Overførsel ved hjælp af sikker FTP

Du kan overføre filer med kryptering ved hjælp af FTPS i Explicit-tilstand (FTPES) for forbindelsen til filoverførselsdestinationsserveren.

Indstilling af sikker FTP-overførsel

For sikker FTP-overførsel skal du indstille [Using Secure Protocol] til [On] i indstillingerne for filoverførselsdestinationsserveren og importere et certifikat.

Forholdsregler vedr. FTP-funktionen

Ved brug af FTP er indholdet, brugernavnet og adgangskoden ikke krypteret. For at opnå sikker dataoverførsel skal du bruge FTPES (FTPS).

Om FTPS-funktionen

FTPS-funktionen understøtter forskellige krypteringsalgoritmer, der muliggør sikker filoverførsel. Flere krypteringsalgoritmer understøttes for at sikre kompatibilitet med en bred vifte af servere, men nogle af algoritmerne overholder muligvis ikke de nuværende bedste sikkerhedspraksisser.

Krypteringsalgoritmer understøttet af FTPS-funktionen

Følgende krypteringsalgoritmer understøttes.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Anbefalede krypteringsalgoritmer

Følgende krypteringsalgoritmer anbefales baseret på NIST-anbefalingerne (NIST SP 800-57 Part 1 Revision 5) og relaterede sikkerhedsstandarder.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Om forældede algoritmer

FTPS-funktionen understøtter også følgende algoritmer af hensyn til kompatibilitet, men de er forældede baseret på NIST-anbefalingerne (NIST SP 800-57 Part 1 Revision 5) og relaterede sikkerhedsstandarder og kan blive fjernet i en fremtidig version.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Om forbindelseskompatibilitet

FTPS-funktionen er udviklet med henblik på balance mellem sikkerhed og kompatibilitet. I øjeblikket understøttes forældede algoritmer af følgende årsager, men de kan blive fjernet i en fremtidig version for at forbedre sikkerheden.

  • Freelancefotografer og -videografer skal kunne oprette forbindelse til servere, der kører på forskellige klienter.
  • Kompatibilitet med ældre systemer og ældre servere skal opretholdes.
  • Ikke alle brugere er klar til at skifte til en mere sikker indstilling, da det er kompliceret at ændre krypteringsalgoritmen på serversiden.
  • FTPS-indstillinger deles ofte med SSH-indstillinger, og eventuelle ændringer ville have indvirkning på andre tjenester.
  • En bred vifte af krypteringsalgoritmer skal understøttes for at sikre interoperabilitet i forskellige miljøer.

Den krypteringsalgoritme, der bruges under en FTPS-forbindelse, bestemmes ved automatisk forhandling med destinationsserveren og afhænger derfor af serverindstillingerne. Selvom sikkerhedsrisiciene er kendte, prioriteres kompatibilitet i øjeblikket for at imødekomme brugernes forskellige behov.

Sikkerhedsrisici

Brug af forældede algoritmer, herunder CBC/DHE/RSA/SHA-1, øger risikoen for, at krypterede data kan blive dekrypteret eller manipuleret af en angriber, så data eksponeres under overførslen.

Anbefaling til sikker forbindelse

Før du bruger FTPS-funktionen, bør du kontrollere, at forbindelsens destinationsserver understøtter den anbefalede krypteringsalgoritme. Aktivér kun de anbefalede algoritmer på serversiden, og deaktivér de forældede algoritmer.

Referencer

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (inkluderer opdateringer pr. 10/06/2016).
TP1001680651