Om FTPES (FTPS)-funktionen

FTPES (FTPS)-funktionen understøtter en række krypteringsalgoritmer til sikre filoverførsler. For at sikre kompatibilitet med et bredt udvalg af servere understøttes der flere krypteringsalgoritmer, herunder nogle, der måske ikke overholder de aktuelle bedste praksisser for sikkerhed.

Krypteringsalgoritmer, der understøttes af FTPES (FTPS)-funktionen

Følgende krypteringsalgoritmer er understøttet.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Om anbefalede krypteringsalgoritmer

De følgende krypteringsalgoritmer anbefales baseret på NIST-anbefalingerne (NIST SP 800-57 Part 1, Revision 5) og relaterede sikkerhedsstandarder.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Om forældede algoritmer

FTPES (FTPS)-funktionen understøtter også følgende algoritmer af kompatibilitetshensyn, men de er forældede baseret på NIST-anbefalingerne (NIST SP 800-57 Part 1, Revision 5) og de relaterede sikkerhedsstandarder og fjernes muligvis i fremtidige versioner.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Tilslutningskompatibilitet

FTPES (FTPS)-funktionen er designet til at afbalancere sikkerhed og kompatibilitet. I øjeblikket understøtter vi forældede algoritmer af følgende årsager, men vi fjerner muligvis disse algoritmer i fremtidige versioner for at øge sikkerheden.

  • Freelancefotografer og -videografer er nødt til at tilslutte til servere, der betjenes af forskellige klienter.
  • Kompatibilitet med ældre systemer og gamle servere skal bevares.
  • Det er en kompleks opgave at ændre indstillingerne for krypteringsalgoritmen på serversiden, og ikke alle brugere er klar til at ændre til en sikker indstilling.
  • FTPES (FTPS)-serverindstillinger deles ofte med andre sikre tjenester, så det er nødvendigt at overveje effekten på andre tjenester på serveren, og ændringer er måske ikke altid nemme at udføre.
  • For at sikre interoperabilitet i forskellige miljøer er det nødvendigt at understøtte en bred vifte af kryptografiske algoritmer.

Den krypteringsalgoritme, der anvendes under FTPES (FTPS)-forbindelsen, bestemmes vha. automatisk forhandling med destinationsserveren, så det afhænger af serverens indstillinger. Samtidig med at vi er opmærksomme på sikkerhedsrisiciene, prioriterer vi i øjeblikket bred kompatibilitet for at opfylde vores brugeres behov.

Sikkerhedsrisici

Hvis der anvendes forældede algoritmer, herunder CBC/DHE/RSA/SHA-1, forøges risikoen for, at krypterede data muligvis kan blive dekrypteret eller manipuleret via et angreb, hvorved data under transit eksponeres.

Anbefalinger for en sikker forbindelse

Når du bruger FTPES (FTPS)-klientfunktionen, skal du på forhånd kontrollere, om den server, som du tilslutter til, understøtter de anbefalede krypteringsalgoritmer. Vi anbefaler, at du kun aktiverer de anbefalede algoritmer og deaktiverer ikke-anbefalede algoritmer på serversiden.


Referencer

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Gå til toppen af siden
TP1002071192