Pilnīga slepenība uz priekšu: droša nākotnei droša vietņu šifrēšana

Atklātie ziņotāja Edvarda Snoudena atklājumi liecina, ka NSA masveidā vāc datus. Lai gan šobrīd tā nevar atšifrēt daļu informācijas, nākotnē tas varētu būt iespējams. Tīmekļa vietņu administratori var pasargāt sevi un savus apmeklētājus no atšifrēšanas rīt.

Edvards Snoudens ir parādījis pasaulei, ka no izlūkdienestu datiem nav drošībā. Viņi apkopo (piesardzības nolūkos) visu informāciju, ar ko tie saskaras. Daži no šiem datiem ir šifrēti, piemēram, izmantojot HTTPS savienojumu. Tas attiecas arī uz tīmekļa vietnēm, kurās tiek pārsūtīti sensitīvi dati, iegādājoties produktu vai pieslēdzoties e-pasta kontam vai izmantojot mājas bankas pakalpojumus. Visi šie dati tiek pārtverti, lai gan šodien tie ir bezjēdzīgi. Pēc dažiem gadiem izlūkdienesti varētu tos atšifrēt.

HTTPS neaizsargātība

Kas īsti ir Perfect Forward Secrecy jeb saīsinājumā PFS? Lai izskaidrotu šo terminu, vispirms ir jāizskaidro, kā darbojas SSL šifrēšana, ko izmanto vietnēs, kurās tiek pārsūtīti sensitīvi dati.

Apmeklējot mūsu Tīmekļa vietne hoster.online, tīmekļa pārlūkprogrammas meklēšanas joslā būs redzama neliela slēdzene. Noklikšķinot uz slēdzenes, tiek atvērta informācija par SSL sertifikātu. Vēl viens klikšķis ļauj skatīt informāciju par Sertifikāts tostarp, piemēram, derīguma termiņu.

SSL sertifikātus var izmantot praktiski ikviena vietne. Atšķirības ir šādas.

- to šifrēšana
- vai tie apstiprina domēnu vai identitāti un
- cik augsta ir to pārlūkprogrammu savietojamība.

Turklāt ir trīs veidu sertifikāti:

1. viena
2. aizstājējkarte
3. multidomēna

SSL sertifikāts darbojas šādi: Lietotājs sērfo tīmekļa vietnē, piemēram, hoster.online. Pārlūkprogramma sazinās ar serveri, kas nodrošina sertifikācijas iestādes izsniegto publisko atslēgu. Pārlūkprogramma pārbauda sertifikācijas iestādes parakstu. Ja tas ir pareizi, tas apmainās ar datiem ar hoster.online. Turpmāk visi dati tiek pārsūtīti šifrētā veidā.

Perfekta slepenība kā aizsardzība pret rītdienas metodēm

HTTPS sesijas šifrētai pārraidei pārlūkprogramma katru reizi ierosina sesijas slepeno atslēgu. Serveris apstiprina šo atslēgu.

Šīs metodes problēma ir tā, ka izlūkošanas aģentūras, piemēram, NSA, var ierakstīt atslēgas pārraidi. Tuvākajā nākotnē to būs iespējams atšifrēt. Tas ļautu viņiem nolasīt visus hoster.online pārsūtītos datus.

Ar HTTPS jau iepriekš ir bijušas problēmas. Kļūda Heartbleed, kas kopš 2011. gada tīmekļa vietnēm ir radījusi nopietnas drošības ievainojamības, skāra divas no trim tīmekļa vietnēm internetā. Heartbleed bija programmēšanas kļūda OpenSSL programmatūrā. Tas hakeriem, kuri, izmantojot HTTP, pieslēdzās serverim ar neaizsargātu OpenSSL versiju, deva piekļuvi 64 KB privātās atmiņas. Uzbrukuma rezultātā no serveriem noplūda sīkfaili, paroles un e-pasta adreses. Tika ietekmēti tādi nozīmīgi pakalpojumi kā Yahoo Mail un LastPass.

Risinājums šādiem scenārijiem ir Perfect Forward Secrecy: izmantojot tā saukto Diffie-Hellman metodi, abi saziņas partneri - šajā gadījumā tīmekļa pārlūkprogramma un serveris - vienojas par pagaidu sesijas atslēgu. Tas netiek nosūtīts jebkurā laikā. Tiklīdz sesija ir pabeigta, atslēga tiek iznīcināta.

PFS praksē un nākotnē

Diemžēl ir divas sliktas ziņas:

1. pašlaik tikai dažās tīmekļa vietnēs tiek izmantota PFS.
2. visus līdz šim apmainītos datus vairs nevar šifrēt.

Tomēr tīmekļa vietnēm turpmāk vajadzētu ieviest vismaz Perfect Forward Secrecy, lai nodrošinātu, ka, neraugoties uz šifrēšanu, datus agrāk vai vēlāk nav iespējams nolasīt.

Ivans Rističs no Security Labs PFS ieviešanai iesaka šādus komplektus:

- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Tīmekļa vietņu administratori var pārbaudīt savu tīmekļa vietni ssllabs.com un pēc tam lemt par atbilstošiem pasākumiem.

Pēc Perfetct Forward Secrecy ieviešanas tādi dienesti kā NSA un BND var nolasīt datus tikai ar man-in-the-middle uzbrukumiem. Visos citos gadījumos FPS būs galvenais ērkšķis noklausītāju pusē.

Pašreizējie raksti