Apa itu Kerahasiaan Penerusan Sempurna? Panduan untuk 2020

Cybersecurity adalah bidang yang terus berkembang, dengan ancaman, celah dan eksploitasi baru terus ditemukan dan ditangani. 


Pertempuran melawan penjahat dunia maya ini menghadirkan tantangan yang luar biasa bagi para ahli keamanan, karena eksploitasi besok dapat membahayakan lalu lintas hari ini, masalah yang “mencegah kerahasiaan ke depan” diciptakan untuk mencegahnya. Jadi, apa rahasia ke depan yang sempurna? Terus baca artikel ini untuk mencari tahu.

What Is Perfect Forward Secrecy (PFS)?

Jadi, apa itu PFS? Singkatnya, akronim PFS adalah singkatan dari “kerahasiaan ke depan yang sempurna,” yang merupakan fitur keamanan yang relatif baru untuk situs web. Ini bertujuan untuk mencegah eksploitasi di masa depan dan pelanggaran keamanan dari mengkompromikan komunikasi, informasi atau data saat ini atau di masa lalu dengan mengisolasi enkripsi setiap transaksi.

Secara tradisional, data terenkripsi akan dilindungi oleh satu kunci enkripsi pribadi yang dipegang oleh server, yang dapat digunakan untuk mendekripsi semua komunikasi bersejarah dengan server menggunakan kunci publik. Ini menghadirkan risiko keamanan potensial, karena penyerang dapat menghabiskan waktu berminggu-minggu, berbulan-bulan atau bertahun-tahun untuk mendengarkan lalu lintas terenkripsi, menyimpan data, dan menunggu waktu mereka..

Wireshark

Dengan semua data ini, semua yang perlu dilakukan penyerang adalah menunggu potensi eksploitasi keamanan di masa depan yang memungkinkan mereka mendapatkan kunci privat server, yang kemudian dapat digunakan untuk mendekripsi semua data yang telah mereka panen. waktu.

Bagaimana Rahasia Maju Sempurna Memecahkan Masalah

Kerahasiaan penerusan sempurna memecahkan masalah ini dengan menghapus ketergantungan pada kunci privat server tunggal. Daripada menggunakan kunci enkripsi yang sama untuk setiap transaksi, kunci sesi baru dan unik dihasilkan setiap kali transaksi data baru terjadi. 

Akibatnya, ini berarti bahwa bahkan jika seorang penyerang berhasil mendapatkan kunci sesi, itu hanya akan berguna untuk mendekripsi transaksi terbaru, daripada semua data yang mungkin telah mereka kumpulkan di masa lalu..

Alih-alih pertukaran kunci RSA standar, kunci sesi ini dihasilkan menggunakan enkripsi Diffie-Hellman, atau lebih baik lagi, enkripsi Diffie-Hellman elliptic-curve. Kunci enkripsi bersifat sementara, artinya tidak disimpan di mana pun dan tidak dapat digunakan kembali untuk transaksi selanjutnya.

Diffie-Hellman

Demikian pula, kunci pribadi server akan sama sekali tidak berguna bagi penyerang karena tidak dapat digunakan untuk mendekripsi lalu lintas antara server dan klien.

Meskipun metode serangan ini mungkin membutuhkan lebih banyak kesabaran dan sumber daya daripada akses cybercriminal tunggal, hal yang sama tidak dapat dikatakan untuk organisasi intelijen. 

Entitas seperti National Security Agency dengan mudah memiliki kapasitas untuk mendengarkan banyak koneksi terenkripsi, bahkan melangkah lebih jauh dengan memanfaatkan kabel bawah air raksasa yang menghubungkan server di seluruh benua.

Kapasitas besar ini untuk mengumpulkan data – dikombinasikan dengan kesabaran kelembagaan organisasi seperti NSA – berarti mereka memiliki sedikit kesulitan dalam mengumpulkan dan menyimpan sejumlah besar data terenkripsi..

Dalam hal beberapa eksploit atau celah masa depan muncul dengan sendirinya – memungkinkan mereka untuk mendapatkan kunci privat yang diperlukan – mereka kemudian dapat menggunakan kunci enkripsi ini untuk mendekripsi potensial jutaan atau milyaran transaksi data dalam satu langkah.

Untuk penjelasan enkripsi yang lebih mendalam, secara umum, pastikan untuk membaca deskripsi enkripsi kami.

Bagaimana PFS Menjaga Situs Web Anda Aman

Cara paling jelas bahwa kerahasiaan ke depan yang sempurna menjaga keamanan situs web Anda adalah dengan memberi Anda dan pengguna Anda keamanan tambahan jika terjadi pelanggaran data. Paling buruk, seorang penyerang hanya akan dapat menguraikan satu transaksi data tunggal, dan meskipun ini mungkin masih menimbulkan risiko, kerusakan sangat terkandung.

Selain itu, server yang menggunakan kerahasiaan ke depan sempurna menyajikan target yang kurang menarik bagi penyerang. Meskipun masih ada informasi yang disimpan di server yang dilindungi oleh kunci pribadi asli, ini adalah semua yang diserang oleh penyerang, yang secara signifikan membatasi hasil serangan..

Tentu saja, ini bukan jaminan terhadap serangan, tetapi itu membuat satu kemungkinan lebih kecil, karena penyerang mungkin memilih target yang lebih bermanfaat sebagai gantinya.

Google adalah salah satu perusahaan perangkat lunak besar pertama yang menerapkan kerahasiaan ke depan yang sempurna di servernya. Karena itu, sangat mungkin bahwa, di beberapa titik di masa depan, Google akan menggunakan posisinya sebagai mesin pencari yang dominan untuk mendorong adopsi PFS dengan memberi penghargaan pada situs yang menggunakannya dengan memberi peringkat lebih tinggi dalam hasil pencariannya, seperti halnya kasus dengan HTTP vs. HTTPS.

Kerahasiaan Maju Sempurna dan Heartbleed

Mungkin tidak ada contoh yang lebih baik untuk mengapa kerahasiaan ke depan yang sempurna adalah penting daripada eksploitasi Heartbleed yang terkenal. Untuk memahami alasannya, penting untuk mengetahui terlebih dahulu apa itu Heartbleed, dan mengapa itu sangat merusak.

Heartbleed mengeksploitasi bug yang diperkenalkan pada 2012 ke OpenSSL – salah satu implementasi protokol TLS (transport level security) yang paling populer – tetapi ini tidak ditemukan hingga dua tahun kemudian pada 2014. 

Memahami SSL / TLS

Anda tidak perlu tahu persis bagaimana TLS bekerja, tetapi singkatnya, itu adalah protokol keamanan yang mengenkripsi lalu lintas antara klien dan server menggunakan kunci enkripsi pribadi, dengan HTTPS sebagai contoh Anda mungkin paling akrab dengan. 

Meskipun menjawab pertanyaan “bagaimana cara kerja TLS?” berada di luar ruang lingkup artikel ini, Anda dapat memeriksa artikel kami tentang SSL vs. TLS untuk mempelajari lebih lanjut.

TLS-Jabat Tangan

Bug ini mengambil keuntungan dari ekstensi Detak Jantung untuk TLS, yang dirancang untuk menguji komunikasi TLS dengan mengirimkan muatan (biasanya sedikit teks) serta nomor yang menentukan ukuran muatan. Server kemudian merespons dengan mengirim muatan kembali ke pengirim asli.

Masalahnya adalah server tidak akan benar-benar memeriksa konten payload, tetapi hanya nomor yang menentukan ukurannya. Itu akan menggunakan nomor ini untuk mengambil sejumlah data dari buffer memori, yang dimaksudkan hanya muatan asli yang dikirim ke server.

Heartbleed

Namun, karena muatan itu sendiri tidak dicentang, ini membuka kemungkinan untuk mengirim muatan yang lebih kecil daripada yang ditentukan dalam angka yang mewakili ukurannya. Ini mengakibatkan server mengembalikan tidak hanya muatan asli, tetapi juga informasi tambahan yang disimpan dalam buffer memori untuk mencapai ukuran pesan yang diminta.

Heartbleed in Action

Sebagai contoh, pesan Detak Jantung berbahaya mungkin meminta server untuk mengembalikan kata “test” tetapi menentukan bahwa panjangnya harus 500 karakter. Ini akan mengarahkan server untuk mengembalikan kata “test” yang diminta tetapi juga 496 karakter tambahan dari memori.

Meskipun penyerang tidak memiliki cara untuk menentukan dengan pasti informasi apa yang akan mereka dapatkan kembali, ada kemungkinan besar bahwa karakter tambahan ini akan mengandung informasi sensitif, seperti kunci pribadi server.

Dengan demikian, begitu Heartbleed tiba di tempat kejadian, setiap penjahat cyber yang telah menghabiskan waktu lama mendengarkan lalu lintas terenkripsi tiba-tiba memiliki jalan serangan yang sempurna untuk mendapatkan kunci pribadi dari server mana pun yang terkena bug.. 

Dengan menggunakan kunci enkripsi ini, mereka kemudian dapat mendekripsi semua data yang sebelumnya telah mereka kumpulkan, yang menghasilkan sejumlah besar informasi yang dikompromikan.

Cara Mengaktifkan Kerahasiaan Penerusan Sempurna di Server Anda

Mengaktifkan fitur kerahasiaan ke depan yang sempurna di server Anda sebenarnya adalah proses yang sangat mudah yang tidak memerlukan banyak upaya dari pihak administrator sistem. 

Prosesnya jelas bervariasi tergantung pada arsitektur server yang Anda pekerjakan, jadi kami akan menjalankan Anda melalui cara melakukannya dengan Apache dan Nginx, dua arsitektur populer.

Secara umum, yang perlu Anda lakukan adalah mengatur server Anda untuk memprioritaskan suite cipher DHE dan ECDHE, tetapi Anda harus tetap mempertahankan dukungan RSA sebagai cadangan. Ini karena sistem dan peramban yang lebih lama mungkin tidak mendukung PFS, yang berarti mereka tidak akan dapat memuat situs Anda kecuali Anda memastikan bahwa cipher suites lainnya masih tersedia.

Suite-Cipher

Untuk instruksi yang lebih spesifik, kami telah menyusun panduan langkah demi langkah untuk cara mengaktifkan kerahasiaan maju yang sempurna di server Apache dan Nginx.

Cara Mengkonfigurasi PFS di Apache

  1. Temukan konfigurasi SSL Anda dengan perintah: “grep -I -r” SSLEngine “/ etc / apache”
  2. Menegakkan urutan sandi dengan mengetik: “SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder aktif”
  3. Tetapkan urutan sandi seperti ini: “ssl_ciphers‘ EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ’;”
  4. Terakhir, restart Apache dengan perintah: “apachectl -k restart”

Cara Mengkonfigurasi PFS di Nginx

  1. Temukan konfigurasi SSL Anda dengan mengetik: “grep -r ssl_protocol direktori dasar nginx” (ganti “direktori basis nginx” dengan jalur yang sesuai)
  2. Ubah konfigurasi dengan memasukkan: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers aktif; “
  3. Tetapkan urutan sandi dengan mengetik perintah: “ssl_ciphers‘ EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ’;”
  4. Mulai ulang Nginx dengan perintah berikut: “sudo service nginx restart”

Pikiran terakhir

Itu dia, semua yang perlu Anda ketahui tentang kerahasiaan maju yang sempurna. Meskipun tidak banyak yang dapat dilakukan konsumen untuk mendorong penggunaannya, penting untuk mengetahui bahwa bahkan data terenkripsi yang bepergian melalui koneksi yang aman berpotensi rentan terhadap serangan di masa depan..

Tanggung jawab untuk menerapkan kerahasiaan ke depan yang sempurna terletak pada operator server dan administrator sistem, dan tujuan dari panduan ini adalah untuk mendorong penerapannya, yang akan mengarah pada internet yang lebih aman untuk situs web dan pengguna.. 

Untuk pengguna yang sangat peduli tentang apakah situs web favorit mereka menggunakan transportasi PFS atau tidak untuk mengamankan data mereka, tes Qualys SSL Labs memungkinkan Anda untuk memeriksa hal itu. Jika banyak situs web favorit Anda tidak dapat dihilangkan, cara terbaik untuk melindungi diri sendiri adalah mengunduh secara langsung ke jaringan pribadi virtual untuk menambahkan tingkat enkripsi tambahan ke lalu lintas Anda.

Anda dapat memeriksa daftar penyedia VPN terbaik kami yang akan memberi Anda lapisan perlindungan tambahan ini, atau jika Anda ingin langsung beralih ke pilihan teratas kami, lihat ulasan ExpressVPN kami.

Apa pendapat Anda tentang penjelasan kami tentang kerahasiaan maju yang sempurna? Apakah itu memberi sedikit cahaya baru pada frasa teknis yang mungkin Anda lihat muncul lebih sering dalam beberapa tahun terakhir, atau apakah Anda masih bingung seperti ketika Anda mulai membaca? Beri tahu kami di komentar di bawah. Seperti biasa, terima kasih sudah membaca.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map