Angående FTPES (FTPS)-funktionen

FTPES-funktionen (FTPS) stöder en rad olika krypteringsalgoritmer för säkra filöverföringar. För att säkerställa kompatibilitet med ett stort antal servrar stöds flera krypteringsalgoritmer, inklusive vissa som inte följer gällande säkerhetsmetoder.

Krypteringsalgoritmer som stöds av FTPES-funktionen (FTPS)

Följande krypteringsalgoritmer stöds.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Angående rekommenderade krypteringsalgoritmer

Baserat på NIST-rekommendationer (NIST SP 800-57 Part 1, Revision 5) och relaterade säkerhetsstandarder rekommenderas följande krypteringsalgoritmer.

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Angående föråldrade algoritmer

FTPES-funktionen (FTPS) stöder även följande algoritmer av kompatibilitetsskäl men de är föråldrade baserat på NIST-rekommendationerna (NIST SP 800-57 Part 1, Revision 5) och relaterade säkerhetsstandarder och kan tas bort i framtida versioner.

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Anslutningskompatibilitet

FTPES-funktionen (FTPS) är utformad för att balansera säkerhet och kompatibilitet. För närvarande har vi stöd för föråldrade algoritmer av följande orsaker men vi kan ta bort dessa algoritmer i framtida versioner för att öka säkerheten.

  • Frilansande fotografer och videoinspelare måste ansluta till servrar som drivs av olika klienter.
  • Kompatibilitet med äldre system och gamla servrar måste upprätthållas.
  • Att ändra inställningarna för krypteringsalgoritmer på serversidan är komplicerat och inte alla användare är redo att ändra till en säker inställning.
  • FTPES (FTPS)-serverinställningar delas ofta med andra säkra tjänster, så det är nödvändigt att beakta inverkan på andra tjänster på servern och ändringar är kanske inte alltid lätta att genomföra.
  • För att säkerställa interoperabilitet i olika miljöer krävs stöd för en mängd kryptografiska algoritmer.

Krypteringsalgoritmen som används under FTPES (FTPS)-anslutning bestäms av automatisk förhandling med målservern, vilket beror på serverns inställningar. Vi är medvetna om säkerhetsriskerna och vi prioriterar för närvarande bred kompatibilitet för att uppfylla våra användares olika behov.

Säkerhetsrisker

Användningen av föråldrade algoritmer, inklusive CBC/DHE/RSA/SHA-1 ökar risken att krypterade data dekrypteras eller manipuleras av en angripare, vilket exponerar data som överförs.

Rekommendationer för en säker anslutning

När du använder FTPES (FTPS)-klientfunktionen ska du kontrollera i förväg om servern som du ansluter till har stöd för de rekommenderade krypteringsalgoritmerna. Vi rekommenderar att du bara aktiverar de rekommenderade algoritmerna och avaktiverar icke-rekommenderade algoritmer på serversidan.


Referenser

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (includes updates as of 10/06/2016).
Gå till början av sidan
TP1002071177