As revelações do denunciante Edward Snowden mostraram que a NSA recolhe dados em massa. Embora não consiga decifrar algumas das informações hoje, pode ser possível no futuro. Os webmasters podem proteger-se a si próprios e aos seus visitantes de hoje da desencriptação de amanhã.
Edward Snowden mostrou ao mundo que nenhum dado está a salvo dos serviços secretos. Eles recolhem (como precaução) todas as informações que lhes chegam. Alguns destes dados são criptografados, por exemplo, através de uma conexão HTTPS. Isto inclui sites onde são transmitidos dados sensíveis, a compra de um produto ou o login em uma conta de e-mail ou usando o home banking. Todos estes dados são interceptados, embora hoje em dia sejam inúteis. Em alguns anos, os serviços secretos poderiam descodificá-los.
A vulnerabilidade do HTTPS
O que é exactamente Perfect Forward Secrecy, PFS, para abreviar? Para explicar o termo, é necessário primeiro explicar como funciona a encriptação SSL, que é utilizada em sites onde os dados sensíveis são transferidos.
Ao visitar o nosso website hoster.online, um pequeno cadeado será visível na barra de pesquisa do navegador da web. Um clique no cadeado abre informações sobre o certificado SSL. Com outro clique, pode visualizar informações sobre o Certificado incluindo, por exemplo, a data de expiração.
Os certificados SSL podem ser usados por praticamente qualquer website. As diferenças estão em
- sua encriptação
- se eles validam o domínio ou a identidade e
- o quão alta é a compatibilidade do navegador deles.
Existem também três tipos de certificados:
1º single
2º asterisco
3. multi-domínio
O certificado SSL funciona da seguinte forma: O usuário navega para um site, por exemplo, hoster.online. O seu navegador contacta o servidor, o que especifica uma chave pública emitida pela autoridade de certificação. O navegador verifica a assinatura da autoridade de certificação. Se estiver correto, ele troca dados com o hoster.online. A partir de agora, todos os dados serão transmitidos encriptados.
Perfect Forward Secrecy como proteção contra os métodos de amanhã
Para a transmissão encriptada de uma sessão HTTPS, o navegador sugere uma chave de sessão secreta cada vez. O servidor confirma esta chave.
O problema com o método é que serviços secretos como o NSA podem gravar a transmissão da chave. Num futuro previsível, poderá ser possível decifrá-lo. Isto permitir-lhes-ia ler todos os dados transferidos para o hoster.online.
No passado, houve problemas com HTTPS. O bug Heartbleed, que expôs os sites a grandes vulnerabilidades de segurança desde 2011, afetou dois dos três sites na Internet. Heartbleed foi um erro de programação no software OpenSSL. Ele deu aos hackers conectados a um servidor com uma versão vulnerável do OpenSSL via HTTPs acesso a 64 KB de armazenamento privado. O ataque fez com que os servidores vazassem cookies, senhas e endereços de e-mail. Grandes serviços como o Yahoo Mail e o LastPass foram afetados.
A solução para tais cenários é Perfect Forward Secrecy: Com o chamado método Diffie-Hellman, os dois parceiros de comunicação - neste caso, navegador e servidor - concordam em uma chave de sessão temporária. Isto não é transmitido em nenhum momento. Assim que a sessão é encerrada, a chave é destruída.
PFS na prática e o futuro
Infelizmente, há duas más notícias:
1. poucos sites utilizam actualmente PFS
2. Todos os dados trocados até agora não podem mais ser criptografados.
No entanto, os sites devem pelo menos a partir de agora implementar o Perfect Forward Secrecy para garantir que nenhum dado possa ser lido mais cedo ou mais tarde, apesar da encriptação.
Ivan Ristic do Security Labs recomenda as seguintes suítes para a implementação do PFS:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3THE_EDE_CBC_SHA
Os webmasters podem testar seu site no ssllabs.com e depois decidir sobre as medidas apropriadas.
Após a implementação do Perfetct Forward Secrecy, serviços como NSA e BND só podem ler dados com ataques "man-in-the-middle". Em todos os outros casos, o FPS será um grande espinho na lateral dos espiões.
