Die beteiligten Partner handeln die Verschlüsselung, den Verschlüsselungsalgorithmus und den verwendeten Schlüssel beim Verbindungsaufbau aus.

openFT verwendet für die Verschlüsselung nach Möglichkeit das Verfahren RSA/AES mit einer AES-Schlüssellänge von 256 Bit. Bei der Kopplung zu älteren Partnern kann auch RSA/AES mit 128 Bit bzw. RSA/DES zum Einsatz kommen. Es wird jeweils das sicherste, von beiden Partnern unterstützte Verfahren verwendet.

Zusätzlich per Betriebsparameter kann ein minimaler AES-Schlüssel vorgegeben werden, d.h. es werden nur AES-Schlüssel der vorgegebenen Länge oder längere akzeptiert. Kann der Partner diese Anforderung nicht erfüllen, dann wird der Auftrag abgelehnt.

openFT verschlüsselt automatisch die Auftragsbeschreibungsdaten, sofern beide Partner diese Funktionalität unterstützen, im lokalen System ein RSA-Schlüsselpaarsatz existiert und die Verschlüsselung nicht explizit abgeschaltet wurde. Sie können als FT-Verwalter die gewünschte Schlüssellänge des RSA-Schlüssels (RSA-PROPOSED) per Betriebsparameter einstellen. Der Standardwert nach Installation ist 2048. Außerdem können Sie per Betriebsparameter eine Mindestschlüssellänge einstellen.

Hat eine der beteiligten Instanzen eine RSA-Mindestschlüssellänge konfiguriert, so ist sichergestellt, dass die Aushandlung des AES-Schlüssels mit dieser Mindestschlüssellänge ausgeführt wird.

Hat einer der Partner entweder keinen gültigen RSA-Schlüssel, oder ist die Verschlüsselung ausgeschaltet, während der andere Partner eine Mindestschlüssellänge verlangt, wird keine Verbindung zwischen den beiden Partnern möglich sein.