Hvad er Perfect Forward Secretcy?

I kryptografi kan nogle cifre være mærket med akronymet PFS. Dette står for Perfect Forward Secrecy. Nogle implementeringer kan blot henvise til PFS som FS. Dette akronym betyder Forward Secrecy eller Forward Secure. I hvert fald taler de alle om det samme. At forstå, hvad Perfect Forward Secrecy betyder, kræver, at du forstår det grundlæggende i kryptografisk nøgleudveksling.

Grundlæggende om kryptografi

For at kommunikere sikkert er den ideelle løsning at bruge symmetriske krypteringsalgoritmer. Disse er hurtige, meget hurtigere end asymmetriske algoritmer. De har dog et grundlæggende problem. Fordi den samme nøgle bruges til at kryptere og dekryptere en besked, kan du ikke sende nøglen over en usikker kanal. Som sådan skal du være i stand til at sikre kanalen først. Dette gøres ved hjælp af asymmetrisk kryptografi i praksis.

Bemærk: Det ville også være muligt, hvis det ikke er muligt, at bruge en sikker kanal uden for båndet, selvom vanskeligheden stadig er med at sikre den kanal.

For at sikre en usikker kanal udføres en proces kaldet Diffie-Hellman nøgleudveksling. I Diffie-Hellman nøgleudveksling sender den ene part, Alice, deres offentlige nøgle til den anden part, Bob. Bob kombinerer derefter sin private nøgle med Alices offentlige nøgle for at generere en hemmelighed. Bob sender derefter sin offentlige nøgle til Alice, som kombinerer den med sin private nøgle, så hun kan generere den samme hemmelighed. Ved denne metode kan begge parter transmittere offentlig information, men ender med at generere den samme hemmelighed uden nogensinde at skulle transmittere den. Denne hemmelighed kan derefter bruges som krypteringsnøgle til en hurtig symmetrisk krypteringsalgoritme.

Bemærk: Diffie-Hellman nøgleudveksling tilbyder ikke naturligt nogen godkendelse. En angriber i en Man in the Middle- eller MitM-position kunne forhandle sig frem til en sikker forbindelse med både Alice og Bob og stille og roligt overvåge den dekrypterede kommunikation. Dette problem løses via PKI eller Public Key Infrastructure. På internettet sker dette i form af betroede certifikatmyndigheder, der underskriver certifikater for websteder. Dette giver en bruger mulighed for at bekræfte, at de opretter forbindelse til den server, de forventer.

Problemet med standard Diffie-Hellman

Selvom godkendelsesproblemet er nemt at løse, er det ikke det eneste problem. Websteder har et certifikat, der er underskrevet af en certifikatmyndighed. Dette certifikat indeholder en offentlig nøgle, som serveren har den private nøgle til. Du kan bruge dette sæt asymmetriske nøgler til at kommunikere sikkert, men hvad sker der, hvis den private nøgle nogensinde bliver kompromitteret?

Hvis en interesseret, ondsindet part ville dekryptere krypterede data, ville de have svært ved det. Moderne kryptering er designet på en sådan måde, at det ville tage mindst mange millioner år at have en rimelig chance for at gætte en enkelt krypteringsnøgle. Et kryptografisk system er dog kun så sikkert som nøglen. Så hvis angriberen er i stand til at kompromittere nøglen, f.eks. ved at hacke ind på serveren, kan de bruge den til at dekryptere enhver trafik, den blev brugt til at kryptere.

Dette problem har åbenbart nogle store krav. For det første skal nøglen kompromitteres. Angriberen har også brug for al krypteret trafik, som de ønsker at dekryptere. For din gennemsnitlige angriber er dette et ganske vanskeligt krav. Hvis angriberen derimod er en ondsindet internetudbyder, VPN-udbyder, Wi-Fi-hotspot-ejer eller nationalstat, er de et godt sted at fange enorme mængder af krypteret trafik, som de muligvis kan dekryptere på et tidspunkt.

Problemet her er, at med serverens private nøgle kunne angriberen så generere hemmeligheden og bruge den til at dekryptere al trafik, den nogensinde blev brugt til at kryptere. Dette kunne gøre det muligt for angriberen at dekryptere mange års netværkstrafik for alle brugere til et websted i ét hug.

Perfekt fremad hemmeligholdelse

Løsningen på dette er ikke at bruge den samme krypteringsnøgle til alt. I stedet vil du bruge flygtige nøgler. Perfekt fremadrettet hemmeligholdelse kræver, at serveren genererer et nyt asymmetrisk nøglepar for hver forbindelse. Certifikatet bruges stadig til godkendelse, men bruges faktisk ikke til nøgleforhandlingsprocessen. Den private nøgle opbevares kun længe nok i hukommelsen til at forhandle hemmeligheden, før den slettes. Ligeledes opbevares hemmeligheden kun, så længe den er i brug, før den bliver ryddet. I særligt lange sessioner kan det endda blive genforhandlet.

Tip: I chiffernavne er chiffer med Perfect Forward Secrecy typisk mærket med DHE eller ECDHE. DH står eller Diffie-Hellman, mens E på enden står for Ephemeral.

Ved at bruge en unik hemmelighed for hver session, reduceres risikoen for, at den private nøgle bliver kompromitteret betydeligt. Hvis en hacker er i stand til at kompromittere den private nøgle, kan de dekryptere nuværende og fremtidig trafik, men de kan ikke bruge den til at massekryptere historisk trafik.

Som sådan giver perfekt fremadrettet hemmeligholdelse bred beskyttelse mod generel netværkstrafik. Mens i tilfælde af, at serveren kompromitteres, kan nogle data blive dekrypteret, men det er kun aktuelle data, ikke alle historiske data. Derudover, når kompromiset er blevet opdaget, kan problemet løses, så kun en relativt lille mængde af den samlede livstidstrafik kan dekrypteres af angriberen.

Konklusion

Perfect Forward Secrecy er et værktøj til at beskytte mod generel historisk overvågning. En angriber, der er i stand til at indsamle og gemme enorme mængder af krypteret kommunikation, kan muligvis dekryptere dem, hvis de nogensinde får adgang til den private nøgle. PFS sikrer, at hver session bruger unikke flygtige nøgler. Dette begrænser angriberens evne til "kun" at være i stand til at dekryptere aktuel trafik, snarere end al historisk trafik.