O funkci FTPES (FTPS)

Funkce FTPES (FTPS) podporuje pro bezpečný přenos souborů různé šifrovací algoritmy. Aby byla zajištěna kompatibilita s celou řadou různých serverů, je podporováno několik šifrovacích algoritmů, přičemž některé nemusí být v souladu se současnými osvědčenými postupy v oblasti zabezpečení.

Šifrovací algoritmy podporované funkcí FTPES (FTPS)

Podporovány jsou následující šifrovací algoritmy.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

O doporučených šifrovacích algoritmech

Na základě doporučení organizace NIST (NIST SP 800-57 Part 1, Revision 5) a souvisejících standardů zabezpečení doporučujeme následující šifrovací algoritmy.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

O zastaralých algoritmech

Funkce FTPES (FTPS) dále podporuje následující algoritmy kvůli zachování kompatibility. Ty jsou však na základě doporučení organizace NIST (NIST SP 800-57 Part 1, Revision 5) a souvisejících standardů zabezpečení zastaralé a nemusí být součástí budoucích verzí.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Kompatibilita připojení

Funkce FTPES (FTPS) je navržena tak, aby byly zabezpečení a kompatibilita v rovnováze. V současnosti podporujeme zastaralé algoritmy z následujících důvodů, ale tyto algoritmy nemusí být v rámci zvýšení zabezpečení součástí budoucích verzí.

  • Potřeba fotografů a kameramanů na volné noze připojovat se k serverům provozovaným různými klienty.
  • Nutnost zachování kompatibility se staršími systémy a zastaralými servery.
  • Složitost změny nastavení šifrovacího algoritmu na straně serveru a nepřipravenost všech uživatelů na změnu nastavení zabezpečení.
  • Časté sdílení nastavení serveru FTPES (FTPS) s jinými zabezpečenými službami, proto je třeba vzít v úvahu vliv na další služby serveru, přičemž implementace změn nemusí být vždy snadná.
  • Nezbytnost podpory pro celou řadu kryptografických algoritmů k zajištění interoperability v různých prostředích.

Šifrovací algoritmus používaný během připojení FTPES (FTPS) je určen automatickou interakcí s cílovým serverem, takže závisí na nastaveních serveru. Přestože jsme si vědomi bezpečnostních rizik, v současnosti upřednostňujeme širokou kompatibilitu, abychom vyhověli různým potřebám našich uživatelů.

Bezpečnostní rizika

Použití zastaralých algoritmů včetně CBC/DHE/RSA/SHA-1 zvyšuje riziko, že šifrovaná data budou dešifrována útočníkem nebo že s nimi bude manipulováno, což může vést k odhalení přenášených dat.

Doporučení pro zabezpečené připojení

Pokud používáte funkci klienta FTPES (FTPS), zkontrolujte předem, zda server, ke kterému se připojujete, podporuje doporučené šifrovací algoritmy. Doporučujeme povolit pouze doporučené algoritmy a zakázat ty nedoporučené na straně serveru.


Odkazy

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Začátek stránky
TP1002071162