À propos de la fonction FTPES (FTPS)

La fonction FTPES (FTPS) prend en charge un éventail d’algorithmes de chiffrement pour des transferts de fichiers sécurisés. Afin d’assurer la compatibilité avec un large éventail de serveurs, plusieurs algorithmes de chiffrement sont pris en charge, notamment certains qui peuvent ne pas être conformes aux bonnes pratiques de sécurité actuelles.

Algorithmes de chiffrement pris en charge par la fonction FTPES (FTPS)

Les algorithmes de chiffrement suivants sont pris en charge.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

À propos des algorithmes de chiffrement recommandés

Basés sur les recommandations NIST (NIST SP 800-57 Part 1, Revision 5) et les normes de sécurité connexes, les algorithmes de chiffrement suivants sont recommandés.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

À propos des algorithmes déconseillés

La fonction FTPES (FTPS) prend également en charge les algorithmes suivants pour des raisons de compatibilité, mais étant donné qu’ils sont déconseillés sur la base des recommandations NIST (NIST SP 800-57 Part 1, Revision 5) et des normes de sécurité connexes, ils pourraient être supprimés dans les versions futures.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Compatibilité de connexion

La fonction FTPES (FTPS) est conçue pour équilibrer sécurité et compatibilité. Actuellement, nous prenons en charge des algorithmes déconseillés pour les raisons suivantes, mais nous pourrions supprimer ces algorithmes dans les versions futures afin d’améliorer la sécurité.

  • Les photographes et vidéastes freelance doivent se connecter à des serveurs exploités par différents clients.
  • La compatibilité avec les systèmes anciens et les serveurs existants doit être maintenue.
  • La modification des paramètres des algorithmes de chiffrement du côté serveur est complexe, et tous les utilisateurs ne sont pas prêts à changer pour un paramètre sécurisé.
  • Les paramètres du serveur FTPES (FTPS) étant souvent partagés avec d’autres services sécurisés, il est nécessaire d’examiner l’impact sur d’autres services du serveur, et les changements peuvent ne pas toujours être faciles à mettre en œuvre.
  • Pour garantir l’interopérabilité dans des environnements différents, la prise en charge d’un large éventail d’algorithmes de chiffrement est nécessaire.

L'algorithme de chiffrement utilisé pendant la connexion FTPES (FTPS) étant déterminé par négociation automatique avec le serveur de destination, il dépend des réglages du serveur. Conscients des risques inhérents à la sécurité, nous privilégions actuellement la compatibilité étendue afin de répondre aux différents besoins de nos utilisateurs.

Risques de sécurité

L’utilisation d’algorithmes déconseillés, notamment CBC/DHE/RSA/SHA-1, augmente le risque que des données chiffrées soient déchiffrées ou manipulées par un attaquant, exposant les données en transit.

Recommandations pour une connexion sécurisée

Lors de l’utilisation de la fonction client FTPES (FTPS), vérifiez au préalable si le serveur auquel vous vous connectez prend en charge les algorithmes de chiffrement recommandés. Nous vous recommandons d’activer uniquement les algorithmes recommandés et de désactiver les algorithmes non recommandés du côté serveur.


Références

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Haut de la page
TP1002071107