Trasferimento tramite Secure FTP

Per proteggere il trasferimento di file con crittografia, è possibile utilizzare il protocollo FTPS in modalità Explicit (FTPES) per realizzare la connessione con il file server di destinazione del trasferimento.

Configurazione del trasferimento in modalità Secure FTP

Per utilizzare il protocollo Secure FTP, impostare [Using Secure Protocol] su [On] nelle impostazioni del file server di destinazione del trasferimento e importarne il relativo certificato.

Precauzioni relative alla funzione FTP

Con FTP, il contenuto, il nome utente e la password non sono crittografati. Per un trasferimento sicuro dei dati, utilizzare FTPES (FTPS).

Informazioni sulla funzione FTPS

La funzione FTPS supporta vari algoritmi di crittografia per garantire un trasferimento sicuro dei file. Per consentire la compatibilità con un’ampia gamma di server, sono supportati molti algoritmi di crittografia, alcuni dei quali potrebbero non essere conformi alle procedure consigliate per la sicurezza correnti.

Algoritmi di crittografia supportati dalla funzione FTPS

Sono supportati i seguenti algoritmi di crittografia:

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Algoritmi di crittografia raccomandati

In base alle raccomandazioni NIST (NIST SP 800-57 Parte 1 Revisione 5) e agli standard di sicurezza correlati, sono raccomandati i seguenti algoritmi di crittografia:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Informazioni sugli algoritmi deprecati

Per motivi di compatibilità, la funzione FTPS supporta anche i seguenti algoritmi. Tali algoritmi, tuttavia, sono deprecati in base alle raccomandazioni NIST (NIST SP 800-57 Parte 1 Revisione 5) e agli standard di sicurezza correlati e potrebbero essere rimossi in una versione futura.

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Informazioni sulla compatibilità delle connessioni

La funzione FTPS è concepita per offrire un equilibrio tra sicurezza e compatibilità. Attualmente, gli algoritmi deprecati sono supportati per i motivi descritti di seguito, ma tali algoritmi potrebbero essere rimossi in una versione futura per migliorare la sicurezza.

  • I fotografi e i videografi freelance devono potersi connettersi a server in esecuzione su una vasta gamma di client.
  • È necessario mantenere la compatibilità con i sistemi più vecchi e i server legacy.
  • Non tutti gli utenti sono disposti a passare a un’impostazione più sicura perché la modifica delle impostazioni dell’algoritmo di crittografia sul lato server è complicata.
  • Le impostazioni FTPS sono spesso condivise con altri servizi sicuri. Tutte le eventuali modifiche devono essere considerate attentamente in quanto potrebbero avere un impatto su altri servizi sul server.
  • È necessario supportare un’ampia gamma di algoritmi di crittografia per garantire l’interoperabilità in ambienti diversi.

L’algoritmo di crittografia utilizzato durante una connessione FTPS è determinato dalla negoziazione automatica con il server di destinazione e quindi dipende dalle impostazioni del server stesso. Pur essendo consapevoli dei rischi per la sicurezza, viene attualmente data maggior importanza alla compatibilità per soddisfare le diverse esigenze degli utenti.

Rischi per la sicurezza

L’utilizzo di algoritmi deprecati, tra cui CBC/DHE/RSA/SHA-1, aumenta il rischio che i dati crittografati possano essere decrittati o manomessi da malintenzionati, esponendo tali dati durante il trasferimento.

Raccomandazione per la sicurezza della connessione

Prima di utilizzare la funzione FTPS, verificare che il server di destinazione della connessione supporti un algoritmo di crittografia raccomandato. Abilitare solo gli algoritmi raccomandati sul lato server e disabilitare gli algoritmi deprecati.

Riferimenti

  • Recommendation for Key Management, Special Publication 800-57 Part 1 Revision 5, NIST, 2020.
  • Transitioning the Use of Cryptographic Algorithms and Key Lengths, Special Publication 800-131A Revision 2, NIST, 2019.
  • Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, Special Publication 800-38B, NIST, 2005 (include aggiornamenti a partire dal 10/06/2016).
TP1002101415