Què és Perfect Forward Secrecy?

En criptografia, alguns xifrats poden estar etiquetats amb l'acrònim PFS. Això significa Perfect Forward Secrecy. Algunes implementacions poden simplement referir-se a PFS com a FS. Aquest acrònim significa Forward Secrecy o Forward Secure. En tot cas, tots parlen del mateix. Entendre què significa Perfect Forward Secrecy requereix que entengueu els conceptes bàsics de l'intercanvi de claus criptogràfiques.

Conceptes bàsics de criptografia

Per comunicar-se de manera segura, la solució ideal és utilitzar algorismes de xifratge simètrics. Són ràpids, molt més ràpids que els algorismes asimètrics. Ells, però, tenen un problema fonamental. Com que s'utilitza la mateixa clau per xifrar i desxifrar un missatge, no podeu enviar la clau per un canal insegur. Per tant, primer heu de poder assegurar el canal. Això es fa mitjançant la criptografia asimètrica a la pràctica.

Nota: També seria possible, si és inviable, utilitzar un canal segur fora de banda, tot i que la dificultat continua per assegurar-lo.

Per assegurar un canal insegur es realitza un procés anomenat intercanvi de claus Diffie-Hellman. A l'intercanvi de claus Diffie-Hellman, una de les parts, l'Alice, envia la seva clau pública a l'altra part, en Bob. Aleshores, Bob combina la seva clau privada amb la clau pública d'Alice per generar un secret. Aleshores, Bob envia la seva clau pública a l'Alice, que la combina amb la seva clau privada, permetent-li generar el mateix secret. Amb aquest mètode, ambdues parts poden transmetre informació pública però acaben generant el mateix secret, sense haver-lo de transmetre mai. Aquest secret es pot utilitzar com a clau de xifratge per a un algorisme de xifratge simètric ràpid.

Nota: l'intercanvi de claus Diffie-Hellman no ofereix de forma nativa cap autenticació. Un atacant en una posició Man in the Middle o MitM podria negociar una connexió segura amb Alice i Bob, i supervisar en silenci les comunicacions desxifrades. Aquest problema es resol mitjançant PKI o infraestructura de clau pública. A Internet, això pren la forma d'autoritats de certificació de confiança que signen certificats de llocs web. Això permet a un usuari verificar que s'està connectant al servidor que espera.

El problema amb Diffie-Hellman estàndard

Tot i que el problema d'autenticació és fàcil de resoldre, aquest no és l'únic problema. Els llocs web tenen un certificat, signat per una autoritat de certificació. Aquest certificat inclou una clau pública, per a la qual el servidor té la clau privada. Podeu utilitzar aquest conjunt de claus asimètriques per comunicar-vos de manera segura, però, què passa si alguna vegada aquesta clau privada es veu compromesa?

Si una part interessada i malintencionada volgués desxifrar dades xifrades, ho tindria difícil. El xifratge modern s'ha dissenyat de tal manera que trigaria almenys molts milions d'anys a tenir una oportunitat raonable d'endevinar una única clau de xifratge. Un sistema criptogràfic, però, només és tan segur com la clau. Així, si l'atacant és capaç de comprometre la clau, per exemple piratejant el servidor, pot utilitzar-la per desxifrar qualsevol trànsit que s'hagi utilitzat per xifrar.

Aquest problema, òbviament, té uns grans requisits. En primer lloc, cal comprometre la clau. L'atacant també necessita qualsevol trànsit xifrat que vulgui desxifrar. Per al vostre atacant mitjà, aquest és un requisit bastant difícil. Tanmateix, si l'atacant és un ISP maliciós, un proveïdor de VPN, un propietari d'un punt d'accés Wi-Fi o un estat nacional, es troba en un bon lloc per capturar grans quantitats de trànsit xifrat que pot ser capaç de desxifrar en algun moment.

El problema aquí és que amb la clau privada del servidor, l'atacant podria generar el secret i utilitzar-lo per desxifrar tot el trànsit que s'ha utilitzat per xifrar. Això podria permetre a l'atacant desxifrar anys de trànsit de xarxa per a tots els usuaris a un lloc web d'un sol cop.

Perfecte secret d'avançament

La solució a això és no utilitzar la mateixa clau de xifratge per a tot. En lloc d'això, voleu utilitzar claus efímeres. El secret directe perfecte requereix que el servidor generi un nou parell de claus asimètriques per a cada connexió. El certificat encara s'utilitza per a l'autenticació, però en realitat no s'utilitza per al procés de negociació de claus. La clau privada es manté a la memòria només el temps suficient per negociar el secret abans de ser esborrada. De la mateixa manera, el secret només es manté mentre estigui en ús abans d'esborrar-lo. En sessions especialment llargues, fins i tot es pot renegociar.

Consell: en els noms de xifrat, els xifrats que inclouen Perfect Forward Secrecy solen s'etiqueten amb DHE o ECDHE. El DH significa Diffie-Hellman, mentre que l'E a l'extrem significa Efímer.

Mitjançant l'ús d'un secret únic per a cada sessió, es redueix molt el risc que la clau privada es vegi compromesa. Si un atacant és capaç de comprometre la clau privada, pot desxifrar el trànsit actual i futur, però no el pot utilitzar per desxifrar el trànsit històric de manera massiva.

Com a tal, el secret directe perfecte proporciona una protecció àmplia contra la captura general del trànsit de la xarxa. Tot i que en el cas que el servidor estigui compromès, algunes dades es poden desxifrar, només són dades actuals, no totes les dades històriques. A més, un cop detectat el compromís, el problema es pot resoldre deixant només una quantitat relativament petita del trànsit total de tota la vida que l'atacant pugui desxifrar.

Conclusió

Perfect Forward Secrecy és una eina per protegir contra la vigilància històrica general. Un atacant capaç de recollir i emmagatzemar grans quantitats de comunicacions xifrades pot ser capaç de desxifrar-les si mai accedeix a la clau privada. PFS assegura que cada sessió utilitza claus efímeres úniques. Això limita la capacitat de l'atacant de "només" poder desxifrar el trànsit actual, en lloc de tot el trànsit històric.