Co je to Perfect Forward Secrecy?

V kryptografii mohou být některé šifry označeny zkratkou PFS. To znamená Perfect Forward Secrecy. Některé implementace mohou jednoduše označovat PFS jako FS. Tato zkratka znamená Forward Secrecy nebo Forward Secure. V každém případě všichni mluví o tom samém. Pochopení toho, co znamená Perfect Forward Secrecy, vyžaduje, abyste porozuměli základům výměny kryptografických klíčů.

Základy kryptografie

Pro bezpečnou komunikaci je ideálním řešením použití symetrických šifrovacích algoritmů. Jsou rychlé, mnohem rychlejší než asymetrické algoritmy. Mají však zásadní problém. Protože se k šifrování a dešifrování zprávy používá stejný klíč, nemůžete klíč odeslat přes nezabezpečený kanál. Nejprve musíte být schopni zabezpečit kanál. To se v praxi provádí pomocí asymetrické kryptografie.

Poznámka: Bylo by také možné, pokud to nebude možné, použít zabezpečený kanál mimo pásmo, i když problém se zabezpečením tohoto kanálu zůstává.

K zabezpečení nezabezpečeného kanálu se provádí proces zvaný výměna klíčů Diffie-Hellman. Při výměně klíčů Diffie-Hellman jedna strana, Alice, pošle svůj veřejný klíč druhé straně, Bobovi. Bob poté zkombinuje svůj soukromý klíč s veřejným klíčem Alice a vygeneruje tajemství. Bob poté pošle svůj veřejný klíč Alici, která jej zkombinuje se svým soukromým klíčem, což jí umožní vygenerovat stejné tajemství. Při této metodě mohou obě strany přenášet veřejné informace, ale nakonec vygenerují stejné tajemství, aniž by je musely přenášet. Toto tajemství pak může být použito jako šifrovací klíč pro rychlý symetrický šifrovací algoritmus.

Poznámka: Výměna klíčů Diffie-Hellman nativně nenabízí žádné ověřování. Útočník v pozici Man in the Middle nebo MitM by mohl vyjednat bezpečné spojení s Alicí i Bobem a tiše monitorovat dešifrovanou komunikaci. Tento problém je vyřešen pomocí PKI nebo infrastruktury veřejného klíče. Na internetu má podobu důvěryhodných certifikačních autorit podepisujících certifikáty webových stránek. To umožňuje uživateli ověřit, že se připojuje k serveru, který očekává.

Problém se standardním Diffie-Hellmanem

I když je problém s autentizací snadno řešitelný, není to jediný problém. Webové stránky mají certifikát podepsaný certifikační autoritou. Tento certifikát obsahuje veřejný klíč, pro který má server soukromý klíč. Tuto sadu asymetrických klíčů můžete použít k bezpečné komunikaci, ale co se stane, pokud bude tento soukromý klíč někdy kompromitován?

Pokud by zainteresovaná, zlomyslná strana chtěla dešifrovat zašifrovaná data, měla by to těžké. Moderní šifrování bylo navrženo tak, že by trvalo nejméně mnoho milionů let, než by byla rozumná šance uhodnout jediný šifrovací klíč. Kryptografický systém je však pouze tak bezpečný jako klíč. Pokud se tedy útočníkovi podaří prolomit klíč, například nabouráním se do serveru, může jej použít k dešifrování veškerého provozu, který byl k šifrování použit.

Tato problematika má samozřejmě velké požadavky. Nejprve je třeba kompromitovat klíč. Útočník také potřebuje veškerý šifrovaný provoz, který chce dešifrovat. Pro vašeho průměrného útočníka je to docela obtížný požadavek. Pokud je však útočník škodlivý ISP, poskytovatel VPN, vlastník Wi-Fi hotspotu nebo národní stát, jsou na dobrém místě k zachycení obrovského množství šifrovaného provozu, který mohou být v určitém okamžiku schopni dešifrovat.

Problém je v tom, že pomocí soukromého klíče serveru by útočník mohl vygenerovat tajemství a použít jej k dešifrování veškerého provozu, který byl kdy k šifrování použit. To by mohlo útočníkovi umožnit dešifrovat roky síťového provozu pro všechny uživatele na webu jedním tahem.

Dokonalé dopředné utajení

Řešením je nepoužívat stejný šifrovací klíč pro všechno. Místo toho chcete použít efemérní klíče. Dokonalé dopředné utajení vyžaduje, aby server pro každé připojení vygeneroval nový pár asymetrických klíčů. Certifikát se stále používá k ověřování, ale ve skutečnosti se nepoužívá pro proces vyjednávání klíčů. Soukromý klíč je uchováván v paměti pouze tak dlouho, aby vyjednal tajemství před vymazáním. Stejně tak je tajemství uchováváno pouze tak dlouho, dokud se používá, než bude vymazáno. Ve zvlášť dlouhých sezeních může být dokonce znovu vyjednáno.

Tip: V názvech šifer jsou šifry obsahující Perfect Forward Secrecy obvykle označeny DHE nebo ECDHE. DH znamená Diffie-Hellman, zatímco E na konci znamená Ephemeral.

Použitím jedinečného tajemství pro každou relaci se výrazně snižuje riziko kompromitace soukromého klíče. Pokud je útočník schopen prolomit soukromý klíč, může dešifrovat aktuální a budoucí provoz, ale nemůže jej použít k hromadnému dešifrování historického provozu.

Dokonalé dopředné utajení jako takové poskytuje širokou ochranu proti plošnému zachycení síťového provozu. Zatímco v případě kompromitace serveru mohou být některá data dešifrována, jedná se pouze o aktuální data, nikoli o všechna historická data. Navíc, jakmile je kompromitace zjištěna, lze problém vyřešit, takže útočník může dešifrovat pouze relativně malé množství celkového provozu za celou dobu životnosti.

Závěr

Perfect Forward Secrecy je nástroj na ochranu proti plošnému historickému sledování. Útočník, který je schopen shromažďovat a ukládat obrovské množství zašifrované komunikace, může být schopen ji dešifrovat, pokud někdy získá přístup k soukromému klíči. PFS zajišťuje, že každá relace používá jedinečné dočasné klíče. To omezuje schopnost útočníka „pouze“ dešifrovat aktuální provoz, nikoli veškerý historický provoz.