Přenos pomocí protokolu Secure FTP

Šifrované soubory můžete přenášet pomocí protokolu FTPS v explicitním režimu (FTPES) pro připojení k cílovému serveru přenosu souborů.

Nastavení přenosu protokolem Secure FTP

Chcete-li provést přenos protokolem Secure FTP, nastavte možnost [Using Secure Protocol] na volbu [On] na cílovém serveru přenosu souborů a importujte certifikát.

Upozornění týkající se funkce FTP

V rámci FTP není obsah, uživatelské jméno ani heslo šifrované. Pro bezpečný přenos dat používejte FTPES (FTPS).

O funkci FTPS

Funkce FTPS podporuje různé algoritmy šifrování pro zajištění bezpečného přenosu souborů. Je podporováno více algoritmů šifrování, z nichž některé nemusejí splňovat požadavky aktuálních ověřených postupů v rámci zabezpečení, z důvodu kompatibility se širokou řadou serverů.

Algoritmy šifrování podporované funkcí FTPS

Podporovány jsou následující algoritmy šifrování.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Doporučené algoritmy šifrování

Na základě doporučení NIST (NIST SP 800-57 Part 1 Revision 5) a souvisejících bezpečnostních standardů se doporučují následující algoritmy šifrování.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

O zastaralých algoritmech

Z důvodu kompatibility podporuje funkce FTPS i následující algoritmy, ovšem podle doporučení NIST (NIST SP 800-57 Part 1 Revision 5) a souvisejících bezpečnostních standardů jsou zastaralé a v budoucí verzi může dojít k jejich odstranění.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

O kompatibilitě spojení

Funkce FTPS je vytvořena s vyváženou bezpečností a kompatibilitou. Aktuálně jsou z následujících důvodů podporovány zastaralé algoritmy, ale v budoucí verzi mohou být odstraněny z důvodu zlepšení zabezpečení.

  • Fotografové a kameramani na volné noze se potřebují připojovat k serverům spuštěným na různých klientech.
  • Je nutno zachovat kompatibilitu se staršími systémy a servery.
  • Nikoli všichni uživatelé jsou připraveni na přechod na bezpečnější nastavení, protože změna nastavení algoritmu šifrování na straně serveru je komplikovaná.
  • Nastavení FTPS jsou často sdílena s nastaveními SSH a jakékoli změny by měly dopad na další služby.
  • Je nutno podporovat širokou řadu algoritmů šifrování, aby byla zajištěna interoperabilita v různých prostředích.

Algoritmus šifrování používaný během připojení FTPS je určen automatickou „dohodou“ s cílovým serverem, a tak závisí na nastavení serveru. Ačkoli jsme si vědomi bezpečnostních rizik, v současnosti j upřednostňována kompatibilita, aby byly uspokojeny nejrůznější potřeby uživatelů.

Bezpečnostní rizika

Používání zastaralých algoritmů, mj. CBC/DHE/RSA/SHA-1, zvyšuje riziko, že zašifrovaná data může být možno rozšifrovat nebo zmanipulovat ze strany útočníka, a tak by data mohla být během přenosu vyzrazena.

Doporučení bezpečného spojení

Před použitím funkce FTPS ověřte, zda cílový server spojení podporuje doporučený algoritmus šifrování. Na straně serveru povolte pouze doporučené algoritmy a zakažte zastaralé algoritmy.

Reference

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (včetně aktualizací ke dni 10/06/2016).
TP1001680509