Informazioni sulla funzione FTPES (FTPS)

La funzione FTPES (FTPS) supporta una varietà di algoritmi di crittografia per il trasferimento sicuro dei file. Per garantire la compatibilità con un'ampia gamma di server, sono supportati diversi algoritmi di crittografia, inclusi alcuni che potrebbero non essere conformi con le migliori pratiche di sicurezza attuali.

Algoritmi di crittografia supportati dalla funzione FTPES (FTPS)

Sono supportati i seguenti algoritmi di crittografia.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Informazioni sugli algoritmi di crittografia consigliati

In base alle Raccomandazioni NIST (NIST SP 800-57 Part 1, Revision 5) e agli standard di sicurezza correlati, sono consigliati i seguenti algoritmi di crittografia.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Informazioni sugli algoritmi deprecati

La funzione FTPES (FTPS) supporta anche i seguenti algoritmi per motivi di compatibilità, ma sono deprecati in base alle Raccomandazioni NIST (NIST SP 800-57 Part 1, Revision 5) e agli standard di sicurezza correlati e potrebbero venire rimossi nelle versioni future.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Compatibilità della connessione

La funzione FTPES (FTPS) è progettata per bilanciare sicurezza e compatibilità. Attualmente, supportiamo gli algoritmi deprecati per i seguenti motivi, ma potremmo rimuovere tali algoritmi nelle versioni future per migliorare la sicurezza.

  • I fotografi e i videografi freelance devono collegarsi ai server gestiti dai vari clienti.
  • È necessario mantenere la compatibilità con i sistemi più vecchi e con i server legacy.
  • Il cambiamento delle impostazioni dell'algoritmo di crittografia lato server è complesso e non tutti gli utenti sono preparati per cambiare un'impostazione sicura.
  • Le impostazioni FTPES (FTPS) del server vengono spesso condivise con altri servizi protetti, pertanto è necessario tenere in considerazione l'impatto sugli altri servizi sul server e i cambiamenti potrebbero non essere sempre facili da implementare.
  • Per garantire l'interoperabilità in ambienti diversi, è necessario il supporto di un'ampia gamma di algoritmi di crittografia.

L'algoritmo di crittografia usato durante la connessione FTPES (FTPS) è determinato dalla negoziazione automatica con il server di destinazione e dipende pertanto dalle impostazioni del server. Benché siamo consapevoli dei rischi per la sicurezza, al momento diamo la priorità a un'ampia compatibilità per soddisfare le diverse esigenze dei nostri utenti.

Rischi per la sicurezza

L'uso di algoritmi deprecati, inclusi CBC/DHE/RSA/SHA-1, aumenta il rischio che i dati crittografati possano essere decrittografati o manomessi da un attaccante, esponendo i dati in transito.

Consigli per una connessione protetta

Quando si usa la funzione client FTPES (FTPS), controllare prima se il server a cui ci si sta connettendo supporta gli algoritmi di crittografia consigliati. Si consiglia di abilitare solo gli algoritmi consigliati e di disabilitare gli algoritmi non consigliati lato server.


Riferimenti

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Vai all'inizio della pagina
TP1002070627