Informacje o funkcji FTPES (FTPS)

Funkcja FTPS obsługuje różne algorytmy szyfrowania w celu zapewnienia bezpiecznego transferu plików. Aby zapewnić kompatybilność z wieloma różnymi serwerami, obsługiwanych jest wiele algorytmów szyfrowania, jednak niektóre mogą być niezgodne z obecnie obowiązującymi najlepszymi praktykami w zakresie zabezpieczeń.

Algorytmy szyfrowania obsługiwane przez funkcję FTPS

Obsługiwane są następujące algorytmy szyfrowania.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Zalecane algorytmy szyfrowania

Następujące algorytmy szyfrowania są zalecane na podstawie zaleceń NIST (NIST SP 800-57 Part 1 Revision 5) i powiązanych norm w zakresie zabezpieczeń.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Informacje o przestarzałych algorytmach

Funkcja FTPS obsługuje także poniższe algorytmy w celu zapewnienia kompatybilności, ale są one uznawane za przestarzałe w oparciu o zalecenia NIST (NIST SP 800-57 Part 1 Revision 5) oraz powiązanych norm w zakresie zabezpieczeń i mogą zostać usunięte w przyszłej wersji.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Informacje o kompatybilności połączeń

Funkcja FTPS została zaprojektowana z zachowaniem równowagi między bezpieczeństwem i kompatybilnością. Obecnie przestarzałe algorytmy są obsługiwane z podanych poniżej powodów, ale mogą zostać usunięte w przyszłej wersji w celu zwiększenia bezpieczeństwa.

  • Niezależni fotografowie i kamerzyści muszą łączyć się z serwerami działającymi w różnych systemach klienckich.
  • Dlatego ważne jest zachowanie kompatybilności ze starszymi systemami i serwerami.
  • Nie wszyscy użytkownicy są gotowi na zmianę ustawień na bardziej bezpieczne, ponieważ zmiana ustawień algorytmu szyfrowania po stronie serwera jest skomplikowanym zadaniem.
  • Ustawienia FTPS są często współdzielone z innymi bezpiecznymi usługami. Należy starannie rozważyć wszelkie zmiany, ponieważ mogą mieć one wpływ na inne usługi na serwerze.
  • W celu zapewnienia interoperacyjności w różnych środowiskach musi być obsługiwany szeroki zakres algorytmów szyfrowania.

Algorytm szyfrowania używany podczas połączenia FTPS jest określany poprzez automatyczną negocjację z serwerem docelowym i dlatego zależy od ustawień serwera. Zdajemy sobie sprawę z zagrożeń bezpieczeństwa, ale kompatybilność jest obecnie traktowana priorytetowo, aby zaspokoić różnorodne potrzeby użytkowników.

Zagrożenia bezpieczeństwa

Korzystanie z przestarzałych algorytmów, w tym CBC/DHE/RSA/SHA-1, zwiększa ryzyko, że zaszyfrowane dane mogą zostać odszyfrowane lub zmodyfikowane przez osobę dokonującą ataku, przez co może dojść do naruszenia bezpieczeństwa danych podczas przesyłania.

Zalecenie dotyczące bezpiecznego połączenia

Przed przystąpieniem do korzystania z funkcji FTPS należy sprawdzić, czy serwer docelowy połączenia obsługuje zalecany algorytm szyfrowania. Po stronie serwera należy włączyć tylko zalecane algorytmy i wyłączyć przestarzałe.

Przesyłanie za pomocą bezpiecznego protokołu FTP

Możesz przesyłać pliki z szyfrowaniem, korzystając z FTPS w trybie jawnym (FTPES) do połączenia z docelowym serwerem plików.

Aby włączyć bezpieczny transfer przy użyciu protokołu FTP, ustaw opcję [Using Secure Protocol] na [On] w ustawieniach docelowego serwera transferu plików i zaimportuj certyfikat.

Odwołania

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (obejmuje aktualizacje z dnia 10/06/2016).

Certyfikat

Certyfikat używany przez funkcję FTPES (FTPS) należy zapisać w katalogu głównym karty pamięci. Nazwę pliku należy ustawić następująco:

certification.pem (format PEM)
Maksymalny rozmiar certyfikatu, który można wczytać, to 1 MB na każdy certyfikat.

TP1002274563