Az FTPES (FTPS) funkció rövid leírása

Az FTPS funkció különféle titkosító algoritmusokat támogat a biztonságos fájlátvitelhez. A szerverek széles skálájával való kompatibilitás érdekében többféle titkosító algoritmust támogat, amelyek közül néhány nem feltétlenül felel meg a jelenlegi legjobb biztonsági megoldásoknak.

A FTPS funkció által támogatott titkosító algoritmusok

A következő titkosító algoritmusokat támogatja.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Ajánlott titkosító algoritmusok

A NIST ajánlások (NIST SP 800-57 Part 1 Revision 5) és kapcsolódó biztonsági szabványok alapján a következő titkosító algoritmusok használatát ajánljuk.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Elavult titkosító algoritmusok

Az FTPS funkció a kompatibilitás érdekében a következő algoritmusokat is támogatja, de ezek a NIST ajánlásai (NIST SP 800-57 Part 1 Revision 5) és a kapcsolódó biztonsági szabványok szerint elavultak, és egy későbbi verzióban eltávolításra kerülhetnek.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

A kapcsolat kompatibilitása

Az FTPS funkció a biztonság és a kompatibilitás között egyensúlyoz. Pillanatnyilag a következő okokból támogat elavult algoritmusokat, de előfordulhat, hogy ezek el lesznek távolítva egy későbbi verzióból a biztonság javítása végett.

  • Szabadúszó fotósoknak és videósoknak különböző klienseken futó szerverekhez kell csatlakozniuk.
  • Emiatt fenn kell tartani a kompatibilitást a régebbi rendszerekkel és a hagyományos szerverekkel.
  • Nem minden felhasználó hajlandó biztonságosabb beállításra váltani, mivel bonyolult a titkosító algoritmus beállításainak megváltoztatása a szerveroldalon.
  • Az FTPS-beállítások gyakran kerülnek megosztásra más biztonságos szolgáltatásokkal. Minden változtatást figyelembe kell venni, mert hatással lehetnek a szerver más szolgáltatásaira.
  • Az interoperabilitás különböző környezetekben való biztosításához titkosító algoritmusok széles körét kell támogatni.

Az FTPS-kapcsolat során használt titkosító algoritmust a célszerverrel végzett automatikus egyeztetés határozza meg, ezért ez a szerver beállításaitól függ. A biztonsági kockázatok tudatában jelenleg a kompatibilitás élvez elsőbbséget, hogy a felhasználók sokféle igényét kielégítsük.

Biztonsági kockázatok

A CBC/DHE/RSA/SHA-1 és más elavult algoritmusok használata növeli annak kockázatát, hogy a titkosított adatokat illetéktelenek visszafejtik vagy meghamisítják, és az adatok átvitel közben hozzáférhetővé válnak.

Ajánlás a kapcsolat biztonságossá tételére

Az FTPS funkció használata előtt ellenőrizze, hogy a kapcsolat célszervere támogatja-e az ajánlott titkosító algoritmust. Csak az ajánlott algoritmusokat engedélyezze a szerveroldalon, és tiltsa le az elavult algoritmusokat.

Feltöltés biztonságos FTP protokollal

A fájlokat titkosítva, FTPS-sel, Explicit módban (FTPES) töltheti fel a célfájlszerverre.

Biztonságos FTP átvitelhez a fájlátviteli célszerver beállítás [Using Secure Protocol] pontját állítsa [On] értékre és importáljon tanúsítványt.

Hivatkozott szakirodalom

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (tartalmazza a 2016.10.06-i frissítéseket).

Tanúsítvány

Az FTPES (FTPS) funkció által használt tanúsítványt írja be a memóriakártya gyökérkönyvtárába. A fájl nevét a következőképpen állítsa be.

certification.pem (PEM formátum)
A betölthető tanúsítványok maximális mérete tanúsítványonként 1 MB.

TP1002274539