Откровения информатора Эдварда Сноудена показали, что АНБ массово собирает данные. Хотя он не может расшифровать часть информации сегодня, это может быть возможно в будущем. Вебмастера могут защитить себя и своих посетителей сегодня от завтрашней расшифровки.
Эдвард Сноуден показал миру, что никакие данные не защищены от секретных служб. Они собирают (в качестве меры предосторожности) всю информацию, которая попадается им на пути. Некоторые из этих данных шифруются, например, через HTTPS-соединение. К ним относятся веб-сайты, на которых передаются конфиденциальные данные, покупка продукта, вход в систему электронной почты или использование домашнего банковского обслуживания. Все эти данные перехватываются, хотя сегодня они бесполезны. Через несколько лет секретные службы смогут их расшифровать.
Уязвимость HTTPS
Что такое Perfect Forward Secrecy, PFS для краткости? Чтобы объяснить этот термин, сначала необходимо объяснить, как работает SSL-шифрование, которое используется на сайтах, куда передаются конфиденциальные данные.
При посещении нашего веб-сайт hoster.online, в строке поиска веб-браузера будет виден маленький замочек. Щелчок по замку открывает информацию о сертификате SSL. Еще одним щелчком мыши вы можете просмотреть информацию о Сертификат включая, например, срок годности.
SSL-сертификаты могут использоваться практически на любом сайте. Различия заключаются в том, что
- их шифрование
- подтверждают ли они домен или идентичность и
- насколько высока их совместимость с браузерами.
Существуют также три вида сертификатов:
1-й сингл
второй спецсимвол
3. многодоменный
SSL-сертификат работает следующим образом: Пользователь заходит на сайт, например, Hoster.online. Его браузер связывается с сервером, который указывает открытый ключ, выданный сертификационным центром. Браузер проверяет подпись удостоверяющего центра. Если это так, то он обменивается данными с хостером.online. Отныне все данные будут передаваться в зашифрованном виде.
Совершенная прямая тайна как защита от методов завтрашнего дня.
Для зашифрованной передачи сеанса HTTPS браузер каждый раз предлагает секретный ключ сеанса. Сервер подтверждает этот ключ.
Проблема метода заключается в том, что секретные службы, такие как АНБ, могут записывать передачу ключа. В обозримом будущем, возможно, удастся расшифровать его. Это позволит им считывать все данные, передаваемые на hoster.online.
В прошлом были проблемы с HTTPS. Ошибка Heartbleed, которая подвергала веб-сайты основным уязвимостям безопасности с 2011 года, затронула два из трех веб-сайтов в Интернете. Сердцебиение - это программная ошибка в программном обеспечении OpenSSL. Это дало возможность хакерам, подключающимся к серверу с уязвимой версией OpenSSL по HTTP, получить доступ к 64 КБ частного хранилища. Атака привела к утечке серверов cookie-файлов, паролей и адресов электронной почты. Это затронуло такие крупные службы, как Yahoo Mail и LastPass.
Решением для таких сценариев является Perfect Forward Secrecy: с помощью так называемого метода Diffie-Hellman два партнера по коммуникации - в данном случае веб-браузер и сервер - договариваются о временном сеансовом ключе. Это не передается в любое время. Как только сессия закрывается, ключ уничтожается.
СПП на практике и в будущем
К сожалению, есть две плохие новости:
1. несколько веб-сайтов в настоящее время используют PFS
2. все данные, которыми до сих пор обменивались, не могут быть зашифрованы.
Тем не менее, веб-сайты должны, по крайней мере, отныне внедрять Perfect Forward Secrecy, чтобы гарантировать, что рано или поздно никакие данные не могут быть прочитаны, несмотря на шифрование.
Иван Ристич из Security Labs рекомендует следующие комплекты для реализации PFS:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3THE_EDE_CBC_SHA
Вебмастера могут протестировать свой сайт на ssllabs.com, а затем принять решение о соответствующих мерах.
После внедрения Perfetct Forward Secrecy такие службы, как АНБ и БНД, могут считывать данные только с помощью атак типа "человек в середине". Во всех остальных случаях FPS будет основным шипом в боковой части подслушивающих.