安全性


加密
加密可保護資料不受未獲授權的存取。使用 Notes 及 Domino,您可以加密下列各項:
如需 SSL 加密的相關資訊,請參閱主題在 Domino 伺服器上設定 SSL

如需欄位、文件及資料庫加密的相關資訊,請參閱「Lotus Domino 設計師 6 說明」。

公開與專用金鑰

對於網路通訊埠加密之外的所有加密類型,Domino 會使用公開與專用金鑰,使其中一個金鑰所加密的資料僅能由另一個金鑰解密。公開及專用金鑰緊密相關,且能唯一地識別使用者。這兩個金鑰都儲存在 ID 檔中。在 ID 檔中,公開金鑰儲存在憑證中,而專用金鑰的儲存位置與憑證不同。包含公開金鑰的憑證亦儲存在「Domino 名錄」中,可供其他使用者使用。

Domino 使用兩種公開與專用金鑰的類型 -- Notes 及網際網路。使用 Notes 公開金鑰來加密欄位、文件、資料庫及傳送到其他 Notes 使用者的訊息,而 Notes 專用金鑰用於解密。同樣地,網際網路公開金鑰用於 S/MIME 加密,網際網路專用金鑰用於 S/MIME 解密。對於 Notes 及網際網路金鑰配對,使用專用金鑰建立電子簽名,使用公開金鑰驗證電子簽名。

您可使用一組網際網路公開金鑰及專用金鑰,或您可設定 Notes 使用一組網際網路金鑰供 S/MIME 簽名及 SSL 使用,另一組供 S/MIME 加密使用。

如需雙重網際網路憑證的相關資訊,請參閱 S/MIME 加密與簽名的雙重網際網路憑證

當您註冊使用者時,Domino 會自動建立 Notes 憑證 (包含使用者的公開金鑰),並將該憑證新增至 ID 檔及「Domino 目錄」。專用金鑰建立並儲存在 ID 檔中。您也可以在使用者註冊後,建立網際網路公開及專用金鑰。Domino 將網際網路憑證 (包含公開金鑰) 儲存在 ID 檔中,也儲存在「Domino 名錄」中。儲存網際網路專用金鑰的 ID 檔與儲存憑證的 ID 檔不同。

Domino 會將雙重金鑰 RSA Cryptosystem 以及 RC2 與 RC4 演算法用於加密,以建立 Notes 公開金鑰及專用金鑰。Domino 會使用 x.509 憑證格式 (包括 Domino 的許多應用程式都瞭解的業界標準格式),以建立網際網路公開金鑰。

Notes 用戶端及 Domino 伺服器都支援用於 S/MIME 及 SSL 的 1024 位元 RSA 金鑰及 128 位元對稱金鑰。Notes 專用通訊協定使用用於金鑰交換的 630 位元金鑰,以及 64 位元對稱金鑰。

加密強度

所有 Notes ID 都包含兩個公開/專用金鑰配對。在 5.0.4 之前,限制金鑰長度是為了加密資料而不是為了鑑定或簽認。超過 512 位元 RSA 金鑰及 56 位元對稱金鑰的任何金鑰都被認為是高度加密,不容許美國政府出口。客戶需要訂購並在不同加密強度組之間進行選擇。

由於美國政府對加密出口法規的寬鬆,Domino 伺服器及「Domino 管理員」、Domino Designer 及 Lotus Notes 用戶端產品已經將所有先前的加密強度 (北美、國際及法國) 合併成一個高度加密層次,從而形成單一「全球」版次的產品。「全球」版次採用先前稱為 North American (北美) 的加密性質。「全球」產品中的強化加密是全世界通用,但在法律禁止進口的國家,或貨物與勞務出口受美國政府禁止的國家除外。客戶不必再根據加密強度來訂購 Notes 軟體。

當您升級到「全球」版次的 Domino 及 Notes 時,無需重新發出現有的 ID,即可使用較高強度的加密。這些變更對使用者及管理員不會產生負面影響。當兩個不同版本的軟體在進行通訊時,加密協議會下降到較弱的層次。因此,僅當所有的軟體都升級到「全球」(版次 5.0.4 及更新版本) 層次時,才會實現較高強度加密的所有益處。不過,任何混合版本的軟體會進行互動。

「註冊新使用者」對話方塊仍會提供一個選項,可以在「北美 ID」及「國際 ID」間進行選擇。以此方式保留它是因為管理員經常將「北美」或「國際」的區別用於管理需要,或者部份公司中仍在使用較舊版本的軟體。此外,每個國家都有其自己的進口規則。保留此區別可讓 Lotus 對特定國家變更做出回應 (如需要)。

附註 這些規則僅適於從美國出口。對具有進口法規的其他國家而言,客戶需要檢查特定國家的需求。當 Lotus 採取所有步驟在全球默許政府的加密法規時,Lotus 建議客戶熟悉本區的加密法規以保持一致性。

互運性問題


判定使用「北美 ID」及「國際 ID」的最佳策略,是繼續使用代替先前版次 Notes 及 Domino 的決策程序。最後,當您升級 Notes 用戶端及 Domino 伺服器之後,決策即無關緊要。

另請參閱