Despre funcția FTPES (FTPS)

Funcția FTPS acceptă diverși algoritmi de criptare pentru a asigura transferul securizat de fișiere. Mai mulți algoritmi de criptare, dintre care este posibil ca unii să nu respecte cele mai bune practici actuale de securitate, sunt acceptați pentru compatibilitate cu o gamă largă de servere.

Algoritmi de criptare acceptați de funcția FTPS

Următorii algoritmi de criptare sunt acceptați.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Algoritmi de criptare recomandați

Următorii algoritmi de criptare sunt recomandați pe baza recomandărilor NIST (NIST SP 800-57 partea 1 versiunea 5) și a standardelor conexe de securitate.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Despre algoritmi depășiți

Funcția FTPS acceptă, de asemenea, următorii algoritmi pentru compatibilitate, dar aceștia sunt depreciați conform recomandărilor NIST (NIST SP 800-57 partea 1 versiunea 5) și a standardelor conexe de securitate și pot fi eliminați într-o versiune viitoare.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Despre compatibilitatea conexiunii

Funcția FTPS este concepută ca un echilibru între securitate și compatibilitate. În prezent, algoritmii depreciați sunt acceptați din următoarele motive, dar pot fi eliminați într-o versiune viitoare, pentru a îmbunătăți securitatea.

  • Fotografii și videografii liber profesioniști trebuie să se conecteze la servere care rulează pe diverși clienți.
  • Compatibilitatea cu sistemele mai vechi și serverele existente trebuie menținută.
  • Nu toți utilizatorii sunt pregătiți să treacă la o setare mai sigură, deoarece modificarea setărilor algoritmilor de criptare pe partea de server este complicată.
  • Setările FTPS sunt deseori partajate cu alte servicii securizate. Orice modificări trebuie analizate cu atenție, deoarece pot avea impact asupra altor servicii de pe server.
  • Este necesară compatibilitatea cu o gamă largă de algoritmi de criptare, pentru a asigura interoperabilitatea în diferite medii.

Algoritmul de criptare utilizat în timpul unei conexiuni FTPS este determinat prin negociere automată cu serverul de destinație și, prin urmare, depinde de setările serverului. Deși riscurile de securitate sunt cunoscute, compatibilitatea are prioritate, pentru a satisface diversele nevoi ale utilizatorilor.

Riscuri de securitate

Utilizarea algoritmilor depreciați, inclusiv CBC/DHE/RSA/SHA-1, mărește riscul ca datele criptate să fie decriptate sau modificate de un atacator, expunând datele în timpul transferului.

Recomandare de conexiune securizată

Înainte de a utiliza funcția FTPS, verificați dacă serverul de destinație al conexiunii acceptă algoritmul de criptare recomandat. Activați doar algoritmii recomandați pe partea serverului și dezactivați algoritmii depreciați.

Încărcarea prin FTP securizat

Puteți încărca fișiere cu criptare folosind FTPS în modul explicit (FTPES) pentru conectarea cu serverul de destinație pentru fișiere.

Pentru un transfer FTP securizat, configurați [Using Secure Protocol] la [On] în setările serverului de destinație pentru transferul de fișiere și importați un certificat.

Referințe

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (include actualizări până la 10.06.2016).

Certificat

Scrieți certificatul utilizat de funcția FTPES (FTPS) în directorul rădăcină al unui card de memorie. Setați numele fișierului după cum urmează.

certification.pem (format PEM)
Dimensiunea maximă a certificatului care poate fi încărcată este de 1 MB per certificat.

TP1002274515