Le rivelazioni dell'informatore Edward Snowden hanno dimostrato che la NSA raccoglie dati in massa. Anche se non è in grado di decifrare alcune delle informazioni oggi, potrebbe essere possibile in futuro. I webmaster possono proteggere se stessi e i loro visitatori di oggi dalla decrittazione di domani.
Edward Snowden ha dimostrato al mondo che nessun dato è al sicuro dai servizi segreti. Essi raccolgono (per precauzione) tutte le informazioni che gli arrivano. Alcuni di questi dati sono criptati, ad esempio tramite una connessione HTTPS. Ciò comprende i siti web in cui vengono trasmessi dati sensibili, l'acquisto di un prodotto o l'accesso a un account di posta elettronica o l'utilizzo dell'home banking. Tutti questi dati vengono intercettati, anche se oggi sono inutili. In pochi anni i servizi segreti potrebbero decodificarli.
La vulnerabilità di HTTPS
Che cos'è esattamente il Perfect Forward Secrecy, in breve PFS? Per spiegare il termine, è necessario innanzitutto spiegare come funziona la crittografia SSL, che viene utilizzata sui siti web in cui vengono trasferiti dati sensibili.
Quando si visita il nostro sito web hoster.online, un piccolo lucchetto sarà visibile nella barra di ricerca del browser web. Facendo clic sul lucchetto si aprono le informazioni sul certificato SSL. Con un altro clic, si possono visualizzare le informazioni relative al Certificato compresa, ad esempio, la data di scadenza.
I certificati SSL possono essere utilizzati praticamente da qualsiasi sito web. Le differenze risiedono in
- la loro crittografia
- se convalidano il dominio o l'identità e
- quanto sia alta la compatibilità del loro browser.
Esistono anche tre tipi di certificati:
1° singolo
2° jolly
3. multidominio
Il certificato SSL funziona come segue: L'utente naviga su un sito web, ad esempio hoster.online. Il suo browser contatta il server, che specifica una chiave pubblica rilasciata dall'autorità di certificazione. Il browser controlla la firma dell'autorità di certificazione. Se è corretto, scambia dati con hoster.online. D'ora in poi tutti i dati saranno trasmessi in modo criptato.
La perfetta segretezza in avanti come protezione contro i metodi di domani
Per la trasmissione criptata di una sessione HTTPS, il browser suggerisce ogni volta una chiave di sessione segreta. Il server conferma questa chiave.
Il problema del metodo è che i servizi segreti come la NSA possono registrare la trasmissione della chiave. Nel prossimo futuro, potrebbe essere possibile decifrarlo. In questo modo potrebbero leggere tutti i dati trasferiti su hoster.online.
In passato ci sono stati problemi con l'HTTPS. Il bug Heartbleed, che dal 2011 ha esposto i siti web alle principali vulnerabilità di sicurezza, ha colpito due siti web su tre su Internet. Heartbleed era un errore di programmazione nel software OpenSSL. Ha permesso agli hacker che si connettono a un server con una versione vulnerabile di OpenSSL tramite HTTP di accedere a 64 KB di memoria privata. L'attacco ha causato la perdita di cookie, password e indirizzi e-mail da parte dei server. Sono stati colpiti servizi di grandi dimensioni come Yahoo Mail e LastPass.
La soluzione per tali scenari è il Perfect Forward Secrecy: con il cosiddetto metodo Diffie-Hellman, i due partner di comunicazione - in questo caso browser web e server - si accordano su una chiave di sessione temporanea. Questo non viene trasmesso in nessun momento. Non appena la sessione viene chiusa, la chiave viene distrutta.
PFS nella pratica e nel futuro
Purtroppo, ci sono due cattive notizie:
1. pochi siti web utilizzano attualmente PFS
2. tutti i dati scambiati finora non possono più essere criptati
Ciononostante, i siti web dovrebbero almeno da ora in poi implementare il Perfect Forward Secrecy per garantire che nessun dato possa essere prima o poi letto nonostante la crittografia.
Ivan Ristic dei Security Labs raccomanda le seguenti suite per l'implementazione di PFS:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_RSA_CON_3THE_EDE_CBCCBC_SHA
I webmaster possono testare il loro sito web su ssllabs.com e poi decidere le misure appropriate.
Dopo l'implementazione di Perfetct Forward Secrecy, servizi come NSA e BND possono leggere i dati solo con attacchi man-in-the-middle. In tutti gli altri casi, FPS sarà una spina nel fianco delle intercettazioni.
