Teave FTPES (FTPS)-funktsiooni kohta

FTPS-funktsioon toetab turvalise failiedastuse tagamiseks eri krüpteerimisalgoritme. Paljude eri serveritega ühilduvuse tagamiseks on toetatud mitmed krüpteerimisalgoritmid, millest mõned ei pruugi praeguste turvalisuse heade tavadega vastavuses olla.

FTPS-funktsiooni toetatud krüpteerimisalgoritmid

Toetatud on järgmised krüpteerimisalgoritmid.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Soovitatud krüpteerimisalgoritmid

NIST-i soovituste (NIST SP 800-57 osa 1, parandus 5) ja seotud turbestandardite põhjal soovitatakse järgmisi krüpteerimisalgoritme.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Teave iganenud algoritmide kohta

FTPS-funktsioon toetab ühilduvuse puhul ka järgmisi algoritme, kuid need on NIST-i soovituste (NIST SP 800-57 osa 1, parandus 5) ja seotud turbestandardite põhjal iganenud ning võidakse tulevases versioonis eemaldada.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Teave ühenduse ühilduvuse kohta

FTPS-funktsioon on loodud turvalisuse ja ühilduvuse tasakaalu silmas pidades. Praegu on iganenud algoritmid toetatud järgmistel põhjustel, kuid need võidakse tulevases versioonis turvalisuse suurendamiseks eemaldada.

  • Vabakutselised foto- ja videograafid peavad loom ühenduse eri klientarvutites töötavate serveritega.
  • Ühilduvus vanemate süsteemide ja pärandserveritega tuleb säilitada.
  • Kõik kasutajad ei ole valmis turvalisemale seadistustele üle minema, kuna serveri pool on krüpteerimisalgoritmi seadete muutmine keeruline.
  • FTPS-i seadeid jagatakse sageli muude turbeteenustega. Kõiki muudatusi tuleb hoolikalt kaaluda, kuna need võivad mõjutada muid serveri teenuseid.
  • Vaja on väga mitmesuguste krüpteerimisalgoritmide tuge, et tagada eri keskkondades koostalitlusvõime.

FTPS-ühenduse ajal kasutatav krüpteerimisalgoritm määratletakse sihtserveriga automaatse kooskõlastuse kaudu ja oleneb seetõttu serveri seadetest. Turvariskidest ollakse küll teadlik, kuid hetkel on prioriteet rahuldada kasutajate mitmekülgsed vajadused.

Turvariskid

Iganenud algoritmide (sh CBC/DHE/RSA/SHA-1) kasutamine suurendab ohtu, et ründaja võib krüpteeritud andmed dekrüpteerida või neid manipuleerida, seades andmed edastuse ajal ohtu.

Turvalise ühenduse soovitused

Enne FTPS-funktsiooni kasutamist kontrollige, kas ühenduse sihtserver toetab soovitatud krüpteerimisalgoritmi. Lubage server pool ainult soovitatud algoritmid ja keelake iganenud algoritmid.

Üleslaadimine turvalise FTP kaudu

Failid saate laadida üles krüpteeritult, kasutades FTPS-i Explicit-režiimis (FTPES), et luua ühendus failide sihtserveriga.

Turvalise FTP-edastuse jaoks määrake failiedastusserveri sätetes suvandi [Using Secure Protocol] seadeks [On] ja importige sertifikaat.

Viited

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (hõlmab värskendusi alates 10.06.2016).

Sertifikaat

Kirjutage FTPES (FTPS)-funktsiooni kasutatav sertifikaat mälukaardi juurkausta. Määrake faili nimi järgmiselt:

certification.pem (PEM-vorming)
Laaditava sertifikaadi maksimaalne suurus on 1 MB.

TP1002220981