part 1, Revision 5) og relaterte sikkerhetsstandarder, anbefales følgende krypteringsalgoritmer:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Om foreldede algoritmer

RTMPS-funksjonen støtter også følgende algoritmer av kompatibilitetsgrunner, men de er foreldet i henhold til NIST-anbefalingene (NIST SP 800-57 Part 1, Revision 5) og relaterte sikkerhetsstandarder, og kan bli fjernet i fremtidige versjoner.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Kompatibilitet med tilkobling

RTMPS-funksjonen er utformet for å balansere sikkerhet og kompatibilitet. For øyeblikket støtter vi foreldede algoritmer av følgende årsaker, men vi kan fjerne disse algoritmene i fremtidige versjoner for å forbedre sikkerheten.

  • For å bruke RTMPS-strømmingsfunksjonen må du koble til ulike servere som støtter RTMPS-levering.
  • Kompatibilitet med eldre systemer og gamle servere må opprettholdes.
  • Det er komplekst å endre innstillingene for krypteringsalgoritmer på serversiden, og ikke alle brukere er forberedt på å endre til en sikker innstilling.
  • RTMPS-serverinnstillinger deles ofte med andre sikre tjenester, så det er nødvendig å vurdere virkningen på andre tjenester på serveren, og det kan hende at det ikke alltid er lett å implementere endringer.
  • For å sikre interoperabilitet i ulike miljøer, er det nødvendig med støtte for et bredt spekter av kryptografiske algoritmer.

Krypteringsalgoritmen som benyttes under RTMPS-tilkoblingen, bestemmes av automatisk forhandling med målserveren, så det avhenger av serverens innstillinger. Vi er oppmerksomme på sikkerhetsrisikoene, men prioriterer for øyeblikket bred kompatibilitet for å møte de forskjellige behovene til brukerne våre.

Sikkerhetsrisikoer

Bruk av foreldede algoritmer, inkludert CBC og DHE, øker risikoen for at krypterte data kan dekrypteres av en angriper, noe som eksponerer dataene som strømmes.

Anbefalinger for en sikker tilkobling

Når du bruker RTMPS-strømmingsfunksjonen, må du på forhånd kontrollere om serveren du kobler til, støtter de anbefalte krypteringsalgoritmene. Vi anbefaler at du bare aktiverer anbefalte algoritmer, og deaktiverer ikke-anbefalte algoritmer på serversiden.


Referanser

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Gå til toppen av siden
TP1002071188