Överföra med Secure FTP

Du kan överföra krypterade filer med FTPS i läget Explicit (FTPES) för anslutning med filöverföringens destinationsserver.

Ställa in säker FTP-överföring

För säker FTP-överföring, ställ [Using Secure Protocol] till [On] i inställningarna i filöverföringens destinationsserver och importera ett certifikat.

Försiktighetsåtgärder relaterade till FTP-funktionen

I FTP krypteras inte innehållet, användarnamnet och lösenordet. För säker dataöverföring, använd FTPES (FTPS).

Om FTPS-funktionen

FTPS-funktionen stöder olika krypteringsalgoritmer för att säkerställa säker filöverföring. Flera krypteringsalgoritmer, varav vissa kanske inte uppfyller gällande säkerhetsstandarder, stöds på grund av kompatibilitet med ett stort antal servrar.

Krypteringsalgoritmer som stöds av FTPS-funktionen

Följande krypteringsalgoritmer stöds.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Rekommenderade krypteringsalgoritmer

Följande krypteringsalgoritmer rekommenderas baserat på NIST:s rekommendationer (NIST SP 800-57 del 1 revision 5) och relaterade säkerhetsstandarder.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Om föråldrade algoritmer

FTPS-funktionen stöder även följande algoritmer för kompatibilitet, men de är föråldrade enligt NIST-rekommendationerna (NIST SP 800-57 Del 1 Revidering 5) och relaterade säkerhetsstandarder och kan komma att tas bort i en framtida version.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Om anslutningskompatibilitet

FTPS-funktionen är utformad med en balans mellan säkerhet och kompatibilitet. För närvarande stöds föråldrade algoritmer av följande skäl, men de kan komma att tas bort i en framtida version för att förbättra säkerheten.

  • Frilansfotografer och filmare behöver ansluta till servrar som körs på olika klienter.
  • Kompatibilitet med äldre system och äldre servrar måste upprätthållas.
  • Alla användare är inte beredda att byta till en säkrare inställning eftersom det är komplicerat att ändra inställningarna för krypteringsalgoritmen på serversidan.
  • FTPS-inställningar delas ofta med SSH-inställningar och alla ändringar påverkar andra tjänster.
  • Ett brett spektrum av krypteringsalgoritmer måste stödjas för att säkerställa interoperabilitet i olika miljöer.

Krypteringsalgoritmen som används under en FTPS-anslutning bestäms genom automatisk förhandling med destinationsservern och beror därför på serverinställningarna. Vi är medvetna om säkerhetsriskerna, men kompatibilitet prioriteras för närvarande för att tillgodose användarnas olika behov.

Säkerhetsrisker

Användning av föråldrade algoritmer, inklusive CBC/DHE/RSA/SHA-1, ökar risken för att krypterade data kan dekrypteras eller manipuleras av en angripare, vilket exponerar data under överföringen.

Rekommendation för säker anslutning

Innan du använder FTPS-funktionen ska du kontrollera att servern som anslutningen ska gå till stöder den rekommenderade krypteringsalgoritmen. Aktivera endast de rekommenderade algoritmerna på serversidan och inaktivera de föråldrade algoritmerna.

Referenser

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (inkluderar uppdateringar från och med 10/06/2016).
TP1001682781