Perfect Forward Secrecy: Encriptación a prueba de futuro para sitios web

Las revelaciones del denunciante Edward Snowden han demostrado que la NSA recoge datos en masa. Aunque no puede descifrar parte de la información hoy, puede ser posible en el futuro. Los webmasters pueden protegerse a sí mismos y a sus visitantes hoy de la desencriptación de mañana.

Edward Snowden ha demostrado al mundo que ningún dato está a salvo de los servicios secretos. Recogen (como precaución) toda la información que se les presenta. Algunos de estos datos están encriptados, por ejemplo a través de una conexión HTTPS. Esto incluye sitios web en los que se transmiten datos sensibles, la compra de un producto o el acceso a una cuenta de correo electrónico o el uso de la banca en casa. Todos estos datos son interceptados, aunque hoy en día son inútiles. En unos pocos años, los servicios secretos podrían decodificarlos.

La vulnerabilidad del HTTPS

¿Qué es exactamente el Secreto Perfecto para Adelante, SFP para abreviar? Para explicar el término, primero es necesario explicar cómo funciona la encriptación SSL, que se utiliza en los sitios web donde se transfieren datos sensibles.

Al visitar nuestro sitio web hoster.online, un pequeño candado será visible en la barra de búsqueda del navegador web. Un clic en el candado abre la información sobre el certificado SSL. Con otro clic, puede ver información sobre el Certificado incluyendo, por ejemplo, la fecha de caducidad.

Los certificados SSL pueden ser utilizados por prácticamente cualquier sitio web. Las diferencias radican en

- su encriptación...
- si validan el dominio o la identidad y
- lo alta que es su compatibilidad con los navegadores.

También hay tres tipos de certificados:

1er sencillo
2º comodín
3. multi-dominio

El certificado SSL funciona de la siguiente manera: El usuario navega a un sitio web, por ejemplo hoster.online. Su navegador se pone en contacto con el servidor, que especifica una clave pública emitida por la autoridad de certificación. El navegador comprueba la firma de la autoridad de certificación. Si es correcto, intercambia datos con hoster.online. A partir de ahora todos los datos se transmitirán encriptados.

El secreto perfecto como protección contra los métodos del mañana

Para la transmisión encriptada de una sesión HTTPS, el navegador sugiere una clave de sesión secreta cada vez. El servidor confirma esta clave.

El problema del método es que los servicios secretos como la NSA pueden registrar la transmisión de la clave. En un futuro previsible, podría ser posible desencriptarlo. Esto les permitiría leer todos los datos transferidos a hoster.online.

En el pasado ha habido problemas con el HTTPS. El virus Heartbleed, que expuso a los sitios web a importantes vulnerabilidades de seguridad desde 2011, afectó a dos de cada tres sitios web en Internet. La hemorragia fue un error de programación en el software OpenSSL. Le dio a los hackers que se conectaban a un servidor con una versión vulnerable de OpenSSL a través de HTTPs acceso a 64 KB de almacenamiento privado. El ataque causó que los servidores filtraran cookies, contraseñas y direcciones de correo electrónico. Grandes servicios como Yahoo Mail y LastPass fueron afectados.

La solución para tales escenarios es el secreto perfecto: con el llamado método Diffie-Hellman, los dos socios de comunicación - en este caso el navegador y el servidor - se ponen de acuerdo sobre una clave de sesión temporal. Esto no se transmite en ningún momento. Tan pronto como se cierra la sesión, la llave se destruye.

PFS en la práctica y el futuro

Desafortunadamente, hay dos malas noticias:

1. Pocos sitios web utilizan actualmente el SFP
2. todos los datos intercambiados hasta ahora ya no pueden ser encriptados

No obstante, los sitios web deberían aplicar, al menos de ahora en adelante, el secreto de avance perfecto para garantizar que, tarde o temprano, no se pueda leer ningún dato a pesar de la encriptación.

Ivan Ristic de los Laboratorios de Seguridad recomienda las siguientes suites para implementar el PFS:

- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3THE_EDE_CBC_SHA

Los webmasters pueden probar su sitio web en ssllabs.com y luego decidir las medidas apropiadas.

Después de la implementación de Perfetct Forward Secrecy, servicios como la NSA y el BND sólo pueden leer datos con ataques de hombre en medio. En todos los demás casos, el FPS será una espina clavada en el costado de las escuchas.

Artículos de actualidad