Over de FTPES (FTPS)-functie

De FTPES (FTPS)-functie ondersteunt een groot aantal versleutelingsalgoritmen voor een veilige bestandsoverdracht. Om compatibiliteit met een breed scala aan servers te garanderen, worden diverse versleutelingsalgoritmen ondersteund, waaronder sommige die niet voldoen aan de huidige, beste beveiligingsmethoden.

Versleutelingsalgoritmen die door de FTPES (FTPS)-functie worden ondersteund

De volgende versleutelingsalgoritmen worden ondersteund.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Over aanbevolen versleutelingsalgoritmen

Op basis van de NIST-aanbevelingen (NIST SP 800-57 Part 1, Revision 5) en gerelateerde beveiligingsnormen, worden de volgende versleutelingsalgoritmen aanbevolen.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Over verouderde algoritmen

De FTPES (FTPS)-functie ondersteunt tevens de volgende algoritmen omwille van de compatibiliteit, maar deze zijn verouderd op basis van de NIST-aanbevelingen (NIST SP 800-57 Part 1, Revision 5) en gerelateerde beveiligingsnormen, en kunnen in toekomstige versies worden verwijderd.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Compatibiliteit van de verbinding

De FTPES (FTPS)-functie is ontworpen om de beveiliging en compatibiliteit in evenwicht te brengen. Momenteel ondersteunen we verouderde algoritmen om de volgende redenen, maar we kunnen deze algoritmen in toekomstige versies verwijderen om de beveiliging te verbeteren.

  • Freelance fotografen en videografen moeten verbinding kunnen maken met servers die door diverse clients worden gebruikt.
  • Compatibiliteit met oudere systemen en legacy-servers moet worden behouden.
  • Het wijzigen van de instellingen voor het versleutelingsalgoritme aan de server-kant is complex en niet alle gebruikers zijn bereid om te veranderen naar een veilige instelling.
  • FTPES (FTPS)-serverinstellingen worden vaak gedeeld met andere beveiligde services, dus is het noodzakelijk om rekening te houden met de gevolgen voor andere services op de server, en dat wijzigingen niet altijd eenvoudig zijn te implementeren.
  • Om de interoperabiliteit in verschillende omgevingen te garanderen, is het noodzakelijk om een breed scala aan cryptografische algoritmen te ondersteunen.

Het versleutelingsalgoritme dat tijdens de FTPES (FTPS)-verbinding wordt gebruikt, wordt bepaald tijdens automatische onderhandeling met de bestemmingsserver, en is dus afhankelijk van de instellingen op de server. Ondanks dat wij ons bewust zijn van de veiligheidsrisico's, geven we momenteel de voorkeur aan een brede compatibiliteit om tegemoet te komen aan de diverse behoeften van onze gebruikers.

Beveiligingsrisico's

Het gebruik van verouderde algoritmen, waaronder CBC, DHE, RSA en SHA-1, verhoogt het risico dat versleutelde gegevens worden ontsleuteld of gemanipuleerd door een aanvaller, waardoor de gegevens tijdens de overdracht kunnen worden onderschept.

Aanbevelingen voor een beveiligde verbinding

Als u de FTPES (FTPS)-clientfunctie gebruikt, controleert u van tevoren of de server waarmee u verbinding maakt, de aanbevolen versleutelingsalgoritmen ondersteunt. Wij adviseren u alleen de aanbevolen algoritmen inschakelt en alle niet-aanbevolen algoritmen uitschakelt aan de server-kant.


Verwijzingen

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Ga naar boven
TP1002071127