原文:https://www.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_aesencryption_c.html
IBM®Domino®遵守许多加密标准,特别是联邦信息处理标准(FIPS)要求或规定的标准。
联邦信息处理标准(FIPS)140-2认证
联邦信息处理标准(FIPS)规定了密码术和密码库的使用。加密库,而不是使用它们的应用程序,可以通过FIPS 140-2认证。IBM Notes®和Domino提供的加密库在除Macintosh OSX和IBM I之外的所有平台上都经过FIPS 140-2认证(GSKIT Crypto 8)。
有关详细信息,请参阅相关主题中列出的有关加密模块的Web文章。
AES算法
高级加密标准(AES)算法可用于Windows、AIX®和Linux上的某些加密功能。AES算法得到了联邦信息处理标准(FIPS)140-2的广泛应用和认可。有关AES在特定Domino版本中可用的功能的更多信息,请参阅相关主题中有关密钥大小的Notes和Domino wiki文章。
注释
尽管Windows和AIX以外平台上的加密库没有经过FIPS 140-2认证,但这些库仍然包括FIPS 140-2批准的AES算法。
安全哈希算法(sha-2)
安全哈希算法(sha-2)可用于Windows、AIX和Linux上的某些加密功能,其中sha-2是支持该算法的新gskit库的一部分。SHA-2被广泛使用,并得到联邦信息处理标准(FIPS)140-2的批准,以协助遵守政府指令NIST 800-131。sha-2目前可用于X.509证书签名验证和S/MIME签名邮件,以及Notes/Domino的某些区域,其中密码(如Internet(HTTP)密码)以前是“哈希”的。有关哈希的详细信息,请参阅有关电子签名的相关主题。
使用sha-2不需要Domino配置。当Notes客户端用户接收到使用算法加密的S/MIME消息时,sha-2将列在“文档加密和签名”属性框中,客户端用户可以通过单击Notes客户端状态栏中的签名或加密图标打开该属性框。
小费
建议Domino管理员将RSA-2048和AES-128与SHA-2一起使用。为此,请将所有客户端用户的ID文件设置为使用2048位RSA密钥,并使用该设置配置所有个人文档可以使用FIPS 140-2认可的算法解密文档,以确保AES-128。有关详细信息,请参阅有关配置AES加密的相关主题:
传输层安全(TLS)协议
传输层安全性(TLS)是基于安全套接字层(SSL)规范的加密协议。
Domino可以选择在与Domino HTTP服务器相同的Windows计算机上运行IBMHTTP服务器(IHS);此增强的目的是支持传输层安全性(TLS)协议。
提供了名为mod_Domino的直通反向代理模块,用于将HTTP请求转发到DominoHTTP服务器。传递反向代理模块创建必要的上下文,使Domino HTTP服务器提供Domino Web应用程序所需的HTTP请求上下文,就像Domino HTTP服务器与浏览器客户端直接接触一样。当代理模块启用时,IHS服务器充当网络和Domino服务器之间的中间节点。
有关安装支持TLS的模块的详细信息,请参阅相关主题。
扫一扫
1004
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
