Apie FTPES (FTPS) funkciją

FTPS funkcija palaiko įvairius šifravimo algoritmus, kad būtų užtikrintas saugus failų perdavimas. Įvairūs šifravimo algoritmai, iš kurių ne visi gali atitikti dabartinę geriausią saugumo praktiką, palaikomi dėl suderinamumo su įvairiais serveriais.

FTPS funkcijos palaikomi šifravimo algoritmai

Palaikomi toliau nurodyti šifravimo algoritmai.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Rekomenduojami šifravimo algoritmai

Toliau nurodyti šifravimo algoritmai yra rekomenduojami pagal NIST rekomendacijas (NIST SP 800-57, 1 dalis, 5 redakcija) ir susijusius saugumo standartus.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Apie pasenusius algoritmus

FTPS funkcija taip pat palaiko toliau nurodytus algoritmus dėl suderinamumo, tačiau pagal NIST rekomendacijas (NIST SP 800-57, 1 dalis, 5 redakcija) ir susijusius saugumo standartus jie yra pasenę ir būsimose versijose gali būti pašalinti.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Apie ryšio suderinamumą

FTPS funkcija sukurta subalansuojant saugumą ir suderinamumą. Šiuo metu pasenę algoritmai palaikomi dėl toliau nurodytų priežasčių, bet būsimose versijose gali būti pašalinti siekiant didesnio saugumo.

  • Laisvai samdomiems fotografams ir videografams reikia prisijungti prie įvairių klientų serverių.
  • Turi būti išlaikytas suderinamumas su senesnėmis sistemomis ir senstelėjusiais serveriais.
  • Ne visi naudotojai yra pasirengę pereiti prie saugesnių nustatymų, nes šifravimo algoritmų nuostatų keitimas serverio pusėje yra sudėtingas.
  • FTPS nuostatos dažnai bendrinamos su kitomis saugumo paslaugomis. Bet kokius pakeitimus būtina gerai apgalvoti, nes jie gali turėti įtakos ir kitoms serverio paslaugoms.
  • Turi būti palaikomi įvairūs šifravimo algoritmai, kad būtų užtikrinta sąveika skirtingose aplinkose.

Šifravimo algoritmai, naudojami per FTPS ryšį, nustatomi vedant automatines derybas su paskirties vietos serveriu, todėl priklauso nuo serverio nuostatų. Nors žinoma apie saugumo rizikas, šiuo metu pirmenybė teikiama suderinamumui, kad būtų tenkinami įvairūs naudotojų poreikiai.

Saugumo rizikos

Naudojant pasenusius algoritmus, įskaitant CBC / DHE / RSA / SHA-1, padidėja rizika, kad užšifruoti duomenys bus iššifruoti arba sugadinti įsibrovėlio ir atskleisti transliavimo metu.

Saugaus ryšio rekomendacijos

Prieš naudodami FTPS funkciją patikrinkite, ar ryšio paskirties vietos serveris palaiko rekomenduojamą šifravimo algoritmą. Serverio pusėje įgalinkite tik rekomenduojamus algoritmus ir išjunkite pasenusius algoritmus.

Įkeliama naudojant saugų FTP

Galite įkelti šifruotus failus naudodami FTPS, per atskirojo režimo (FTPES) ryšį su paskirties failų serveriu.

Norėdami saugiai perkelti per FTP, nustatykite [Using Secure Protocol] to [On] failų perdavimo paskirties serverio nustatymuose ir importuokite sertifikatą.

Nuorodos

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (įskaitant atnaujinimus nuo 2016-10-06).

Sertifikatas

Įrašykite FTPES (FTPS) funkcijos naudojamą sertifikatą į atminties kortelės šakninį katalogą. Nustatykite pavadinimą, kaip nurodyta toliau.

certification.pem (PEM formatas)
Didžiausias sertifikatas, kurį galima įkelti, yra 1 MB vienam sertifikatui.

TP1002221086