Передавання з використанням протоколу Secure FTP

Можна передавати файли із шифруванням з використанням протоколу FTPS in Explicit mode (FTPES) для з'єднання із цільовим сервером передавання файлів.

Налаштування безпечної FTP-передачі

Для захищеного передавання FTP встановіть для параметра [Using Secure Protocol] значення [On] у налаштуваннях цільового сервера передавання файлів та імпортуйте сертифікат.

Застереження стосовно функції FTP

Під час передавання FTP вміст, ім'я користувача та пароль не шифруються. Для захищеного передавання даних використовуйте протокол FTPES (FTPS).

Про функцію FTPS

Функція FTPS підтримує різні алгоритми шифрування для забезпечення захищеного передавання файлів. Кілька алгоритмів шифрування, деякі з яких можуть не відповідати сучасним стандартам безпеки, підтримуються для сумісності із широким колом серверів.

Алгоритми шифрування, що підтримуються функцією FTPS

Підтримуються зазначені нижче алгоритми шифрування.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Рекомендовані алгоритми шифрування

Зазначені нижче алгоритми шифрування рекомендовано на основі рекомендацій NIST (NIST SP 800-57, частина 1, редакція 5) і відповідних стандартів безпеки.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Про застарілі алгоритми

Функція FTPS також підтримує зазначені нижче алгоритми для забезпечення сумісності, але вони вважаються застарілими відповідно до рекомендацій NIST (NIST SP 800-57, частина 1, редакція 5) та відповідних стандартів безпеки і їх може бути вилучено в одній з наступних версій.

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Про сумісність підключень

Функцію FTPS розроблено з урахуванням балансу між безпекою та сумісністю. Наразі застарілі алгоритми підтримуються з перелічених нижче причин, але їх може бути вилучено в одній з наступних версій для підвищення рівня безпеки.

  • Фотографам і відеооператорам, які працюють як фрілансери, потрібно підключатися до серверів, що працюють на різних клієнтах.
  • Потрібно підтримувати сумісність зі старішими системами й попередніми серверами.
  • Не всі користувачі готові перейти на безпечніші налаштування, оскільки зміна налаштувань алгоритму шифрування на стороні сервера є складним завданням.
  • Налаштування FTPS часто є спільними з налаштуваннями SSH, і будь-які зміни можуть вплинути на інші сервіси.
  • Для забезпечення функціональної сумісності в різних середовищах необхідно підтримувати широке коло алгоритмів шифрування.

Алгоритм шифрування, який використовується під час FTPS-з'єднання, визначається шляхом автоматичного узгодження із сервером призначення, а отже залежить від налаштувань сервера. Незважаючи на наявність ризиків для безпеки, сумісність наразі є пріоритетом для задоволення різноманітних потреб користувачів.

Ризики для безпеки

Використання застарілих алгоритмів, зокрема CBC/DHE/RSA/SHA-1, підвищує ризик розшифровування зашифрованих даних зловмисником і внесення в них несанкціонованих змін, внаслідок чого дані можуть бути незахищеними під час передавання.

Рекомендації щодо безпечного з'єднання

Перед використанням функції FTPS перевірте, чи підтримує сервер адресата з'єднання рекомендований алгоритм шифрування. Увімкніть лише рекомендовані алгоритми на стороні сервера й вимкніть застарілі алгоритми.

Посилання

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (включає оновлення станом на 06.10.2016).
TP1001683065