परफेक्ट फॉरवर्ड सिक्योरिटी क्या है? 2020 के लिए एक गाइड

साइबर सुरक्षा एक नया विकसित क्षेत्र है, जिसमें नए खतरे, खामियां हैं और लगातार खोजे जा रहे हैं और इससे निपटा जा रहा है. 

साइबर अपराधियों के खिलाफ चल रही यह लड़ाई सुरक्षा विशेषज्ञों के लिए एक असाधारण चुनौती पेश करती है, क्योंकि कल का कारनामा आज के ट्रैफ़िक से समझौता कर सकता है, एक ऐसी समस्या जिसे रोकने के लिए “सही आगे की गोपनीयता” का आविष्कार किया गया था। तो, सही आगे गोपनीयता क्या है? यह जानने के लिए इस लेख को पढ़ते रहें.

परफेक्ट फॉरवर्ड सिक्योरिटी (PFS) क्या है?

तो, पीएफएस क्या है? संक्षेप में, पीएफएस का संक्षिप्त नाम “सही फॉरवर्ड सीक्रेसी” है, जो वेबसाइटों के लिए अपेक्षाकृत हाल ही में सुरक्षा सुविधा है। इसका उद्देश्य प्रत्येक लेनदेन के एन्क्रिप्शन को अलग करके वर्तमान या पिछले संचार, सूचना या डेटा से समझौता करने से भविष्य के कारनामों और सुरक्षा उल्लंघनों को रोकना है.

परंपरागत रूप से, एन्क्रिप्टेड डेटा को सर्वर द्वारा रखी गई एक एकल निजी एन्क्रिप्शन कुंजी द्वारा संरक्षित किया जाएगा, जिसे वह सार्वजनिक कुंजी का उपयोग करके सर्वर के साथ सभी ऐतिहासिक संचार को डिक्रिप्ट कर सकता है। यह लाइन के नीचे एक संभावित सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हमलावर एन्क्रिप्टेड ट्रैफिक को सुनने में हफ्तों, महीनों या वर्षों का समय खर्च कर सकता है, डेटा को स्टोर कर सकता है और अपना समय निर्धारित कर सकता है।.

वायरशार्क

हाथ में इस सभी डेटा के साथ, सभी हमलावरों को भविष्य के किसी भी संभावित सुरक्षा शोषण की प्रतीक्षा करनी होगी जो उन्हें सर्वर की निजी कुंजी पर अपने हाथों को प्राप्त करने की अनुमति देगा, जिसका उपयोग उन सभी डेटा को डिक्रिप्ट करने के लिए किया जा सकता है जिनकी वे कटाई कर रहे हैं। समय.

परफेक्ट फॉरवर्ड सेक्रेसी समस्या को कैसे हल करता है

परफेक्ट फॉरवर्ड सीक्रेसी सिंगल सर्वर प्राइवेट की पर निर्भरता को हटाकर इस समस्या को हल करती है। हर एक लेन-देन के लिए एक ही एन्क्रिप्शन कुंजी का उपयोग करने के बजाय, एक नया डेटा लेनदेन होने पर हर बार एक नया, अद्वितीय सत्र कुंजी उत्पन्न होता है. 

वास्तव में, इसका मतलब यह है कि भले ही एक हमलावर सत्र कुंजी पर अपने हाथों को प्राप्त करने का प्रबंधन करता है, यह केवल सबसे हाल के लेन-देन को डिक्रिप्ट करने के लिए उपयोगी होगा, बल्कि उन सभी आंकड़ों के बजाय जो वे अतीत में एकत्र किए गए हैं।.

मानक RSA कुंजी विनिमय के बजाय, इन सत्र कुंजियों को डिफी-हेलमैन एन्क्रिप्शन का उपयोग करके उत्पन्न किया जाता है, या बेहतर अभी तक, अण्डाकार-वक्र डिफी-हेलमैन एन्क्रिप्शन। एन्क्रिप्शन कुंजी अल्पकालिक हैं, जिसका अर्थ है कि वे कहीं भी संग्रहीत नहीं हैं और बाद में लेनदेन के लिए पुन: उपयोग नहीं किया जा सकता है.

Diffie-Hellman

इसी तरह, सर्वर की निजी कुंजी हमलावर के लिए पूरी तरह से बेकार हो जाएगी क्योंकि इसका उपयोग सर्वर और क्लाइंट के बीच किसी भी ट्रैफ़िक को डिक्रिप्ट करने के लिए नहीं किया जा सकता है.

हालाँकि, इस तरीके के हमले के लिए अधिक धैर्य और संसाधनों की आवश्यकता हो सकती है, जबकि एक ही साइबर क्राइम के पास इसकी पहुँच नहीं है, वही इसे बुद्धि के लिए नहीं कहा जा सकता है. 

राष्ट्रीय सुरक्षा एजेंसी जैसी संस्थाओं में आसानी से कई एन्क्रिप्टेड कनेक्शनों को सुनने की क्षमता होती है, यहाँ तक कि महाद्वीपों में सर्वरों को जोड़ने वाले विशाल पानी के नीचे की केबल को टैप करने के लिए भी।.

डेटा एकत्र करने की यह विशाल क्षमता – एनएसए जैसे संगठन के संस्थागत धैर्य के साथ संयुक्त – का मतलब है कि उन्हें बड़ी मात्रा में एन्क्रिप्टेड डेटा एकत्र करने और संग्रहीत करने में थोड़ी परेशानी होती है.

इस घटना में कि कुछ भविष्य के शोषण या खामियों को स्वयं प्रस्तुत करता है – उन्हें आवश्यक निजी कुंजी पर अपने हाथों को प्राप्त करने की अनुमति देता है – वे इस एन्क्रिप्शन कुंजी का उपयोग संभवतः एक ही झटके में लाखों या अरबों के डेटा लेनदेन को डिक्रिप्ट कर सकते हैं।.

एन्क्रिप्शन की अधिक गहन व्याख्या के लिए, सामान्य रूप से, एन्क्रिप्शन के हमारे विवरण को पढ़ना सुनिश्चित करें.

पीएफएस आपकी वेबसाइट को कैसे सुरक्षित रखता है

सबसे स्पष्ट तरीका है कि सही आगे की गोपनीयता आपकी वेबसाइट को सुरक्षित रखती है जो आपको और आपके उपयोगकर्ताओं को डेटा ब्रीच होने की स्थिति में अतिरिक्त सुरक्षा प्रदान करती है। सबसे बुरी तरह से, एक हमलावर केवल एक ही डेटा लेनदेन को समझने में सक्षम होगा, और हालांकि यह अभी भी एक जोखिम पेश कर सकता है, नुकसान बहुत मौजूद है.

इसके अलावा, सर्वर सही फ़ॉरवर्ड सीक्रेसी को लागू करने वाले हमलावरों के लिए कम आकर्षक लक्ष्य पेश करते हैं। हालाँकि मूल निजी कुंजी द्वारा संरक्षित सर्वर पर संग्रहीत जानकारी अभी भी है, यह सभी हमलावर अपने हाथों को प्राप्त करने में सक्षम होंगे, जो हमले के भुगतान को सीमित करते हैं।.

बेशक, यह किसी हमले के खिलाफ कोई गारंटी नहीं है, लेकिन यह एक कम संभावना बनाता है, क्योंकि हमलावर इसके बजाय अधिक पुरस्कृत लक्ष्य चुन सकते हैं.

Google अपने सर्वरों पर सही आगे गोपनीयता लागू करने वाली पहली प्रमुख सॉफ्टवेयर कंपनियों में से एक थी। इस वजह से, यह बहुत संभावना है कि, भविष्य में कुछ बिंदु पर, Google अपनी स्थिति का उपयोग प्रमुख खोज इंजन के रूप में करेगा, जो कि पीएफएस को अपनाने के लिए प्रोत्साहित करते हैं, ताकि वे अपने खोज परिणामों में उन्हें उच्च स्थान पर रखकर रोजगार प्रदान करें। HTTP बनाम HTTPS के साथ मामला.

परफेक्ट फॉरवर्ड सेक्रेसी एंड हार्टलेड

शायद इस बात का कोई बेहतर उदाहरण नहीं है कि कुख्यात हार्दिक शोषण की तुलना में आगे की गोपनीयता क्यों जरूरी है। यह समझने के लिए कि पहले, यह जानना महत्वपूर्ण है कि हार्टबल क्या है और यह इतना हानिकारक क्यों था.

2012 में ओपनएसएसएल में पेश किए गए बग का हार्दिक शोषण करते हैं – टीएलएस (परिवहन स्तर की सुरक्षा) प्रोटोकॉल के सबसे लोकप्रिय कार्यान्वयन में से एक – लेकिन यह दो साल बाद 2014 तक नहीं खोजा गया था. 

एसएसएल / टीएलएस को समझना

आपको यह जानने की ज़रूरत नहीं है कि टीएलएस कैसे काम करता है, लेकिन संक्षेप में, यह एक सुरक्षा प्रोटोकॉल है जो क्लाइंट और सर्वर के बीच निजी एन्क्रिप्शन कुंजी का उपयोग करके ट्रैफ़िक को एन्क्रिप्ट करता है, HTTPS के उदाहरण से आप शायद सबसे परिचित हैं।. 

हालांकि इस सवाल का जवाब “टीएलएस कैसे काम करता है?” इस लेख के दायरे से बाहर है, आप अधिक जानने के लिए SSL बनाम TLS पर हमारे लेख को देख सकते हैं.

टीएलएस-सहभागिता

बग टीएलएस के लिए हार्टबीट एक्सटेंशन का लाभ उठाता है, जिसे टीएलएस संचार को पेलोड (आमतौर पर थोड़ा सा पाठ) भेजने के साथ-साथ पेलोड के आकार को निर्दिष्ट करने वाली संख्या का परीक्षण करने के लिए डिज़ाइन किया गया है। सर्वर फिर मूल प्रेषक को पेलोड भेजकर प्रतिक्रिया करता है.

समस्या यह थी कि सर्वर वास्तव में पेलोड की सामग्री की जांच नहीं करेगा, लेकिन सिर्फ संख्या इसके आकार को निर्दिष्ट करता है। यह इस संख्या का उपयोग मेमोरी बफर से डेटा की एक निश्चित मात्रा को प्राप्त करने के लिए करेगा, जिसका उद्देश्य केवल सर्वर पर मूल पेलोड भेजा जाना था।.

Heartbleed

हालाँकि, क्योंकि पेलोड की जाँच नहीं की गई थी, इसने अपने आकार का प्रतिनिधित्व करने वाली संख्या में निर्दिष्ट की तुलना में एक छोटा पेलोड भेजने की संभावना को खोल दिया। इसके परिणामस्वरूप सर्वर न केवल मूल पेलोड लौट रहा है, बल्कि अनुरोधित संदेश आकार तक पहुंचने के लिए मेमोरी बफर में संग्रहीत अतिरिक्त जानकारी भी है.

एक्शन में दिल से लगा हुआ

एक उदाहरण के रूप में, दुर्भावनापूर्ण हार्टबीट संदेश “परीक्षण” शब्द को वापस करने के लिए सर्वर से अनुरोध कर सकता है लेकिन निर्दिष्ट करें कि लंबाई 500 वर्णों की होनी चाहिए। यह सर्वर से अनुरोध किए गए शब्द “परीक्षण” को वापस करने के लिए ले जाएगा, लेकिन स्मृति से 496 अतिरिक्त वर्ण भी.

हालाँकि हमलावर के पास यह निर्धारित करने का कोई तरीका नहीं होगा कि वे किस जानकारी को वापस प्राप्त करेंगे, इस बात की अच्छी संभावना है कि इन अतिरिक्त वर्णों में संवेदनशील जानकारी होगी, जैसे कि सर्वर की निजी कुंजी.

इस प्रकार, एक बार हार्टबल के घटनास्थल पर आने के बाद, किसी भी साइबर क्राइम ने एन्क्रिप्टेड ट्रैफ़िक पर सुनने में जो भी समय बिताया वह अचानक बग के संपर्क में आने वाले किसी भी सर्वर की निजी कुंजी प्राप्त करने के लिए हमले का एक आदर्श एवेन्यू था।. 

इन एन्क्रिप्शन कुंजियों का उपयोग करते हुए, वे तब उन सभी डेटा को डिक्रिप्ट कर सकते थे जो उन्होंने पहले एकत्र किए थे, जिसके परिणामस्वरूप बहुत बड़ी मात्रा में समझौता किया गया था.

अपने सर्वर पर परफेक्ट फॉरवर्ड सिक्योरिटी को कैसे इनेबल करें

अपने सर्वर पर सही फॉरवर्ड सीक्रेसी सुविधा को सक्षम करना वास्तव में एक बहुत ही सरल प्रक्रिया है जिसे सिस्टम प्रशासक की ओर से महत्वपूर्ण मात्रा में प्रयास की आवश्यकता नहीं होती है. 

यह प्रक्रिया स्पष्ट रूप से सर्वर आर्किटेक्चर के आधार पर भिन्न होती है, जिसे आप नियोजित कर रहे हैं, इसलिए हम आपको अपाचे और नग्नेक्स, दो लोकप्रिय आर्किटेक्चर के साथ ऐसा करने के माध्यम से चलाएंगे।.

सामान्य तौर पर, आपको जो करने की आवश्यकता होती है वह डीएचई और ईसीडीएचई सिफर सुइट्स को प्राथमिकता देने के लिए आपके सर्वर को सेट करता है, लेकिन आपको अभी भी बैकअप के रूप में आरएसए समर्थन को बनाए रखना चाहिए। ऐसा इसलिए है क्योंकि पुराने सिस्टम और ब्राउज़र पीएफएस का समर्थन नहीं कर सकते हैं, जिसका अर्थ है कि वे आपकी साइट को लोड करने में सक्षम नहीं होंगे, जब तक आप सुनिश्चित नहीं करते कि अन्य सिफर सूट अभी भी उपलब्ध हैं.

सिफर-सूट

अधिक विशिष्ट निर्देशों के लिए, हमने Apache और Nginx सर्वरों पर सही आगे गोपनीयता को सक्षम करने के लिए चरण-दर-चरण मार्गदर्शिका संकलित की है.

अपाचे पर पीएफएस को कैसे कॉन्फ़िगर करें

  1. कमांड के साथ अपने एसएसएल विन्यास का पता लगाएँ: “grep -I -r” SSLEngine “/ etc / apache”
  2. टाइप करके सिफर क्रम लागू करें: “SSLProtocol सभी -SSLv2 -SSLv3 SSLHonorCipherOrder पर”
  3. इस तरह से सिफर क्रम सेट करें: “ssl_ciphers D EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ‘;”
  4. अंत में, Apache को कमांड से पुनः आरंभ करें: “apachectl -k पुनरारंभ”

NFSx पर PFS को कैसे कॉन्फ़िगर करें

  1. टाइप करके अपने एसएसएल विन्यास का पता लगाएँ: “grep -r ssl_protocol nginx base directory” (उपयुक्त मार्ग के साथ “nginx आधार निर्देशिका” बदलें)
  2. दर्ज करके कॉन्फ़िगरेशन को बदलें: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers? ”
  3. आदेश लिखकर सिफर क्रम सेट करें: “ssl_ciphers D EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ‘!”
  4. निगनेक्स को निम्न कमांड के साथ फिर से शुरू करें: “sudo service nginx पुनरारंभ”

अंतिम विचार

वहाँ है, सब कुछ आप सही आगे गोपनीयता के बारे में जानने की जरूरत है। यद्यपि उपभोक्ता के उपयोग को प्रोत्साहित करने के लिए बहुत कुछ नहीं है, यह जानना महत्वपूर्ण है कि सुरक्षित कनेक्शन पर यात्रा करने वाले एन्क्रिप्टेड डेटा भी भविष्य के हमले के लिए संभावित रूप से असुरक्षित हैं।.

सर्वर ऑपरेटर और सिस्टम एडमिनिस्ट्रेटर के साथ परफेक्ट फॉरवर्ड सीक्रेसी को लागू करने के लिए, और इस गाइड का उद्देश्य इसके गोद लेने को प्रोत्साहित करना है, जो वेबसाइटों और उपयोगकर्ताओं के लिए अधिक सुरक्षित इंटरनेट का नेतृत्व करेगा. 

उन उपयोगकर्ताओं के लिए जो विशेष रूप से इस बात से चिंतित हैं कि उनकी पसंदीदा वेबसाइटें अपने डेटा को सुरक्षित करने के लिए PFS परिवहन का उपयोग करती हैं या नहीं, क्वालिस एसएसएल लैब्स परीक्षण आपको बस यह जांचने की अनुमति देता है। यदि आपकी बहुत सारी पसंदीदा वेबसाइटें सूंघने के लिए नहीं हैं, तो अपने आप को बचाने का सबसे अच्छा तरीका आपके ट्रैफ़िक में एन्क्रिप्शन का एक अतिरिक्त स्तर जोड़ने के लिए वर्चुअल प्राइवेट नेटवर्क डाउनलोड करना है।.

आप हमारी सबसे अच्छी वीपीएन प्रदाताओं की सूची देख सकते हैं जो आपको सुरक्षा की अतिरिक्त परत प्रदान करेंगी, या यदि आप हमारे शीर्ष पिक के लिए सही छोड़ना चाहते हैं, तो हमारी एक्सप्रेसवीपीएन समीक्षा देखें.

आपने आगे की गोपनीयता के बारे में हमारी व्याख्या के बारे में क्या सोचा? क्या इसने तकनीकी वाक्यांश पर कुछ नया प्रकाश डाला है जिसे आपने हाल के वर्षों में अधिक बार देखा होगा, या क्या आप अभी भी उतने ही भ्रमित हैं जितना आप पढ़ना शुरू कर रहे थे? नीचे टिप्पणी करके हमें बताएं। हमेशा की तरह, पढ़ने के लिए धन्यवाद.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me