Относно функцията FTPES (FTPS)

Функцията FTPS поддържа различни алгоритми за криптиране, за да осигури защитен трансфер на файлове. Множество от алгоритмите за криптиране, някои от които може и да не отговарят на съвременните най-добри практики за сигурност, се поддържат заради съвместимостта им с широк набор от сървъри.

Алгоритмите за криптиране се поддържат от функцията FTPS

Поддържат се следните алгоритми за криптиране:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Препоръчителни алгоритми за криптиране

Следните алгоритми за криптиране са препоръчителни въз основа на препоръките на Националния институт за стандарти и технологии (NIST) (NIST SP 800-57 част 1, редакция 5) и други свързани стандарти за сигурност:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Относно непрепоръчителните алгоритми

Функцията FTPS поддържа също и следните алгоритми за съвместимост, но те не се препоръчват, въз основа на препоръките на NIST, (NIST SP 800-57 част 1, редакция 5) и други свързани стандарти за сигурност и може да бъдат премахнати в бъдеща версия:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Относно съвместимостта на връзката

Функцията FTPS е проектирана за баланс между сигурност и съвместимост. Към момента непрепоръчителните алгоритми се поддържат по следните причини, но те може да бъдат премахнати в бъдещи версии с цел подобряване на сигурността:

  • Фотографи и видеооператори на свободна практика се нуждаят от връзка със сървъри на различни клиенти.
  • Съвместимостта със стари системи и остарели сървъри трябва да се поддържа.
  • Не всички потребители са готови да преминат към по-безопасни настройки, тъй като промяната в настройките на алгоритъма за криптиране на сървъра е сложна.
  • Настройките на FTPS често се споделят с други защитени услуги. Всякакви промени трябва да бъдат обмислени внимателно, тъй като те може да окажат въздействие върху други услуги на сървъра.
  • Трябва да се поддържа голям набор от алгоритми за криптиране, за да се осигури оперативна съвместимост в различни среди.

Алгоритъмът за криптиране, използван по време на FTPS връзка се определя чрез автоматично установяване на връзка със сървъра на дестинацията и следователно зависи от настройките на сървъра. Въпреки че рисковете за сигурността са познати, към момента с приоритет е съвместимостта с цел да се задоволят разнообразните нужди на потребителите.

Рискове за сигурността

Употребата на непрепоръчителни алгоритми, включително CBC/DHE/RSA/SHA-1, повишава риска от декриптиране на криптираните данни или намесата от нападател, който да разкрие данни по време на трансфер.

Препоръки за безопасна връзка

Преди употреба на функцията FTPS проверете дали сървърът на дестинация на връзката поддържа препоръчителните алгоритми за криптиране. Активирайте единствено препоръчаните алгоритми от страна на сървъра и деактивирайте непрепоръчителните алгоритми.

Качване чрез защитен FTP

Можете да качвате файлове с криптиране с използване на FTPS в режим Explicit (FTPES) за връзка с файловия сървър на местоназначението.

За сигурен FTP трансфер, настройте [Using Secure Protocol] на [On] в настройките на сървъра на дестинацията за трансфер на файлове и импортирайте сертификат.

Справки

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (съдържа актуализации от 10.06.2016 г.).

Сертификат

Запишете сертификата, използван от функцията FTPES (FTPS), в коренната директория на картата памет. Променете името на файла на следното:

certification.pem (формат PEM)
Максималната големина на сертификат, който може да бъде зареден, е 1 MB на сертификат.

TP1002220932