حول وظيفة FTPES (FTPS)

تدعم وظيفة FTPS خوارزميات التشفير المختلفة لضمان نقل الملفات بأمان. تُدعم خوارزميات التشفير المتعددة التي قد لا يتوافق بعضها مع أفضل ممارسات الحماية الحالية، لتتوافق مع مجموعة كبيرة من الخوادم.

خوارزميات التشفير المدعومة بوظيفة FTPS

إن خوارزميات التشفير التالية مدعومة.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

خوارزميات التشفير الموصى بها

يُوصى بخوارزميات التشفير التالية بناء على توصيات NIST (NIST SP 800-57 الجزء 1 المراجعة 5) ومعايير الحماية ذات الصلة.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

حول الخوارزميات غير الموصى بها

تدعم وظيفة FTPS أيضًا الخوارزميات التالية للتوافق، ولكن لا يوصى بها بحسب توصيات NIST (NIST SP 800-57 الجزء 1 المراجعة 5) ومعايير الحماية ذات الصلة، وقد تُزال في أي إصدار مستقبلي.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

حول توافق الاتصال

وظيفة FTPS مصممة بتوازن بين الحماية والتوافق. تُدعم الخوارزميات غير الموصى بها حاليًا للأسباب التالية، لكن يمكن إزالتها في أي إصدار مستقبلي لتحسين الحماية.

  • يحتاج المصورون الفوتوغرافيون ومصورو الفيديو المستقلون إلى الاتصال بالخوادم المستضافة لدى العملاء المختلفين.
  • يجب الحفاظ على التوافق مع الأنظمة والخوادم القديمة.
  • ليس كل المستخدمين مستعدين للتغيير إلى إعدادات أكثر أمانًا لأن تغيير إعدادات خوارزمية التشفير من جانب الخادم يمثل أمرًا معقدًا.
  • غالبًا ما تتم مشاركة إعدادات FTPS مع خدمات الأمان الأخرى. يجب أخذ جميع التغييرات في الاعتبار بعناية لأنها قد تؤثر على خدمات أخرى على الخادم.
  • يجب دعم مجموعة واسعة من خوارزميات التشفير لضمان إمكانية التشغيل البيني في بيئات مختلفة.

تُحدد خوارزمية التشفير المستخدمة أثناء اتصال FTPS عن طريق التفاوض التلقائي مع الخادم الوجهة، وبالتالي تعتمد على إعدادات الخادم. مع إدراك المخاطر الأمنية، تُعطى الأولوية حاليًا للتوافق لتلبية الاحتياجات المتنوعة للمستخدمين.

المخاطر الأمنية

يؤدي استخدام خوارزميات غير موصى بها، بما في ذلك CBC/DHE/RSA/SHA-1، إلى زيادة خطر فك تشفير البيانات المشفرة أو التلاعب بها من قبل المهاجمين، مما يؤدي إلى كشف البيانات أثناء النقل.

توصيات الاتصال الآمن

قبل استخدام وظيفة FTPS، تحقق من أن خادم وجهة الاتصال يدعم خوارزمية التشفير الموصى بها. قم بتمكين الخوارزميات الموصى بها فقط من جهة الخادم وعطل الخوارزميات غير الموصى بها.

التحميل باستخدام FTP آمن

يمكنك تحميل الملفات ذات تشفير باستخدام FTPS في وضع Explicit‏ (FTPES) للاتصال مع خادم ملف الوجهة.

من أجل نقل FTP آمن، اضبط [Using Secure Protocol] على [On] في إعدادات خادم وجهة نقل الملف ثم قم باستيراد الشهادة.

المراجع

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.‎
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.‎
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005.‎ (يتضمن التحديثات حتى 06/10/2016)

الشهادة

اكتب الشهادة المستخدمة بواسطة وظيفة FTPES (FTPS) في الدليل الأصلي لبطاقة الذاكرة. اضبط اسم الملف كما يلي.

certification.pem (صيغة PEM)
يبلغ الحد الأقصى لحجم الشهادة الذي يمكن تحميله 1 ميجابايت لكل شهادة.

TP1002274611