O FTPES (FTPS) funkciji

FTPS funkcija podržava različite algoritme za enkripciju kako bi se osigurao bezbedan prenos datoteka. Višestruki algoritmi za enkripciju, od kojih neki možda nisu u skladu sa trenutnim najboljim praksama za bezbednost, podržani su radi kompatibilnosti sa širokim spektrom servera.

Algoritmi za enkripciju koje podržava FTPS funkcija

Podržani su sledeći algoritmi za enkripciju.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Preporučeni algoritmi za enkripciju

Sledeći algoritmi za enkripciju se preporučuju na osnovu NIST preporuka (NIST SP 800-57 Deo 1 Revizija 5) i srodnih standarda bezbednosti.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

O zastarelim algoritmima

FTPS funkcija takođe podržava sledeće algoritme radi kompatibilnosti, ali su oni zastareli na osnovu NIST preporuka (NIST SP 800-57 Deo 1 Revizija 5) i srodnih standarda bezbednosti, i mogu biti uklonjeni u budućoj verziji.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

O kompatibilnosti veze

FTPS funkcija je dizajnirana za ravnotežu između bezbednosti i kompatibilnosti. Trenutno su zastareli algoritmi podržani iz sledećih razloga, ali mogu biti uklonjeni u budućoj verziji kako bi se poboljšala bezbednost.

  • Honorarni fotografi i video snimatelji treba da se povežu sa serverima koji rade na različitim klijentima.
  • Potrebno je održavati kompatibilnost sa starijim sistemima i nasleđenim serverima.
  • Nisu svi korisnici spremni da pređu na bezbednije podešavanje jer je promena podešavanja algoritama za enkripciju na serverskoj strani komplikovana.
  • FTPS podešavanja se često dele sa drugim bezbednosnim uslugama. Sve promene moraju biti pažljivo razmotrene jer mogu uticati na druge usluge na serveru.
  • Mora biti podržan širok spektar algoritama za enkripciju kako bi se osigurala interoperabilnost u različitim okruženjima.

Algoritam za enkripciju koji se koristi tokom FTPS veze određuje se automatskom komunikacijom sa odredišnim serverom i stoga zavisi od podešavanja servera. Iako smo svesni bezbednosnih rizika, trenutno se prioritet daje kompatibilnosti kako bi se zadovoljile raznovrsne potrebe korisnika.

Bezbednosni rizici

Korišćenje zastarelih algoritama, uključujući CBC/DHE/RSA/SHA-1, povećava rizik da šifrovani podaci mogu biti dešifrovani ili izmenjeni od strane napadača, izlažući podatke tokom prenosa.

Preporuka za bezbednu vezu

Pre korišćenja FTPS funkcije, proverite da li odredišni server za povezivanje podržava preporučeni algoritam za enkripciju. Omogućite samo preporučene algoritme na strani servera i onemogućite zastarele algoritme.

Otpremanje putem obezbeđenog FTP servera

Šifrovane datoteke možete da otpremite pomoću FTPS u eksplicitnom režimu (FTPES) za vezu sa odredišnim serverom za datoteke.

Za obezbeđeni prenos putem FTP servera, podesite [Using Secure Protocol] na [On] u podešavanjima za odredišni server za prenos podataka i uvezite sertifikat.

Reference

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (uključuje ažurirane verzije od 10. 6. 2016.).

Sertifikat

Upišite sertifikat koji koristi FTPES (FTPS) funkcija u osnovni direktorijum memorijske kartice. Postavite naziv datoteke na sledeći način.

certification.pem (PEM format)
Maksimalna veličina sertifikata koja se može učitati je 1 MB po sertifikatu.

TP1002274587