Što je savršena naprijed tajna? Vodič za 2020. godinu

Kibernetička sigurnost neprestano se razvija, a nove prijetnje, rupe i iskorištavanja neprestano se otkrivaju i bave njima.. 


Ova borbena borba protiv cyber-kriminalaca predstavlja izuzetan izazov za sigurnosne stručnjake, jer sutrašnji iskorištavanje može ugroziti današnji promet, problem koji je “savršena tajna naprijed” izmišljena kako bi se spriječio. Dakle, što je savršena tajna naprijed? Nastavite čitati ovaj članak da biste to saznali.

Što je savršena naprijed tajna (PFS)?

Dakle, što je PFS? Ukratko, kratica PFS označava “savršenu tajnu unaprijed”, što je relativno nedavna sigurnosna značajka za web stranice. Cilj mu je spriječiti buduće iskorištavanje i kršenja sigurnosti da ugroze trenutnu ili prošlu komunikaciju, informacije ili podatke izoliranjem šifriranja svake transakcije.

Tradicionalno, šifrirani podaci bili bi zaštićeni jednim privatnim ključem za kriptiranje koji drži poslužitelj, a koji bi mogao koristiti za dešifriranje svih povijesnih komunikacija s poslužiteljem javnim ključem. Ovo predstavlja potencijalni sigurnosni rizik, s obzirom da napadač može provesti tjedne, mjesece ili godine slušajući šifrirani promet, spremajući podatke i nudeći svoje vrijeme.

Wireshark

Imajući sve ove podatke u ruci, sve što napadač treba učiniti je pričekati potencijalni budući sigurnosni podvig koji bi im omogućio da dobiju ruku na privatnom ključu poslužitelja, koji će se potom koristiti za dešifriranje svih podataka kroz koje su prikupljeni. vrijeme.

Koliko savršene tajne rješava problem

Savršena tajnost naprijed rješava ovaj problem uklanjanjem oslanjanja na pojedinačni privatni ključ poslužitelja. Umjesto da se za svaku pojedinu transakciju koristi isti ključ za šifriranje, novi, jedinstveni ključ sesije generira se svaki put kada se dogodi nova podatkovna transakcija.. 

U stvari, to znači da čak i ako napadač uspije podići ključ sesije, bit će koristan samo za dešifriranje najnovije transakcije, a ne za sve podatke koje je prikupio u prošlosti.

Umjesto standardne razmjene RSA ključeva, ovi sesijski ključevi generiraju se pomoću Diffie-Hellmanove enkripcije ili još bolje, šifriranja Diffie-Hellmanove eliptične krivulje. Ključevi za šifriranje su efemerni, što znači da nisu nigdje pohranjeni i ne mogu se ponovo upotrijebiti za kasniju transakciju.

Diffie-Hellman

Slično tome, privatni ključ poslužitelja bit će potpuno neupotrebljiv za napadača jer se ne može koristiti za dešifriranje bilo kojeg prometa između poslužitelja i klijenata..

Iako bi ova metoda napada mogla zahtijevati više strpljenja i resursa kojima pristupa jedan cyber-kriminalac, to se ne može reći za obavještajne organizacije. 

Entiteti poput Agencije za nacionalnu sigurnost lako imaju mogućnost slušanja na mnogim šifriranim vezama, čak i čak i tako da dotaknu divovske podvodne kablove koji povezuju servere na svim kontinentima.

Ovaj ogroman kapacitet za prikupljanje podataka – u kombinaciji s institucionalnim strpljenjem organizacije kao što je NSA – znači da imaju malih problema s prikupljanjem i pohranjivanjem ogromne količine šifriranih podataka.

U slučaju da se predstavi neki budući eksploatator ili rupa – omogućava im da se dokopaju potrebnog privatnog ključa – oni mogu pomoću ovog ključa za šifriranje dešifrirati potencijalno milione ili milijarde transakcija podataka u jednom potezu.

Za detaljnije objašnjenje šifriranja, općenito, svakako pročitajte naš opis enkripcije.

Kako PFS čuva vašu web lokaciju

Najočitiji način na koji se savršena tajna naprijed čuva na vašem web mjestu je pružanje dodatne sigurnosti vama i vašim korisnicima u slučaju povrede podataka. U najgorem slučaju napadač će moći dešifrirati samo jednu transakciju podataka, a iako to i dalje može predstavljati rizik, šteta je uvelike sadržana.

Nadalje, poslužitelji koji koriste savršenu tajnu prema naprijed predstavljaju manje atraktivne ciljeve za napadače. Iako još uvijek postoje podaci pohranjeni na poslužitelju koji je zaštićen originalnim privatnim ključem, to je sve što će napadač moći pristupiti, znatno ograničavajući isplatu napada.

Naravno, to nije jamstvo protiv napada, ali čini se manje vjerovatnim, jer će se napadači umjesto toga odlučiti za više korisnih ciljeva.

Google je bio jedna od prvih velikih softverskih tvrtki koja je uvela savršenu tajnu unaprijed na svojim poslužiteljima. Zbog toga je vrlo vjerojatno da će Google u nekom trenutku u budućnosti koristiti svoju poziciju dominantne tražilice za poticanje usvajanja PFS-a nagrađivanjem web-lokacija koje ga koriste tako što će ih rangirati više u rezultatima pretraživanja, kao što je bio i slučaj s HTTP u odnosu na HTTPS.

Savršena naprijed tajna i srce

Možda nema boljeg primera zašto je savršena tajna naprijed bitno od zloglasnog iskorištavanja Heartbleeda. Da biste razumjeli zašto, važno je najprije znati što je Heartbleed i zašto je to tako štetno.

Heartbleed iskorištava pogrešku uvedenu 2012. godine na OpenSSL – jednu od najpopularnijih implementacija TLS (sigurnost razine prometa) protokola – ali to nije otkriveno tek dvije godine kasnije u 2014. godini. 

Razumijevanje SSL / TLS

Ne morate znati točno kako TLS funkcionira, ali ukratko, to je sigurnosni protokol koji šifrira promet između klijenta i poslužitelja pomoću privatnog ključa za enkripciju, a HTTPS je primjer kojeg ste vjerojatno najpoznatiji. 

Iako odgovara na pitanje „kako funkcionira TLS?“ je izvan okvira ovog članka, možete pogledati naš članak o SSL-u protiv TLS-a da biste saznali više.

TLS-Rukovanje

Bug koristi prednost Heartbeat ekstenzije za TLS koja je osmišljena za testiranje TLS komunikacije slanjem korisnog opterećenja (obično malo teksta), kao i broja koji određuje veličinu korisnog opterećenja. Poslužitelj tada reagira slanjem korisnog tereta originalnom pošiljatelju.

Problem je bio u tome što poslužitelj ne bi zapravo provjeravao sadržaj korisnog opterećenja, već samo broj navodeći njegovu veličinu. Taj će broj upotrijebiti za dohvaćanje određene količine podataka iz memorijskog međuspremnika, koji je trebao biti originalni korisni teret poslan serveru.

Heartbleed

Međutim, budući da sam korisni teret nije provjeren, to je otvorilo mogućnost slanja manjeg opterećenja od onog koji je naveden u broju koji predstavlja njegovu veličinu. To je rezultiralo u tome da poslužitelj vrati ne samo originalni korisni teret, već i dodatne informacije pohranjene u memorijskom međuspremniku kako bi dosegao traženu veličinu poruke.

Srcem u akciji

Primjerice, zlonamjerna poruka otkucaja srca može zatražiti od poslužitelja da vrati riječ „test“, ali odrediti da duljina treba biti 500 znakova. To bi dovelo do toga da server vrati traženu riječ “test”, ali i 496 dodatnih znakova iz memorije.

Iako napadač ne bi mogao utvrditi točno koje će informacije dobiti, postoji dobra šansa da ti dodatni znakovi sadrže osjetljive podatke, poput privatnog ključa poslužitelja.

Dakle, jednom kada je Heartbleed stigao na scenu, svaki cyber-kriminalac koji je proveo dulje vrijeme slušajući šifrirani promet iznenada je imao savršenu aveniju napada za nabavku privatnog ključa bilo kojeg poslužitelja izloženog bugu. 

Pomoću ovih ključeva za šifriranje mogli su dešifrirati sve prethodno prikupljene podatke, što je rezultiralo ogromnom količinom kompromitiranih podataka.

Kako omogućiti savršenu tajnu za prosljeđivanje na vašem poslužitelju

Omogućavanje savršene značajke tajnosti naprijed na vašem poslužitelju zapravo je vrlo jednostavan postupak koji ne zahtijeva značajne napore od strane administratora sustava. 

Proces očito varira ovisno o arhitekturi poslužitelja koji koristite, pa ćemo vas provesti kako to učiniti s Apache i Nginx, dvije popularne arhitekture.

Općenito, ono što trebate učiniti je postaviti vaš poslužitelj da daje prioritet DHE i ECDHE šifarskim paketima, ali RSA podršku ipak biste trebali zadržati kao sigurnosnu kopiju. To je zato što stariji sustavi i preglednici možda ne podržavaju PFS, što znači da neće moći učitati vašu web lokaciju osim ako se ne uvjerite da su ostali šifrantski programi još uvijek dostupni.

Šifra-Suites

Za preciznije upute sastavili smo detaljni vodič kako omogućiti savršenu tajnu naprijed na Apache i Nginx poslužiteljima.

Kako konfigurirati PFS na Apacheu

  1. Pronađite svoju SSL konfiguraciju naredbom: “grep -I -r” SSLEngine “/ etc / apache”
  2. Utvrdite šifrirani red tako da upišete: “SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”
  3. Podesite red šifre ovako: “ssl_ciphers” EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ‘; “
  4. Na kraju, ponovo pokrenite Apache naredbom: “apachectl -k restart”

Kako konfigurirati PFS na Nginxu

  1. Pronađite svoju SSL konfiguraciju tako da upišete: “grep -r ssl_protocol nginx osnovni imenik” (zamijenite “nginx osnovni direktorij” odgovarajućom stazom)
  2. Promijenite konfiguraciju unosom: „ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers uključen; “
  3. Podesite red šifriranja upišite naredbu: “ssl_ciphers” EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ‘; “
  4. Ponovo pokrenite Nginx sa sljedećom naredbom: “sudo service nginx restart”

Završne misli

Tu je sve što trebate znati o savršenoj tajni naprijed. Iako potrošači ne mogu puno toga učiniti kako bi potaknuli njegovu upotrebu, važno je znati da čak i šifrirani podaci koji putuju sigurnom vezom potencijalno su ranjivi za budući napad.

Odgovornost za uvođenje savršene tajnosti unaprijed leži na operatorima poslužitelja i administratorima sustava, a cilj ovog vodiča je potaknuti njegovo usvajanje, što bi dovelo do sigurnijeg internetskog pristupa i za web stranice i za korisnike.. 

Za korisnike koji su posebno zabrinuti zbog toga da li njihove omiljene web stranice koriste PFS prijevoz za zaštitu svojih podataka, test Qualys SSL Labs omogućava vam da provjerite upravo to. Ako se većina vaših omiljenih web lokacija ne guši, najbolji način zaštite je preuzimanje ruku virtualnom mrežom kako biste dodali dodatni nivo šifriranja u svoj promet..

Možete provjeriti našu listu najboljih VPN pružatelja koji će vam pružiti ovaj dodatni sloj zaštite ili ako želite preskočiti pravo na naš najbolji izbor, pogledajte našu ExpressVPN recenziju.

Što ste mislili o našem objašnjenju savršene tajnosti naprijed? Je li bacilo novo svjetlo na tehničku frazu koju ste mogli vidjeti češće tijekom posljednjih godina ili ste i dalje zbunjeni kao što ste počeli čitati? Javite nam u komentarima u nastavku. Kao i uvijek, hvala vam na čitanju.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map