SICHERHEIT
Zertifizierung nach Federal Information Processing Standard (FIPS) 140-2
Der Federal Information Processing Standard (FIPS) regelt die Verschlüsselung und die Verwendung von Verschlüsselungsbibliotheken. Die Verschlüsselungsbibliotheken (nicht aber die Anwendungen, die diese verwenden) können nach FIPS 140-2 zertifiziert sein. Die Verschlüsselungsbibliotheken, die im Lieferumfang von IBM Notes und Domino enthalten sind, sind auf allen Plattformen außer Macintosh OSX und IBM i-Systemen nach FIPS 140-2 (GSKit-Crypto 8) zertifiziert.
Weitere Informationen hierzu finden Sie im Webartikel zu Verschlüsselungsmodulen in den verwandten Themen.
AES-Algorithmus
Der AES-Algorithmus (Advanced Encryption Standard) kann in Verbindung mit einigen Verschlüsselungsfunktionen unter Windows™, AIX und Linux™ genutzt werden. Der AES-Algorithmus ist weit verbreitet und durch den Federal Information Processing Standard (FIPS) 140-2 genehmigt. Weitere Informationen zu Funktionen, für die AES in bestimmten Releases von Domino zur Verfügung steht, finden Sie im Notes- und Domino-Wiki-Artikel zu Schlüsselgrößen in den verwandten Themen.
Anmerkung: Obwohl die Verschlüsselungsbibliotheken auf allen anderen Plattformen als Windows und AIX nicht nach FIPS 140-2 zertifiziert sind, enthalten diese Bibliotheken dennoch den von FIPS 140-2 zugelassenen AES-Algorithmus.
Secure Hash Algorithm (SHA-2)
SHA-2 (Secure Hash Algorithm) kann in Verbindung mit einigen Verschlüsselungsfunktionen unter Windows, AIX und Linux genutzt werden. Dabei ist SHA-2 Teil der neuen GSKit-Bibliothek, die den Algorithmus unterstützt. SHA-2 ist weit verbreitet und durch den Federal Information Processing Standard (FIPS) 140-2 zur Einhaltung von NIST 800-131 genehmigt. SHA-2 steht derzeit für die Verwendung der Signaturprüfung des X.509-Zertifikats und von Mail, die mit secure/MIME signiert wird, sowie einigen Bereichen von Notes/Domino zur Verfügung, für die zuvor Kennwörter wie das Internetkennwort (HTTP) gehasht wurden. Weitere Informationen zum Hashverfahren finden Sie im verwandten Thema zu elektronischen Signaturen.
Zur Verwendung von SHA-2 ist keine Domino-Konfiguration erforderlich. Wenn Notes-Client-Benutzer mit dem Algorithmus verschlüsselte secure/MIME-Nachrichten empfangen, wird SHA-2 im Feld "Verschlüsselungs- und Signiereigenschaften von Dokumenten" aufgelistet, die vom Clientbenutzer geöffnet werden können, indem er in der Statusleiste des Notes-Clients auf das Symbol für die Signatur oder die Verschlüsselung klickt.
Tipp: Es wird empfohlen, dass der Domino-Administrator RSA-2048 und AES-128 mit SHA-2 verwendet. Legen Sie dafür alle ID-Dateien von Clientbenutzern so fest, dass 2048-Bit-RSA-Schlüssel verwendet werden, und konfigurieren Sie alle Personendokumente mit der Einstellung Dokumente können unter Verwendung von FIPS-140-2-zugelassenen Algorithmen entschlüsselt werden, sodass die Verwendung von AES-128 sichergestellt ist. Weitere Informationen hierzu finden Sie im verwandten Thema zum Konfigurieren der AES-Verschlüsselung.
TLS-Protokoll (Transport Layer Security)
TLS (Transport Layer Security) ist ein Verschlüsselungsprotokoll, das auf der SSL-Spezifikation (Secure Sockets Layer) basiert.
Domino kann auf demselben Windows-Computer sowohl den IBM HTTP-Server (IHS) als auch den Domino-HTTP-Server ausführen. Diese Erweiterung dient der Unterstützung des TLS-Protokolls (Transport Layer Security).
Es wird ein Durchgangs-Reverse-Proxy-Modul mit der Bezeichnung "mod_domino" bereitgestellt, damit HTTP-Anforderungen an den Domino-HTTP-Server gesendet werden. Das Durchgangs-Reverse-Proxy-Modul erstellt den Kontext, der erforderlich ist, damit der Domino-HTTP-Server den Kontext der HTTP-Anforderung angibt, der von Domino-Webanwendungen so erwartet wird, als ob der Domino-HTTP-Server direkt mit dem Browser-Client kommunizieren würde. Wenn das Proxy-Modul aktiviert ist, fungiert der IHS-Server als Zwischenknoten zwischen Netz und Domino-Server.
Weitere Informationen zum Installieren des Moduls, das TLS unterstützt, finden Sie in den verwandten Themen.
Zugehörige Konzepte Elektronische Signaturen
Zugehörige Tasks Verschlüsselung für ID-Dateien konfigurieren AES für die Verschlüsselung von Mail und Dokumenten konfigurieren Web-SSO-Konfigurationsdokumente erstellen SSL-Verschlüsselungscode-Beschränkungen ändern Modul IBM HTTP Server zur Unterstützung von TLS installieren
Zugehörige Informationen Nach FIPS 140-1 und FIPS 140-2 validierte kryptographische Module Unterstützte Schlüsselgrößen in Notes/Domino