رازداری مناسب برای پیشبرد چیست؟ راهنمای سال 2020

امنیت سایبری زمینه ای در حال تحول است که تهدیدات جدید ، نقاط ضعف و بهره برداری های مداوم از آن کشف و پرداخته می شود.. 


این نبرد در حال اجرا علیه مجرمان سایبری یک چالش استثنایی برای کارشناسان امنیتی است ، زیرا بهره برداری فردا می تواند ترافیک امروز را به خطر بیاندازد ، مشکلی که برای جلوگیری از “پنهان کاری کامل رو به جلو” اختراع شده است. بنابراین ، رازداری کامل رو به جلو چیست؟ برای پیدا کردن این مقاله را ادامه دهید.

رازداری مناسب برای پیشبرد چیست (PFS)?

بنابراین ، PFS چیست؟ به طور خلاصه ، مخفف PFS مخفف “پنهان کاری کامل رو به جلو” است که یک ویژگی امنیتی نسبتاً اخیر برای وب سایت ها است. این هدف با هدف جلوگیری از سوء استفاده های بعدی و نقض امنیت در ارتباطات ، اطلاعات یا داده های فعلی یا گذشته با جداسازی رمزگذاری هر معامله.

به طور سنتی ، داده های رمزگذاری شده توسط یک کلید رمزنگاری خصوصی که توسط سرور نگهداری می شود ، محافظت می شود که می تواند از آن برای رمزگشایی کلیه ارتباطات تاریخی با سرور با استفاده از یک کلید عمومی استفاده کند. این یک خطر امنیتی احتمالی در پایین خط است ، زیرا یک مهاجم می تواند هفته ها ، ماه ها یا سال ها را به گوش دادن به ترافیک رمزگذاری شده ، ذخیره داده ها و صرفه جویی در وقت خود اختصاص دهد..

Wireshark

با وجود این داده های موجود ، تمام مهاجمی که باید انجام دهند ، صبر برای هرگونه سوءاستفاده امنیتی احتمالی در آینده است که به آنها امکان می دهد دست خود را بر روی کلید خصوصی سرور بگیرند ، که می تواند برای رمزگشایی کلیه داده هایی که از آن برداشت شده ، استفاده شود زمان.

چگونه محرمانه بودن کامل مسئله را حل می کند

پنهان کاری کامل جلو با حذف اتکا به یک کلید خصوصی سرور ، این مشکل را حل می کند. به جای استفاده از کلید رمزگذاری یکسان برای هر معامله ، هر بار که یک معامله داده جدید ایجاد شود ، کلید جلسه جدید و منحصر به فرد ایجاد می شود.. 

در حقیقت ، این بدان معناست که حتی اگر یک مهاجم موفق به دستیابی به کلید جلسه شود ، فقط برای رمزگشایی جدیدترین معامله مفید نخواهد بود ، بلکه تمام داده هایی که ممکن است در گذشته جمع آوری کرده اند ، مفید است..

به جای مبادله استاندارد کلید RSA ، این کلیدهای جلسه با استفاده از رمزگذاری Diffie-Hellman یا رمزگذاری بهتر دیوانه-هلمن منحنی بیضوی تولید می شوند. کلیدهای رمزگذاری بسیار ضروری هستند ، به این معنی که در هیچ جایی ذخیره نمی شوند و برای معامله بعدی قابل استفاده مجدد نیستند.

دیفی هلمن

به طور مشابه ، کلید خصوصی سرور برای مهاجم کاملاً بی فایده خواهد بود زیرا نمی توان از آن برای رمزگشایی هرگونه ترافیک بین سرور و مشتری استفاده کرد.

اگرچه این روش حمله ممکن است به صبر و منابع بیشتری نیاز داشته باشد تا اینکه یک مجرمان سایبری تنها به آن دسترسی داشته باشند ، اما برای سازمانهای اطلاعاتی نیز همین حرف را نمی توان گفت. 

اشخاصی مانند آژانس امنیت ملی به راحتی توانایی گوش دادن به بسیاری از اتصالات رمزگذاری شده را دارند ، حتی تا آنجا که به کابلهای غول زیر آب غول پیکر که سرورها را به همه قاره ها متصل می کنند ، گوش می دهند..

این ظرفیت عظیم برای جمع آوری داده ها – همراه با صبر و تحمل نهادی سازمانی مانند NSA – بدین معنی است که آنها در جمع آوری و ذخیره مقدار زیادی از داده های رمزگذاری شده مشکل کمی دارند..

در صورتی که برخی از سوء استفاده ها یا حفره های آینده خود را ارائه دهند – به آنها اجازه می دهند کلید خصوصی خود را بدست آورند – می توانند از این کلید رمزگذاری برای رمزگشایی بالقوه میلیونها یا میلیارد ها تراکنش داده در یک سکته مغزی استفاده کنند..

برای توضیح بیشتر درباره رمزنگاری ، به طور کلی ، حتما توضیحات مربوط به رمزنگاری را بخوانید.

چگونه PFS وب سایت شما را ایمن نگه می دارد

بدیهی ترین روشی که رازداری کامل وب سایت شما را ایمن می کند ، فراهم آوردن امنیت بیشتر در صورت نقض داده ها به شما و کاربران شما است. در بدترین حالت ، یک مهاجم فقط قادر به رمزگشایی یک معامله داده واحد خواهد بود ، و اگرچه ممکن است این خطرات را هنوز هم ایجاد کند ، اما خسارت بسیار زیاد است.

علاوه بر این ، سرورهایی که از اسرار کامل رو به جلو استفاده می کنند ، اهداف کمتری را برای مهاجمان ارائه می دهند. حتی اگر هنوز اطلاعات در سرور وجود دارد که توسط کلید خصوصی اصلی محافظت نمی شود ، این همه حمله کننده قادر به دستیابی به آنهاست ، به طور قابل توجهی بازپرداخت حمله را محدود می کند..

مطمئناً این هیچ تضمینی در برابر حمله نیست ، اما این امر یکی از آنها را کمتر می کند ، زیرا مهاجمان به جای آن می توانند اهداف پاداش بیشتری را انتخاب کنند..

Google یکی از اولین شرکتهای بزرگ نرم افزاری بود که رازداری کامل رو به جلو را روی سرورهای خود پیاده کرد. به همین دلیل ، بسیار محتمل است که در مقطعی از آینده ، گوگل از موقعیت خود به عنوان موتور جستجوی غالب برای تشویق تصویب PFS با پاداش دادن به سایتهایی كه آن را با رتبه بندی بالاتر در نتایج جستجوی خود استفاده می كنند ، استفاده كند. مورد با HTTP در مقابل HTTPS.

پنهانکاری کامل و صلح آمیز جلو

شاید هیچ نمونه بهتر از این نباشد که چرا رازداری کامل رو به جلو ضروری است تا سوءاستفاده از بدنام قلب. برای درک دلیل ، مهم است که ابتدا بدانیم که Heartbleed چیست ، و چرا اینقدر آسیب رسان است.

Heartbleed از اشکالی که در سال 2012 به OpenSSL معرفی شده است – یکی از محبوب ترین اجرای پروتکل TLS (امنیت سطح حمل و نقل) سوءاستفاده می کند – اما تا دو سال بعد در سال 2014 این کشف نشد.. 

درک SSL / TLS

لازم نیست دقیقاً بدانید که TLS چگونه کار می کند ، اما به طور خلاصه ، این یک پروتکل امنیتی است که با استفاده از یک کلید رمزگذاری خصوصی ، ترافیک بین مشتری و سرور را رمزگذاری می کند ، که HTTPS نمونه ای است که احتمالاً با آن بیشتر آشنا هستید. 

اگرچه در پاسخ به این سؤال “TLS چگونه کار می کند؟” خارج از محدوده این مقاله است ، می توانید مقاله ما را در مورد SSL در مقابل TLS مطالعه کنید تا اطلاعات بیشتری کسب کنید.

TLS-Handshake

این اشکال از پسوند Heartbeat برای TLS استفاده می کند ، که برای تست ارتباطات TLS با ارسال بار (معمولاً مقداری متن) و همچنین تعدادی که مشخص کننده حجم بار است طراحی شده است. سرور سپس با ارسال بار payload به فرستنده اصلی پاسخ می دهد.

مشکلی که وجود داشت این بود که سرور در واقع محتوای میزان بار را بررسی نمی کند ، بلکه فقط عدد مشخص کننده اندازه آن است. از این شماره برای بازیابی مقدار مشخصی از داده ها از بافر حافظه استفاده می شود ، که قرار بود فقط مبلغ اصلی اصلی ارسال شده به سرور باشد..

دلچسب

با این حال ، به دلیل اینکه بار خود بررسی نشده است ، این امکان ارسال بار کمتری نسبت به آنچه در شماره مشخص شده است نشان می دهد. این منجر به بازگشت سرور نه تنها مبلغ اصلی بار ، بلکه اطلاعات اضافی ذخیره شده در بافر حافظه نیز می شود تا به اندازه پیام درخواستی برسد.

قلبی در عمل

به عنوان نمونه ، پیام مخرب ضربان قلب ممکن است از سرور بخواهد کلمه “آزمون” را برگرداند اما مشخص کرد که طول آن باید 500 نویسه باشد. این امر باعث می شود تا سرور کلمه درخواستی “تست” را برگرداند بلکه 496 کاراکتر اضافی را نیز از حافظه برگرداند.

اگرچه مهاجم راهی برای تعیین دقیق اطلاعاتی که می تواند به آنها بازگردد وجود ندارد ، این احتمال وجود دارد که این شخصیت های اضافی حاوی اطلاعات حساس مانند کلید خصوصی سرور باشند.

بنابراین ، به محض ورود Heartbleed به صحنه ، هر مجرمان سایبری که مدت زمان طولانی را صرف گوش دادن به ترافیک رمزگذاری شده کرده بود ، ناگهان راهی کاملاً مناسب برای دستیابی به کلید خصوصی هر سرور در معرض اشکال داشت.. 

آنها با استفاده از این کلیدهای رمزنگاری ، می توانند کلیه داده هایی را که قبلاً جمع آوری کرده بودند رمزگشایی کنند و این منجر به حجم عظیمی از اطلاعات به خطر افتاد.

چگونه می توان رازداری کامل برای سرور خود را فعال کنید

فعال کردن ویژگی عالی پنهان سازی رو به جلو روی سرور شما در واقع یک فرایند بسیار سر راست است که نیازی به تلاش قابل توجهی از طرف مدیر سیستم ندارد.. 

این روند بسته به معماری سرور مورد استفاده شما متفاوت است ، بنابراین ما شما را با نحوه انجام این کار با Apache و Nginx ، دو معماری محبوب اجرا خواهیم کرد..

به طور کلی ، آنچه شما باید انجام دهید تنظیم سرور شما برای اولویت بندی مجموعه های رمزگذاری DHE و ECDHE است ، اما شما همچنان باید پشتیبانی RSA را به عنوان پشتیبان حفظ کنید. این امر به این دلیل است که سیستم ها و مرورگرهای قدیمی ممکن است از PFS پشتیبانی نکنند ، به این معنی که آنها قادر به بارگیری سایت شما نخواهند بود مگر اینکه مطمئن شوید که سایر مجموعه های رمزنگاری هنوز در دسترس هستند.

رمزهای سوئیت

برای دستورالعمل های خاص تر ، ما یک راهنمای گام به گام برای چگونگی فعال کردن رازداری کامل رو به جلو در سرورهای Apache و Nginx تهیه کرده ایم.

نحوه پیکربندی PFS در Apache

  1. پیکربندی SSL خود را با دستور بیابید: “grep -I -r” SSLEngine “/ etc / apache”
  2. سفارش رمز را با تایپ کردن: “SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”
  3. ترتیب رمزنگاری را به این ترتیب تنظیم کنید: “ssl_ciphers‘ EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH “؛”
  4. در آخر ، آپاچی را با این فرمان مجدداً راه اندازی کنید: “apachectl -k راه اندازی مجدد”

نحوه پیکربندی PFS در Nginx

  1. پیکربندی SSL خود را با تایپ کردن “فهرست اصلی grep -r ssl_protocol nginx” پیدا کنید (“فهرست پایه nginx” را با مسیر مناسب جایگزین کنید)
  2. پیکربندی را با وارد کردن تغییر دهید: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1؛ ssl_prefer_server_ciphers on؛ “
  3. ترتیب رمزنگاری را با تایپ دستور تنظیم کنید: “ssl_ciphers‘ EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH “؛”
  4. Nginx را با دستور زیر مجدداً راه اندازی کنید: “sudo service nginx restart”

افکار نهایی

در آنجا وجود دارد ، هر آنچه راجع به رازداری کامل رو به جلو باید بدانید. اگرچه چیزهای زیادی وجود ندارد که مصرف کنندگان برای تشویق استفاده از آن بتوانند انجام دهند ، مهم است بدانید که حتی داده های رمزگذاری شده که از طریق یک اتصال امن مسافرت می کنند به طور بالقوه در برابر حمله بعدی آسیب پذیر هستند.

اهداف پیاده سازی رازداری کامل رو به جلو مربوط به اپراتورهای سرور و مدیران سیستم است و هدف این راهنما تشویق تصویب آن است که می تواند به اینترنت ایمن تری برای وب سایت ها و کاربران منجر شود.. 

برای کاربرانی که به خصوص در مورد اینکه آیا وب سایت های مورد علاقه خود از امنیت PFS برای امنیت داده های خود استفاده می کنند نگران هستند یا نه ، آزمایش Qualys SSL Labs به شما امکان می دهد فقط همین موارد را بررسی کنید. اگر بسیاری از وب سایت های مورد علاقه شما مایل نیستند ، بهترین راه برای محافظت از خودتان ، بارگیری یک شبکه خصوصی مجازی برای اضافه کردن سطح رمزگذاری اضافی به ترافیک شما ، دست پایین است..

می توانید لیست ما از بهترین ارائه دهندگان VPN را ببینید که این لایه محافظ اضافی را در اختیار شما قرار می دهد ، یا اگر می خواهید به انتخاب برتر ما بروید ، بررسی ExpressVPN ما را بررسی کنید..

نظر شما در مورد توضیحات ما درباره رازداری کامل رو به جلو چیست؟ آیا آن را در مورد عبارات فنی که ممکن است در سالهای اخیر بیشتر دیده شده باشد ، نور جدیدی به وجود می آورد ، یا هنوز هم هنگام شروع خواندن همچنان گیج هستید؟ در قسمت نظرات پایین ما را آگاه کنید. مثل همیشه از خواندن شما متشکرم.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map