Übertragen mithilfe einer sicheren FTP-Übertragung

Sie können Dateien verschlüsselt mithilfe von FTPS im Explicit-Modus (FTPES) für die Verbindung mit dem Zielserver übertragen.

Festlegen einer sicheren FTP-Übertragung

Um eine sichere FTP-Übertragung zu erzielen, setzen Sie [Using Secure Protocol] in den Einstellungen für den Zielserver der Dateiübertragung auf [On] und importieren Sie ein Zertifikat.

Vorsichtsmaßnahmen bezüglich der FTP-Funktion

Bei FTP sind Inhalt, Benutzername und Passwort nicht verschlüsselt. Verwenden Sie zur sicheren Datenübertragung FTPES (FTPS).

Hinweise zur FTPS-Funktion

Die FTPS-Funktion unterstützt verschiedene Verschlüsselungsalgorithmen, um sichere Dateiübertragung zu gewährleisten. Für die Kompatibilität mit einer breiten Palette von Servern werden mehrere Verschlüsselungsalgorithmen unterstützt, von denen einige nicht mit dem aktuellen Stand der Sicherheit übereinstimmen.

Von der FTPS-Funktion unterstützte Verschlüsselungsalgorithmen

Die folgenden Verschlüsselungsalgorithmen werden unterstützt.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Empfohlene Verschlüsselungsalgorithmen

Basierend auf den NIST-Empfehlungen (NIST SP 800-57 Teil 1 Revision 5) und verwandten Sicherheitsstandards werden die folgenden Verschlüsselungsalgorithmen empfohlen.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Hinweise zu veralteten Algorithmen

Die FTPS-Funktion unterstützt aus Kompatibilitätsgründen auch die folgenden Algorithmen, diese sind jedoch gemäß den NIST-Empfehlungen (NIST SP 800-57 Teil 1 Revision 5) und verwandten Sicherheitsstandards veraltet und werden ggf. in einer zukünftigen Version entfernt.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Hinweise zur Verbindungskompatibilität

Die FTPS-Funktion ist mit einem ausgewogenen Verhältnis zwischen Sicherheit und Kompatibilität konzipiert. Gegenwärtig werden aus den nachfolgend aufgeführten Gründen veraltete Algorithmen unterstützt; diese werden jedoch ggf. in einer zukünftigen Version entfernt, um die Sicherheit zu verbessern.

  • Selbstständige Fotografen und Videofilmer müssen Verbindungen zu Servern bei verschiedenen Kunden herstellen.
  • Die Kompatibilität mit älteren Systemen und veralteten Servern muss aufrechterhalten werden.
  • Nicht alle Nutzer sind darauf vorbereitet, zu einer sichereren Umgebung zu wechseln, da sich die Änderung der Einstellungen für den Verschlüsselungsalgorithmus auf der Serverseite kompliziert gestalten kann.
  • FTPS-Einstellungen werden häufig mit anderen sicheren Diensten geteilt. Änderungen müssen sorgfältig bedacht werden, da sie sich möglicherweise auf andere Dienste auf dem Server auswirken würden.
  • Um die Interoperabilität in verschiedenen Umgebungen sicherzustellen, muss eine breite Palette von Verschlüsselungsalgorithmen unterstützt werden.

Der während einer FTPS-Verbindung verwendete Verschlüsselungsalgorithmus wird durch automatische Aushandlung mit dem Zielserver bestimmt und hängt daher von den Servereinstellungen ab. Im Bewusstsein der Sicherheitsrisiken erhält derzeit die Kompatibilität Vorrang, um auf die verschiedenen Anforderungen der Nutzer einzugehen.

Sicherheitsrisiken

Die Verwendung veralteter Algorithmen wie CBC/DHE/RSA/SHA-1 erhöht das Risiko, dass verschlüsselte Daten von einem Angreifer entschlüsselt oder manipuliert werden und somit Daten bei einer Übertragung offengelegt werden können.

Empfehlungen für eine sichere Verbindung

Bevor Sie die FTPS-Funktion verwenden, prüfen Sie, ob der Zielserver der Verbindung den empfohlenen Verschlüsselungsalgorithmus unterstützt. Aktivieren Sie nur die empfohlenen Verschlüsselungsalgorithmen auf der Serverseite und deaktivieren Sie die veralteten.

Referenzen

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (einschließlich Aktualisierungen vom 06.10.2016).
TP1002101270