Om FTPES (FTPS)-funktionen

FTPS-funktionen stöder olika krypteringsalgoritmer för att säkerställa säker filöverföring. Flera krypteringsalgoritmer, varav vissa kanske inte uppfyller gällande säkerhetsstandarder, stöds på grund av kompatibilitet med ett stort antal servrar.

Krypteringsalgoritmer som stöds av FTPS-funktionen

Följande krypteringsalgoritmer stöds.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Rekommenderade krypteringsalgoritmer

Följande krypteringsalgoritmer rekommenderas baserat på NIST:s rekommendationer (NIST SP 800-57 del 1 revision 5) och relaterade säkerhetsstandarder.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Om föråldrade algoritmer

FTPS-funktionen stöder även följande algoritmer för kompatibilitet, men de är föråldrade enligt NIST-rekommendationerna (NIST SP 800-57 Del 1 Revidering 5) och relaterade säkerhetsstandarder och kan komma att tas bort i en framtida version.

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Om anslutningskompatibilitet

FTPS-funktionen är utformad med en balans mellan säkerhet och kompatibilitet. För närvarande stöds föråldrade algoritmer av följande skäl, men de kan komma att tas bort i en framtida version för att förbättra säkerheten.

  • Frilansfotografer och filmare behöver ansluta till servrar som körs på olika klienter.
  • Kompatibilitet med äldre system och äldre servrar måste upprätthållas.
  • Alla användare är inte beredda att byta till en säkrare inställning eftersom det är komplicerat att ändra inställningarna för krypteringsalgoritmen på serversidan.
  • FTPS-inställningarna delas ofta av flera säkra tjänster. Eventuella ändringar ska övervägas noga eftersom de kan påverka andra tjänster på servern.
  • Ett brett spektrum av krypteringsalgoritmer måste stödjas för att säkerställa interoperabilitet i olika miljöer.

Krypteringsalgoritmen som används under en FTPS-anslutning bestäms genom automatisk förhandling med destinationsservern och beror därför på serverinställningarna. Vi är medvetna om säkerhetsriskerna, men kompatibilitet prioriteras för närvarande för att tillgodose användarnas olika behov.

Säkerhetsrisker

Användning av föråldrade algoritmer, inklusive CBC/DHE/RSA/SHA-1, ökar risken för att krypterade data kan dekrypteras eller manipuleras av en angripare, vilket exponerar data under överföringen.

Rekommendation för säker anslutning

Innan du använder FTPS-funktionen ska du kontrollera att servern som anslutningen ska gå till stöder den rekommenderade krypteringsalgoritmen. Aktivera endast de rekommenderade algoritmerna på serversidan och inaktivera de föråldrade algoritmerna.

Ladda upp med säker FTP

Du kan ladda upp filer med kryptering med FTPS i explicit läge (FTPES) för anslutningen till destinationsfilservern.

För säker FTP-överföring, ställ [Using Secure Protocol] till [On] i inställningarna i filöverföringens destinationsserver och importera ett certifikat.

Referenser

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (inkluderar uppdateringar från och med 10/06/2016).

Certifikat

Skriv certifikatet som används av FTPES (FTPS)-funktionen till rotkatalogen på ett minneskort. Ange filnamnet på följande sätt.

certification.pem (PEM-format)
Den maximala certifikatstorleken som kan laddas är 1 MB per certifikat.

TP1002221030