使用安全 FTP 進行傳輸

您可以使用顯式模式 (FTPES) 中的 FTPS 以加密方式傳輸檔案,以便連接傳輸目的地伺服器。

設定安全 FTP 傳輸

對於安全 FTP 傳輸,請將檔案傳輸目的地伺服器上的 [Using Secure Protocol] 設定為 [On] 並匯入憑證。

FTP 功能相關注意事項

在 FTP 中,內容、使用者名稱和密碼均未加密。對於安全資料傳輸,請使用 FTPES (FTPS)。

關於 FTPS 功能

FTPS 功能支援多種加密演算法,確保檔案傳輸的安全。支援多種加密演算法(其中一些可能不符合目前的安全最佳實務),以便與各種伺服器相容。

FTPS 功能支援的加密演算法

支援下列加密演算法。

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

建議的加密演算法

根據 NIST 建議(NIST SP 800-57 第 1 部分修訂版 5)及相關安全標準,建議使用下列加密演算法。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

關於棄用的演算法

FTPS 功能還支援下列演算法以實現相容性,但根據 NIST 建議(NIST SP 800-57 第 1 部分修訂版 5)和相關安全標準,這些演算法已被棄用,並且可能會在未來版本中被移除。

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

關於連接相容性

FTPS 功能在設計上兼顧安全性和相容性。目前,由於下列原因,支援棄用的演算法,但為了提高安全性,在未來的版本中可能會移除這些演算法。

  • 自由攝影師和攝像師需要連接到在各種用戶端上執行的伺服器。
  • 需要保持與舊系統和舊伺服器的相容性。
  • 並非所有使用者都準備變更為更安全的設定,因為變更伺服器端的加密演算法設定很複雜。
  • FTPS 設定通常與 SSH 設定共用,任何變更都會對其他服務產生影響。
  • 必須支援多種加密演算法,以確保在不同環境中的互通性。

FTPS 連接期間使用的加密演算法由與目的地伺服器的自動協商決定,因此取決於伺服器設定。在意識到安全風險的同時,目前優先考慮相容性,以滿足使用者的多樣化需求。

安全風險

使用包括 CBC/DHE/RSA/SHA-1 在內的棄用演算法會增加加密資料被攻擊者解密或竄改的風險,從而導致資料在傳輸過程中洩漏。

安全連接建議

使用 FTPS 功能前,請檢查連接目的地伺服器是否支援建議的加密演算法。在伺服器端僅啟用建議的演算法,並停用已棄用的演算法。

參考資料

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005(包括截至 2016 年 10 月 6 日的更新)。
TP1001680367