Передача с использованием протокола Secure FTP

Файлы можно отправлять в зашифрованном виде с использованием для подключения к целевому файловому серверу протокола FTPS в явном режиме (FTPES).

Настройка безопасной передачи по FTP

Для безопасной передачи по FTP задайте для параметра [Using Secure Protocol] значение [On] в настройках целевого файлового сервера и импортируйте сертификат.

Меры предосторожности в отношении функции FTP

В протоколе FTP содержимое, имя пользователя и пароль не шифруются. Для безопасной передачи данных используйте протокол FTPES (FTPS).

О функции FTPS

Для обеспечения безопасной передачи файлов функция FTPS поддерживает различные алгоритмы шифрования. Для совместимости с разнообразными серверами поддерживаются многочисленные алгоритмы шифрования, некоторые из которых могут не соответствовать лучшим современным практикам обеспечения безопасности.

Алгоритмы шифрования, поддерживаемые функцией FTPS

Поддерживаются следующие алгоритмы шифрования.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Рекомендуемые алгоритмы шифрования

На основе рекомендаций Национального института стандартов и технологий США (NIST SP 800-57 Part 1 Revision 5) и соответствующих стандартов безопасности рекомендуются следующие алгоритмы шифрования.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Об алгоритмах, признанных нерекомендуемыми

Для обеспечения совместимости функция FTPS также поддерживает перечисленные ниже алгоритмы, но на основе рекомендаций Национального института стандартов и технологий США (NIST SP 800-57 Part 1 Revision 5) и соответствующих стандартов безопасности они признаны нерекомендуемыми и могут быть исключены в одной из последующих версий.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

О совместимости при соединении

Функция FTPS разработана с соблюдением баланса между безопасностью и совместимостью. В настоящее время по указанным ниже причинам поддерживаются признанные нерекомендуемыми алгоритмы, но они могут быть исключены в одной из последующих версий.

  • Внештатным фотографам и видеографам необходимо подключаться к серверам, работающим на различных клиентах.
  • Необходимо поддерживать совместимость с более старыми системами и устаревшими серверами.
  • Не все пользователи готовы перейти на более безопасную настройку из-за сложности изменения настроек алгоритма шифрования на стороне сервера.
  • Настройки часто используются протоколами FTPS и SSH совместно, и любые изменения могут повлиять на другие службы.
  • Чтобы обеспечить возможность взаимодействия в разных средах, должен поддерживаться широкий спектр алгоритмов шифрования.

Используемый во время соединения FTPS алгоритм шифрования определяется путем автоматического согласования с целевым сервером и, следовательно, зависит от настроек сервера. При осознании угроз безопасности приоритет в настоящее время отдается совместимости для удовлетворения разнообразных потребностей пользователей.

Угрозы безопасности

Использование алгоритмов, признанных нерекомендуемыми, в том числе CBC/DHE/RSA/SHA-1, повышает риск расшифровки зашифрованных данных или нарушения их защиты злоумышленниками, что ведет к раскрытию данных во время передачи.

Рекомендации по безопасному подключению

Прежде чем использовать функцию FTPS, убедитесь, что сервер назначения подключения поддерживает рекомендуемый алгоритм шифрования. Включайте на стороне сервера только рекомендуемые алгоритмы, а алгоритмы, признанные нерекомендуемыми, отключайте.

Справочные материалы

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (с обновлениями по состоянию на 10.06.2016).
TP1001682355