Разкритията на разобличителя Едуард Сноудън показаха, че АНС масово събира данни. Въпреки че днес не може да декриптира част от информацията, това може да стане възможно в бъдеще. Уебмастърите могат да защитят себе си и посетителите си днес от утрешното декриптиране.
Едуард Сноудън показа на света, че нито една информация не е в безопасност от разузнавателните служби. Те събират (като предпазна мярка) цялата информация, с която се сблъскват. Някои от тези данни са криптирани, например чрез HTTPS връзка. Това включва уебсайтове, в които се прехвърлят чувствителни данни, закупуване на продукт, влизане в имейл акаунт или използване на домашно банкиране. Всички тези данни се прихващат, въпреки че днес са безполезни. След няколко години разузнавателните служби ще могат да ги дешифрират.
Уязвимостта на HTTPS
Какво точно представлява Perfect Forward Secrecy, или накратко PFS? За да обясним този термин, е необходимо първо да обясним как работи SSL криптирането, което се използва в уебсайтове, в които се предават чувствителни данни.
Когато посещавате нашия Уебсайт hoster.online, в лентата за търсене на уеб браузъра ще се появи малко заключване. С кликване върху ключалката се отваря информация за SSL сертификата. С още едно кликване можете да видите информация за Сертификат включително например датата на изтичане на срока на годност.
SSL сертификатите могат да се използват от почти всеки уебсайт. Разликите са в
- тяхното криптиране
- дали валидират домейна или идентичността и
- колко висока е съвместимостта им с браузъра.
Освен това има три вида сертификати:
1. единичен
2. заместител
3. мултидомен
SSL сертификатът работи по следния начин: Потребителят посещава уебсайт, например hoster.online. Браузърът му се свързва със сървъра, който предоставя публичен ключ, издаден от удостоверяващия орган. Браузърът проверява подписа на удостоверяващия орган. Ако това е вярно, той обменя данни с hoster.online. От този момент нататък всички данни се предават в криптиран вид.
Съвършената тайна на предаването като защита срещу утрешните методи
За криптираното предаване на HTTPS сесия браузърът всеки път предлага секретен ключ на сесията. Сървърът потвърждава този ключ.
Проблемът с метода е, че разузнавателни агенции като АНС могат да запишат предаването на ключа. В обозримо бъдеще ще бъде възможно да го декриптирате. Това ще им позволи да прочетат всички данни, предавани в hoster.online.
В миналото вече е имало проблеми с HTTPS. Грешката Heartbleed, която от 2011 г. насам излага уебсайтовете на сериозни уязвимости в сигурността, засяга два от всеки три уебсайта в интернет. Heartbleed е програмна грешка в софтуера OpenSSL. Тя дава на хакерите, които се свързват чрез HTTP към сървър с уязвима версия на OpenSSL, достъп до 64 KB частна памет. При атаката от сървърите са изтекли бисквитки, пароли и имейл адреси. Засегнати бяха големи услуги като Yahoo Mail и LastPass.
Решението за такива сценарии е Perfect Forward Secrecy: С т.нар. метод на Diffie-Hellman двамата партньори в комуникацията - в този случай уеб браузърът и сървърът - се договарят за временен ключ на сесията. Това не се предава по всяко време. След като сесията приключи, ключът се унищожава.
PFS в практиката и бъдещето
За съжаление има две лоши новини:
1. в момента само няколко уебсайта използват PFS.
2. всички обменени до момента данни вече не могат да бъдат криптирани.
Въпреки това уебсайтовете трябва поне да прилагат Perfect Forward Secrecy, за да гарантират, че въпреки криптирането данните няма да могат да бъдат прочетени рано или късно.
За внедряването на PFS Иван Ристич от Security Labs препоръчва следните пакети:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Уебмастърите могат да тестват своя уебсайт в ssllabs.com и след това да вземат решение за подходящи мерки.
След въвеждането на Perfetct Forward Secrecy служби като NSA и BND могат да четат данни само с атаки от типа "човек по средата". Във всички останали случаи FPS ще бъде сериозен трън в очите на подслушвачите.
