Informácie o funkcii RTMPS

Funkcia RTMPS podporuje širokú škálu šifrovacích algoritmov na bezpečný prenos údajov RTMPS. S cieľom zabezpečiť kompatibilitu s rôznymi cieľovými servermi sa podporuje viacero šifrovacích algoritmov vrátane niektorých, ktoré nemusia byť v súlade so súčasnými bezpečnostnými štandardmi.

Šifrovacie algoritmy podporované funkciou RTMPS

Podporované sú nasledujúce šifrovacie algoritmy.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Informácie o odporúčaných šifrovacích algoritmoch

Na základe odporúčaní NIST (NIST SP 800-57 Part 1, Revision 5) a súvisiacich bezpečnostných štandardov sa odporúčajú nasledujúce šifrovacie algoritmy.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Informácie o zastaraných algoritmoch

Funkcia RTMPS podporuje aj nasledujúce algoritmy z dôvodu kompatibility, avšak tieto algoritmy sú považované za zastarané podľa odporúčaní NIST (NIST SP 800-57 Part 1, Revision 5) a súvisiacich bezpečnostných štandardov a môžu byť v budúcich verziách odstránené.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Kompatibilita pripojenia

Funkcia RTMPS slúži na vyváženie bezpečnosti a kompatibility. V súčasnosti podporujeme zastarané algoritmy z nasledujúcich dôvodov, avšak tieto algoritmy môžeme v budúcich verziách odstrániť s cieľom zvýšiť úroveň zabezpečenia.

  • Ak chcete použiť funkciu prenosu údajov RTMPS, musíte sa pripojiť k rôznym serverom, ktoré podporujú doručovanie RTMPS.
  • Je potrebné zachovať kompatibilitu so staršími systémami a servermi.
  • Zmena nastavení šifrovacích algoritmov na strane servera je zložitá a nie všetci používatelia sú pripravení prejsť na bezpečnejšie nastavenia.
  • Nastavenia servera RTMPS sa často zdieľajú s inými zabezpečenými službami, preto je nutné zohľadniť vplyv na ďalšie služby na serveri, a zmeny nemusia byť vždy jednoduché na zavedenie.
  • Na zabezpečenie vzájomnej spolupráce systémov v rôznych prostrediach je potrebná podpora širokej škály kryptografických algoritmov.

Šifrovací algoritmus používaný počas pripojenia cez RTMPS sa určuje automatickou dohodou s cieľovým serverom, takže závisí od nastavení servera. Hoci si uvedomujeme bezpečnostné riziká, v súčasnosti uprednostňujeme širokú kompatibilitu, aby sme vyhoveli rôznorodým potrebám našich používateľov.

Bezpečnostné riziká

Používanie zastaraných algoritmov vrátane CBC a DHE zvyšuje riziko, že útočník môže šifrované údaje dešifrovať, čím dôjde k odhaleniu prenášaných údajov.

Odporúčania pre bezpečné pripojenie

Pri používaní funkcie prenosu údajov RTMPS si vopred overte, či server, ku ktorému sa pripájate, podporuje odporúčané šifrovacie algoritmy. Odporúčame na strane servera aktivovať len odporúčané algoritmy a deaktivovať algoritmy, ktoré nie sú odporúčané.


Referencie

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Prejsť na začiatok stránky
TP1002071173