FTPES (FTPS) İşlevi Hakkında

FTPS işlevi, güvenli dosya aktarımını sağlamak için çeşitli şifreleme algoritmalarını destekler. Birçok çeşitli sunucu ile uyumluluğun sağlanması için bazıları geçerli güvenlik en iyi uygulamaları ile uyumlu olmayabilecek birden fazla şifreleme algoritması desteklenir.

FTPS işlevi tarafından desteklenen şifreleme algoritmaları

Aşağıdaki şifreleme algoritmaları desteklenir.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Önerilen şifreleme algoritmaları

NIST önerileri (NIST SP 800-57 Bölüm 1 Revizyon 5) ve ilgili güvenlik standartlarına dayalı olarak aşağıdaki şifreleme algoritmaları önerilir.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Artık kullanılmayan algoritmalar hakkında

FTPS işlevi uyumluluk için aşağıdaki algoritmaları da destekler ancak bunlar NIST önerileri (NIST SP 800-57 Bölüm 1 Revizyon 5) ve ilgili güvenlik standartları nedeniyle artık kullanılmamaktadır ve ilerideki sürümlerde kullanımdan kaldırılabilir.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Bağlantı uyumluluğu için

FTPS işlevi, güvenlik ve uyumluluk arasında bir denge kurularak geliştirilmiştir. Mevcut durumda, artık kullanılmayan algoritmalar aşağıdaki nedenlerle desteklenmektedir ancak ileride güvenliği iyileştirmek için bunların kaldırılması mümkündür.

  • Serbest çalışan fotoğrafçı ve videografikerlerin çeşitli istemcilerde çalışan sunuculara bağlanması gerekir.
  • Daha eski sistemler ve eski sunucular ile uyumluluğun korunması gerekir.
  • Sunucu tarafında şifreleme algoritması ayarlarının değiştirilmesi karmaşık bir süreç olduğundan tüm kullanıcılar daha güvenli bir ortama geçmek için gerekli hazırlıkları yapmamış olabilir.
  • FTPS ayarları sıklıkla diğer güvenli hizmetler ile paylaşılır. Sunucu üzerindeki diğer hizmetler üzerinde bir etki yaratabileceklerinden her türlü değişikliğin dikkatlice düşünülmesi gerekir.
  • Farklı ortamlarda çalışabilirlik için geniş bir şifreleme algoritması aralığının desteklenmesi şarttır.

Bir FTPS bağlantısı sırasında kullanılan şifreleme algoritması, hedef sunucu ile otomatik anlaşma yoluyla belirlendiğinden, sunucu ayarlarına bağlıdır. Mevcut durumda kullanıcıların çeşitli ihtiyaçlarını karşılamak üzere güvenlik risklerinin bilincinde olunarak uyumluluğa öncelik verilmektedir.

Güvenlik riskleri

CBC/DHE/RSA/SHA-1'i de içeren eski algoritmaların kullanılması, saldırgan tarafından şifrelenmiş verilerin şifresinin çözülmesi ya da bu verilere müdahale edilmesi, bunun sonucunda da aktarım sırasında verilerin açığa çıkması riskini artırır.

Güvenli bağlantı için öneri

FTPS işlevini kullanmadan önce bağlantı hedef sunucusunun önerilen şifreleme algoritmasını destekleyip desteklemediğini kontrol edin. Sunucu tarafında yalnızca önerilen algoritmaları etkinleştirin ve artık kullanılmayan algoritmaları devre dışı bırakın.

Güvenli FTP kullanarak karşıya yükleme

Hedef dosya sunucusuna bağlantı için FTPS (FTPES) kullanarak dosyaları şifrelenmiş olarak yükleyebilirsiniz.

Güvenli FTP aktarımı için dosya aktarımı hedef sunucu ayarlarında [Using Secure Protocol] ayarını [On] olarak ayarlayın ve bir sertifika içe aktarın.

Referanslar

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (10/06/2016 itibarıyla yapılan güncellemeler ile birlikte).

Sertifika

FTPES (FTPS) işlevi tarafından kullanılan sertifikayı bir hafıza kartının kök dizinine yazın. Dosya adını aşağıdaki gibi ayarlayın.

certification.pem (PEM biçimi)
Karşıya yüklenebilecek maksimum sertifika boyutu, her bir sertifika için 1 MB'dir.

TP1002274523