Tentang Fungsi FTPES (FTPS)

Fungsi FTPS mendukung berbagai algoritma enkripsi untuk memastikan transfer file aman. Beberapa algoritma enkripsi, yang beberapa di antaranya mungkin tidak mematuhi praktik terbaik keamanan saat ini, didukung untuk kompatibilitas dengan berbagai server.

Algoritma enkripsi yang didukung oleh fungsi FTPS

Algoritma enkripsi berikut didukung.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Algoritma enkripsi yang direkomendasikan

Algoritma enkripsi berikut direkomendasikan berdasarkan rekomendasi NIST (NIST SP 800-57 Bagian 1 Revisi 5) dan standar keamanan terkait.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Tentang algoritma yang sudah tidak digunakan lagi

Fungsi FTPS juga mendukung algoritme berikut untuk kompatibilitas, namun algoritma tersebut tidak lagi digunakan berdasarkan rekomendasi NIST (NIST SP 800-57 Bagian 1 Revisi 5) dan standar keamanan terkait, dan mungkin dihapus di versi mendatang.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Tentang kompatibilitas koneksi

Fungsi FTPS dirancang dengan keseimbangan antara keamanan dan kompatibilitas. Saat ini, algoritma yang sudah tidak digunakan lagi didukung karena alasan berikut, tetapi algoritma tersebut mungkin dihapus di versi mendatang untuk meningkatkan keamanan.

  • Fotografer dan videografer lepas perlu terhubung ke server yang berjalan pada berbagai klien.
  • Kompatibilitas dengan sistem lama dan server lama perlu dipertahankan.
  • Tidak semua pengguna siap untuk mengubah ke pengaturan yang lebih aman karena mengubah pengaturan algoritma enkripsi di sisi server itu rumit.
  • Pengaturan FTPS sering kali dibagikan dengan layanan aman lainnya. Perubahan apa pun harus dipertimbangkan dengan baik karena dapat berdampak terhadap layanan lain pada server.
  • Berbagai macam algoritma enkripsi harus didukung untuk memastikan interoperabilitas di berbagai lingkungan.

Algoritma enkripsi yang digunakan selama koneksi FTPS ditentukan oleh negosiasi otomatis dengan server tujuan, dan oleh karena itu bergantung pada pengaturan server. Meskipun menyadari risiko keamanan, kompatibilitas saat ini diutamakan untuk memenuhi beragam kebutuhan pengguna.

Risiko keamanan

Menggunakan algoritma yang sudah tidak digunakan lagi, termasuk CBC/DHE/RSA/SHA-1, meningkatkan risiko bahwa data terenkripsi dapat didekripsi atau dirusak oleh penyerang, sehingga mengekspos data selama transfer.

Rekomendasi untuk koneksi aman

Sebelum menggunakan fungsi FTPS, periksa apakah server tujuan koneksi mendukung algoritma enkripsi yang direkomendasikan. Aktifkan hanya algoritma yang direkomendasikan di sisi server dan nonaktifkan algoritma yang tidak digunakan lagi.

Mengunggah menggunakan FTP aman

Anda dapat mengunggah file dengan enkripsi menggunakan FTPS dalam mode Eksplisit (FTPES) untuk koneksi dengan server file tujuan.

Untuk transfer FTP aman, atur [Using Secure Protocol] ke [On] pada pengaturan server tujuan transfer file dan impor sertifikat.

Referensi

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (termasuk pembaruan per 10/06/2016).

Sertifikat

Tulis sertifikat yang digunakan oleh fungsi FTPES (FTPS) ke direktori root kartu memori. Tetapkan nama file sebagai berikut.

sertifikasi.pem (format PEM)
Ukuran sertifikat maksimum yang dapat dimuat adalah 1 MB per sertifikat.

TP1002274627