Transferir através de FTP seguro

Pode transferir ficheiros com encriptação através de FTPS no modo Explicit (FTPES) para a ligação ao servidor de destino da transferência de ficheiros.

Definir transferência FTP segura

Para uma transferência FTP segura, defina [Using Secure Protocol] para [On] nas definições do servidor de destino da transferência de ficheiros e importe um certificado.

Precauções relacionadas com a função FTP

No FTP, os conteúdos, o nome de utilizador e a palavra-passe não são encriptados. Para a transferência segura de dados, utilize FTPES (FTPS).

Sobre a função FTPS

A função FTPS suporta vários algoritmos de encriptação para garantir uma transferência segura de ficheiros. São suportados vários algoritmos de encriptação, alguns dos quais podem não estar em conformidade com as atuais melhores práticas de segurança, para compatibilidade com uma vasta gama de servidores.

Algoritmos de encriptação suportados pela função FTPS

São suportados os seguintes algoritmos de encriptação.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Algoritmos de encriptação recomendados

Os seguintes algoritmos de encriptação são recomendados com base nas recomendações NIST (NIST SP 800-57 Parte 1 Revisão 5) e normas de segurança relacionadas.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Sobre os algoritmos descontinuados

A função FTPS também suporta os seguintes algoritmos para compatibilidade, mas são descontinuados com base nas recomendações NIST (NIST SP 800-57 Parte 1 Revisão 5) e normas de segurança relacionadas e pode ser removida numa versão futura.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Sobre a compatibilidade da ligação

A função FTPS foi criada com um equilíbrio entre a segurança e a compatibilidade. De momento, os algoritmos descontinuados são suportados pelos seguintes motivos, mas podem ser removidos numa versão futura para melhorar a segurança.

  • Os fotógrafos e videógrafos independentes necessitam de ligar a servidores em execução em vários clientes.
  • A compatibilidade com sistemas e servidores mais antigos necessita de ser mantida.
  • Nem todos os utilizadores estão preparados para mudar para uma definição mais segura porque é complicado alterar as definições do algoritmo de encriptação no lado do servidor.
  • As definições FTPS são frequentemente partilhadas com as definições SSH e quaisquer alterações teriam impacto nos outros serviços.
  • Tem de ser suportada uma vasta gama de algoritmos de encriptação para garantir interoperabilidade em diferentes ambientes.

O algoritmo de encriptação utilizado durante uma ligação FTPS é determinado pela negociação automática com o servidor de destino e, por isso, depende das definições do servidor. Embora ciente dos riscos de segurança, é dada prioridade à compatibilidade para corresponder às diversas necessidades dos utilizadores.

Riscos de segurança

Utilizar algoritmos descontinuados, incluindo CBC/DHE/RSA/SHA-1, aumenta o risco de os dados encriptados poderem ser desencriptados ou modificados por um pirata informático, expondo os dados durante a transferência.

Recomendação para ligação segura

Antes de utilizar a função FTPS, certifique-se de que o servidor de destino da ligação suporta o algoritmo de encriptação recomendado. Ative apenas os algoritmos recomendados no lado do servidor e desative os algoritmos descontinuados.

Referências

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (inclui atualizações a partir de 10/06/2016).
TP1001682213