Tietoja FTPES (FTPS) -toiminnosta

FTPES (FTPS) -toiminto tukee erilaisia suojatun tiedostonsiirron salausalgoritmeja. Jotta varmistetaan yhteensopivuus erilaisten palvelimien kanssa, tuetaan useita salausalgoritmeja, myös sellaisia, jotka eivät välttämättä noudata nykyisiä suojauksen parhaita käytäntöjä.

FTPES (FTPS) -toiminnon tukemat salausalgoritmit

Seuraavia salausalgoritmeja tuetaan.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Tietoja suositeltavista salausalgoritmeista

NIST-suositusten (NIST SP 800-57 Part 1, Revision 5) ja niihin liittyvien turvallisuusstandardien perusteella suositellaan seuraavia salausalgoritmeja.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Tietoja vanhentuneista algoritmeista

FTPES (FTPS) -toiminto tukee myös seuraavia algoritmeja yhteensopivuussyistä, mutta ne ovat vanhentuneita NIST-suositusten (NIST SP 800-57 Part 1, Revision 5) ja niihin liittyvien turvallisuusstandardien perusteella, ja ne saatetaan poistaa tulevista versioista.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Yhteyden yhteensopivuus

FTPES (FTPS) -toiminto on suunniteltu tasapainottamaan turvallisuus ja yhteensopivuus. Vanhentuneita algoritmeja tuetaan tällä hetkellä seuraavista syistä, mutta nämä algoritmit voidaan poistaa tulevista versioista turvallisuuden parantamiseksi.

  • Freelance-valokuvaajien ja -videokuvaajien täytyy muodostaa yhteys eri asiakkaiden ylläpitämiin palvelimiin.
  • Yhteensopivuus vanhempien järjestelmien ja vanhojen palvelimien kanssa täytyy säilyttää.
  • Salausalgoritmin asetusten muuttaminen palvelimen puolella on monimutkaista, eivätkä kaikki käyttäjät ole valmiita vaihtamaan suojattuun asetukseen.
  • FTPES (FTPS) -palvelinasetukset jaetaan usein muiden turvallisten palveluiden kanssa, joten on otettava huomioon vaikutukset muihin palveluihin palvelimella, eikä muutosten toteuttaminen välttämättä ole aina helppoa.
  • Yhteentoimivuuden varmistamiseksi eri ympäristöissä tarvitaan tukea monenlaisille salausalgoritmeille.

FTPES (FTPS) -yhteyden aikana käytettävä salausalgoritmi määritetään automaattisella neuvottelulla kohdepalvelimen kanssa, joten se riippuu palvelimen asetuksista. Vaikka olemme tietoisia turvallisuusriskeistä, asetamme tällä hetkellä laajan yhteensopivuuden etusijalle vastataksemme käyttäjien erilaisiin tarpeisiin.

Turvallisuusriskit

Vanhentuneiden algoritmien, mukaan lukien CBC/DHE/RSA/SHA-1, käyttäminen lisää riskiä, että hyökkääjä voi purkaa salatun datan tai peukaloida sitä, jolloin tiedot paljastuvat siirron aikana.

Turvallista yhteyttä koskevat suositukset

Tarkista FTPES (FTPS) -asiakastoimintoa käytettäessä etukäteen, tukeeko palvelin, johon yhteys muodostetaan, suositeltuja salausalgoritmeja. On suositeltavaa ottaa käyttöön vain suositellut algoritmit ja poistaa ei-suositellut algoritmit käytöstä palvelimen puolella.


Lähteet

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Siirry sivun alkuun
TP1002071182