Par funkciju FTPES (FTPS)

FTPS funkcija atbalsta dažādus šifrēšanas algoritmus, lai nodrošinātu drošu failu pārsūtīšanu. Saderībai ar plašu serveru klāstu tiek atbalstīti vairāki šifrēšanas algoritmi, no kuriem daži, iespējams, neatbilst pašreizējai drošības paraugpraksei.

Šifrēšanas algoritmi, ko atbalsta FTPS funkcija

Tiek atbalstīti šādi šifrēšanas algoritmi.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Ieteicamie šifrēšanas algoritmi

Pamatojoties uz NIST ieteikumiem (NIST SP 800-57 1. daļas 5. redakcija) un saistītajiem drošības standartiem, ieteicams izmantot šādus šifrēšanas algoritmus.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Par novecojušiem algoritmiem

FTPS funkcija atbalsta arī tālāk norādītos saderības algoritmus, tomēr, pamatojoties uz NIST ieteikumiem (NIST SP 800-57 1. daļas 5. pārskatījums) un saistītajiem drošības standartiem, tie ir novecojuši, un nākamajā versijā tie var tik noņemti.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Par savienojuma saderību

FTPS funkcija ir izstrādāta, ņemot vērā drošības un saderības līdzsvaru. Pašlaik novecojuši algoritmi tiek atbalstīti tālāk norādīto iemeslu dēļ, bet, lai uzlabotu drošību, tie var tikt noņemti nākamajā versijā.

  • Ārštata fotogrāfiem un videogrāfiem ir jāveido savienojums ar serveriem, kas darbojas pie dažādiem klientiem.
  • Ir jāsaglabā saderība ar vecākām sistēmām un mantotajiem serveriem.
  • Ne visi lietotāji ir gatavi pāriet uz drošāku iestatījumu, jo šifrēšanas algoritma iestatījumu maiņa servera pusē ir sarežģīta.
  • FTPS iestatījumi bieži tiek koplietoti ar citiem drošiem pakalpojumiem. Jebkuras izmaiņas ir rūpīgi jāapsver, jo tās var ietekmēt citus servera pakalpojumus.
  • Lai nodrošinātu sadarbspēju dažādās vidēs, ir jāatbalsta plašs šifrēšanas algoritmu klāsts.

Šifrēšanas algoritmu, kas tiek izmantots FTPS savienojuma laikā, nosaka automātiska vienošanās ar galamērķa serveri, tādēļ tas ir atkarīgs no servera iestatījumiem. Lai gan ir apzināti drošības riski, šobrīd tiek prioritizēta saderība, lai apmierinātu dažādās lietotāju vajadzības.

Drošības riski

Novecojušu algoritmu, tostarp CBC/DHE/RSA/SHA-1, izmantošana palielina risku, ka uzbrucējs var atšifrēt vai sagrozīt šifrētus datus, piekļūstot datiem pārsūtīšanas laikā.

Ieteikums drošam savienojumam

Pirms FTPS funkcijas izmantošanas pārbaudiet, vai savienojuma mērķa serveris atbalsta ieteicamo šifrēšanas algoritmu. Iespējojiet tikai ieteicamos algoritmus servera pusē un atspējojiet novecojušos algoritmus.

Augšupielāde, izmantojot drošu FTP

Šifrētus failus varat augšupielādēt, savienojumam ar galamērķa faila serveri izmantojot FTPS eksplicītajā režīmā (FTPES).

Lai nodrošinātu drošu FTP pārsūtīšanu, failu pārsūtīšanas galamērķa servera iestatījumos [Using Secure Protocol] iestatiet uz [On] un importējiet sertifikātu.

Atsauces

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (ietver atjauninājumus uz 06.10.2016.).

Sertifikāts

Ierakstiet sertifikātu, ko izmanto funkcija FTPES (FTPS), atmiņas kartes saknes direktorijā. Iestatiet faila nosaukumu šādi.

certification.pem (PEM formāts)
Maksimālais sertifikāta lielums, ko var ielādēt, ir 1 MB katram sertifikātam.

TP1002274547