安全性
如需欄位、文件及資料庫加密的相關資訊,請參閱「Lotus Domino 設計師 6 說明」。
公開與專用金鑰
對於網路通訊埠加密之外的所有加密類型,Domino 會使用公開與專用金鑰,使其中一個金鑰所加密的資料僅能由另一個金鑰解密。公開及專用金鑰緊密相關,且能唯一地識別使用者。這兩個金鑰都儲存在 ID 檔中。在 ID 檔中,公開金鑰儲存在憑證中,而專用金鑰的儲存位置與憑證不同。包含公開金鑰的憑證亦儲存在「Domino 名錄」中,可供其他使用者使用。
Domino 使用兩種公開與專用金鑰的類型 -- Notes 及網際網路。使用 Notes 公開金鑰來加密欄位、文件、資料庫及傳送到其他 Notes 使用者的訊息,而 Notes 專用金鑰用於解密。同樣地,網際網路公開金鑰用於 S/MIME 加密,網際網路專用金鑰用於 S/MIME 解密。對於 Notes 及網際網路金鑰配對,使用專用金鑰建立電子簽名,使用公開金鑰驗證電子簽名。
您可使用一組網際網路公開金鑰及專用金鑰,或您可設定 Notes 使用一組網際網路金鑰供 S/MIME 簽名及 SSL 使用,另一組供 S/MIME 加密使用。
如需雙重網際網路憑證的相關資訊,請參閱主題 S/MIME 加密與簽名的雙重網際網路憑證。
當您註冊使用者時,Domino 會自動建立 Notes 憑證 (包含使用者的公開金鑰),並將該憑證新增至 ID 檔及「Domino 目錄」。專用金鑰建立並儲存在 ID 檔中。您也可以在使用者註冊後,建立網際網路公開及專用金鑰。Domino 將網際網路憑證 (包含公開金鑰) 儲存在 ID 檔中,也儲存在「Domino 名錄」中。儲存網際網路專用金鑰的 ID 檔與儲存憑證的 ID 檔不同。
Domino 會將雙重金鑰 RSA Cryptosystem 以及 RC2 與 RC4 演算法用於加密,以建立 Notes 公開金鑰及專用金鑰。Domino 會使用 x.509 憑證格式 (包括 Domino 的許多應用程式都瞭解的業界標準格式),以建立網際網路公開金鑰。
Notes 用戶端及 Domino 伺服器都支援用於 S/MIME 及 SSL 的 1024 位元 RSA 金鑰及 128 位元對稱金鑰。Notes 專用通訊協定使用用於金鑰交換的 630 位元金鑰,以及 64 位元對稱金鑰。
加密強度
所有 Notes ID 都包含兩個公開/專用金鑰配對。在 5.0.4 之前,限制金鑰長度是為了加密資料而不是為了鑑定或簽認。超過 512 位元 RSA 金鑰及 56 位元對稱金鑰的任何金鑰都被認為是高度加密,不容許美國政府出口。客戶需要訂購並在不同加密強度組之間進行選擇。
由於美國政府對加密出口法規的寬鬆,Domino 伺服器及「Domino 管理員」、「Domino 設計師」及 Lotus Notes 用戶端產品已經將所有先前的加密強度 (北美、國際及法國) 合併成一個高度加密層次,從而形成單一「全球」版次的產品。「全球」版次採用先前稱為「北美」的加密性質。「全球」產品中的強化加密是全世界通用,但在法律禁止進口的國家,或財貨與勞務出口受美國政府禁止的國家除外。客戶不必再根據加密強度來訂購 Notes 軟體。
當您升級到「全球」版次的 Domino 及 Notes 時,無需重新發出現有的 ID,即可使用較高強度的加密。這些變更對使用者及管理員不會產生負面影響。當兩個不同版本的軟體在進行通訊時,加密協議會下降到較弱的層次。因此,僅當所有的軟體都升級到「全球」(版次 5.0.4 及更新版本) 層次時,才會實現較高強度加密的所有益處。不過,任何混合版本的軟體會進行互動。
「註冊新使用者」對話方塊仍會提供您在「北美 ID」及「國際 ID」間進行選擇。以此方式保留它是因為管理員經常將「北美」或「國際」的區別用於管理需要,或者部份公司中仍在使用較舊版本的軟體。此外,每個國家都有其自己的進口規則。保留此區別可讓 Lotus 對特定國家變更做出回應 (如需要)。
附註 這些規則僅適於從美國出口。對具有進口法規的其他國家而言,客戶需要檢查特定國家的需求。當 Lotus 採取所有步驟在全球默許政府的加密法規時,Lotus 建議客戶熟悉本區的加密法規以保持一致性。
互運性問題
另請參閱