Az FTPES (FTPS) funkció bemutatása

Az FTPES (FTPS) funkció számos titkosítási algoritmus támogatásával teszi lehetővé a biztonságos fájlátvitelt. A kiszolgálók széles körével való kompatibilitás biztosítása érdekében számos titkosítási algoritmus támogatott, köztük olyanok is, amelyek nem feltétlenül felelnek meg az aktuális legjobb biztonsági gyakorlatoknak.

Az FTPES (FTPS) funkció által támogatott titkosítási algoritmusok

A következő algoritmusok támogatottak.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Tudnivalók a javasolt titkosítási algoritmusokról

Az NIST ajánlásai (NIST SP 800-57 Part 1, Revision 5) és a kapcsolódó biztonsági szabványok értelmében a következő titkosítási algoritmusokat javasoljuk.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Tudnivalók az elavult algoritmusokról

A kompatibilitás érdekében az FTPES (FTPS) funkció az alábbi algoritmusokat is támogatja, azonban ezek az NIST ajánlásai (NIST SP 800-57 Part 1, Revision 5) és a kapcsolódó biztonsági szabványok értelmében elavultak, és a későbbi verziókban eltávolításra kerülhetnek.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Kapcsolati kompatibilitás

Az FTPES (FTPS) funkciót a biztonság és a kompatibilitás közötti egyensúly megteremtését szem előtt tartva terveztük. Jelenleg az alábbi okokból támogatjuk az elavult algoritmusokat, azonban a biztonság fokozása érdekében előfordulhat, hogy a későbbi verziókból eltávolítjuk ezeket az algoritmusokat.

  • A szabadúszó fotósoknak és videósoknak számos, különféle ügyfelek által üzemeltetett kiszolgálókhoz kell csatlakozniuk.
  • Fenn kell tartani a kompatibilitást a régebbi rendszerekkel és elavult kiszolgálókkal.
  • A titkosítási algoritmus beállításainak módosítása a kiszolgálóoldalon összetett feladat, és nem minden felhasználó felkészült arra, hogy biztonságos beállításra váltson.
  • Az FTPES (FTPS) kiszolgálók beállításai gyakran osztoznak más biztonságos szolgáltatásokéval, ezért figyelembe kell venni a kiszolgálón található más szolgáltatásokra gyakorolt hatást, valamint azt, hogy a módosítások elvégzése nem mindig egyszerű.
  • A különböző környezetek közötti interoperabilitás biztosítása érdekében kriptográfiai algoritmusok széles körének támogatása szükséges.

Az FTPES (FTPS) kapcsolat során használt titkosítási algoritmust a célkiszolgálóval történő automatikus egyeztetés határozza meg, tehát a kiszolgáló beállításaitól függ. Ugyan tisztában vagyunk a biztonság kockázatokkal, jelenleg a széles körű kompatibilitást részesítjük előnyben, hogy megfelelhessünk ügyfeleink szerteágazó igényeinek.

Biztonsági kockázatok

Az elavult algoritmusok – például CBC/DHE/RSA/SHA-1 – használata a fokozza annak kockázatát, hogy támadók visszafejtik vagy módosítják a titkosított adatokat, így azok hozzáférhetővé válnak az átvitel során.

Biztonságos kapcsolatra vonatkozó ajánlások

Az FTPES (FTPS) kliens funkció használata során előre ellenőrizze, hogy a kiszolgáló, amelyhez csatlakozik, támogatja-e a javasolt titkosítási algoritmusokat. Javasoljuk, hogy a kiszolgálóoldalon csak az ajánlott algoritmusokat engedélyezze, és tiltsa le a nem támogatott algoritmusokat.


Hivatkozások

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Ugrás a lap tetejére
TP1002071167