درباره عملکرد FTPES (FTPS)

عملکرد FTPES (FTPS) تنوعی از الگوریتم های رمزگذاری را برای انتقال های ایمن فایل پشتیبانی می کند. برای اطمینان از سازگارپذیری با طیف وسیعی از سِرورها، چندین الگوریتم رمزگذاری، شامل برخی که ممکن است با بهترین شیوه‌های امنیتی فعلی مطابقت نداشته باشند، پشتیبانی می‌شوند.

الگوریتم های رمزگذاری پشتیبانی شده توسط عملکرد FTPES (FTPS)

الگوریتم های رمزگذاری ذیل پشتیبانی می شوند.

  • ‎TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384‎
  • ‎TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384‎
  • ‎TLS_DHE_RSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_DHE_RSA_WITH_AES_256_CBC_SHA256‎
  • ‎TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256‎
  • ‎TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256‎
  • ‎TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256‎
  • ‎TLS_DHE_RSA_WITH_AES_128_CBC_SHA256‎
  • ‎TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_DHE_RSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA‎
  • ‎TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA‎
  • ‎TLS_DHE_RSA_WITH_AES_128_CBC_SHA‎
  • ‎TLS_RSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_RSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_RSA_WITH_AES_128_CBC_SHA‎

در باره الگوریتم های رمزگذاری توصیه شده

بر اساس توصیه های NIST (NIST SP 800-57 Part 1, Revision 5) و استانداردهای امنیتی مربوطه، الگوریتم های رمزگذاری ذیل توصیه می شوند.

  • ‎TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256‎

در باره الگوریتم های منسوخ شده

عملکرد FTPES (FTPS) الگوریتم های ذیل را نیز به دلایل سازگارپذیری پشتیبانی می کند، اما آنها بر اساس توصیه های NIST (NIST SP 800-57 Part 1, Revision 5) و استانداردهای امنیتی مربوطه منسوخ شده اند و ممکن است در نسخه های آتی حذف شوند.

  • ‎TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384‎
  • ‎TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384‎
  • ‎TLS_DHE_RSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_DHE_RSA_WITH_AES_256_CBC_SHA256‎
  • ‎TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256‎
  • ‎TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256‎
  • ‎TLS_DHE_RSA_WITH_AES_128_CBC_SHA256‎
  • ‎TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_DHE_RSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA‎
  • ‎TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA‎
  • ‎TLS_DHE_RSA_WITH_AES_128_CBC_SHA‎
  • ‎TLS_RSA_WITH_AES_256_GCM_SHA384‎
  • ‎TLS_RSA_WITH_AES_256_CBC_SHA‎
  • ‎TLS_RSA_WITH_AES_128_CBC_SHA‎

سازگارپذیری اتصال

عملکرد FTPES (FTPS) برای موازنه امنیت و سازگارپذیری طراحی شده است. در حال حاضر، از الگوریتم های منسوخ شده به دلایل ذیل پشتیبانی می کنیم، اما ممکن است این الگوریتم ها را برای بهبود امنیت در نسخه های آتی حذف کنیم.

  • عکاسان و فیلمبرداران آزاد نیاز دارند به سرورهایی وصل شوند که توسط مشتریان مختلف اداره می‌شوند.
  • سازگارپذیری با سیستم های قدیمی تر و سِرورهای فن آوری قدیمی باید حفظ شود.
  • تغییر دادن تنظیمات الگوریتم رمزگذاری از سمت سِرور پیچیده است، و همه کاربران آماده تغییر به یک تنظیم ایمن نیستند.
  • تنظیمات سِرور FTPES (FTPS) اغلب با سایر سرویس‌های ایمن به اشتراک گذاشته می‌شوند، بنابراین لازم است تأثیر آن بر سایر سرویس‌های روی سِرور در نظر گرفته شود، و اِعمال تغییرات ممکن است همیشه آسان نباشد.
  • برای اطمینان از قابلیت همکاری در محیط‌های متفاوت، پشتیبانی از طیف گسترده‌ای از الگوریتم‌های رمزگذاری ضروری است.

الگوریتم رمزگذاری مورد استفاده در حین اتصال FTPES (FTPS) توسط مذاکره خودکار با سِرور مقصد تعیین می‌شود، بنابراین به تنظیمات سرور بستگی دارد. اگرچه ما از خطرات احتمالی امنیتی آگاه هستیم، در حال حاضر سازگارپذیری گسترده به منظور برآورده ساختن نیازهای گوناگون کاربران خود را در اولویت قرار می دهیم.

خطرات احتمالی امنیتی

استفاده از الگوریتم های منسوخ شده، شامل CBC/DHE/RSA/SHA-1، خطر رمزگشایی یا دستکاری داده‌های رمزگذاری‌شده توسط یک مهاجم را افزایش می‌دهد، که باعث افشای داده های در حال انتقال می شود.

توصیه ها برای یک اتصال ایمن

هنگام استفاده کردن از عملکرد کلاینت FTPES (FTPS)، از پیش بازبینی کنید آیا سِروری که در حال اتصال به آن هستید الگوریتم های رمزگذاری توصیه شده را پشتیبانی می کند. توصیه می کنیم فقط الگوریتم های توصیه شده را فعال کرده و الگوریتم های توصیه نشده را از طرف سِرور غیرفعال کنید.


مراجع

  • ‎Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.‎
  • ‎Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.‎
  • ‎Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).‎
رفتن به بالای صفحه
TP1002071147