Acerca de la función FTPES (FTPS)

La función FTPES (FTPS) admite una variedad de algoritmos de cifrado para realizar transferencias de archivos seguras. Para garantizar la compatibilidad con una amplia variedad de servidores, se admiten varios algoritmos de cifrado, incluidos algunos que no cumplen con las prácticas de seguridad recomendadas en la actualidad.

Algoritmos de cifrado admitidos por la función FTPES (FTPS)

Se admiten los siguientes algoritmos de cifrado.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Acerca de los algoritmos de cifrado recomendados

Según las recomendaciones de NIST (NIST SP 800-57 Part 1, Revision 5) y las normas de seguridad relacionadas, se recomiendan los siguientes algoritmos de cifrado.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Acerca de los algoritmos obsoletos

La función FTPES (FTPS) también admite los siguientes algoritmos por motivos de compatibilidad, pero están obsoletos según las recomendaciones de NIST (NIST SP 800-57 Part 1, Revision 5) y los estándares de seguridad relacionados, y podrán eliminarse en futuras versiones.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Compatibilidad de la conexión

La función FTPES (FTPS) se ha diseñado para equilibrar la seguridad y la compatibilidad. En la actualidad, ofrecemos compatibilidad con algoritmos obsoletos por una serie de motivos que exponemos a continuación, aunque es posible que se supriman estos algoritmos en futuras versiones para mejorar la seguridad.

  • Los fotógrafos y videógrafos que trabajan por cuenta propia necesitan conectarse a servidores operados por varios clientes.
  • Hay que mantener la compatibilidad con sistemas antiguos y servidores heredados.
  • Cambiar los ajustes del algoritmo de cifrado en el lado del servidor es complejo, y no todos los usuarios están preparados para cambiar a un ajuste seguro.
  • Los ajustes del servidor FTPES (FTPS) suelen compartirse con otros servicios seguros, por lo que es necesario considerar el impacto en otros servicios del servidor, y los cambios pueden no ser siempre fáciles de implementar.
  • Para garantizar la interoperabilidad en entornos diferentes, es necesaria la compatibilidad con una amplia gama de algoritmos criptográficos.

El algoritmo de cifrado utilizado durante la conexión FTPES (FTPS) está determinado por la negociación automática con el servidor de destino, por lo que depende de la configuración del servidor. Aunque conocemos los riesgos para la seguridad, actualmente priorizamos una amplia compatibilidad para poder satisfacer necesidades diversas de nuestros usuarios.

Riesgos de seguridad

El uso de algoritmos obsoletos, como CBC/DHE/RSA/SHA-1, incrementa el riesgo de que los datos cifrados puedan ser descifrados o manipulados por un atacante, lo que expone los datos en tránsito.

Recomendaciones para una conexión segura

Cuando utilice la función de cliente FTPES (FTPS), compruebe de antemano si el servidor al que está conectado admite los algoritmos de cifrado recomendados. Le recomendamos que habilite solamente los algoritmos recomendados y que deshabilite los algoritmos no recomendados en el lado del servidor.


Referencias

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Ir al principio de la página
TP1002071112