O funkci FTPES (FTPS)

Funkce FTPS podporuje různé algoritmy šifrování pro zajištění bezpečného přenosu souborů. Je podporováno více algoritmů šifrování, z nichž některé nemusejí splňovat požadavky aktuálních ověřených postupů v rámci zabezpečení, z důvodu kompatibility se širokou řadou serverů.

Algoritmy šifrování podporované funkcí FTPS

Podporovány jsou následující algoritmy šifrování.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Doporučené algoritmy šifrování

Na základě doporučení NIST (NIST SP 800-57 Part 1 Revision 5) a souvisejících bezpečnostních standardů se doporučují následující algoritmy šifrování.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

O zastaralých algoritmech

Z důvodu kompatibility podporuje funkce FTPS i následující algoritmy, ovšem podle doporučení NIST (NIST SP 800-57 Part 1 Revision 5) a souvisejících bezpečnostních standardů jsou zastaralé a v budoucí verzi může dojít k jejich odstranění.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

O kompatibilitě spojení

Funkce FTPS je vytvořena s vyváženou bezpečností a kompatibilitou. Aktuálně jsou z následujících důvodů podporovány zastaralé algoritmy, ale v budoucí verzi mohou být odstraněny z důvodu zlepšení zabezpečení.

  • Fotografové a kameramani na volné noze se potřebují připojovat k serverům spuštěným na různých klientech.
  • Je nutno zachovat kompatibilitu se staršími systémy a servery.
  • Nikoli všichni uživatelé jsou připraveni na přechod na bezpečnější nastavení, protože změna nastavení algoritmu šifrování na straně serveru je komplikovaná.
  • Nastavení FTPS jsou často sdílena s jinými zabezpečenými službami. Jakékoliv změny je třeba pečlivě zvážit, protože mohou mít dopad na další služby na serveru.
  • Je nutno podporovat širokou řadu algoritmů šifrování, aby byla zajištěna interoperabilita v různých prostředích.

Algoritmus šifrování používaný během připojení FTPS je určen automatickou „dohodou“ s cílovým serverem, a tak závisí na nastavení serveru. Ačkoli jsme si vědomi bezpečnostních rizik, v současnosti j upřednostňována kompatibilita, aby byly uspokojeny nejrůznější potřeby uživatelů.

Bezpečnostní rizika

Používání zastaralých algoritmů, mj. CBC/DHE/RSA/SHA-1, zvyšuje riziko, že zašifrovaná data může být možno rozšifrovat nebo zmanipulovat ze strany útočníka, a tak by data mohla být během přenosu vyzrazena.

Doporučení bezpečného spojení

Před použitím funkce FTPS ověřte, zda cílový server spojení podporuje doporučený algoritmus šifrování. Na straně serveru povolte pouze doporučené algoritmy a zakažte zastaralé algoritmy.

Odesílání pomocí zabezpečeného protokolu FTP

Soubory můžete nahrávat šifrovaně prostřednictvím protokolu FTPS v explicitním režimu (FTPES) pro připojení k cílovému souborovému serveru.

Chcete-li provést přenos protokolem Secure FTP, nastavte možnost [Using Secure Protocol] na volbu [On] na cílovém serveru přenosu souborů a importujte certifikát.

Reference

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (včetně aktualizací ke dni 10/06/2016).

Certifikát

Zapište certifikát používaný funkcí FTPES (FTPS) do kořenového adresáře paměťové karty. Nastavte název souboru následujícím způsobem.

certification.pem (formát PEM)
Maximální velikost certifikátu, kterou lze nahrát, je 1 MB na certifikát.

TP1002220957