Sobre a função FTPES (FTPS)

A função FTPES (FTPS) suporta uma variedade de algoritmos de encriptação para transferências seguras de ficheiros. Para garantir a compatibilidade com uma ampla gama de servidores, são suportados vários algoritmos de encriptação, incluindo alguns que podem não estar em conformidade com as práticas de segurança recomendadas atualmente.

Algoritmos de encriptação suportados pela função FTPES (FTPS)

São suportados os seguintes algoritmos de encriptação.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Sobre os algoritmos de encriptação recomendados

Com base nas Recomendações NIST (NIST SP 800-57 Part 1, Revision 5) e nas normas de segurança relacionadas, recomendam-se os seguintes algoritmos de encriptação.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Sobre os algoritmos obsoletos

A função FTPES (FTPS) também suporta os seguintes algoritmos por razões de compatibilidade, porém, estes algoritmos estão obsoletos com base nas Recomendações NIST (NIST SP 800-57 Part 1, Revision 5) e nas normas de segurança relacionadas e podem ser removidos em versões futuras.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Compatibilidade de ligação

A função FTPES (FTPS) foi concebida para equilibrar segurança e compatibilidade. Atualmente, suportamos algoritmos obsoletos pelos seguintes motivos, mas podemos remover estes algoritmos em versões futuras para reforçar a segurança.

  • Os fotógrafos e videógrafos freelance têm de se ligar a servidores operados por vários clientes.
  • A compatibilidade com sistemas mais antigos e servidores legados deve ser mantida.
  • Alterar as definições do algoritmo de encriptação no lado do servidor é complexo e nem todos os utilizadores estão preparados para mudar para uma definição segura.
  • As definições do servidor FTPES (FTPS) são frequentemente partilhadas com outros serviços seguros, pelo que é necessário ter em conta o impacto noutros serviços do servidor, e as alterações nem sempre são fáceis de implementar.
  • Para assegurar a interoperabilidade em diferentes ambientes, é necessário apoiar uma vasta gama de algoritmos criptográficos.

O algoritmo de encriptação utilizado durante a ligação FTPES (FTPS) é determinado pela negociação automática com o servidor de destino, pelo que depende das definições do servidor. Embora estejamos cientes dos riscos de segurança, atualmente damos prioridade a uma ampla compatibilidade, de modo a satisfazer as diversas necessidades dos nossos utilizadores.

Riscos de segurança

A utilização de algoritmos obsoletos, incluindo CBC/DHE/RSA/SHA-1, aumenta o risco de que os dados encriptados possam ser desencriptados ou adulterados por um atacante, expondo os dados em trânsito.

Recomendações para uma ligação segura

Ao utilizar a função de cliente FTPES (FTPS), verifique previamente se o servidor ao qual se está a ligar suporta os algoritmos de encriptação recomendados. Recomendamos que ative apenas os algoritmos recomendados e desative os algoritmos não recomendados no lado do servidor.


Referências

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Ir para o início da página
TP1002071117