Om FTPES (FTPS)-funksjonen

FTPS-funksjonen støtter ulike krypteringsalgoritmer for å sikre sikker filoverføring. Flere krypteringsalgoritmer, hvorav noen kanskje ikke samsvarer med gjeldende beste praksis for sikkerhet, støttes for kompatibilitet med et bredt spekter av servere.

Krypteringsalgoritmer støttet av FTPS-funksjonen

Følgende krypteringsalgoritmer støttes.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Anbefalte krypteringsalgoritmer

Følgende krypteringsalgoritmer anbefales basert på NIST-anbefalingene (NIST SP 800-57 del 1 revisjon 5) og relaterte sikkerhetsstandarder.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Om utdaterte algoritmer

FTPS-funksjonen støtter også følgende algoritmer for kompatibilitet, men de er avviklet basert på NIST-anbefalingene (NIST SP 800-57 del 1 revisjon 5) og relaterte sikkerhetsstandarder, og kan bli fjernet i en fremtidig versjon.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Om tilkoblingskompatibilitet

FTPS-funksjonen er designet med en balanse mellom sikkerhet og kompatibilitet. Foreløpig støttes utdaterte algoritmer av følgende årsaker, men de kan bli fjernet i en fremtidig versjon for å forbedre sikkerheten.

  • Frilansfotografer og videografer må koble til servere som kjører på ulike klienter.
  • Kompatibilitet med eldre systemer og eldre servere må opprettholdes.
  • Ikke alle brukere er forberedt på å endre til en sikrere innstilling fordi det er komplisert å endre innstillingene for krypteringsalgoritmen på serversiden.
  • FTPS-innstillingene deles ofte med andre sikre tjenester. Eventuelle endringer må vurderes nøye, da de kan påvirke andre tjenester på serveren.
  • Et bredt spekter av krypteringsalgoritmer må støttes for å sikre interoperabilitet i forskjellige miljøer.

Krypteringsalgoritmen som brukes under en FTPS-tilkobling bestemmes av automatisk forhandling med målserveren og avhenger derfor av serverinnstillingene. Selv om man er klar over sikkerhetsrisikoene, er kompatibilitet for tiden prioritert for å tilfredsstille brukernes ulike behov.

Sikkerhetsrisikoer

Bruk av utdaterte algoritmer, inkludert CBC/DHE/RSA/SHA-1, øker risikoen for at krypterte data kan bli dekryptert eller tuklet med av en angriper, og avsløre data under overføring.

Anbefaling for sikker tilkobling

Før du bruker FTPS-funksjonen, kontroller at målserveren for tilkobling støtter den anbefalte krypteringsalgoritmen. Aktiver bare de anbefalte algoritmene på serversiden og deaktiver de utdaterte algoritmene.

Opplasting ved hjelp av sikker FTP

Du kan laste opp filer med kryptering som bruker FTPS i eksplisitt modus (FTPES) for tilkoblingen til målfilserveren.

For sikker FTP-overføring, sett [Using Secure Protocol] til [On] i innstillingene for målserveren for filoverføring, og importer et sertifikat.

Referanser

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (inkluderer oppdateringer per 06.10.2016).

Sertifikat

Skriv sertifikatet som brukes av FTPES-funksjonen (FTPS) til rotkatalogen på et minnekort. Still inn filnavnet som følger.

certification.pem (PEM-format)
Maksimal sertifikatstørrelse som kan lastes er 1 MB per sertifikat.

TP1002221046