Az informátor Edward Snowden felfedései megmutatták, hogy az NSA tömegesen gyűjti az adatokat. Bár ma még nem tudja visszafejteni az információk egy részét, ez a jövőben lehetséges lehet. A webmesterek ma megvédhetik magukat és látogatóikat a holnapi visszafejtéstől.
Edward Snowden megmutatta a világnak, hogy a titkosszolgálatoktól semmilyen adat nincs biztonságban. Gyűjtik (elővigyázatosságból) az összes információt, amivel találkoznak. Ezen adatok egy része titkosított, például HTTPS-kapcsolaton keresztül. Ide tartoznak az olyan weboldalak, ahol érzékeny adatokat továbbítanak, terméket vásárolnak, vagy bejelentkeznek az e-mail fiókba, illetve használják az otthoni banki szolgáltatásokat. Mindezeket az adatokat lehallgatják, bár ma már használhatatlanok. Néhány éven belül a hírszerző szolgálatok meg tudják őket fejteni.
A HTTPS sebezhetősége
Mi is pontosan a Perfect Forward Secrecy, vagy röviden PFS? A kifejezés magyarázatához először is el kell magyarázni, hogyan működik az SSL-titkosítás, amelyet olyan webhelyeken használnak, ahol érzékeny adatokat továbbítanak.
Amikor meglátogatja a Weboldal hoster.online, egy kis lakat lesz látható a böngésző keresősávjában. A zárra kattintva megnyílnak az SSL-tanúsítványra vonatkozó információk. Egy újabb kattintással megtekintheti a következő információkat Tanúsítvány beleértve például a lejárati dátumot.
Az SSL-tanúsítványokat gyakorlatilag minden weboldal használhatja. A különbségek a következőkben rejlenek
- a titkosításuk
- hogy érvényesítik-e a tartományt vagy a személyazonosságot, és
- milyen magas a böngésző kompatibilitásuk.
Ezenkívül háromféle tanúsítvány létezik:
1. szingli
2. joker kártya
3. multidomain
Az SSL-tanúsítvány a következőképpen működik: A felhasználó szörfözik egy weboldalon, például a hoster.online oldalon. A böngészője kapcsolatba lép a szerverrel, amely megadja a hitelesítésszolgáltató által kiadott nyilvános kulcsot. A böngésző ellenőrzi a hitelesítésszolgáltató aláírását. Ha ez helyes, akkor adatokat cserél a hoster.online-nal. Ettől kezdve minden adatot titkosított formában továbbítanak.
Tökéletes továbbítási titoktartás mint védelem a holnap módszereivel szemben
A HTTPS-munkamenet titkosított továbbításához a böngésző minden alkalommal egy titkos munkamenetkulcsot javasol. A kiszolgáló megerősíti ezt a kulcsot.
A módszerrel az a probléma, hogy az olyan hírszerző ügynökségek, mint az NSA, rögzíthetik a kulcs átvitelét. Belátható időn belül meg lehetne fejteni a titkosítást. Ez lehetővé teszi számukra, hogy elolvassák a hoster.online-on továbbított összes adatot.
A múltban már voltak problémák a HTTPS-szel. A Heartbleed nevű hiba, amely 2011 óta jelentős biztonsági réseket tárt fel a weboldalakon, háromból két internetes weboldalt érintett. A Heartbleed egy programozási hiba volt az OpenSSL szoftverben. A hackerek, akik HTTP-n keresztül csatlakoztak az OpenSSL sebezhető verziójával rendelkező szerverhez, 64 KB privát memóriához férhettek hozzá. A támadás következtében a szerverek cookie-kat, jelszavakat és e-mail címeket szivárogtattak ki. Olyan jelentős szolgáltatásokat érintettek, mint a Yahoo Mail és a LastPass.
Az ilyen forgatókönyvek megoldása a Perfect Forward Secrecy: az úgynevezett Diffie-Hellman-módszerrel a két kommunikációs partner - jelen esetben a webböngésző és a szerver - megegyezik egy ideiglenes munkamenetkulcsban. Ez nem kerül továbbításra semmilyen időpontban. Amint a munkamenet befejeződik, a kulcs megsemmisül.
A PFS a gyakorlatban és a jövőben
Sajnos két rossz hír van:
1. Jelenleg csak néhány weboldal használja a PFS-t.
2. Az eddig kicserélt összes adatot már nem lehet titkosítani.
Mindazonáltal a weboldalaknak mostantól legalább a Perfect Forward Secrecy-t be kellene vezetniük, hogy a titkosítás ellenére se lehessen előbb-utóbb adatokat olvasni.
A PFS megvalósításához Ivan Ristic a Security Labs-től a következő csomagokat ajánlja:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
A webmesterek az ssllabs.com oldalon tesztelhetik weboldalukat, majd dönthetnek a megfelelő intézkedésekről.
A Perfetct Forward Secrecy bevezetése után az olyan szolgálatok, mint az NSA és a BND csak man-in-the-middle támadásokkal tudnak adatokat olvasni. Minden más esetben az FPS komoly szálka lesz a lehallgatók szemében.
