Προφυλάξεις ασφάλειας | Οδηγός βοήθειας | Πληροφορίες για τη λειτουργία FTPES (FTPS)

Πληροφορίες για τη λειτουργία FTPES (FTPS)

Η λειτουργία FTPS υποστηρίζει διάφορους αλγορίθμους κρυπτογράφησης για προστασία της ασφαλούς μεταφοράς αρχείων. Για λόγους συμβατότητας με ένα ευρύ φάσμα διακομιστών, υποστηρίζονται πολλαπλοί αλγόριθμοι κρυπτογράφησης, εκ των οποίων ορισμένοι ενδέχεται να μη συμμορφώνονται με τις τρέχουσες βέλτιστες πρακτικές ασφάλειας.

Αλγόριθμοι κρυπτογράφησης που υποστηρίζονται από τη λειτουργία FTPS

Υποστηρίζονται οι παρακάτω αλγόριθμοι κρυπτογράφησης.

TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Συνιστώμενοι αλγόριθμοι κρυπτογράφησης

Συνιστώνται οι παρακάτω αλγόριθμοι κρυπτογράφησης με βάση τις συστάσεις του οργανισμού NIST (NIST SP 800-57, Τμήμα 1, Αναθεώρηση 5) και σχετικών προτύπων ασφάλειας.

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Πληροφορίες για παρωχημένους αλγορίθμους

Η λειτουργία FTPS υποστηρίζει επίσης τους παρακάτω αλγορίθμους για λόγους συμβατότητας, αλλά είναι παρωχημένοι με βάση τις συστάσεις του οργανισμού NIST (NIST SP 800-57, Τμήμα 1, Αναθεώρηση 5) και σχετικών προτύπων ασφάλειας και ενδέχεται να καταργηθούν σε κάποια μελλοντική έκδοση.

TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Πληροφορίες για τη συμβατότητα σύνδεσης

Η λειτουργία FTPS είναι σχεδιασμένη με μια ισορροπία μεταξύ ασφάλειας και συμβατότητας. Προς το παρόν, οι παρωχημένοι αλγόριθμοι υποστηρίζονται για τους λόγους που παρατίθενται παρακάτω, αλλά ενδέχεται να καταργηθούν σε κάποια μελλοντική έκδοση για βελτίωση της ασφάλειας.

Οι ανεξάρτητοι φωτογράφοι και βιντεολήπτες χρειάζεται να συνδέονται σε διακομιστές που χρησιμοποιούν ποικίλα προγράμματα-πελάτες.
Χρειάζεται να διατηρηθεί η συμβατότητα με παλαιότερα συστήματα και προϋπάρχοντες διακομιστές.
Δεν είναι όλοι οι χρήστες προετοιμασμένοι να περάσουν σε μια ασφαλέστερη ρύθμιση, επειδή η αλλαγή των ρυθμίσεων για τους αλγορίθμους κρυπτογράφησης στα συστήματα των διακομιστών είναι μια πολύπλοκη διαδικασία.
Οι ρυθμίσεις FTPS συχνά χρησιμοποιούνται από κοινού με άλλες ασφαλείς υπηρεσίες. Κάθε αλλαγή πρέπει να εξετάζεται προσεκτικά, επειδή ενδέχεται να έχει αντίκτυπο σε άλλες υπηρεσίες στον διακομιστή.
Πρέπει να υποστηρίζεται ένα ευρύ φάσμα αλγορίθμων κρυπτογράφησης για να διασφαλίζεται η διαλειτουργικότητα σε διαφορετικά περιβάλλοντα.

Ο αλγόριθμος κρυπτογράφησης που χρησιμοποιείται κατά τη διάρκεια μιας σύνδεσης FTPS καθορίζεται κατόπιν αυτόματης διαπραγμάτευσης με τον διακομιστή προορισμού, πράγμα που σημαίνει ότι εξαρτάται από τις ρυθμίσεις του διακομιστή. Παρόλο που έχουμε επίγνωση των κινδύνων για την ασφάλεια, προς το παρόν δίνουμε προτεραιότητα στη συμβατότητα για να μπορούμε να ικανοποιήσουμε τις ποικίλες ανάγκες των χρηστών.

Κίνδυνοι για την ασφάλεια

Αν χρησιμοποιήσετε παρωχημένους αλγορίθμους, στους οποίους περιλαμβάνονται οι CBC/DHE/RSA/SHA-1, αυξάνεται ο κίνδυνος αποκρυπτογράφησης ή παραποίησης των κρυπτογραφημένων δεδομένων από κάποιον δράστη επίθεσης, με συνέπεια την έκθεση των δεδομένων κατά τη μεταφορά τους.

Συστάσεις για ασφαλή σύνδεση

Προτού χρησιμοποιήσετε τη λειτουργία FTPS, ελέγξτε αν ο διακομιστής προορισμού της σύνδεσης υποστηρίζει τον συνιστώμενο αλγόριθμο κρυπτογράφησης. Ενεργοποιήστε μόνο τους συνιστώμενους αλγορίθμους στο σύστημα του διακομιστή και απενεργοποιήστε τους παρωχημένους.

Μεταφόρτωση με χρήση ασφαλούς πρωτοκόλλου FTP

Μπορείτε να μεταφορτώσετε αρχεία με κρυπτογράφηση χρησιμοποιώντας το πρωτόκολλο FTPS σε λειτουργία ρητής (Explicit) εντολής (FTPES) για τη σύνδεση με τον διακομιστή προορισμού των αρχείων.

Για μεταφορά με χρήση ασφαλούς πρωτοκόλλου FTP, στην επιλογή [Using Secure Protocol] καθορίστε τη ρύθμιση [On] στις ρυθμίσεις για τον διακομιστή προορισμού της μεταφοράς αρχείων και προχωρήστε στην εισαγωγή ενός πιστοποιητικού.

Πηγές αναφοράς

Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (περιλαμβάνονται επικαιροποιήσεις από 10/06/2016).

Πιστοποιητικό

Πραγματοποιήστε εγγραφή του πιστοποιητικού που χρησιμοποιείται από τη λειτουργία FTPES (FTPS) στον ριζικό κατάλογο μιας κάρτας μνήμης. Καθορίστε το όνομα του αρχείου όπως υποδεικνύεται παρακάτω.

certification.pem (μορφότυπο PEM)
Το μέγιστο μέγεθος αρχείου που μπορεί να φορτωθεί είναι 1 MB ανά πιστοποιητικό.

TP1002274507