Funkcija FTPES (FTPS)

Funkcija FTPS podpira različne algoritme šifriranja, ki zagotavljajo varen prenos datotek. Več algoritmov šifriranja, od katerih nekateri morda niso v skladu s trenutnimi najboljšimi varnostnimi praksami, je podprtih za združljivost s širokim naborom strežnikov.

Algoritmi šifriranja, ki jih podpira funkcija FTPS

Podprti so naslednji algoritmi šifriranja.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Priporočeni algoritmi šifriranja

Naslednji algoritmi šifriranja so priporočeni na podlagi priporočil NIST (NIST SP 800-57 1. del, revizija 5) in sorodnih varnostnih standardov.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

O zastarelih algoritmih

Funkcija FTPS podpira tudi naslednje algoritme za združljivost, vendar so ti na podlagi priporočil NIST (NIST SP 800-57 1. del, revizija 5) in sorodnih varnostnih standardov opuščeni in bodo morda v prihodnji različici odstranjeni.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

O združljivosti povezave

Funkcija FTPS je zasnovana z ravnovesjem med varnostjo in združljivostjo. Trenutno so zastareli algoritmi podprti iz naslednjih razlogov, vendar bodo morda v prihodnji različici odstranjeni zaradi izboljšanja varnosti.

  • Samostojni fotografi in snemalci se morajo povezati s strežniki, ki delujejo na različnih odjemalcih.
  • Ohraniti je treba združljivost s starejšimi sistemi in starejšimi strežniki.
  • Vsi uporabniki niso pripravljeni preiti na varnejšo nastavitev, ker je spreminjanje nastavitev algoritma šifriranja na strani strežnika zapleteno.
  • Nastavitve FTPS se pogosto delijo z drugimi varnimi storitvami. Vse spremembe je treba skrbno pretehtati, saj lahko vplivajo na druge storitve na strežniku.
  • Za zagotovitev interoperabilnosti v različnih okoljih je treba podpirati širok spekter algoritmov šifriranja.

Algoritem šifriranja, ki se uporablja med povezavo FTPS, se določi s samodejnim pogajanjem s ciljnim strežnikom in je zato odvisen od nastavitev strežnika. Čeprav se zavedamo varnostnih tveganj, je združljivost trenutno prednostna naloga, da zadovolji različne potrebe uporabnikov.

Varnostna tveganja

Uporaba zastarelih algoritmov, vključno s CBC/DHE/RSA/SHA-1, povečuje tveganje, da napadalec dešifrira ali spremeni šifrirane podatke, s čimer jih razkrije med prenosom.

Priporočila za varno povezavo

Pred uporabo funkcije FTPS preverite, ali ciljni strežnik povezave podpira priporočeni šifrirni algoritem. Na strani strežnika omogočite samo priporočene algoritme in onemogočite zastarele algoritme.

Nalaganje z uporabo varnega FTP

Šifrirane datoteke lahko naložite prek protokola FTPS v eksplicitnem načinu (FTPES) za povezavo s ciljnim datotečnim strežnikom.

Za varen prenos prek FTP nastavite [Using Secure Protocol] na [On] v nastavitvah ciljnega strežnika za prenos datotek in uvozite certifikat.

Reference

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (vključuje posodobitve od 10/06/2016).

Potrdilo

Zapišite potrdilo, ki ga uporablja funkcija FTPES (FTPS), v korenski imenik pomnilniške kartice. Ime datoteke nastavite na naslednji način.

certification.pem (oblika zapisa PEM)
Največja velikost potrdila, ki jo je mogoče naložiti, je 1 MB na potrdilo.

TP1002274603