Čo je to Perfect Forward Secrecy?

V kryptografii môžu byť niektoré šifry označené skratkou PFS. To znamená Perfect Forward Secrecy. Niektoré implementácie môžu jednoducho označovať PFS ako FS. Táto skratka znamená Forward Secrecy alebo Forward Secure. V každom prípade všetci hovoria o tom istom. Pochopenie toho, čo znamená Perfect Forward Secrecy, vyžaduje, aby ste porozumeli základom výmeny kryptografických kľúčov.

Základy kryptografie

Pre bezpečnú komunikáciu je ideálnym riešením použiť symetrické šifrovacie algoritmy. Sú rýchle, oveľa rýchlejšie ako asymetrické algoritmy. Majú však zásadný problém. Keďže sa na šifrovanie a dešifrovanie správy používa rovnaký kľúč, nemôžete ho odoslať cez nezabezpečený kanál. Najprv musíte byť schopní zabezpečiť kanál. V praxi sa to robí pomocou asymetrickej kryptografie.

Poznámka: Bolo by tiež možné, ak by to nebolo možné, použiť zabezpečený kanál mimo pásma, aj keď problém so zabezpečením tohto kanála zostáva.

Na zabezpečenie nezabezpečeného kanála sa vykonáva proces nazývaný výmena kľúčov Diffie-Hellman. Pri výmene kľúčov Diffie-Hellman jedna strana, Alice, pošle svoj verejný kľúč druhej strane, Bobovi. Bob potom skombinuje svoj súkromný kľúč s Aliciným verejným kľúčom a vygeneruje tajomstvo. Bob potom pošle svoj verejný kľúč Alici, ktorá ho skombinuje so svojím súkromným kľúčom, čo jej umožní vygenerovať rovnaké tajomstvo. Pri tejto metóde môžu obe strany prenášať verejné informácie, ale nakoniec vygenerujú rovnaké tajomstvo bez toho, aby ich museli prenášať. Toto tajomstvo sa potom môže použiť ako šifrovací kľúč pre rýchly symetrický šifrovací algoritmus.

Poznámka: Výmena kľúčov Diffie-Hellman natívne neponúka žiadnu autentifikáciu. Útočník v pozícii Man in the Middle alebo MitM by mohol vyjednať bezpečné spojenie s Alicou aj Bobom a potichu monitorovať dešifrovanú komunikáciu. Tento problém sa rieši prostredníctvom PKI alebo infraštruktúry verejného kľúča. Na internete to má formu dôveryhodných certifikačných autorít, ktoré podpisujú certifikáty webových stránok. To umožňuje používateľovi overiť, že sa pripája k serveru, ktorý očakáva.

Problém so štandardným Diffie-Hellmanom

Aj keď je problém s autentifikáciou ľahko vyriešiť, nie je to jediný problém. Webové stránky majú certifikát podpísaný certifikačnou autoritou. Tento certifikát obsahuje verejný kľúč, pre ktorý má server súkromný kľúč. Túto sadu asymetrických kľúčov môžete použiť na bezpečnú komunikáciu, čo sa však stane, ak bude tento súkromný kľúč niekedy ohrozený?

Ak by zainteresovaná, zlomyseľná strana chcela dešifrovať zašifrované dáta, mala by z toho problémy. Moderné šifrovanie bolo navrhnuté tak, že by trvalo prinajmenšom mnoho miliónov rokov, kým by sme mali rozumnú šancu uhádnuť jediný šifrovací kľúč. Kryptografický systém je však len taký bezpečný ako kľúč. Takže ak je útočník schopný kompromitovať kľúč, povedzme nabúraním sa do servera, môže ho použiť na dešifrovanie akéhokoľvek prenosu, ktorý bol použitý na šifrovanie.

Tento problém má samozrejme veľké požiadavky. Po prvé, kľúč je potrebné kompromitovať. Útočník tiež potrebuje všetku šifrovanú komunikáciu, ktorú chce dešifrovať. Pre vášho priemerného útočníka je to dosť náročná požiadavka. Ak je však útočníkom škodlivý poskytovateľ internetových služieb, poskytovateľ VPN, vlastník hotspotu Wi-Fi alebo národný štát, sú na dobrom mieste na zachytenie obrovského množstva šifrovanej prevádzky, ktorú môžu v určitom okamihu dešifrovať.

Problém je v tom, že pomocou súkromného kľúča servera by útočník mohol vygenerovať tajomstvo a použiť ho na dešifrovanie všetkej prevádzky, ktorú kedy použil na šifrovanie. To by útočníkovi umožnilo dešifrovať roky sieťovej prevádzky pre všetkých používateľov na webovú stránku jedným ťahom.

Dokonalé dopredné tajomstvo

Riešením je nepoužívať rovnaký šifrovací kľúč na všetko. Namiesto toho chcete použiť efemérne kľúče. Dokonalé dopredné utajenie vyžaduje, aby server pre každé pripojenie vygeneroval nový asymetrický pár kľúčov. Certifikát sa stále používa na autentifikáciu, ale v skutočnosti sa nepoužíva na proces vyjednávania kľúča. Súkromný kľúč je uložený v pamäti len tak dlho, aby bolo možné vyjednať tajomstvo pred vymazaním. Podobne sa tajomstvo uchováva len tak dlho, kým sa používa, kým sa vymaže. V obzvlášť dlhých stretnutiach môže byť dokonca prerokovaná.

Tip: V názvoch šifier sú šifry s funkciou Perfect Forward Secrecy zvyčajne označené DHE alebo ECDHE. DH znamená Diffie-Hellman, zatiaľ čo E na konci znamená Ephemeral.

Použitím jedinečného tajomstva pre každú reláciu sa výrazne zníži riziko zneužitia súkromného kľúča. Ak je útočník schopný kompromitovať súkromný kľúč, môže dešifrovať súčasnú a budúcu komunikáciu, ale nemôže ju použiť na hromadné dešifrovanie historickej prevádzky.

Dokonalé dopredné utajenie ako také poskytuje širokú ochranu proti plošnému zachytávaniu sieťovej prevádzky. Zatiaľ čo v prípade napadnutia servera môžu byť niektoré údaje dešifrované, ide len o aktuálne údaje, nie všetky historické údaje. Navyše, po zistení kompromitácie je možné problém vyriešiť, pričom útočník môže dešifrovať iba relatívne malé množstvo celkovej prevádzky.

Záver

Perfect Forward Secrecy je nástroj na ochranu pred plošným historickým dohľadom. Útočník, ktorý je schopný zhromažďovať a ukladať obrovské množstvo zašifrovanej komunikácie, môže byť schopný ju dešifrovať, ak niekedy získa prístup k súkromnému kľúču. PFS zaisťuje, že každá relácia používa jedinečné dočasné kľúče. To obmedzuje schopnosť útočníka „len“ byť schopný dešifrovať aktuálnu prevádzku, nie celú historickú prevádzku.