Τι είναι το τέλειο εμπρόσθιο απόρρητο; Ένας οδηγός για το 2020

Η κυβερνοασφάλεια είναι ένα διαρκώς εξελισσόμενο πεδίο, με νέες απειλές, κενά και εκμεταλλεύσεις να ανακαλύπτονται και να αντιμετωπίζονται συνεχώς. 


Αυτή η τρέχουσα μάχη ενάντια στους εγκληματίες στον κυβερνοχώρο αποτελεί μια εξαιρετική πρόκληση για τους εμπειρογνώμονες στον τομέα της ασφάλειας, καθώς η αυριανή εκμετάλλευση μπορεί να θέσει σε κίνδυνο τη σημερινή κυκλοφορία, ένα πρόβλημα που εφευρέθηκε για να αποφευχθεί το «απόλυτο εμπιστευτικό εμπρός». Λοιπόν, τι είναι το τέλειο απόρρητο εμπρός; Συνεχίστε να διαβάζετε αυτό το άρθρο για να το μάθετε.

Τι είναι το τέλειο εμπρόσθιο απόρρητο (PFS)?

Λοιπόν, τι είναι το PFS; Εν ολίγοις, το ακρωνύμιο PFS σημαίνει “τέλειο απόρρητο απόρρητο”, το οποίο είναι ένα σχετικά πρόσφατο χαρακτηριστικό ασφαλείας για ιστότοπους. Στοχεύει στην αποτροπή μελλοντικών εκμεταλλεύσεων και παραβιάσεων ασφάλειας από το να διακυβεύεται η τρέχουσα ή η προηγούμενη επικοινωνία, πληροφορίες ή δεδομένα με την απομόνωση της κρυπτογράφησης κάθε συναλλαγής..

Παραδοσιακά, τα κρυπτογραφημένα δεδομένα θα προστατεύονταν από ένα μόνο ιδιωτικό κλειδί κρυπτογράφησης που κατέχει ο διακομιστής, το οποίο θα μπορούσε να χρησιμοποιήσει για να αποκρυπτογραφήσει όλη την ιστορική επικοινωνία με τον διακομιστή χρησιμοποιώντας ένα δημόσιο κλειδί. Αυτό παρουσιάζει πιθανό κίνδυνο ασφαλείας, καθώς ο εισβολέας μπορεί να περάσει εβδομάδες, μήνες ή χρόνια ακούγοντας κρυπτογραφημένη κίνηση, αποθηκεύοντας τα δεδομένα και προσφέροντας χρόνο.

Wireshark

Με όλα αυτά τα δεδομένα στο χέρι, το μόνο που πρέπει να κάνει ο εισβολέας είναι να περιμένει κάθε πιθανή μελλοντική εκμετάλλευση ασφάλειας που θα τους επέτρεπε να πάρουν τα χέρια τους στο ιδιωτικό κλειδί του διακομιστή, το οποίο στη συνέχεια μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση όλων των δεδομένων που συλλέγουν. χρόνος.

Πόσο τέλεια εμπιστευτική μυστικότητα λύνει το πρόβλημα

Η απόλυτη εμπιστευτικότητα προς τα εμπρός επιλύει αυτό το πρόβλημα αφαιρώντας την εξάρτηση από ένα ιδιωτικό κλειδί διακομιστή. Αντί να χρησιμοποιείτε το ίδιο κλειδί κρυπτογράφησης για κάθε μεμονωμένη συναλλαγή, δημιουργείται ένα νέο, μοναδικό κλειδί περιόδου λειτουργίας κάθε φορά που πραγματοποιείται μια νέα συναλλαγή δεδομένων. 

Στην πραγματικότητα, αυτό σημαίνει ότι ακόμη και αν ένας εισβολέας καταφέρει να πάρει τα χέρια του σε ένα κλειδί συνεδρίας, θα είναι χρήσιμο μόνο για την αποκρυπτογράφηση της πιο πρόσφατης συναλλαγής, παρά για όλα τα δεδομένα που μπορεί να έχουν συλλέξει στο παρελθόν.

Αντί για την τυπική ανταλλαγή κλειδιών RSA, αυτά τα κλειδιά συνεδρίας δημιουργούνται χρησιμοποιώντας κρυπτογράφηση Diffie-Hellman ή καλύτερα ακόμα, κρυπτογράφηση ελλειπτικής καμπύλης Diffie-Hellman. Τα κλειδιά κρυπτογράφησης είναι εφήμερα, που σημαίνει ότι δεν αποθηκεύονται πουθενά και δεν μπορούν να επαναχρησιμοποιηθούν για μεταγενέστερη συναλλαγή.

Ντίφι-Χέλμαν

Ομοίως, το ιδιωτικό κλειδί του διακομιστή θα είναι εντελώς άχρηστο για τον εισβολέα, επειδή δεν μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση οποιασδήποτε κίνησης μεταξύ του διακομιστή και των πελατών.

Αν και αυτή η μέθοδος επίθεσης μπορεί να απαιτεί περισσότερη υπομονή και πόρους από ό, τι έχει πρόσβαση ένας μεμονωμένος εγκληματίας στον κυβερνοχώρο, το ίδιο δεν μπορεί να ειπωθεί για τις οργανώσεις πληροφοριών. 

Οντότητες όπως η Εθνική Υπηρεσία Ασφάλειας έχουν την ικανότητα να ακούνε πολλές κρυπτογραφημένες συνδέσεις, ακόμη και μέχρι να πατήσουν τα τεράστια υποβρύχια καλώδια που συνδέουν διακομιστές σε όλες τις ηπείρους.

Αυτή η τεράστια ικανότητα συλλογής δεδομένων – σε συνδυασμό με τη θεσμική υπομονή ενός οργανισμού όπως η NSA – σημαίνει ότι έχουν λίγα προβλήματα στη συλλογή και αποθήκευση τεράστιων ποσοτήτων κρυπτογραφημένων δεδομένων.

Σε περίπτωση που παρουσιαστεί κάποια μελλοντική εκμετάλλευση ή παραθυράκι – επιτρέποντάς τους να πάρουν τα χέρια τους στο απαιτούμενο ιδιωτικό κλειδί – μπορούν στη συνέχεια να χρησιμοποιήσουν αυτό το κλειδί κρυπτογράφησης για να αποκρυπτογραφήσουν δυνητικά εκατομμύρια ή δισεκατομμύρια συναλλαγές δεδομένων σε μία μόνο διαδρομή.

Για μια πιο εμπεριστατωμένη εξήγηση της κρυπτογράφησης, γενικά, φροντίστε να διαβάσετε την περιγραφή της κρυπτογράφησης.

Πώς το PFS διατηρεί τον ιστότοπό σας ασφαλή

Ο πιο προφανής τρόπος με τον οποίο το απόλυτο εμπιστευτικό απόρρητο διατηρεί τον ιστότοπό σας ασφαλή είναι παρέχοντας σε εσάς και τους χρήστες σας επιπλέον ασφάλεια σε περίπτωση παραβίασης δεδομένων. Στη χειρότερη περίπτωση, ένας εισβολέας θα είναι σε θέση να αποκρυπτογραφήσει μια μόνο συναλλαγή δεδομένων και παρόλο που αυτό ενδέχεται να εξακολουθεί να παρουσιάζει κίνδυνο, η ζημιά περιορίζεται σε μεγάλο βαθμό.

Επιπλέον, οι διακομιστές που χρησιμοποιούν τέλειο απόρρητο εμπρός παρουσιάζουν λιγότερο ελκυστικούς στόχους για τους εισβολείς. Ακόμα κι αν υπάρχουν ακόμα αποθηκευμένες πληροφορίες στο διακομιστή που προστατεύονται από το αρχικό ιδιωτικό κλειδί, αυτό είναι όλο που ο εισβολέας θα μπορεί να πάρει τα χέρια του, περιορίζοντας σημαντικά την απόδοση της επίθεσης.

Φυσικά, αυτό δεν αποτελεί εγγύηση για μια επίθεση, αλλά το κάνει λιγότερο πιθανό, καθώς οι επιτιθέμενοι θα μπορούσαν να επιλέξουν πιο ικανοποιητικούς στόχους.

Η Google ήταν μια από τις πρώτες μεγάλες εταιρείες λογισμικού που εφάρμοσε τέλειο εμπιστευτικό απόρρητο στους διακομιστές της. Εξαιτίας αυτού, είναι πολύ πιθανό ότι, κάποια στιγμή στο μέλλον, η Google θα χρησιμοποιήσει τη θέση της ως κυρίαρχη μηχανή αναζήτησης για να ενθαρρύνει την υιοθέτηση του PFS, επιβραβεύοντας ιστότοπους που το χρησιμοποιούν, κατατάσσοντας τους υψηλότερα στα αποτελέσματα αναζήτησης, όπως ήταν το περίπτωση με HTTP εναντίον HTTPS.

Τέλειο εμπρόσθιο απόρρητο και εγκάρδιος

Ίσως δεν υπάρχει καλύτερο παράδειγμα για το γιατί το τέλειο εμπιστευτικό εμπρόσθιο στοιχείο είναι απαραίτητο από το περίφημο exploble Heartbleed. Για να καταλάβετε γιατί, είναι σημαντικό να γνωρίζετε πρώτα τι είναι το Heartbleed και γιατί ήταν τόσο επιζήμιο.

Το Heartbleed εκμεταλλεύεται ένα σφάλμα που παρουσιάστηκε το 2012 στο OpenSSL – μία από τις πιο δημοφιλείς εφαρμογές του πρωτοκόλλου TLS (ασφάλεια επιπέδου μεταφοράς) – αλλά αυτό δεν ανακαλύφθηκε παρά δύο χρόνια αργότερα το 2014. 

Κατανόηση SSL / TLS

Δεν χρειάζεται να γνωρίζετε ακριβώς πώς λειτουργεί το TLS, αλλά εν συντομία, είναι ένα πρωτόκολλο ασφαλείας που κρυπτογραφεί την κίνηση μεταξύ ενός πελάτη και ενός διακομιστή χρησιμοποιώντας ένα ιδιωτικό κλειδί κρυπτογράφησης, με το HTTPS να είναι το παράδειγμα με το οποίο πιθανότατα γνωρίζετε περισσότερο. 

Αν και απαντά στην ερώτηση «πώς λειτουργεί το TLS;» δεν εμπίπτει στο πεδίο αυτού του άρθρου, μπορείτε να δείτε το άρθρο μας σχετικά με SSL εναντίον TLS για να μάθετε περισσότερα.

TLS-Χειραψία

Το σφάλμα εκμεταλλεύεται την επέκταση Heartbeat για TLS, η οποία έχει σχεδιαστεί για να δοκιμάζει την επικοινωνία TLS στέλνοντας ένα ωφέλιμο φορτίο (συνήθως λίγο κείμενο) καθώς και έναν αριθμό που καθορίζει το μέγεθος του ωφέλιμου φορτίου. Ο διακομιστής αποκρίνεται στη συνέχεια αποστέλλοντας το ωφέλιμο φορτίο στον αρχικό αποστολέα.

Το πρόβλημα ήταν ότι ο διακομιστής δεν θα ελέγχει πραγματικά το περιεχόμενο του ωφέλιμου φορτίου, αλλά μόνο τον αριθμό που καθορίζει το μέγεθός του. Θα χρησιμοποιούσε αυτόν τον αριθμό για να ανακτήσει μια συγκεκριμένη ποσότητα δεδομένων από το buffer μνήμης, το οποίο προοριζόταν να είναι το αρχικό ωφέλιμο φορτίο που στάλθηκε στον διακομιστή.

Καρδιάς

Ωστόσο, επειδή το ίδιο το ωφέλιμο φορτίο δεν ελέγχθηκε, αυτό άνοιξε τη δυνατότητα αποστολής μικρότερου ωφέλιμου φορτίου από αυτό που καθορίστηκε στον αριθμό που αντιπροσωπεύει το μέγεθός του. Αυτό είχε ως αποτέλεσμα ο διακομιστής να επιστρέψει όχι μόνο το αρχικό ωφέλιμο φορτίο, αλλά και πρόσθετες πληροφορίες που είναι αποθηκευμένες στο buffer μνήμης για να φτάσει το ζητούμενο μέγεθος μηνύματος.

Heartbleed in Action

Για παράδειγμα, το κακόβουλο μήνυμα Heartbeat ενδέχεται να ζητήσει από τον διακομιστή να επιστρέψει τη λέξη “test”, αλλά να ορίσει ότι το μήκος πρέπει να είναι 500 χαρακτήρες. Αυτό θα οδηγούσε τον διακομιστή να επιστρέψει τη ζητούμενη λέξη «δοκιμή» αλλά και 496 επιπλέον χαρακτήρες από τη μνήμη.

Παρόλο που ο εισβολέας δεν θα είχε κανέναν τρόπο να προσδιορίσει ποιες ακριβώς πληροφορίες θα λάβει, υπάρχει μεγάλη πιθανότητα αυτοί οι πρόσθετοι χαρακτήρες να περιέχουν ευαίσθητες πληροφορίες, όπως το ιδιωτικό κλειδί του διακομιστή.

Έτσι, μόλις ο Heartbleed έφτασε στη σκηνή, οποιοσδήποτε εγκληματίας στον κυβερνοχώρο που είχε ξοδέψει αρκετό χρόνο ακούγοντας κρυπτογραφημένη κίνηση ξαφνικά είχε μια τέλεια λεωφόρο επίθεσης για την απόκτηση του ιδιωτικού κλειδιού οποιουδήποτε διακομιστή που ήταν εκτεθειμένος στο σφάλμα. 

Χρησιμοποιώντας αυτά τα κλειδιά κρυπτογράφησης, θα μπορούσαν τότε να αποκρυπτογραφήσουν όλα τα δεδομένα που είχαν συλλέξει στο παρελθόν, γεγονός που οδήγησε σε τεράστιο αριθμό παραβιασμένων πληροφοριών.

Πώς να ενεργοποιήσετε το τέλειο εμπιστευτικό απόρρητο στον διακομιστή σας

Η ενεργοποίηση της τέλειας λειτουργίας εμπιστευτικότητας εμπρός στον διακομιστή σας είναι στην πραγματικότητα μια πολύ απλή διαδικασία που δεν απαιτεί σημαντική προσπάθεια εκ μέρους του διαχειριστή συστήματος. 

Η διαδικασία διαφέρει προφανώς ανάλογα με την αρχιτεκτονική του διακομιστή που χρησιμοποιείτε, οπότε θα σας καθοδηγήσουμε πώς να το κάνετε με τα Apache και Nginx, δύο δημοφιλείς αρχιτεκτονικές.

Γενικά, αυτό που πρέπει να κάνετε είναι να ρυθμίσετε τον διακομιστή σας ώστε να δίνει προτεραιότητα στις σουίτες κρυπτογράφησης DHE και ECDHE, αλλά θα πρέπει να διατηρήσετε την υποστήριξη RSA ως αντίγραφο ασφαλείας. Αυτό συμβαίνει επειδή παλαιότερα συστήματα και προγράμματα περιήγησης ενδέχεται να μην υποστηρίζουν το PFS, πράγμα που σημαίνει ότι δεν θα μπορούν να φορτώσουν τον ιστότοπό σας, εκτός εάν βεβαιωθείτε ότι εξακολουθούν να είναι διαθέσιμες άλλες κρυπτογραφικές σουίτες.

Cipher-Σουίτες

Για πιο συγκεκριμένες οδηγίες, έχουμε καταρτίσει έναν αναλυτικό οδηγό για το πώς να ενεργοποιήσετε το τέλειο εμπιστευτικό απόρρητο στους διακομιστές Apache και Nginx.

Πώς να ρυθμίσετε το PFS στο Apache

  1. Εντοπίστε τη διαμόρφωση SSL με την εντολή: “grep -I -r” SSLEngine “/ etc / apache”
  2. Εφαρμόστε τη σειρά κρυπτογράφησης πληκτρολογώντας: “SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”
  3. Ορίστε τη σειρά κρυπτογράφησης ως εξής: “ssl_ciphers” EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH “;”
  4. Τέλος, επανεκκινήστε το Apache με την εντολή: “apachectl -k restart”

Πώς να ρυθμίσετε το PFS στο Nginx

  1. Εντοπίστε τη διαμόρφωση SSL πληκτρολογώντας: “grep -r ssl_protocol nginx base directory” (αντικαταστήστε τον “βασικό κατάλογο nginx” με την κατάλληλη διαδρομή)
  2. Αλλάξτε τη διαμόρφωση εισάγοντας: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers ενεργοποιημένο; “
  3. Ορίστε τη σειρά κρυπτογράφησης πληκτρολογώντας την εντολή: “ssl_ciphers” EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH “;”
  4. Επανεκκινήστε το Nginx με την ακόλουθη εντολή: “sudo service nginx restart”

Τελικές σκέψεις

Αυτό είναι, ό, τι πρέπει να ξέρετε για τέλειο απόρρητο εμπρός. Παρόλο που δεν μπορούν να κάνουν πολλά οι καταναλωτές για να ενθαρρύνουν τη χρήση του, είναι σημαντικό να γνωρίζουμε ότι ακόμη και τα κρυπτογραφημένα δεδομένα που ταξιδεύουν μέσω ασφαλούς σύνδεσης είναι δυνητικά ευάλωτα σε μελλοντική επίθεση.

Η ευθύνη για την εφαρμογή τέλειου εμπιστευτικού απορρήτου εναπόκειται στους χειριστές διακομιστών και στους διαχειριστές συστημάτων και ο στόχος αυτού του οδηγού είναι να ενθαρρύνει την υιοθέτησή του, κάτι που θα οδηγούσε σε ένα πιο ασφαλές Διαδίκτυο για ιστότοπους και χρήστες. 

Για χρήστες που ανησυχούν ιδιαίτερα για το αν οι αγαπημένοι τους ιστότοποι χρησιμοποιούν ή όχι τη μεταφορά PFS για τη διασφάλιση των δεδομένων τους, η δοκιμή Qualys SSL Labs σάς επιτρέπει να ελέγχετε ακριβώς αυτό. Εάν πολλοί από τους αγαπημένους σας ιστότοπους δεν φτάνουν στο χτύπημα, ο καλύτερος τρόπος για να προστατευτείτε είναι να κατεβάσετε ένα εικονικό ιδιωτικό δίκτυο για να προσθέσετε ένα επιπλέον επίπεδο κρυπτογράφησης στην κυκλοφορία σας.

Μπορείτε να δείτε τη λίστα με τους καλύτερους παρόχους VPN που θα σας προσφέρουν αυτό το επιπλέον επίπεδο προστασίας ή εάν θέλετε να παραλείψετε απευθείας στην κορυφαία επιλογή μας, ρίξτε μια ματιά στην κριτική μας ExpressVPN.

Τι νομίζατε για την εξήγησή μας για το τέλειο απόρρητο εμπρός; Μήπως έδωσε νέο φως σε μια τεχνική φράση που μπορεί να έχετε δει πιο συχνά τα τελευταία χρόνια, ή εξακολουθείτε να είστε τόσο μπερδεμένοι όσο ήταν όταν ξεκινήσατε να διαβάζετε; Ενημερώστε μας στα σχόλια παρακάτω. Όπως πάντα, σας ευχαριστώ για την ανάγνωση.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map