"Perfect Forward Secrecy": saugus ateities svetainių šifravimas

Informatoriaus Edwardo Snowdeno atskleisti faktai parodė, kad NSA masiškai renka duomenis. Nors šiandien kai kurios informacijos iššifruoti neįmanoma, ateityje tai gali būti įmanoma. Tinklalapių valdytojai šiandien gali apsaugoti save ir savo lankytojus nuo iššifravimo rytoj.

Edwardas Snowdenas parodė pasauliui, kad jokie duomenys nėra saugūs nuo žvalgybos tarnybų. Jie renka (atsargumo sumetimais) visą pasitaikiusią informaciją. Kai kurie iš šių duomenų yra šifruojami, pavyzdžiui, naudojant HTTPS ryšį. Tai apima svetaines, kuriose perduodami neskelbtini duomenys, perkamas produktas, prisijungiama prie el. pašto paskyros arba naudojamasi namų bankininkyste. Visi šie duomenys perimami, nors šiandien jie yra nenaudingi. Po kelerių metų žvalgybos tarnybos galėtų juos iššifruoti.

HTTPS pažeidžiamumas

Kas tiksliai yra "Perfect Forward Secrecy", sutrumpintai PFS? Norint paaiškinti šį terminą, pirmiausia reikia paaiškinti, kaip veikia SSL šifravimas, kuris naudojamas svetainėse, kuriose perduodami neskelbtini duomenys.

Apsilankę mūsų Interneto svetainė hoster.online, žiniatinklio naršyklės paieškos juostoje bus matoma maža spyna. Paspaudus ant spynos atveriama informacija apie SSL sertifikatą. Dar kartą spustelėję galite peržiūrėti informaciją apie Sertifikatas įskaitant, pavyzdžiui, galiojimo datą.

SSL sertifikatus gali naudoti praktiškai kiekviena svetainė. Skirtumai yra šie

- jų šifravimas
- ar jie patvirtina domeną arba tapatybę ir
- koks yra jų suderinamumas su naršyklėmis.

Be to, yra trijų tipų sertifikatai:

1. viengungis
2. pakaitinis simbolis
3. daugialypės terpės

SSL sertifikatas veikia taip: Vartotojas naršo interneto svetainėje, pavyzdžiui, hoster.online. Naršyklė kreipiasi į serverį, kuris pateikia sertifikavimo įstaigos išduotą viešąjį raktą. Naršyklė patikrina sertifikavimo įstaigos parašą. Jei tai teisinga, jis keičiasi duomenimis su hoster.online. Nuo tada visi duomenys perduodami užšifruoti.

"Perfect Forward Secrecy" kaip apsauga nuo rytdienos metodų

Šifruotam HTTPS sesijos perdavimui naršyklė kiekvieną kartą pasiūlo slaptą sesijos raktą. Serveris patvirtina šį raktą.

Šio metodo problema yra ta, kad žvalgybos agentūros, pavyzdžiui, NSA, gali įrašyti rakto perdavimą. Artimiausioje ateityje jį bus galima iššifruoti. Taip jie galėtų perskaityti visus hoster.online perduodamus duomenis.

Praeityje jau buvo problemų, susijusių su HTTPS. Dėl "Heartbleed" klaidos, dėl kurios nuo 2011 m. interneto svetainėse atsirado didelių saugumo spragų, nukentėjo dvi iš trijų interneto svetainių. "Heartbleed" buvo "OpenSSL" programinės įrangos programavimo klaida. Per HTTP prisijungę prie serverio su pažeidžiama "OpenSSL" versija įsilaužėliai turėjo prieigą prie 64 KB asmeninės atminties. Dėl atakos iš serverių nutekėjo slapukai, slaptažodžiai ir el. pašto adresai. Paveiktos tokios svarbios paslaugos kaip "Yahoo Mail" ir "LastPass".

Tokių scenarijų sprendimas - "Perfect Forward Secrecy": taikant vadinamąjį Diffie-Hellmano metodą du ryšio partneriai, šiuo atveju interneto naršyklė ir serveris, susitaria dėl laikino sesijos rakto. Tai nėra perduodama bet kuriuo metu. Pasibaigus sesijai, raktas sunaikinamas.

PFS praktikoje ir ateityje

Deja, yra dvi blogos naujienos:

1. šiuo metu tik kelios svetainės naudoja PFS.
2. visi duomenys, kuriais iki šiol buvo keičiamasi, nebegali būti užšifruoti.

Nepaisant to, nuo šiol interneto svetainėse turėtų būti įdiegta bent jau "Perfect Forward Secrecy" sistema, kad būtų užtikrinta, jog nepaisant šifravimo anksčiau ar vėliau nebūtų galima perskaityti jokių duomenų.

Ivanas Rističius iš "Security Labs" rekomenduoja šiuos rinkinius:

- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Tinklalapių valdytojai gali išbandyti savo svetainę svetainėje ssllabs.com ir tada nuspręsti dėl tinkamų priemonių.

Įdiegus "Perfetct Forward Secrecy", tokios tarnybos kaip NSA ir BND gali skaityti duomenis tik naudodamos "man-in-the-middle" atakas. Visais kitais atvejais FPS bus didelis koziris klausytojams.

Aktualūs straipsniai