Informácie o funkcii FTPES (FTPS)

Funkcia FTPS podporuje rôzne šifrovacie algoritmy na zabezpečenie bezpečného prenosu súborov. Na zabezpečenie kompatibility so širokou škálou serverov je podporovaných viacero šifrovacích algoritmov, z ktorých niektoré nemusia byť v súlade so súčasnými osvedčenými bezpečnostnými postupmi.

Šifrovacie algoritmy podporované funkciou FTPS

Podporované sú nasledujúce šifrovacie algoritmy.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Odporúčané šifrovacie algoritmy

Na základe odporúčaní NIST (NIST SP 800-57 časť 1 revízia 5) a súvisiacich bezpečnostných noriem sa odporúčajú nasledujúce šifrovacie algoritmy.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

O zastaraných algoritmoch

Funkcia FTPS podporuje z dôvodu kompatibility aj nasledujúce algoritmy, ktoré sú však na základe odporúčaní NIST (NIST SP 800-57 časť 1 revízia 5) a súvisiacich bezpečnostných štandardov zastarané a v budúcej verzii môžu byť odstránené.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

O kompatibilite pripojenia

Funkcia FTPS je navrhnutá s ohľadom na rovnováhu medzi bezpečnosťou a kompatibilitou. V súčasnosti sú zastarané algoritmy podporované z nasledujúcich dôvodov, ale v budúcej verzii môžu byť odstránené s cieľom zlepšiť bezpečnosť.

  • Fotografovia a kameramani na voľnej nohe sa musia pripájať k serverom, ktoré bežia na rôznych klientoch.
  • Je potrebné zachovať kompatibilitu so staršími systémami a staršími servermi.
  • Nie všetci používatelia sú pripravení prejsť na bezpečnejšie nastavenie, pretože zmena nastavení šifrovacieho algoritmu na strane servera je komplikovaná.
  • Nastavenia FTPS sa často zdieľajú s inými zabezpečenými službami. Akékoľvek zmeny je potrebné starostlivo zvážiť, pretože môžu mať vplyv na ostatné služby na serveri.
  • Na zabezpečenie interoperability v rôznych prostrediach je potrebné podporovať širokú škálu šifrovacích algoritmov.

Šifrovací algoritmus používaný počas pripojenia FTPS sa určuje automatickým vyjednávaním s cieľovým serverom, a preto závisí od nastavení servera. Hoci si uvedomujeme bezpečnostné riziká, v súčasnosti sa uprednostňuje kompatibilita, aby sa uspokojili rôzne potreby používateľov.

Bezpečnostné riziká

Používanie zastaraných algoritmov vrátane CBC/DHE/RSA/SHA-1 zvyšuje riziko, že zašifrované údaje môže útočník dešifrovať alebo s nimi manipulovať, čím sa údaje počas prenosu odhalia.

Odporúčanie pre bezpečné pripojenie

Pred použitím funkcie FTPS skontrolujte, či cieľový server pripojenia podporuje odporúčaný šifrovací algoritmus. Na strane servera povoľte iba odporúčané algoritmy a zakážte zastarané algoritmy.

Nahrávanie pomocou zabezpečeného FTP

Súbory môžete odosielať so šifrovaním pomocou protokolu FTPS v explicitnom režime (FTPES) pre spojenie s cieľovým súborovým serverom.

Pre zabezpečený prenos FTP nastavte [Using Secure Protocol] na [On] v nastaveniach cieľového servera prenosu súborov a importujte certifikát.

Odkazy

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (obsahuje aktualizácie k 10. 6. 2016).

Certifikát

Zapíšte certifikát používaný funkciou FTPES (FTPS) do koreňového adresára pamäťovej karty. Názov súboru nastavte takto.

certification.pem (formát PEM)
Maximálna veľkosť certifikátu, ktorú možno načítať, je 1 MB na certifikát.

TP1002221126