حول وظيفة SFTP

تدعم وظيفة SFTP خوارزميات تشفير متنوعة لنقل الملفات بشكل آمن. لضمان التوافق مع نطاق واسع من الخوادم، يتم دعم العديد من خوارزميات التشفير، بما في ذلك بعض الخوارزميات التي قد لا تتوافق مع أفضل ممارسات الأمان الحالية.

خوارزميات التشفير التي تدعمها وظيفة SFTP

يتم دعم خوارزميات التشفير التالية.

Key exchange algorithms

  • ‎curve25519-sha256‎
  • ‎curve25519-sha256@libssh.org‎
  • ‎ecdh-sha2-nistp256‎
  • ‎ecdh-sha2-nistp384‎
  • ‎ecdh-sha2-nistp521‎
  • ‎diffie-hellman-group-exchange-sha256‎
  • ‎diffie-hellman-group16-sha512‎
  • ‎diffie-hellman-group18-sha512‎
  • ‎diffie-hellman-group14-sha256‎
  • ‎diffie-hellman-group14-sha1‎
  • ‎diffie-hellman-group1-sha1‎
  • ‎diffie-hellman-group-exchange-sha1‎

Host key algorithms

  • ‎ecdsa-sha2-nistp256‎
  • ‎ecdsa-sha2-nistp384‎
  • ‎ecdsa-sha2-nistp521‎
  • ‎ecdsa-sha2-nistp256-cert-v01@openssh.com‎
  • ‎ecdsa-sha2-nistp384-cert-v01@openssh.com‎
  • ‎ecdsa-sha2-nistp521-cert-v01@openssh.com‎
  • ‎ssh-ed25519‎
  • ‎ssh-rsa‎
  • ‎ssh-dss‎

Ciphers

  • ‎aes128-ctr‎
  • ‎aes192-ctr‎
  • ‎aes256-ctr‎
  • ‎aes256-cbc‎
  • ‎rijndael-cbc@lysator.liu.se‎
  • ‎aes192-cbc‎
  • ‎aes128-cbc‎
  • ‎blowfish-cbc‎
  • ‎arcfour128‎
  • ‎arcfour‎
  • ‎cast128-cbc‎
  • ‎3des-cbc‎

MACs

  • ‎hmac-sha2-256‎
  • ‎hmac-sha2-512‎
  • ‎hmac-sha1‎
  • ‎hmac-sha1-96‎
  • ‎hmac-md5‎
  • ‎hmac-md5-96‎
  • ‎hmac-ripemd160‎
  • ‎hmac-ripemd160@openssh.com‎

حول خوارزميات التشفير الموصى بها

بناءً على توصيات NIST (المعهد الوطني للمعايير والتقنية) (NIST SP 800-57 Part 1, Revision 5) ومعايير الأمان ذات الصلة، يوصَى بخوارزميات التشفير التالية.

Key exchange algorithms

  • ‎curve25519-sha256‎
  • ‎curve25519-sha256@libssh.org‎
  • ‎ecdh-sha2-nistp256‎
  • ‎ecdh-sha2-nistp384‎
  • ‎ecdh-sha2-nistp521‎
  • ‎diffie-hellman-group-exchange-sha256‎
  • ‎diffie-hellman-group16-sha512‎
  • ‎diffie-hellman-group18-sha512‎

Host key algorithms

  • ‎ecdsa-sha2-nistp256‎
  • ‎ecdsa-sha2-nistp384‎
  • ‎ecdsa-sha2-nistp521‎
  • ‎ecdsa-sha2-nistp256-cert-v01@openssh.com‎
  • ‎ecdsa-sha2-nistp384-cert-v01@openssh.com‎
  • ‎ecdsa-sha2-nistp521-cert-v01@openssh.com‎
  • ‎ssh-ed25519‎

Ciphers

  • ‎aes128-ctr‎
  • ‎aes192-ctr‎
  • ‎aes256-ctr‎

MACs

  • ‎hmac-sha2-256‎
  • ‎hmac-sha2-512‎

حول الخوارزميات المهملة

تدعم وظيفة SFTP أيضًا الخوارزميات التالية لدواعي التوافق، لكنها مهملة بناءً على توصيات NIST (المعهد الوطني للمعايير والتقنية) (NIST SP 800-57 Part 1, Revision 5) ومعايير الأمان ذات الصلة وقد تُزال في الإصدارات المستقبلية.

Key exchange algorithms

  • ‎diffie-hellman-group14-sha256‎
  • ‎diffie-hellman-group14-sha1‎
  • ‎diffie-hellman-group1-sha1‎
  • ‎diffie-hellman-group-exchange-sha1‎

Host key algorithms

  • ‎ssh-dss‎
  • ‎ssh-rsa‎

Ciphers

  • ‎rijndael-cbc@lysator.liu.se‎
  • ‎blowfish-cbc‎
  • ‎arcfour128‎
  • ‎arcfour‎
  • ‎cast128-cbc‎
  • ‎3des-cbc‎
  • ‎aes128-cbc‎
  • ‎aes192-cbc‎
  • ‎aes256-cbc‎

MACs

  • ‎hmac-sha1‎
  • ‎hmac-sha1-96‎
  • ‎hmac-md5‎
  • ‎hmac-md5-96‎
  • ‎hmac-ripemd160‎
  • ‎hmac-ripemd160@openssh.com‎

توافق الاتصال

تم تصميم وظيفة SFTP لتحقيق التوازن بين الأمان والتوافق. وفي الوقت الحالي، ندعم الخوارزميات المهملة للأسباب التالية، لكن قد نزيل هذه الخوارزميات في الإصدارات المستقبلية لتحسين الأمان.

  • يحتاج المصورون الفوتوغرافيون ومصورو الفيديو المستقلون إلى الاتصال بخوادم يتم تشغيلها بواسطة عملاء مختلفين.
  • يجب الحفاظ على التوافق مع الأنظمة الأقدم والخوادم القديمة.
  • يُعد تغيير إعدادات خوارزمية التشفير على جانب الخادم عملية معقدة، وليس كل المستخدمين مستعدين للتغيير إلى إعداد آمن.
  • غالبًا ما تتم مشاركة إعدادات خادم SFTP مع خدمات آمنة أخرى، لذا فمن الضروري مراعاة التأثير على الخدمات الأخرى على الخادم، وقد لا تكون التغييرات دائمًا سهلة التنفيذ.
  • لضمان التوافقية في بيئات مختلفة، من الضروري توافر الدعم لنطاق واسع من خوارزميات التشفير.

تتحدد خوارزمية التشفير المستخدمة أثناء اتصال SFTP عن طريق التفاوض التلقائي مع خادم الوجهة، لذا فهي تعتمد على إعدادات الخادم. على الرغم من أننا ندرك مخاطر الأمان، فإننا نعطي الأولوية حاليًا للتوافق الواسع من أجل تلبية الاحتياجات المتنوعة لمستخدمينا.

مخاطر الأمان

يزيد استخدام الخوارزميات المهملة من قابلية تعرض الخوارزميات القائمة على SHA-1 ومفاتيح DSA لهجمات الوسيط، ومخاطر تزييف هوية الخادم، واحتمال تحليل الشفرات مع خوارزميات التشفير القديمة (مثل 3DES ومتغيرات RC4)، والتي يمكن أن تكشف البيانات أثناء النقل.

توصيات من أجل الاتصال الآمن

عند استخدام وظيفة عميل SFTP، تحقق مسبقًا مما إذا كان الخادم الذي تتصل به يدعم خوارزميات التشفير الموصى بها. نوصي بتمكين الخوارزميات الموصى بها فقط وتعطيل الخوارزميات غير الموصى بها على جانب الخادم.


المراجع

  • ‎Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.‎
  • ‎Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.‎
  • ‎Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).‎
انتقال إلى أعلى الصفحة
TP1002071141