O FTPES (FTPS) funkciji

FTPS funkcija podržava razne algoritme šifriranja kako bi osigurala siguran prijenos datoteka. Podržano je više algoritama šifriranja, od kojih neki možda nisu u skladu s trenutno najboljim sigurnosnim praksama, radi kompatibilnosti sa širokim rasponom poslužitelja.

Algoritmi šifriranja koje podržava FTPS funkcija

Podržani su sljedeći algoritmi šifriranja.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Preporučeni algoritmi šifriranja

Sljedeći algoritmi šifriranja preporučuju se na temelju NIST preporuka (NIST SP 800-57 Part 1 Revision 5) i povezanih sigurnosnih standarda.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

O zastarjelim algoritmima

FTPS funkcija podržava i sljedeće algoritme radi kompatibilnosti, ali oni su zastarjeli prema NIST preporukama (NIST SP 800-57 Part 1 Revision 5) i povezanim sigurnosnim standardima te mogu biti uklonjeni u budućoj verziji.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

O kompatibilnosti povezivanja

FTPS funkcija osmišljena je s ravnotežom između sigurnosti i kompatibilnosti. Trenutno su zastarjeli algoritmi podržani iz sljedećih razloga, ali mogu biti uklonjeni u budućoj verziji kako bi se poboljšala sigurnost.

  • Samostalni fotografi i videografi trebaju se povezati s poslužiteljima koji rade na različitim klijentima.
  • Potrebno je održavati kompatibilnost sa starijim sustavima i naslijeđenim poslužiteljima.
  • Nisu svi korisnici spremni prijeći na sigurnije postavke, jer je promjena postavki algoritama šifriranja na strani poslužitelja složena.
  • FTPS postavke često se dijele s ostalim sigurnim uslugama. Sve promjene moraju se pažljivo razmotriti, jer mogu utjecati na ostale usluge na poslužitelju.
  • Mora biti podržan širok raspon algoritama šifriranja kako bi se osigurala interoperabilnost u različitim okruženjima.

Algoritam šifriranja koji se upotrebljava tijekom FTPS veze određuje se automatskim pregovaranjem s odredišnim poslužiteljem i stoga ovisi o postavkama poslužitelja. Premda smo svjesni sigurnosnih rizika, trenutno se daje prednost kompatibilnosti kako bi se zadovoljile raznolike potrebe korisnika.

Sigurnosni rizici

Upotreba zastarjelih algoritama, uključujući CBC / DHE / RSA / SHA-1, koji su ranjivi tijekom prijenosa, povećava rizik da napadači šifrirane podatke dešifriraju ili neovlašteno izmijene.

Preporuka za sigurnu vezu

Prije upotrebe FTPS funkcije, provjerite podržava li odredišni poslužitelj preporučeni algoritam šifriranja. Omogućite samo preporučene algoritme na strani poslužitelja, a onemogućite zastarjele.

Prenošenje upotrebom sigurnog FTP-a

Datoteke možete prenijeti sa šifriranjem koristeći se FTPS-om u eksplicitnom načinu rada (FTPES) radi povezivanja s odredišnim poslužiteljem datoteka.

Za siguran prijenos putem FTP-a, postavite [Using Secure Protocol] na [On] u postavkama odredišnog poslužitelja datoteka i uvezite certifikat.

Reference

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (uključuje ažuriranja od 10.6.2016.).

Certifikat

Zapišite certifikat kojim se koristi FTPES (FTPS) funkcija u korijenski direktorij memorijske kartice. Postavite naziv datoteke kako slijedi.

certification.pem (PEM format)
Maksimalna veličina certifikata koja se može učitati je 1 MB po certifikatu.

TP1002274579