ข้อควรระวังด้านความปลอดภัย | คู่มือช่วยเหลือ

เกี่ยวกับฟังก์ชัน FTPES (FTPS)

ฟังก์ชัน FTPS รองรับอัลกอริทึมการเข้ารหัสต่างๆ เพื่อให้มั่นใจถึงการโอนย้ายไฟล์ที่ปลอดภัย รองรับอัลกอริทึมการเข้ารหัสหลายแบบ ซึ่งบางแบบอาจไม่สอดคล้องกับแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดในปัจจุบัน เพื่อให้เข้ากันได้กับเซิร์ฟเวอร์ที่หลากหลาย

อัลกอริทึมการเข้ารหัสที่รองรับโดยฟังก์ชัน FTPS

อัลกอริทึมการเข้ารหัสที่รองรับมีดังต่อไปนี้

TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

อัลกอริทึมการเข้ารหัสที่แนะนำ

แนะนำให้ใช้อัลกอริทึมการเข้ารหัสต่อไปนี้ตามคำแนะนำของ NIST (NIST SP 800-57 Part 1 Revision 5) และมาตรฐานความปลอดภัยที่เกี่ยวข้อง

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

เกี่ยวกับอัลกอริทึมที่เลิกใช้แล้ว

ฟังก์ชัน FTPS ยังรองรับอัลกอริทึมความเข้ากันได้ต่อไปนี้ แต่จะไม่รองรับอีกต่อไปตามคำแนะนำของ NIST (NIST SP 800-57 Part 1 Revision 5) และมาตรฐานความปลอดภัยที่เกี่ยวข้อง และอาจถูกลบออกในเวอร์ชันถัดไป

TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

เกี่ยวกับความเข้ากันได้ของการเชื่อมต่อ

ฟังก์ชัน FTPS ได้รับการออกแบบให้มีความสมดุลระหว่างความปลอดภัยและความเข้ากันได้ ปัจจุบัน อัลกอริธึมที่เลิกใช้แล้วได้รับการรองรับด้วยเหตุผลต่อไปนี้ แต่อาจถูกลบออกในเวอร์ชันถัดไปเพื่อปรับปรุงความปลอดภัย

ช่างภาพและช่างวิดีโออิสระจำเป็นต้องเชื่อมต่อกับเซิร์ฟเวอร์ที่ทำงานบนไคลเอนท์ต่างๆ
จำเป็นต้องรักษาความเข้ากันได้กับระบบเก่าและเซิร์ฟเวอร์เดิม
ผู้ใช้บางรายอาจไม่พร้อมที่จะเปลี่ยนเป็นการตั้งค่าที่ปลอดภัยยิ่งขึ้น เนื่องจากการเปลี่ยนการตั้งค่าอัลกอริทึมการเข้ารหัสทางฝั่งเซิร์ฟเวอร์มีความซับซ้อน
การตั้งค่า FTPS มักถูกแชร์กับบริการที่ปลอดภัยอื่นๆ การเปลี่ยนแปลงใดๆ จะต้องได้รับการพิจารณาอย่างรอบคอบเนื่องจากอาจส่งผลกระทบต่อบริการอื่นๆ บนเซิร์ฟเวอร์
จะต้องรองรับอัลกอริทึมการเข้ารหัสที่หลากหลายเพื่อให้แน่ใจว่าสามารถทำงานร่วมกันได้ในสภาพแวดล้อมที่แตกต่างกัน

อัลกอริทึมการเข้ารหัสที่ใช้ในระหว่างการเชื่อมต่อ FTPS ถูกกำหนดโดยการเจรจาอัตโนมัติกับเซิร์ฟเวอร์ปลายทาง ดังนั้นจึงขึ้นอยู่กับการตั้งค่าเซิร์ฟเวอร์ แม้จะตระหนักถึงความเสี่ยงด้านความปลอดภัย แต่ความเข้ากันได้เป็นสิ่งสำคัญที่สุดเพื่อตอบสนองความต้องการที่หลากหลายของผู้ใช้

ความเสี่ยงด้านความปลอดภัย

การใช้อัลกอริธึมที่เลิกใช้แล้ว รวมถึง CBC/DHE/RSA/SHA-1 จะเพิ่มความเสี่ยงที่ข้อมูลที่เข้ารหัสอาจถูกถอดรหัสหรือดัดแปลงโดยผู้โจมตี และส่งผลให้ข้อมูลถูกเปิดเผยระหว่างการโอนย้าย

คำแนะนำสำหรับการเชื่อมต่อที่ปลอดภัย

ก่อนใช้ฟังก์ชัน FTPS ให้ตรวจสอบว่าเซิร์ฟเวอร์ปลายทางการเชื่อมต่อรองรับอัลกอริทึมการเข้ารหัสที่แนะนำหรือไม่ เปิดใช้งานเฉพาะอัลกอริทึมที่แนะนำบนฝั่งเซิร์ฟเวอร์ และปิดใช้งานอัลกอริทึมที่เลิกใช้แล้ว

การอัพโหลดโดยใช้ FTP ที่ปลอดภัย

คุณสามารถอัพโหลดไฟล์ที่มีการเข้ารหัสลับไว้โดยใช้ FTPS ในโหมด Explicit (FTPES) เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ไฟล์ปลายทาง

สำหรับการโอนย้ายด้วย FTP ที่ปลอดภัย ให้ตั้ง [Using Secure Protocol] เป็น [On] ในการตั้งค่าเซิร์ฟเวอร์ปลายทางการโอนย้ายไฟล์และนำเข้าใบรับรอง

การอ้างอิง

Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (รวมถึงการปรับปรุง ณ วันที่ 10/06/2016).

ใบรับรอง

เขียนใบรับรองโดยใช้ฟังก์ชัน FTPES (FTPS) ไปยังไดเรกทอรีรากของการ์ดความจำ ตั้งชื่อไฟล์ดังต่อไปนี้

certification.pem (รูปแบบ PEM)
ขนาดใบรับรองสูงสุดที่สามารถโหลดได้คือ 1 MB ต่อใบรับรอง

TP1002274659