О функции FTPES (FTPS)

Для обеспечения безопасной передачи файлов функция FTPS поддерживает различные алгоритмы шифрования. Для совместимости с разнообразными серверами поддерживаются многочисленные алгоритмы шифрования, некоторые из которых могут не соответствовать лучшим современным практикам обеспечения безопасности.

Алгоритмы шифрования, поддерживаемые функцией FTPS

Поддерживаются следующие алгоритмы шифрования.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Рекомендуемые алгоритмы шифрования

На основе рекомендаций Национального института стандартов и технологий США (NIST SP 800-57 Part 1 Revision 5) и соответствующих стандартов безопасности рекомендуются следующие алгоритмы шифрования.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Об алгоритмах, признанных нерекомендуемыми

Для обеспечения совместимости функция FTPS также поддерживает перечисленные ниже алгоритмы, но на основе рекомендаций Национального института стандартов и технологий США (NIST SP 800-57 Part 1 Revision 5) и соответствующих стандартов безопасности они признаны нерекомендуемыми и могут быть исключены в одной из последующих версий.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

О совместимости при соединении

Функция FTPS разработана с соблюдением баланса между безопасностью и совместимостью. В настоящее время по указанным ниже причинам поддерживаются признанные нерекомендуемыми алгоритмы, но они могут быть исключены в одной из последующих версий.

  • Внештатным фотографам и видеографам необходимо подключаться к серверам, работающим на различных клиентах.
  • Необходимо поддерживать совместимость с более старыми системами и устаревшими серверами.
  • Не все пользователи готовы перейти на более безопасную настройку из-за сложности изменения настроек алгоритма шифрования на стороне сервера.
  • Настройки FTPS часто совместно используются другими защищенными сервисами. Любые изменения должны быть тщательно обдуманы, так как они могут повлиять на другие сервисы на сервере.
  • Чтобы обеспечить возможность взаимодействия в разных средах, должен поддерживаться широкий спектр алгоритмов шифрования.

Используемый во время соединения FTPS алгоритм шифрования определяется путем автоматического согласования с целевым сервером и, следовательно, зависит от настроек сервера. При осознании угроз безопасности приоритет в настоящее время отдается совместимости для удовлетворения разнообразных потребностей пользователей.

Угрозы безопасности

Использование алгоритмов, признанных нерекомендуемыми, в том числе CBC/DHE/RSA/SHA-1, повышает риск расшифровки зашифрованных данных или нарушения их защиты злоумышленниками, что ведет к раскрытию данных во время передачи.

Рекомендации по безопасному подключению

Прежде чем использовать функцию FTPS, убедитесь, что сервер назначения подключения поддерживает рекомендуемый алгоритм шифрования. Включайте на стороне сервера только рекомендуемые алгоритмы, а алгоритмы, признанные нерекомендуемыми, отключайте.

Отправка с использованием безопасного FTP

Файлы можно отправлять с шифрованием, используя для подключения к целевому файловому серверу протокол FTPS в явном режиме (FTPES).

Для безопасной передачи по FTP задайте для параметра [Using Secure Protocol] значение [On] в настройках целевого файлового сервера и импортируйте сертификат.

Справочные материалы

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (с обновлениями по состоянию на 10.06.2016).

Сертификат

Запишите сертификат, используемый функцией FTPES (FTPS), в корневой каталог карты памяти. Задайте следующее имя файла.

certification.pem (формат PEM)
Максимальный раздел отдельного сертификата, который можно загрузить — 1 МБ.

TP1002221110