რა არის სრულყოფილი წინ საიდუმლოების დაცვა? სახელმძღვანელო 2020 წლისთვის

კიბეს უსაფრთხოება მუდმივად განვითარებადი სფეროა, ახალი საფრთხეებით, ხარვეზებითა და ექსპლოატაციებით, რომლებიც მუდმივად ხდება მათი აღმოჩენა და გამკლავება.. 


კიბერდანაშაულების წინააღმდეგ მიმდინარე ეს ბრძოლა განსაკუთრებული გამოწვევაა უსაფრთხოების ექსპერტებისთვის, რადგან ხვალინდელი ექსპლუატაციით შეიძლება შეფერხდეს დღევანდელი ტრეფიკი, პრობლემა, რომელიც გამოიგონა ”სრულყოფილი საიდუმლოების საიდუმლოება”, რომელიც თავიდან აიცილეს. რა არის სრულყოფილი წინ საიდუმლოების დაცვა? განაგრძეთ კითხვა ამ სტატიის გასარკვევად.

რა არის სრულყოფილი საიდუმლოების დაცვა (PFS)?

რა არის PFS? მოკლედ რომ ვთქვათ, PFS აკრონიმი ნიშნავს „სრულყოფილი საიდუმლოების საიდუმლოებას“, რაც შედარებით უახლესი უსაფრთხოების მახასიათებელია ვებსაიტებისთვის. მისი მიზანია თავიდან აიცილოს მომავალი ექსპლოატაციები და უსაფრთხოების დარღვევები მიმდინარე ან წარსული კომუნიკაციის, ინფორმაციის ან მონაცემების კომპრომისზე, თითოეული გარიგების დაშიფვრის იზოლირებით.

ტრადიციულად, დაშიფრული მონაცემები დაცული იქნება სერვერის მიერ დაცული ცალკეული დაშიფვრის ღილაკით, რომლის საშუალებითაც იგი შეიძლება გამოყენებული იქნას სერვერთან ყველა ისტორიული კომუნიკაციის გაშიფვრაში, საჯარო გასაღების გამოყენებით. ეს წარმოადგენს უსაფრთხოების პოტენციურ რისკს, რადგან თავდამსხმელს შეუძლია გაატაროს კვირეული, თვეები ან წლები დაშიფრული ტრეფიკის მოსმენისას, მონაცემთა შენახვისა და მათი დროების გამოთხოვის შესახებ..

Wireshark

ყველა ხელთ არსებული მონაცემებით, თავდამსხმელმა უნდა გააკეთოს მომავალი უსაფრთხოების შესაძლო ექსპლუატაციისთვის, რაც მათ საშუალებას მისცემს ხელში მოიკიდონ სერვერის პირად კლავიშზე, რომელიც შემდგომში შესაძლებელია მათი მონაცემების გაშიფვრას. დრო.

რამდენად სრულყოფილი წინ საიდუმლოების გადაჭრა პრობლემას

სრულყოფილი წინ საიდუმლოება ამ პრობლემას აგვარებს ერთი სერვერის პირად კლავიშზე დამოკიდებულების მოხსნის გზით. იმის ნაცვლად, რომ გამოიყენოთ ერთი დაშიფვრის ძირითადი ღილაკი თითოეული გარიგებისთვის, ახალი სესიის ახალი კლავიატურა იქმნება ყოველ ჯერზე ახალი მონაცემების გარიგების დროს.. 

სინამდვილეში, ეს ნიშნავს, რომ მაშინაც კი, თუ თავდამსხმელი მოახერხებს სხდომის ღილაკზე ხელის დაჭერას, ეს მხოლოდ სასარგებლო იქნება უახლესი გარიგების გაშიფვრისთვის, ვიდრე ყველა ის მონაცემი, რომელიც მათ შეიძლება შეგროვდეს წარსულში.

ნაცვლად სტანდარტული RSA კლავიშის გაცვლისა, ამ სესიის გასაღებები წარმოიქმნება ან Diffie-Hellman დაშიფვრის, ან კიდევ უკეთესი, ელიფსური-მრუდი Diffie-Hellman დაშიფვრის გამოყენებით. დაშიფვრის კლავიშები არის ეფერალური, რაც იმას ნიშნავს, რომ ისინი არსად არის შენახული და არ შეიძლება გამოყენებული იქნას მოგვიანებით გარიგებისთვის.

დიფეი-ჰელმანი

ანალოგიურად, სერვერის პირადი კლავიატურა თავდასხმისთვის სრულიად უსარგებლო იქნება, რადგან იგი ვერ გამოიყენებს სერვერსა და კლიენტებს შორის ნებისმიერი ტრაფიკის გაშიფვრას..

მიუხედავად იმისა, რომ თავდასხმის ამ მეთოდს შესაძლოა მეტი მოთმინება და რესურსი სჭირდება, ვიდრე ერთ კიბერდანაშაულს აქვს წვდომა, იგივე არ შეიძლება ითქვას სადაზვერვო ორგანიზაციებისთვის.. 

ეროვნული უსაფრთხოების სააგენტოს მსგავს პირებს ადვილად აქვთ შესაძლებლობა მოუსმინონ ბევრ დაშიფრულ კავშირს, რამდენადაც მიდიან იმ წყალდიდობულ გიგანტურ კაბელებზე, რომლებიც აკავშირებენ სერვერებს მთელს კონტინენტზე..

მონაცემების შეგროვების ეს დიდი შესაძლებლობა – ერთად ესაჭიროებათ ორგანიზაცია, როგორიცაა NSA, – ნიშნავს იმას, რომ მათ პრობლემები არ აქვთ დაშიფრული მონაცემების დიდი რაოდენობით შეგროვებასა და შენახვაში..

იმ შემთხვევაში, თუ ზოგიერთი მომავალი ექსპლოატაცია ან სიბრტყე წარმოგვიდგენს თავს – საშუალებას აძლევს მათ ხელში ჩააგდონ საჭირო პირადი ღილაკი – მათ შეუძლიათ შემდეგ გამოიყენონ დაშიფვრის ეს კლავიატურა, რომ მოახდინონ მილიონობით ან მილიარდობით მონაცემთა გარიგების გაშიფვრა ერთი ინსულტით.

დაშიფვრის უფრო სიღრმისეული ახსნის მიზნით, რა თქმა უნდა, წაიკითხეთ დაშიფვრის ჩვენი აღწერილობა.

როგორ PFS ინარჩუნებს თქვენს ვებგვერდს უსაფრთხო

ყველაზე აშკარა გზა, რომლითაც სრულყოფილი საიდუმლოება ინახავს თქვენს ვებ – გვერდს არის თქვენი და თქვენი მომხმარებლების დამატებითი უსაფრთხოების უზრუნველყოფა მონაცემთა დარღვევის შემთხვევაში. ყველაზე უარესი, თავდამსხმელს მხოლოდ ერთი მონაცემის გარიგების გაშიფვრა შეეძლება, და მიუხედავად იმისა, რომ ეს შესაძლოა საფრთხეს შეუქმნას, ზიანი დიდად შეიცავს.

გარდა ამისა, სერვერები, რომლებიც იყენებენ სრულყოფილი საიდუმლოების საიდუმლოებას, თავდასხმისთვის ნაკლებად მიმზიდველ მიზნებს წარმოადგენენ. მიუხედავად იმისა, რომ სერვერზე ჯერ კიდევ არის დაცული ინფორმაცია, რომელიც დაცულია ორიგინალური შეტყობინების გასაღებით, ეს არის ყველა, რაც თავდამსხმელს შეეძლება დაეჭიროს ხელში, მნიშვნელოვნად შეზღუდავს შეტევის გადახდას.

რასაკვირველია, ეს არ არის თავდასხმის გარანტია, მაგრამ ეს ნაკლებ შესაძლებლობას იძლევა, რადგან თავდამსხმელები იმის ნაცვლად, რომ აირჩიონ უფრო ჯილდოს მიზნები..

Google იყო პირველი მნიშვნელოვანი პროგრამული კომპანია, რომელიც ახორციელებდა სრულყოფილი საიდუმლო საიდუმლოებას სერვერებზე. ამის გამო, ძალიან სავარაუდოა, რომ მომავალში, Google– მა გამოიყენებს თავის პოზიციას, როგორც დომინანტური საძიებო სისტემა, PFS– ის მიღებას შეუწყობს ხელს საიტების დაჯილდოვებით, რომლებიც მას დასაქმებენ, თავისი ძიების შედეგებში უფრო მაღალი დონის მიხედვით. საქმე HTTP წინააღმდეგ HTTPS.

სრულყოფილი წინ საიდუმლოება და გულითადი

ალბათ, არ არსებობს უკეთესი მაგალითი იმისა, თუ რატომ არის აუცილებელი სრულყოფილი წინ საიდუმლოება, ვიდრე გულწრფელი გულმკერდის გამოყენება. იმის გასაგებად, თუ რატომ არის მნიშვნელოვანი, პირველ რიგში უნდა იცოდეთ რა არის Heartbleed და რატომ იყო ეს ზიანი.

Heartbleed აყენებს შეცდომას, რომელიც 2012 წელს OpenSSL– მა შემოიტანა – TLS (ტრანსპორტის დონის უსაფრთხოება) პროტოკოლის ერთ – ერთი ყველაზე პოპულარული განხორციელება – მაგრამ ეს ვერ იქნა აღმოჩენილი 2014 წლის ორი წლის შემდეგ.. 

SSL / TLS- ის გაგება

თქვენ არ გჭირდებათ ზუსტად იცოდეთ როგორ მუშაობს TLS, მაგრამ მოკლედ, ეს არის უსაფრთხოების პროტოკოლი, რომელიც დაშიფვრავს ტრეფიკს კლიენტსა და სერვერს შორის დაშიფვრის გასაღების გამოყენებით, რომლის HTTPS არის მაგალითი, რომელსაც ალბათ ყველაზე მეტად იცნობთ. 

მიუხედავად იმისა, რომ უპასუხეთ კითხვაზე “როგორ მუშაობს TLS?” ამ სტატიის ფარგლებს გარეთ არის, შეგიძლიათ შეიტყოთ ჩვენი სტატია SSL წინააღმდეგ TLS, რომ მეტი გაიგოთ.

TLS- ხელნაკეთი

შეცდომას ისარგებლებს Heartbeat გაფართოებით TLS– ისთვის, რომელიც შექმნილია TLS კომუნიკაციის შესამოწმებლად payload (ჩვეულებრივ, ცოტა ტექსტის) გაგზავნით, ისევე როგორც რიგით, რომელიც განსაზღვრავს დატვირთვის ზომას. სერვერი შემდეგ პასუხობს გაგზავნის დატვირთვის დაბრუნებას თავდაპირველ გამგზავნთან.

პრობლემა ის იყო, რომ სერვერი ფაქტობრივად არ ამოწმებდა payload შინაარსს, არამედ მხოლოდ მის ზომას განსაზღვრულ რაოდენობას. ამ რიცხვს გამოიყენებს მეხსიერების ბუფერული მონაცემის გარკვეული მონაცემის გადასაღებად, რომელიც მხოლოდ სერვერზე გაგზავნილი დატვირთვის ორიგინალი იყო..

გულისცემა

ამასთან, იმის გამო, რომ თავად დატვირთვა არ იყო შემოწმებული, ამან გახსნა მცირე ზომის დატვირთვის გაგზავნის შესაძლებლობა, ვიდრე ეს მითითებულია იმ ნომერზე, რომელიც წარმოადგენს მისი ზომას. ამის შედეგად სერვერმა დაუბრუნა არა მხოლოდ ორიგინალი დატვირთვა, არამედ მეხსიერების ბუფერში დაცული დამატებითი ინფორმაცია, რათა მიაღწიოს მოთხოვნილ წერილის ზომას.

გულით მოქმედებდა

როგორც მაგალითად, მავნე გულისცემის მესიჯმა შესაძლოა სერვერს მოსთხოვოს დააბრუნოს სიტყვა “ტესტი”, მაგრამ მიუთითეთ, რომ სიგრძე უნდა იყოს 500 სიმბოლო. ეს გამოიწვევს სერვერს დაუბრუნოს მოთხოვნილ სიტყვას “ტესტი”, მაგრამ ასევე 496 დამატებითი სიმბოლო მეხსიერებადან.

მიუხედავად იმისა, რომ თავდამსხმელს არ შეეძლო ზუსტად დაედგინა რომელი ინფორმაციის დაბრუნებას შეძლებდა, არსებობს კარგი შანსი, რომ ამ დამატებით სიმბოლოებს შეიცავდეს მგრძნობიარე ინფორმაცია, მაგალითად, სერვერის პირადი კლავიში.

ამრიგად, Heartbleed- ის ადგილზე შემთხვევის ჩამოსვლისთანავე, ნებისმიერ კიბერდანაშაულს, რომელმაც დახარჯული დრო მოიხადა დაშიფვრულ ტრაფიკზე მოსასმენად, მოულოდნელად შეტევის შესანიშნავი გზა მოდიოდა შეცდომების წინაშე მყოფი ნებისმიერი სერვერის პირადი გასაღების შეძენისთვის.. 

დაშიფვრის ამ კლავიშების გამოყენებით, მათ შეეძლოთ დაშიფვრა ყველა ის მონაცემი, რომელიც ადრე ჰქონდათ შეგროვებული, რის შედეგადაც დიდი რაოდენობით მოხდა კომპრომეტირება.

როგორ ჩართოთ სრულყოფილი საიდუმლოება თქვენს სერვერზე

თქვენს სერვერზე სრულყოფილი საიდუმლოებით მოცულობის ფუნქციის ჩართვა სინამდვილეში არის ძალიან მარტივი პროცესი, რომელიც არ მოითხოვს მნიშვნელოვან ძალისხმევას სისტემის ადმინისტრატორის მხრიდან.. 

პროცესი აშკარად განსხვავდება სერვერის არქიტექტურის მიხედვით, რომელსაც თქვენ იყენებთ, ასე რომ, ჩვენ გამოგვადგებთ, თუ როგორ მოიქცეთ Apache და Nginx, ორი პოპულარული არქიტექტურა.

ზოგადად, ის, რაც თქვენ უნდა გააკეთოთ არის თქვენი სერვერის დაყენება პრიორიტეტად DHE და ECDHE შიფრაციის შიფრებზე, მაგრამ კვლავ უნდა შეინარჩუნოთ RSA მხარდაჭერა, როგორც სარეზერვო საშუალება. ეს იმიტომ ხდება, რომ ძველმა სისტემებმა და ბრაუზერებმა შეიძლება არ დაუჭირონ მხარი PFS, ანუ ისინი ვერ შეძლებენ თქვენს საიტს ჩატვირთვას, თუ დარწმუნდებით, რომ სხვა შიფრირებული პაკეტები ჯერ კიდევ არის ხელმისაწვდომი.

შიფრი-ლუქსი

უფრო კონკრეტული ინსტრუქციისთვის, ჩვენ შევადგინეთ ნაბიჯ ნაბიჯ სახელმძღვანელო, თუ როგორ გავაუმჯობესოთ Apache და Nginx სერვერების სრულყოფილი წინ საიდუმლოება..

როგორ დააკონფიგურიროთ PFS on Apache

  1. დაადგინეთ თქვენი SSL კონფიგურაცია ბრძანებით: “grep-I -r” SSLEngine “/ ა.შ. / apache”
  2. შიფრირების წესის შესრულება აკრეფით: “SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”
  3. დააწკაპუნეთ დაშიფვრის ბრძანება ასე: “ssl_ciphers ‘EEDH + AESGCM: EDH + AESGCM: AES256 + EEZH: AES256 + EDH”; “
  4. დაბოლოს, გადატვირთეთ Apache ბრძანებით: “apachectl -k გადატვირთვა”

როგორ დააკონფიგურიროთ PFS Nginx– ზე

  1. დაადგინეთ თქვენი SSL კონფიგურაცია აკრეფით: “grep -r ssl_protocol nginx ბაზის დირექტორია” (შეცვალეთ “nginx ბაზის დირექტორია” შესაბამისი ბილიკით)
  2. კონფიგურაციის შეცვლა შეცვალეთ: ”ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers; “
  3. დააწკაპუნეთ დაშიფვრის ბრძანება ბრძანების აკრეფით: “ssl_ciphers ‘EEDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH”; “
  4. გადატვირთეთ Nginx შემდეგი ბრძანებით: ”sudo service nginx გადატვირთვა”

დასკვნითი აზრები

ეს არის ყველაფერი, რაც თქვენ უნდა იცოდეთ სრულყოფილი წინ საიდუმლოების შესახებ. მიუხედავად იმისა, რომ მომხმარებლებისთვის ბევრი რამ არ შეიძლება გაკეთდეს მისი გამოყენების წახალისების მიზნით, მნიშვნელოვანია იცოდეთ, რომ დაშიფრული მონაცემებიც კი, რომლებიც უსაფრთხო კავშირზე გადადიან, პოტენციურად დაუცველია მომავალი შეტევისთვის.

სრულყოფილი საიდუმლოების განხორციელების ამოცანა ემსახურება სერვერის ოპერატორებსა და სისტემის ადმინისტრატორებს და ამ სახელმძღვანელოს მიზანია მისი მიღების წახალისება, რაც გამოიწვევს უფრო უსაფრთხო ინტერნეტს ვებ – გვერდებისა და მომხმარებლებისთვის.. 

მომხმარებლებისთვის, რომლებიც განსაკუთრებით შეშფოთებულნი არიან თუ არა მათი საყვარელი ვებსაიტები, იყენებენ PFS ტრანსპორტირებას მათი მონაცემების დასადგენად, Qualys SSL Labs ტესტი საშუალებას გაძლევთ შეამოწმოთ ეს მხოლოდ ის. თუ ბევრი თქვენი საყვარელი ვებ – გვერდი არ არის საჭირო, დაიცვან საკუთარი თავი, ვირტუალური კერძო ქსელის ჩამოტვირთვის საშუალებაა, დაემატოს დაშიფვრის დამატებითი დონე თქვენს ტრაფიკზე.

თქვენ შეგიძლიათ ნახოთ ჩვენი საუკეთესო VPN პროვაიდერების სია, რომლებიც მოგაწვდით დაცვის დამატებით ფენას, ან თუ გსურთ გამოტოვოთ ჩვენი ზედა არჩევანი, შეამოწმეთ ჩვენი ExpressVPN მიმოხილვა.

როგორ ფიქრობთ, რას გვიხსნის სრულყოფილი საიდუმლოების საიდუმლოება? დაინახა თუ არა ეს რაიმე ახალი შუქი იმ ტექნიკური ფრაზის შესახებ, რომელიც ბოლო წლების განმავლობაში, ალბათ, უფრო ხშირად გამოჩნდი, ან ისევ ისეთი დაბნეული ხარ, როგორიც იყო, როდესაც კითხვის დაწყების შემდეგ? შეგვატყობინეთ ქვემოთ მოცემულ კომენტარებში. როგორც ყოველთვის, მადლობას გიხდით წაკითხვისთვის.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map