关于FTPES (FTPS)功能

为了确保文件传输的安全,FTPS功能支持多种加密算法。为了兼容各种服务器,该功能支持多种加密算法,其中一些算法可能不符合当前的安全最佳实践。

FTPS功能支持的加密算法

支持以下加密算法。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

推荐加密算法

根据NIST建议(NIST SP 800-57第1部分修订版5)以及相关安全标准,推荐使用以下加密算法。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

关于已弃用的算法

为了保证兼容性,FTPS功能也支持以下算法,但根据NIST的建议(NIST SP 800-57第1部分修订版5)以及相关安全标准,这些算法已被弃用,并且可能会在未来的版本中被移除。

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

关于连接兼容性

FTPS功能旨在在安全性和兼容性之间寻求平衡。目前,由于以下原因,我们支持一些已弃用的算法,但为了提高安全性,未来版本可能会移除这些算法。

  • 自由摄影师和摄像师需要连接至运行在各种客户端上的服务器。
  • 需要保持与旧系统和遗留服务器的兼容性。
  • 并非所有用户都准备好切换到更安全的设置,因为在服务器端更改加密算法设置很复杂。
  • FTPS设置通常会与其他安全服务共享。任何更改都必须谨慎考虑,因为它们可能会对服务器上的其他服务产生影响。
  • 为了确保在不同环境中的互操作性,必须支持多种加密算法。

在FTPS连接期间使用的加密算法由与目的地服务器的自动协商确定,因此取决于服务器设置。虽然意识到存在安全风险,但目前优先考虑兼容性,以便满足用户的多样化需求。

安全风险

使用已弃用的算法(包括CBC/DHE/RSA/SHA-1)会增加加密数据被攻击者解密或篡改的风险,导致数据在传输过程中遭到泄露。

安全连接建议

使用FTPS功能之前,先检查连接目的地服务器是否支持推荐的加密算法。服务器端仅允许启用推荐的算法,禁止使用已弃用的算法。

使用安全FTP进行上传

可以使用显式模式FTPS (FTPES)上传文件,加密与目的地文件服务器之间的连接。

针对安全FTP传输,将文件传输目的地服务器上的[使用安全协议]设为[],并导入认证。

参考资料

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005(包括截至2016年10月6日的更新内容)。

认证

将FTPES (FTPS)功能使用的认证写入存储卡的根目录。按如下方式设置文件名称。

certification.pem(PEM格式)
每个认证可加载的最大认证大小为1 MB。

TP1002274571