Dezvăluirile făcute de denunțătorul Edward Snowden au arătat că NSA colectează date în masă. Deși în prezent nu poate decripta o parte din informații, ar putea fi posibil să facă acest lucru în viitor. Administratorii de site-uri web se pot proteja pe ei și pe vizitatorii lor astăzi de decriptarea de mâine.
Edward Snowden a arătat lumii că niciun fel de date nu este în siguranță în fața serviciilor de informații. Aceștia colectează (ca măsură de precauție) toate informațiile care le ies în cale. Unele dintre aceste date sunt criptate, de exemplu, prin intermediul unei conexiuni HTTPS. Aceasta include site-urile web unde sunt transferate date sensibile, cumpărarea unui produs, conectarea la un cont de e-mail sau utilizarea serviciilor bancare la domiciliu. Toate aceste date sunt interceptate, deși astăzi sunt inutile. În câțiva ani, agențiile de informații ar putea să o decripteze.
Vulnerabilitatea HTTPS
Ce este mai exact Perfect Forward Secrecy sau, pe scurt, PFS? Pentru a explica acest termen, este necesar mai întâi să explicăm cum funcționează criptarea SSL, care este utilizată pe site-urile web în care se transmit date sensibile.
Când vizitați site-ul nostru Site web hoster.online, un mic lacăt va fi vizibil în bara de căutare a browserului web. Un clic pe lacăt deschide informații despre certificatul SSL. Cu un alt clic, puteți vizualiza informații despre Certificat inclusiv, de exemplu, data de expirare.
Certificatele SSL pot fi utilizate de aproape orice site web. Diferențele constau în
- criptarea lor
- dacă acestea validează domeniul sau identitatea și
- cât de mare este compatibilitatea lor cu browserul.
În plus, există trei tipuri de certificate:
1. unic
2. wildcard
3. multidomeniu
Certificatul SSL funcționează după cum urmează: Utilizatorul navighează pe un site web, de exemplu hoster.online. Browserul său contactează serverul, care specifică o cheie publică emisă de autoritatea de certificare. Browserul verifică semnătura autorității de certificare. Dacă acest lucru este corect, acesta face schimb de date cu hoster.online. Din acel moment, toate datele sunt transmise în formă criptată.
Perfect Forward Secrecy ca protecție împotriva metodelor de mâine
Pentru transmiterea criptată a unei sesiuni HTTPS, browserul propune de fiecare dată o cheie de sesiune secretă. Serverul confirmă această cheie.
Problema cu această metodă este că agențiile de informații, precum NSA, pot înregistra transmiterea cheii. În viitorul apropiat, ar fi posibil ca aceștia să o decripteze. Acest lucru le-ar permite să citească toate datele transferate către hoster.online.
Au existat probleme cu HTTPS în trecut. Microbul Heartbleed, care a expus site-urile web la vulnerabilități majore de securitate începând din 2011, a afectat două din trei site-uri web de pe internet. Heartbleed a fost o eroare de programare în software-ul OpenSSL. Aceasta a permis hackerilor care se conectau prin HTTP la un server care rula o versiune vulnerabilă a OpenSSL să aibă acces la 64 KB de memorie privată. Atacul a provocat scurgeri de cookie-uri, parole și adrese de e-mail de pe servere. Au fost afectate servicii importante precum Yahoo Mail și LastPass.
Soluția pentru astfel de scenarii este Perfect Forward Secrecy: Prin așa-numita metodă Diffie-Hellman, cei doi parteneri de comunicare - în acest caz, browserul web și serverul - convin asupra unei chei de sesiune temporare. Această cheie nu este transmisă în niciun moment. De îndată ce sesiunea este finalizată, cheia este distrusă.
PFS în practică și în viitor
Din păcate, există două vești proaste:
1. în prezent, doar câteva site-uri web utilizează PFS.
2. toate datele schimbate până în prezent nu mai pot fi criptate.
Cu toate acestea, site-urile web ar trebui cel puțin să implementeze de acum înainte Perfect Forward Secrecy pentru a se asigura că, mai devreme sau mai târziu, datele nu vor putea fi citite în ciuda criptării.
Pentru implementarea PFS, Ivan Ristic de la Security Labs recomandă următoarele suite:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Webmasterii își pot testa site-ul web pe ssllabs.com și apoi pot decide asupra măsurilor adecvate.
După punerea în aplicare a Perfetct Forward Secrecy, servicii precum NSA și BND pot citi datele doar prin atacuri de tip man-in-the-middle. În toate celelalte cazuri, FPS va fi un obstacol major pentru cei care trag cu urechea.