Angående RTMPS-funktionen

RTMPS-funktionen stöder en rad olika krypteringsalgoritmer för säker RTMPS-strömning. För att säkerställa kompatibilitet med ett stort antal målservrar stöds flera krypteringsalgoritmer, inklusive vissa som inte följer gällande säkerhetsmetoder.

Krypteringsalgoritmer som stöds av RTMPS-funktionen

Följande krypteringsalgoritmer stöds.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Angående rekommenderade krypteringsalgoritmer

Baserat på NIST-rekommendationer (NIST SP 800-57 Part 1, Revision 5) och relaterade säkerhetsstandarder rekommenderas följande krypteringsalgoritmer.

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CCM
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Angående föråldrade algoritmer

RTMPS-funktionen stöder även följande algoritmer av kompatibilitetsskäl men de är föråldrade baserat på NIST-rekommendationerna (NIST SP 800-57 Part 1, Revision 5) och relaterade säkerhetsstandarder och kan tas bort i framtida versioner.

Key exchange algorithms

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CCM
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CCM
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Anslutningskompatibilitet

RTMPS-funktionen är utformad för att balansera säkerhet och kompatibilitet. För närvarande har vi stöd för föråldrade algoritmer av följande orsaker men vi kan ta bort dessa algoritmer i framtida versioner för att öka säkerheten.

  • För att använda RTMPS-strömningsfunktionen måste du ansluta till olika servrar med stöd för RTMPS-leverans.
  • Kompatibilitet med äldre system och gamla servrar måste upprätthållas.
  • Att ändra inställningarna för krypteringsalgoritmer på serversidan är komplicerat och inte alla användare är redo att ändra till en säker inställning.
  • RTMPS-serverinställningar delas ofta med andra säkra tjänster, så det är nödvändigt att beakta inverkan på andra tjänster på servern och ändringar är kanske inte alltid lätta att genomföra.
  • För att säkerställa interoperabilitet i olika miljöer krävs stöd för en mängd kryptografiska algoritmer.

Krypteringsalgoritmen som används under RTMPS-anslutning bestäms av automatisk förhandling med målservern, vilket beror på serverns inställningar. Vi är medvetna om säkerhetsriskerna och vi prioriterar för närvarande bred kompatibilitet för att uppfylla våra användares olika behov.

Säkerhetsrisker

Användningen av föråldrade algoritmer, inklusive CBC och DHE ökar risken att krypterade data dekrypteras eller manipuleras av en angripare, vilket exponerar data som strömmas.

Rekommendationer för en säker anslutning

Om du använder RTMPS-strömningsfunktionen ska du kontrollera i förväg om servern som du ansluter till har stöd för de rekommenderade krypteringsalgoritmerna. Vi rekommenderar att du bara aktiverar de rekommenderade algoritmerna och avaktiverar icke-rekommenderade algoritmer på serversidan.


Referenser

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Gå till början av sidan
TP1002071178