安全性
有关域、文档和数据库加密的信息,请参阅“Lotus Domino Designer 6 帮助”。
公用密钥和私有密钥
除了网络端口加密以外,Domino 对其他所有的加密类型都可以使用公用密钥和私有密钥,这样,使用两者之一加密的数据只能由另一个解密。公用密钥和私有密钥是数学上相关的,并且能唯一地标识用户。它们都存储在标识符文件中。在标识符文件中,公用密钥存储在验证字中,私有密钥单独存储(不在验证字中)。包含公用密钥的验证字还存储在 Domino 目录中,以使其他用户也可使用。
Domino 使用两种类型的公用和私有密钥:Notes 和 Internet。Notes 公用密钥用于加密发送给其他 Notes 用户的域、文档、数据库和邮件,而 Notes 私有密钥用于解密。同样,Internet 公用密钥用于 S/MIME 加密,而 Internet 私有密钥用于 S/MIME 解密。对于两者都适用的是,私人密钥都用于创建电子签名,而公用密钥都用于验证。
可以使用一组 Internet 公用和私有密钥,也可以设置 Notes 将一组 Internet 密钥用于 S/MIME 签名和 SSL,而将另一组 Internet 公用和私有密钥用于 S/MIME 加密。
有关双重 Internet 验证字的详细信息,请参阅用于 S/MIME 加密和签名的双重 Internet 验证字主题。
注册用户时,Domino 自动创建 Notes 验证字(其中包含用户的公用密钥),并将其添加到标识符文件和 Domino 目录中。同时创建私有密钥并存储在标识符文件中。您也可以在注册用户后再创建 Internet 公用和私有密钥。Domino 将 Internet 验证字(包含公用密钥)存储在标识符文件和 Domino 目录中。私有密钥也存储在标识符文件中,但不包含在验证字中。
Domino 使用双密钥 RSA 加密系统以及 RC2 和 RC4 加密算法创建 Notes 公用和私有密钥。Domino 使用 x.509 验证字格式(它是包括 Domino 在内的许多应用程序都认可的工业标准格式)创建 Internet 公用和私有密钥。
Notes 客户机和 Domino 服务器都支持 S/MIME 和 SSL 的 1024 位 RSA 密钥和 128 位对称密钥。Notes 的专有协议使用 630 位用于密钥交换的密钥以及 64 位对称密钥。
加密强度
所有的 Notes 标识符都包含两对公用/私有密钥。在 5.0.4 版本之前,密钥长度受加密目的的限制,但不受验证或签名的限制。任何超过 512 位的 RSA 密钥和超过 56 位的对称密钥都被视为强度加密,美国政府禁止出口。客户需要定购和选择不同加密强度组成的套件。
随着美国政府密码系统出口法规的放宽,Domino 服务器和 Domino Administrator、Domino Designer 以及 Lotus Notes 客户机产品已将以前所有的加密强度(“北美”、“国际”和“法国”)整合成一个强度加密级别,在单一的“全球”版本中使用。“全球”版本采用以前的“北美”加密特性。“全球”产品中的强度加密可以在世界范围内使用,除了那些进口法禁止该强度加密的国家,或者那些美国政府禁止向其出口商品和服务的国家。
升级到“全球”版的 Domino 和 Notes 后,无需重新发布现有的标识符即可使用强度加密。对于用户和管理员来说,这些更改都是无缝的。当两个不同的软件版本通信时,加密协商会导致加密程度降至一个较低的级别。因此,只有所有软件都升级到“全球”(5.0.4 版本或更高版本)级别时,才能充分实现强度加密的优点。不同版本的软件混合在一起会发生互操作。
“注册新用户”对话框仍然提供“北美”和“国际”标识符两种选择。之所以还提供此项功能,是因为管理员在管理中经常会用到“北美”或“国际”特性,而且可能还有一些公司仍然在使用低版本的软件。此外,不同国家的进口规定各不相同也是原因之一。保留此差别可使 Lotus 产品能够适应不同国家的需要。
注意 以上规定遵守美国出口条例。对其他国家的进口条例,客户需要核查特定国家的规定。Lotus 采取各种措施以满足全世界各国的加密规定。Lotus 建议客户应熟悉本国(当地)的加密规定,以免违反规定。
互操作性问题
另请参阅