Over de FTPES (FTPS)-functie

De FTPS-functie ondersteunt verschillende versleutelingsalgoritmes om een veilige bestandsoverdracht te garanderen. Verschillende versleutelingsalgoritmes, waarvan sommige mogelijk niet voldoen aan de huidige beste praktijken voor beveiliging, worden ondersteund voor compatibiliteit met een breed scala van servers.

Versleutelingsalgoritmes ondersteund door de FTPS-functie

De volgende versleutelingsalgoritmes worden ondersteund.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Aanbevolen versleutelingsalgoritmes

De volgende versleutelingsalgoritmes worden aanbevolen op basis van de NIST-aanbevelingen (NIST SP 800-57 Deel 1 Revisie 5) en gerelateerde beveiligingsstandaarden.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Over verouderde algoritmes

De FTPS-functie ondersteunt ook de volgende algoritmes voor compatibiliteit, maar deze zijn verouderd op basis van de NIST-aanbevelingen (NIST SP 800-57 Deel 1 Revisie 5) en gerelateerde beveiligingsstandaarden en worden mogelijk in een toekomstige versie verwijderd.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Over verbindingscompatibiliteit

De FTPS-functie is ontworpen met een evenwicht tussen beveiliging en compatibiliteit. Momenteel worden verouderde algoritmen ondersteund om volgende redenen, maar deze worden in een toekomstige versie mogelijk verwijderd om de beveiliging te verbeteren.

  • Freelance fotografen en videografen moeten verbinding maken met servers die op verschillende clients draaien.
  • Compatibiliteit met oudere systemen en verouderde servers moet onderhouden worden.
  • Niet alle gebruikers zijn bereid om over te stappen op veiligere instellingen, omdat het wijzigen van de instellingen van versleutelingsalgoritmes aan de serverkant ingewikkeld is.
  • De FTPS-instellingen worden vaak gedeeld met andere beveiligde diensten. Eventuele wijzigingen moeten zorgvuldig worden overwogen, omdat ze van invloed kunnen zijn op andere diensten op de server.
  • Er moet een breed scala aan versleutelingsalgoritmes worden ondersteund om interoperabiliteit in verschillende omgevingen te garanderen.

Het versleutelingsalgoritme dat wordt gebruikt tijdens een FTPS-verbinding wordt bepaald door automatische onderhandeling met de bestemmingsserver en is daarom van de serverinstellingen afhankelijk. Hoewel wij ons bewust zijn van de beveiligingsrisico's, wordt op dit moment voorrang gegeven aan compatibiliteit om aan de uiteenlopende behoeften van gebruikers te voldoen.

Beveiligingsrisico's

Het gebruik van verouderde algoritmes, waaronder CBC/DHE/RSA/SHA-1, vergroot het risico dat versleutelde gegevens worden ontsleuteld en gemanipuleerd door een aanvaller, waardoor er tijdens het overdragen toegang is tot gegevens.

Aanbevelingen voor beveiligde verbinding

Controleer voordat u de FTPS-streamingfunctie gebruikt of de bestemmingsserver van de verbinding het aanbevolen versleutelingsalgoritme ondersteunt. Schakel alleen de aanbevolen algoritmes aan de serverkant in en schakel de verouderde algoritmes uit.

Uploaden via beveiligde FTP

U kunt bestanden met versleuteling uploaden met behulp van FTPS in expliciete modus (FTPES) voor de verbinding met de bestemmingsbestandsserver.

Voor veilige FTP-overdracht, stelt u [Using Secure Protocol] in op [On] in de instellingen van de bestemmingsserver voor bestandsoverdracht en importeert u een certificaat.

Verwijzingen

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (bevat updates per 10/06/2016).

Certificaat

Schrijf het certificaat dat wordt gebruikt door de FTPES (FTPS)-functie naar de hoofdmap van een geheugenkaart. Stel de bestandsnaam als volgt in.

certification.pem (PEM-indeling)
De maximale certificaatgrootte die kan worden geladen, is 1 MB per certificaat.

TP1002220973