Informácie o funkcii FTPES (FTPS)

Funkcia FTPES (FTPS) podporuje širokú škálu šifrovacích algoritmov na bezpečný prenos súborov. S cieľom zabezpečiť kompatibilitu s rôznymi servermi sa podporuje viacero šifrovacích algoritmov vrátane niektorých, ktoré nemusia byť v súlade so súčasnými bezpečnostnými štandardmi.

Šifrovacie algoritmy podporované funkciou FTPES (FTPS)

Podporované sú nasledujúce šifrovacie algoritmy.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Informácie o odporúčaných šifrovacích algoritmoch

Na základe odporúčaní NIST (NIST SP 800-57 Part 1, Revision 5) a súvisiacich bezpečnostných štandardov sa odporúčajú nasledujúce šifrovacie algoritmy.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Informácie o zastaraných algoritmoch

Funkcia FTPES (FTPS) podporuje aj nasledujúce algoritmy z dôvodu kompatibility, avšak tieto algoritmy sú považované za zastarané podľa odporúčaní NIST (NIST SP 800-57 Part 1, Revision 5) a súvisiacich bezpečnostných štandardov a v budúcich verziách môžu byť odstránené.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Kompatibilita pripojenia

Funkcia FTPES (FTPS) slúži na vyváženie bezpečnosti a kompatibility. V súčasnosti podporujeme zastarané algoritmy z nasledujúcich dôvodov, avšak tieto algoritmy môžeme v budúcich verziách odstrániť s cieľom zvýšiť úroveň zabezpečenia.

  • Nezávislí fotografi a kameramani sa potrebujú pripájať k serverom prevádzkovaným rôznymi klientmi.
  • Je potrebné zachovať kompatibilitu so staršími systémami a servermi.
  • Zmena nastavení šifrovacích algoritmov na strane servera je zložitá a nie všetci používatelia sú pripravení prejsť na bezpečnejšie nastavenia.
  • Nastavenia servera FTPES (FTPS) sa často zdieľajú s inými zabezpečenými službami, preto je nutné zohľadniť vplyv na ďalšie služby na serveri, a zmeny nemusia byť vždy jednoduché na zavedenie.
  • Na zabezpečenie vzájomnej spolupráce systémov v rôznych prostrediach je potrebná podpora širokej škály kryptografických algoritmov.

Šifrovací algoritmus používaný počas pripojenia FTPES (FTPS) sa určuje automatickou dohodou s cieľovým serverom, takže závisí od nastavení servera. Hoci si uvedomujeme bezpečnostné riziká, v súčasnosti uprednostňujeme širokú kompatibilitu, aby sme vyhoveli rôznorodým potrebám našich používateľov.

Bezpečnostné riziká

Používanie zastaraných algoritmov vrátane CBC/DHE/RSA/SHA-1 zvyšuje riziko, že útočník môže šifrované údaje dešifrovať alebo pozmeniť, čím dôjde k ohrozeniu prenášaných údajov.

Odporúčania pre bezpečné pripojenie

Pri používaní funkcie klienta FTPES (FTPS) si vopred overte, či server, ku ktorému sa pripájate, podporuje odporúčané šifrovacie algoritmy. Odporúčame na strane servera aktivovať len odporúčané algoritmy a deaktivovať algoritmy, ktoré nie sú odporúčané.


Referencie

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Prejsť na začiatok stránky
TP1002071172