حول وظيفة FTPES (FTPS)
تدعم وظيفة FTPES (FTPS) خوارزميات تشفير متنوعة لنقل الملفات بشكل آمن. لضمان التوافق مع نطاق واسع من الخوادم، يتم دعم العديد من خوارزميات التشفير، بما في ذلك بعض الخوارزميات التي قد لا تتوافق مع أفضل ممارسات الأمان الحالية.
خوارزميات التشفير التي تدعمها وظيفة FTPES (FTPS)
يتم دعم خوارزميات التشفير التالية.
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
حول خوارزميات التشفير الموصى بها
بناءً على توصيات NIST (المعهد الوطني للمعايير والتقنية) (NIST SP 800-57 Part 1, Revision 5) ومعايير الأمان ذات الصلة، يوصَى بخوارزميات التشفير التالية.
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
حول الخوارزميات المهملة
تدعم وظيفة FTPES (FTPS) أيضًا الخوارزميات التالية لدواعي التوافق، لكنها مهملة بناءً على توصيات NIST (المعهد الوطني للمعايير والتقنية) (NIST SP 800-57 Part 1, Revision 5) ومعايير الأمان ذات الصلة وقد تُزال في الإصدارات المستقبلية.
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
توافق الاتصال
تم تصميم وظيفة FTPES (FTPS) لتحقيق التوازن بين الأمان والتوافق. وفي الوقت الحالي، ندعم الخوارزميات المهملة للأسباب التالية، لكن قد نزيل هذه الخوارزميات في الإصدارات المستقبلية لتحسين الأمان.
- يحتاج المصورون الفوتوغرافيون ومصورو الفيديو المستقلون إلى الاتصال بخوادم يتم تشغيلها بواسطة عملاء مختلفين.
- يجب الحفاظ على التوافق مع الأنظمة الأقدم والخوادم القديمة.
- يُعد تغيير إعدادات خوارزمية التشفير على جانب الخادم عملية معقدة، وليس كل المستخدمين مستعدين للتغيير إلى إعداد آمن.
- غالبًا ما تتم مشاركة إعدادات خادم FTPES (FTPS) مع خدمات آمنة أخرى، لذا فمن الضروري مراعاة التأثير على الخدمات الأخرى على الخادم، وقد لا تكون التغييرات دائمًا سهلة التنفيذ.
- لضمان التوافقية في بيئات مختلفة، من الضروري توافر الدعم لنطاق واسع من خوارزميات التشفير.
تتحدد خوارزمية التشفير المستخدمة أثناء اتصال FTPES (FTPS) عن طريق التفاوض التلقائي مع خادم الوجهة، لذا فهي تعتمد على إعدادات الخادم. على الرغم من أننا ندرك مخاطر الأمان، فإننا نعطي الأولوية حاليًا للتوافق الواسع من أجل تلبية الاحتياجات المتنوعة لمستخدمينا.
مخاطر الأمان
يزيد استخدام الخوارزميات المهملة، بما في ذلك CBC/DHE/RSA/SHA-1، من مخاطر فك تشفير البيانات المشفرة أو العبث بها بواسطة مهاجم، وبالتالي كشف البيانات المنقولة.
توصيات من أجل الاتصال الآمن
عند استخدام وظيفة عميل FTPES (FTPS)، تحقق مسبقًا مما إذا كان الخادم الذي تتصل به يدعم خوارزميات التشفير الموصى بها. نوصي بتمكين الخوارزميات الموصى بها فقط وتعطيل الخوارزميات غير الموصى بها على جانب الخادم.
المراجع
- Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
- Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
- Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
