ILME-FX6تدابیر امنیتیراهنما

کارکرد FTPS از الگوریتم‌های رمزگذاری مختلف برای اطمینان از انتقال امن فایل پشتیبانی می‌کند. الگوریتم‌های رمزگذاری متعدد، که برخی از آنها ممکن است با بهترین شیوه‌های امنیتی کنونی سازگار نباشند، برای سازگاری با طیفی گسترده از سرورها پشتیبانی می‌شوند.

الگوریتم‌های رمزگذاری پشتیبانی‌شده توسط کارکرد FTPS

الگوریتم‌های رمزگذاری زیر پشتیبانی می‌شوند.

• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

الگوریتم‌های رمزگذاری توصیه‌شده

الگوریتم‌های رمزگذاری زیر بر اساس توصیه‌های NIST (NIST SP 800-57 بخش 1 ویراست 5) و استانداردهای امنیتی مرتبط، توصیه می‌شوند.

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

درباره الگوریتم‌های منسوخ‌شده

کارکرد FTPS همچنین از الگوریتم‌های زیر برای سازگاری پشتیبانی می‌کند، اما آنها بر اساس توصیه‌های NIST (NIST SP 800-57 بخش 1 ویراست 5) و استانداردهای امنیتی مرتبط، منسوخ شده‌اند و ممکن است در نسخه آینده حذف شوند.

• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

درباره سازگاری اتصال

کارکرد FTPS با هدف تعادل بین امنیت و سازگاری، طراحی شده است. در حال حاضر، الگوریتم‌های منسوخ‌شده به دلایل زیر پشتیبانی می‌شوند، اما ممکن است در نسخه آینده برای بهبود امنیت، حذف شوند.

• عکاسان و فیلم‌برداران آزادکار نیاز به اتصال به سرورهایی دارند که روی سرویس‌گیرنده‌های مختلف اجرا می‌شوند.
• سازگاری با سیستم‌های قدیمی‌تر و سرورهای قدیمی باید حفظ شود.
• همه کاربران آماده تغییر به تنظیمات امن‌تر نیستند زیرا تغییر تنظیمات الگوریتم رمزگذاری در سمت سرور پیچیده است.
• تنظیمات FTPS اغلب با سایر سرویس‌های امن به اشتراک گذاشته می‌شود. هر تغییری باید با دقت بررسی شود زیرا ممکن است روی سایر سرویس‌های سرور تأثیر بگذارد.
• طیفی گسترده از الگوریتم‌های رمزگذاری باید پشتیبانی شوند تا قابلیت همکاری در محیط‌های مختلف تضمین شود.

الگوریتم رمزگذاری استفاده‌شده در طول اتصال FTPS، از طریق مذاکره خودکار با سرور مقصد تعیین می‌شود و بنابراین به تنظیمات سرور بستگی دارد. با آگاهی از خطرات امنیتی، در حال حاضر، سازگاری برای برآورده کردن نیازهای متنوع کاربران در اولویت است.

خطرات امنیتی

استفاده از الگوریتم‌های منسوخ‌شده، از جمله CBC/DHE/RSA/SHA-1، خطر رمزگشایی یا دستکاری داده‌های رمزگذاری‌شده توسط مهاجم را افزایش می‌دهد و داده‌ها را در طول انتقال، در معرض خطر قرار می‌دهد.

توصیه برای اتصال امن

قبل از استفاده از کارکرد FTPS، بررسی کنید که سرور مقصد اتصال از الگوریتم رمزگذاری توصیه‌شده، پشتیبانی می‌کند. فقط الگوریتم‌های توصیه‌شده را در سمت سرور فعال کنید و الگوریتم‌های منسوخ‌شده را غیرفعال کنید.

بارگذاری با استفاده از FTP امن

شما می‌توانید فایل‌ها را با رمزگذاری با استفاده از FTPS در حالت صریح (FTPES) برای اتصال با سرور فایل مقصد بارگذاری کنید.

برای انتقال FTP امن، [Using Secure Protocol] را روی [On] در تنظیمات سرور فایل مقصد تنظیم و یک گواهی را وارد کنید.

مراجع

• Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.‎
• Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.‎
• Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005.‎ (شامل به‌روزرسانی‌ها تا تاریخ 06/10/2016)

گواهی

گواهی مورداستفاده توسط کارکرد FTPES‏ (FTPS) را در روت دایرکتوری کارت حافظه بنویسید. نام فایل را به‌صورت زیر تنظیم کنید.

certification.pem (فرمت PEM)
حداکثر اندازه گواهی که می‌تواند بارگیری شود، ‎1 MB برای هر گواهی است.