As revelações do denunciante Edward Snowden mostraram que a NSA coleta dados em massa. Embora não possa decifrar algumas das informações hoje, isso pode ser possível no futuro. Os webmasters podem se proteger e proteger seus visitantes hoje da decriptação de amanhã.
Edward Snowden mostrou ao mundo que nenhum dado está a salvo dos serviços secretos. Eles coletam (como precaução) todas as informações que vêm a seu encontro. Alguns destes dados são criptografados, por exemplo, através de uma conexão HTTPS. Isto inclui websites onde dados sensíveis são transmitidos, a compra de um produto ou o login em uma conta de e-mail ou usando o home banking. Todos estes dados são interceptados, embora hoje em dia sejam inúteis. Em poucos anos, os serviços secretos puderam descodificá-los.
A vulnerabilidade do HTTPS
O que é exatamente Perfect Forward Secrecy, PFS, para abreviar? Para explicar o termo, é necessário primeiro explicar como funciona a criptografia SSL, que é usada em sites onde dados sensíveis são transferidos.
Ao visitar nosso website hoster.online, um pequeno cadeado será visível na barra de busca do navegador da web. Um clique sobre o cadeado abre informações sobre o certificado SSL. Com outro clique, você pode visualizar informações sobre o Certificado incluindo, por exemplo, a data de expiração.
Os certificados SSL podem ser usados por praticamente qualquer website. As diferenças estão em
- sua criptografia
- se eles validam o domínio ou a identidade e
- quão alta é a compatibilidade de seus navegadores.
Há também três tipos de certificados:
1º single
2º curinga
3. Multi-domínio
O certificado SSL funciona da seguinte forma: O usuário navega para um site, por exemplo, hoster.online. Seu navegador entra em contato com o servidor, que especifica uma chave pública emitida pela autoridade de certificação. O navegador verifica a assinatura da autoridade de certificação. Se estiver correto, ele troca dados com o hoster.online. A partir de agora, todos os dados serão transmitidos codificados.
Perfeito sigilo como proteção contra os métodos de amanhã
Para a transmissão criptografada de uma sessão HTTPS, o navegador sugere uma chave de sessão secreta cada vez. O servidor confirma esta chave.
O problema com o método é que serviços secretos como o NSA podem registrar a transmissão da chave. Num futuro próximo, talvez seja possível decifrá-la. Isto lhes permitiria ler todos os dados transferidos para o hoster.online.
No passado, houve problemas com HTTPS. O bug Heartbleed, que expôs os websites a grandes vulnerabilidades de segurança desde 2011, afetou dois de cada três websites na Internet. O Heartbleed foi um erro de programação no software OpenSSL. Deu aos hackers conectados a um servidor com uma versão vulnerável do OpenSSL via HTTPs acesso a 64 KB de armazenamento privado. O ataque causou o vazamento de cookies, senhas e endereços de e-mail nos servidores. Grandes serviços como o Yahoo Mail e o LastPass foram afetados.
A solução para tais cenários é Perfect Forward Secrecy: Com o chamado método Diffie-Hellman, os dois parceiros de comunicação - neste caso, navegador e servidor - concordam em uma chave de sessão temporária. Isto não é transmitido em nenhum momento. Assim que a sessão é encerrada, a chave é destruída.
PFS na prática e o futuro
Infelizmente, há duas más notícias:
1. Poucos sites utilizam atualmente PFS
2. Todos os dados trocados até agora não podem mais ser criptografados.
No entanto, os websites devem pelo menos a partir de agora implementar o Perfect Forward Secrecy para garantir que nenhum dado possa ser lido mais cedo ou mais tarde, apesar da criptografia.
Ivan Ristic do Security Labs recomenda as seguintes suítes para a implementação do PFS:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3THE_EDE_CBC_SHA
Os webmasters podem testar seu site no ssllabs.com e depois decidir sobre as medidas apropriadas.
Após a implementação do Perfetct Forward Secrecy, serviços como NSA e BND só podem ler dados com ataques de homem no meio. Em todos os outros casos, o FPS será um grande espinho na lateral dos espiões.
