Mi a tökéletes titoktartás? Útmutató 2020-ra

A kiberbiztonság egy folyamatosan fejlődő terület, új fenyegetésekkel, kiskapukkal és kihasználásokkal, amelyeket folyamatosan fedeznek fel és kezelnek. 


Ez a számítógépes bűnözőkkel szemben zajló futó harc kivételes kihívást jelent a biztonsági szakértők számára, mivel a holnapi kizsákmányolás veszélyeztetheti a mai forgalmat – ezt a problémát a „tökéletes előrejutási titok” megakadályozására találták ki. Szóval, mi a tökéletes titoktartás? Olvassa tovább ezt a cikket, hogy megtudja.

Mi a tökéletes titoktartás (PFS)?

Tehát mi a PFS? Röviden: a PFS betűszó a „tökéletes előrejutási titok” kifejezést jelenti, amely a webhelyek viszonylag legújabb biztonsági jellemzője. Célja, hogy az egyes tranzakciók titkosításának elkülönítése révén a jövőbeni kizsákmányolások és a biztonsági megsértések ne veszélyeztessék a jelenlegi vagy korábbi kommunikációt, információkat vagy adatokat..

A titkosított adatokat hagyományosan egyetlen, a kiszolgáló birtokában lévő titkosítási kulcs védi, amelyet felhasználhat a kiszolgálóval folytatott korábbi kommunikáció nyilvános kulcs felhasználásával történő visszafejtésére. Ez potenciális biztonsági kockázatot jelent a sorban, mivel a támadó heteket, hónapokat vagy éveket tölthet titkosított forgalom hallgatásával, adatok tárolásával és az idejének megtévesztésével..

Wireshark

Mindezen adatokkal a támadóknak csak annyit kell tennie, hogy megvárják a jövőbeni esetleges biztonsági kihasználásokat, amelyek lehetővé teszik számukra a kezüket a szerver magánkulcsára, amely felhasználható az összes adat visszafejtésére, amelyet összegyűjtöttek. idő.

Milyen tökéletes titkosítás oldja meg a problémát

A tökéletes előzetes titoktartás megoldja ezt a problémát azáltal, hogy megszünteti az egy kiszolgáló magánkulcsára hagyatkozást. Ahelyett, hogy ugyanazt a titkosítási kulcsot használnánk minden egyes tranzakcióra, egy új, egyedi munkamenet-kulcsot generálunk minden alkalommal, amikor új adattranzakció történik. 

Valójában ez azt jelenti, hogy még ha a támadónak is sikerül kezét kapnia egy munkamenet-kulcsra, ez csak a legfrissebb tranzakció dekódolásához lesz hasznos, nem pedig a múltban összegyűjtött összes adat helyett..

A szokásos RSA kulcscsere helyett ezeket a munkamenetkulcsokat vagy Diffie-Hellman titkosítással, vagy még jobb, ha ellipszis görbe Diffie-Hellman titkosítással állítják elő. A titkosítási kulcsok rövid időtartamúak, azaz nem tárolódnak sehol, és nem használhatók fel későbbi tranzakciókhoz.

DiffieHellman-

Hasonlóképpen, a kiszolgáló privát kulcsa teljesen haszontalan lesz a támadó számára, mivel nem használható a szerver és az ügyfelek közötti forgalom visszafejtésére..

Noha ez a támadási módszer több türelmet és erőforrásokat igényelhet, mint amelyekhez egyetlen számítógépes bűnöző fér hozzá, ugyanez nem mondható el a hírszerző szervezetekről. 

Az olyan szervezetek, mint a Nemzeti Biztonsági Ügynökség, sok titkosított kapcsolaton könnyen hallgathatnak meg, még olyan messzire is, hogy megérintsék az óriási víz alatti kábeleket, amelyek kontinenseken át összekötik a szervereket..

Ez az óriási adatgyűjtési képesség – az NSA-hez hasonló szervezet intézményi türelmével együtt – azt jelenti, hogy kevés nehézségük van nagy mennyiségű titkosított adat gyűjtésével és tárolásával..

Abban az esetben, ha valamelyik jövőbeli kizsákmányolás vagy kiskapu bemutatja magát – lehetővé téve számukra, hogy a kezükbe kerüljenek a szükséges magánkulcsra -, akkor ezt a titkosítási kulcsot felhasználva potenciálisan millió vagy milliárd adat tranzakció dekódolására használhatók egy lépésben..

A titkosítás részletesebb magyarázatáért általában olvassa el a titkosítás leírását.

Hogyan védi a PFS az Ön weboldalát?

A weboldal biztonságának megőrzésének legkézenfekvőbb módja az, ha adatvédelem megsértése esetén további biztonságot nyújt Önnek és felhasználóinak. A legrosszabb esetben a támadó csak egyetlen adat tranzakciót képes megfejteni, és bár ez még mindig kockázatot jelenthet, a kár nagymértékben korlátozódik.

Ezenkívül a tökéletes előremeneti titkot alkalmazó szerverek kevésbé vonzó célokat jelentenek a támadók számára. Annak ellenére, hogy a szerveren még mindig vannak olyan adatok, amelyeket az eredeti privát kulcs védett, ez a támadó mindazok számára képessé teszi a kezét, így jelentősen korlátozva a támadás kifizetését..

Természetesen ez nem garantálja a támadást, de valószínűtlenné teszi azt, mivel a támadók inkább jutalmazó célokat választhatnak ehelyett..

A Google az egyik első olyan szoftvercég volt, amely kiszolgálóinál tökéletes titkosítást valósított meg. Emiatt nagyon valószínű, hogy a jövőben a Google domináns keresőmotorként fogja felhasználni a PFS elfogadását azáltal, hogy ösztönözni fogja a PFS alkalmazását azáltal, hogy jutalmazza az azt alkalmazó webhelyeket úgy, hogy a keresési eredmények között magasabb rangsorolással rendelkezzenek, akárcsak a eset HTTP és HTTPS között.

Tökéletes előre titoktartás és szívverés

Talán nincs jobb példa arra, hogy miért nélkülözhetetlen a tökéletes titoktartás, mint a hírhedt Heartbleed kizsákmányolás. Hogy megértsük miért, fontos először tudni, mi a szívverés, és miért volt ilyen káros.

A Heartbleed kiaknáz egy hibát, amelyet 2012-ben vezettek be az OpenSSL-hez – amely a TLS (szállítási szintű biztonság) protokoll egyik legnépszerűbb megvalósítása -, de ezt csak két évvel később, 2014-ben fedezték fel.. 

Az SSL / TLS megértése

Nem kell pontosan tudnia, hogyan működik a TLS, de röviden: ez egy biztonsági protokoll, amely titkosítja a kliens és a szerver közötti forgalmat egy privát titkosító kulccsal, a HTTPS pedig a példa, amellyel Ön a legjobban ismeri.. 

Bár megválaszolja a „hogyan működik a TLS?” Kérdést. kívül esik a cikk alkalmazási körén, akkor további információt az SSL és a TLS közötti cikkről olvashat.

TLS-kézfogás

A hiba kihasználja a TLS Heartbeat kiterjesztését, amelyet arra terveztek, hogy tesztelje a TLS kommunikációt hasznos teher (általában egy kis szöveg), valamint egy szám megadásával, amely meghatározza a hasznos teher méretét. A szerver ezután válaszol, ha a hasznos teher visszatér az eredeti feladónak.

A probléma az volt, hogy a szerver nem valóban ellenőrzi a hasznos teher tartalmát, hanem csak a méretét meghatározó számot. Ezt a számot arra használná, hogy egy bizonyos mennyiségű adatot lekérjen a memória pufferből, amelynek célja az eredeti kiszolgálóra küldött hasznos teher volt..

heartbleed

Mivel azonban magát a teherbírást nem ellenőrizték, ez lehetővé tette a kisebb teherbírás elküldését, mint amit a méretét jelző szám megadott. Ennek eredményeként a szerver nemcsak az eredeti hasznos terhet, hanem a memóriapufferben tárolt kiegészítő információkat is visszatért a kért üzenet méretének elérése érdekében..

Szívverés akcióban

Például a rosszindulatú Heartbeat üzenet kérheti a szervert, hogy adja vissza a „test” szót, de meghatározza, hogy a hossza 500 karakter legyen. Ez arra vezetné a szervert, hogy visszatérjen a kért „teszt” szóhoz, de további 496 karaktert is tartalmaz a memóriából.

Noha a támadónak nem lenne módja pontosan meghatározni, hogy milyen információt kapnak vissza, nagy esély van arra, hogy ezek a kiegészítő karakterek érzékeny információkat tartalmazzanak, például a szerver személyes kulcsát..

Így, amint a Heartbleed megérkezett a helyszínre, minden olyan számítógépes bűncselekmény, amely egy hosszú ideig hallgatott a titkosított forgalomra, hirtelen tökéletes támadási lehetőséget nyitott a hibának kitett szerver privát kulcsának megszerzéséhez.. 

Ezekkel a titkosítási kulcsokkal dekódolhatják az összes korábban összegyűjtött adatot, ami hatalmas mennyiségű veszélyeztetett információt eredményezett.

A kiszolgáló tökéletes titkosításának engedélyezése

A kiszolgálón a tökéletes előre titkosítási funkció engedélyezése valójában egy nagyon egyszerű folyamat, amely nem igényel jelentős erőfeszítést a rendszergazda részéről.. 

A folyamat nyilvánvalóan változik az alkalmazott szerver architektúrától függően, ezért bemutatjuk, hogyan kell ezt megtenni az Apache és az Nginx, két népszerű architektúra között..

Általában azt kell beállítania a szervert, hogy prioritássá tegye a DHE és az ECDHE rejtjelkészleteket, de az RSA támogatást továbbra is meg kell őriznie biztonsági másolatként. Ennek oka az, hogy a régebbi rendszerek és böngészők nem támogatják a PFS-t, azaz nem fogják betölteni az Ön webhelyét, hacsak nem ellenőrzik, hogy más rejtjelkészletek továbbra is elérhetőek-e.

Rejtjel-Suites

A pontosabb utasításokért lépésről lépésre összeállítottunk útmutatást arról, hogy az Apache és Nginx szervereknél hogyan lehet tökéletes titkosítást biztosítani..

Hogyan konfigurálhatjuk a PFS-t az Apache-on

  1. Keresse meg SSL-konfigurációját a következő paranccsal: “grep -I -r“ SSLEngine ”/ etc / apache”
  2. A titkosítási sorrend érvényesítéséhez gépelje be: „SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”
  3. Állítsa be a rejtjelezés sorrendjét így: „ssl_ciphers” EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ”;”
  4. Végül indítsa újra az Apache parancsot: “apachectl -k restart”

Hogyan konfigurálhatjuk a PFS-t az Nginx-en

  1. Keresse meg az SSL-konfigurációt a következő gépeléssel: „grep -r ssl_protocol nginx base könyvtár” (az „nginx base könyvtár” helyére a megfelelő útvonal lép)
  2. A konfiguráció megváltoztatásához írja be a következőt: „ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers on; ”
  3. Állítsa be a rejtjelezés sorrendjét a következő parancs beírásával: „ssl_ciphers” EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ”;”
  4. Indítsa újra az Nginx-et a következő paranccsal: “sudo service nginx restart”

Végső gondolatok

Itt van, mindent, amit tudnia kell a tökéletes előzetes titoktartásról. Bár a fogyasztók nem sokat tehetnek annak használatának ösztönzése érdekében, fontos tudni, hogy még a titkosított adatok biztonságos kapcsolaton keresztül történő átvitele potenciálisan veszélyeztetett lehet egy jövőbeli támadás szempontjából..

A tökéletes előzetes titoktartás végrehajtásának felelőssége a kiszolgálók és a rendszergazdák felelőssége, és ennek az útmutatónak az a célja, hogy ösztönözze annak elfogadását, amely biztonságosabb internethez vezetne a webhelyek és a felhasználók számára egyaránt.. 

Azon felhasználók számára, akiket különösen aggódik az, hogy kedvenc webhelyeik adatbiztonságuk érdekében használják-e a PFS-szállítást, a Qualys SSL Labs teszt lehetővé teszi ennek ellenőrzését. Ha sok kedvenc webhely nem büszke arra, hogy megvédje magát, akkor a legjobb módja annak, hogy megvédje magát, ha virtuális magánhálózatot töltsön le, hogy extra titkosítási szintet biztosítson a forgalomhoz.

Nézze meg a legjobb VPN-szolgáltatók listáját, amelyek megadják az Ön extra védelmét, vagy ha jobbra szeretne ugrani a legjobbakat, nézd meg az ExpressVPN áttekintést.

Mit gondol a tökéletes előre titoktartás magyarázatáról? Felvilágosított egy olyan technikai mondatra, amelyet az utóbbi években gyakrabban láthatott felbukkanónak, vagy még mindig zavarban van, mint amikor olvasni kezdett? Tudassa velünk az alábbi megjegyzésekben. Mint mindig, köszönöm az olvasást.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map