Acerca de la función FTPES (FTPS)

La función FTPS admite varios algoritmos de encriptación para garantizar una transferencia segura de archivos. Se admiten múltiples algoritmos de encriptación, algunos de los cuales podrían no cumplir con las prácticas recomendadas de seguridad actuales, para garantizar la compatibilidad con una amplia gama de servidores.

Algoritmos de cifrado compatibles con la función de FTPS

Los siguientes algoritmos de cifrado son compatibles.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Algoritmos de cifrado recomendados

Los siguientes algoritmos de cifrado se recomiendan según las recomendaciones de NIST (NIST SP 800-57 parte 1, revisión 5) y los estándares de seguridad relacionados.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Acerca de los algoritmos obsoletos

La función FTPS también es compatible con los siguientes algoritmos, pero están obsoletos según las recomendaciones de NIST (NIST SP 800-57 parte 1, revisión 5) y los estándares de seguridad relativos, por lo que podrían quitarse en una versión futura.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Acerca de la compatibilidad de conexión

La función FTPS está diseñada con un equilibrio entre seguridad y compatibilidad. Actualmente, se admiten algoritmos obsoletos por las siguientes razones, aunque podrían eliminarse en una versión futura para mejorar la seguridad:

  • Los fotógrafos y videógrafos autónomos necesitan conectarse a servidores que funcionan con diversos clientes.
  • Es necesario mantener la compatibilidad con sistemas antiguos y servidores heredados.
  • No todos los usuarios están preparados para cambiar a una configuración más segura, ya que modificar los ajustes del algoritmo de cifrado en el servidor es complicado.
  • La configuración de FTPS suele compartirse con otros servicios seguros. Cualquier cambio debe considerarse cuidadosamente, ya que podría afectar a otros servicios en el servidor.
  • Debe admitirse una amplia gama de algoritmos de cifrado para garantizar la interoperabilidad en distintos entornos.

El algoritmo de cifrado utilizado durante una conexión FTPS se determina mediante negociación automática con el servidor de destino y, por lo tanto, depende de la configuración del servidor. A pesar de estar al tanto de los riesgos de seguridad, actualmente se prioriza la compatibilidad para satisfacer las diversas necesidades de los usuarios.

Riesgos de seguridad

El uso de algoritmos obsoletos, incluidos CBC/DHE/RSA/SHA-1, incrementa el riesgo de que los datos cifrados sean descifrados o manipulados por un atacante, exponiendo los datos durante su transferencia.

Recomendación para una conexión segura

Antes de utilizar la función FTPS, compruebe que el servidor de destino de la conexión admita el algoritmo de cifrado recomendado. Habilite únicamente los algoritmos recomendados en el servidor y desactive los algoritmos obsoletos.

Carga a través de FTP segura

Puede cargar archivos cifrados a través de FTPS en el modo Explicit (FTPES) para conectarse con el servidor de archivos de destino.

Para una transferencia de FTP segura, ajuste [Using Secure Protocol] en [On] en el servidor de destino de transferencia de archivos e importe un certificado.

Referencias

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (incluye las actualizaciones del 10/06/2016).

Certificado

Escriba el certificado utilizado por la función FTPES (FTPS) en el directorio raíz de una tarjeta de memoria. Defina el nombre del archivo como se especifica a continuación.

certification.pem (formato PEM)
En los certificados, el tamaño máximo que puede cargarse es de 1 MB por cada uno.

TP1002221022