Info zur FTPES (FTPS)-Funktion

Die FTPES (FTPS)-Funktion unterstützt eine Vielzahl von Verschlüsselungsalgorithmen für sichere Dateiübertragungen. Um die Kompatibilität mit einer Vielzahl von Servern zu gewährleisten, werden mehrere Verschlüsselungsalgorithmen unterstützt, darunter auch solche, die möglicherweise nicht den aktuellen bewährten Sicherheitsverfahren entsprechen.

Von der FTPES (FTPS)-Funktion unterstützte Verschlüsselungsalgorithmen

Die folgenden Verschlüsselungsalgorithmen werden unterstützt.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Info zu empfohlenen Verschlüsselungsalgorithmen

Auf der Grundlage der NIST-Empfehlungen (NIST SP 800-57 Part 1, Revision 5) und zugehöriger Sicherheitsstandards werden die folgenden Verschlüsselungsalgorithmen empfohlen.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Info zu veralteten Algorithmen

Die FTPES (FTPS)-Funktion unterstützt aus Kompatibilitätsgründen auch die folgenden Algorithmen, die jedoch auf der Grundlage der NIST-Empfehlungen (NIST SP 800-57 Part 1, Revision 5) und verwandter Sicherheitsstandards veraltet sind und in zukünftigen Versionen entfernt werden können.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Verbindungskompatibilität

Die FTPES (FTPS)-Funktion wurde entwickelt, um ein Gleichgewicht zwischen Sicherheit und Kompatibilität herzustellen. Derzeit unterstützen wir aus den folgenden Gründen veraltete Algorithmen, die wir jedoch in zukünftigen Versionen entfernen können, um die Sicherheit zu erhöhen.

  • Freiberufliche Fotografen und Videofilmer müssen sich mit Servern verbinden, die von verschiedenen Kunden betrieben werden.
  • Die Kompatibilität mit älteren Systemen und Legacy-Servern muss erhalten bleiben.
  • Die Änderung der Einstellungen für den Verschlüsselungsalgorithmus auf der Serverseite ist komplex, und nicht alle Benutzer sind bereit, zu einer sicheren Einstellung zu wechseln.
  • Die FTPES (FTPS)-Servereinstellungen werden häufig gemeinsam mit anderen sicheren Diensten genutzt, so dass die Auswirkungen auf andere Dienste auf dem Server berücksichtigt werden müssen und Änderungen nicht immer einfach zu implementieren sind.
  • Um die Interoperabilität in verschiedenen Umgebungen zu gewährleisten, ist die Unterstützung eines breiten Spektrums von kryptografischen Algorithmen erforderlich.

Der Verschlüsselungsalgorithmus, der bei der FTPES (FTPS)-Verbindung verwendet wird, wird durch automatische Aushandlung mit dem Zielserver bestimmt und hängt daher von den Einstellungen des Servers ab. Obwohl wir uns der Sicherheitsrisiken bewusst sind, legen wir derzeit den Schwerpunkt auf eine breite Kompatibilität, um den unterschiedlichen Bedürfnissen unserer Benutzer gerecht zu werden.

Sicherheitsrisiken

Die Verwendung veralteter Algorithmen, einschließlich CBC/DHE/RSA/SHA-1, erhöht das Risiko, dass verschlüsselte Daten von einem Angreifer entschlüsselt oder manipuliert werden können, wodurch Daten während der Übertragung offengelegt werden.

Empfehlungen für eine sichere Verbindung

Prüfen Sie bei Verwendung der FTPES (FTPS)-Client-Funktion im Voraus, ob der Server, mit dem Sie sich verbinden, die empfohlenen Verschlüsselungsalgorithmen unterstützt. Wir empfehlen Ihnen, nur die empfohlenen Algorithmen zu aktivieren und nicht empfohlene Algorithmen auf der Serverseite zu deaktivieren.


Referenzen

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Zum Seitenanfang
TP1002071122