Vad är Perfect Forward Sekretess?

I kryptografi kan vissa chiffer märkas med akronymen PFS. Detta står för Perfect Forward Secrecy. Vissa implementeringar kan helt enkelt referera till PFS som FS. Denna akronym betyder Forward Secrecy eller Forward Secure. Alla pratar i alla fall om samma sak. För att förstå vad Perfect Forward Secrecy betyder kräver att du förstår grunderna i kryptografiskt nyckelutbyte.

Grunderna i kryptografi

För att kommunicera säkert är den idealiska lösningen att använda symmetriska krypteringsalgoritmer. Dessa är snabba, mycket snabbare än asymmetriska algoritmer. De har dock ett grundläggande problem. Eftersom samma nyckel används för att kryptera och dekryptera ett meddelande kan du inte skicka nyckeln över en osäker kanal. Som sådan måste du kunna säkra kanalen först. Detta görs med hjälp av asymmetrisk kryptografi i praktiken.

Notera: Det skulle också vara möjligt, om det inte går att använda en säker kanal utanför bandet, även om svårigheten kvarstår med att säkra den kanalen.

För att säkra en osäker kanal utförs en process som kallas Diffie-Hellman-nyckelutbyte. I Diffie-Hellmans nyckelutbyte skickar den ena parten, Alice, sin publika nyckel till den andra parten, Bob. Bob kombinerar sedan sin privata nyckel med Alices publika nyckel för att skapa en hemlighet. Bob skickar sedan sin publika nyckel till Alice, som kombinerar den med sin privata nyckel, så att hon kan skapa samma hemlighet. Med den här metoden kan båda parter överföra offentlig information men i slutändan genererar samma hemlighet, utan att någonsin behöva överföra den. Denna hemlighet kan sedan användas som krypteringsnyckel för en snabb symmetrisk krypteringsalgoritm.

Obs: Diffie-Hellman-nyckelutbyte erbjuder inte inbyggt någon autentisering. En angripare i en Man in the Middle- eller MitM-position kunde förhandla fram en säker anslutning med både Alice och Bob och tyst övervaka den dekrypterade kommunikationen. Det här problemet löses via PKI eller Public Key Infrastructure. På Internet tar detta formen av att betrodda certifikatutfärdare signerar certifikat för webbplatser. Detta gör att en användare kan verifiera att de ansluter till den server de förväntar sig.

Problemet med standard Diffie-Hellman

Även om autentiseringsproblemet är lätt att lösa, är det inte det enda problemet. Webbplatser har ett certifikat, signerat av en certifikatutfärdare. Detta certifikat innehåller en offentlig nyckel, för vilken servern har den privata nyckeln. Du kan använda den här uppsättningen asymmetriska nycklar för att kommunicera säkert, men vad händer om den privata nyckeln någonsin äventyras?

Om en intresserad, illvillig part ville dekryptera krypterad data, skulle de ha svårt för det. Modern kryptering har utformats på ett sådant sätt att det skulle ta åtminstone många miljoner år att ha en rimlig chans att gissa en enda krypteringsnyckel. Ett kryptografiskt system är dock bara så säkert som nyckeln. Så om angriparen kan äventyra nyckeln, t.ex. genom att hacka in på servern, kan de använda den för att dekryptera all trafik som den användes för att kryptera.

Denna fråga har uppenbarligen några stora krav. Först måste nyckeln äventyras. Angriparen behöver också all krypterad trafik som de vill dekryptera. För din genomsnittlige angripare är detta ett ganska svårt krav. Men om angriparen är en skadlig ISP, VPN-leverantör, Wi-Fi-hotspot-ägare eller nationalstat, är de på ett bra ställe för att fånga stora mängder krypterad trafik som de kanske kan dekryptera någon gång.

Problemet här är att med serverns privata nyckel kan angriparen sedan generera hemligheten och använda den för att dekryptera all trafik som den någonsin användes för att kryptera. Detta kan tillåta angriparen att dekryptera år av nätverkstrafik för alla användare till en webbplats i ett svep.

Perfekt framåtsekretess

Lösningen på detta är att inte använda samma krypteringsnyckel för allt. Istället vill du använda tillfälliga nycklar. Perfekt framåtsekretess kräver att servern genererar ett nytt asymmetriskt nyckelpar för varje anslutning. Certifikatet används fortfarande för autentisering men används faktiskt inte för nyckelförhandlingsprocessen. Den privata nyckeln hålls i minnet bara tillräckligt länge för att förhandla fram hemligheten innan den raderas. Likaså bevaras hemligheten bara så länge den används innan den rensas. Vid särskilt långa sessioner kan det till och med omförhandlas.

Tips: I chiffernamn är chiffer med Perfect Forward Secrecy vanligtvis märkta med DHE eller ECDHE. DH står eller Diffie-Hellman, medan E på slutet står för Efemeral.

Genom att använda en unik hemlighet för varje session minskar risken avsevärt att den privata nyckeln äventyras. Om en angripare kan äventyra den privata nyckeln kan de dekryptera nuvarande och framtida trafik, men de kan inte använda den för att massdekryptera historisk trafik.

Som sådan ger perfekt framåtsekretess ett brett skydd mot övergripande nätverkstrafik. Även om en del data kan dekrypteras i fallet med servern som kompromitteras, är det bara aktuell data, inte all historisk data. Dessutom, när kompromissen har upptäckts kan problemet lösas och lämnar endast en relativt liten mängd av den totala livstidstrafiken som kan dekrypteras av angriparen.

Slutsats

Perfect Forward Secrecy är ett verktyg för att skydda mot allmän historisk övervakning. En angripare som kan samla in och lagra stora mängder krypterad kommunikation kan kanske dekryptera dem om de någonsin får tillgång till den privata nyckeln. PFS säkerställer att varje session använder unika tillfälliga nycklar. Detta begränsar angriparens förmåga att "bara" kunna dekryptera aktuell trafik, snarare än all historisk trafik.