Overføre ved hjelp av sikker FTP

Du kan overføre filer med kryptering ved hjelp av FTPS i eksplisitt modus (FTPES) for tilkoblingen til målserveren for filoverføring.

Angi sikker FTP-overføring

For sikker FTP-overføring, sett [Using Secure Protocol] til [On] i innstillingene for målserveren for filoverføring, og importer et sertifikat.

Forsiktighetsregler knyttet til FTP-funksjonen

I FTP er ikke innholdet, brukernavnet og passordet kryptert. Bruk FTPES (FTPS) for sikker dataoverføring.

Om FTPS-funksjonen

FTPS-funksjonen støtter ulike krypteringsalgoritmer for å sikre sikker filoverføring. Flere krypteringsalgoritmer, hvorav noen kanskje ikke samsvarer med gjeldende beste praksis for sikkerhet, støttes for kompatibilitet med et bredt spekter av servere.

Krypteringsalgoritmer støttet av FTPS-funksjonen

Følgende krypteringsalgoritmer støttes.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Anbefalte krypteringsalgoritmer

Følgende krypteringsalgoritmer anbefales basert på NIST-anbefalingene (NIST SP 800-57 del 1 revisjon 5) og relaterte sikkerhetsstandarder.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Om utdaterte algoritmer

FTPS-funksjonen støtter også følgende algoritmer for kompatibilitet, men de er avviklet basert på NIST-anbefalingene (NIST SP 800-57 del 1 revisjon 5) og relaterte sikkerhetsstandarder, og kan bli fjernet i en fremtidig versjon.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Om tilkoblingskompatibilitet

FTPS-funksjonen er designet med en balanse mellom sikkerhet og kompatibilitet. Foreløpig støttes utdaterte algoritmer av følgende årsaker, men de kan bli fjernet i en fremtidig versjon for å forbedre sikkerheten.

  • Frilansfotografer og videografer må koble til servere som kjører på ulike klienter.
  • Kompatibilitet med eldre systemer og eldre servere må opprettholdes.
  • Ikke alle brukere er forberedt på å endre til en sikrere innstilling fordi det er komplisert å endre innstillingene for krypteringsalgoritmen på serversiden.
  • FTPS-innstillinger deles ofte med SSH-innstillinger, og eventuelle endringer har innvirkning på andre tjenester.
  • Et bredt spekter av krypteringsalgoritmer må støttes for å sikre interoperabilitet i forskjellige miljøer.

Krypteringsalgoritmen som brukes under en FTPS-tilkobling bestemmes av automatisk forhandling med målserveren og avhenger derfor av serverinnstillingene. Selv om man er klar over sikkerhetsrisikoene, er kompatibilitet for tiden prioritert for å tilfredsstille brukernes ulike behov.

Sikkerhetsrisikoer

Bruk av utdaterte algoritmer, inkludert CBC/DHE/RSA/SHA-1, øker risikoen for at krypterte data kan bli dekryptert eller tuklet med av en angriper, og avsløre data under overføring.

Anbefaling for sikker tilkobling

Før du bruker FTPS-funksjonen, kontroller at målserveren for tilkobling støtter den anbefalte krypteringsalgoritmen. Aktiver bare de anbefalte algoritmene på serversiden og deaktiver de utdaterte algoritmene.

Referanser

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, spesialpublikasjon 800-131A revisjon 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (inkluderer oppdateringer per 06.10.2016).
TP1001681787