Mikä on täydellinen eteenpäin salaisuus? Opas vuodelle 2020

Kyberturvallisuus on jatkuvasti kehittyvä ala, jolla on jatkuvasti löydettyjä ja käsiteltäviä uusia uhkia, porsaanreikiä ja hyväksikäyttöä.. 


Tämä käynnissä oleva taistelu verkkorikollisia vastaan ​​on poikkeuksellinen haaste turvallisuusasiantuntijoille, koska huomisen hyväksikäyttö voi vaarantaa tämän päivän liikenteen, ongelman, jonka estämiseksi keksittiin ”täydellinen eteenpäin salaisuus”. Joten mikä on täydellinen eteenpäin salaisuus? Jatka tämän artikkelin selvittämistä.

Mikä on täydellinen tulevaisuuden salaisuus (PFS)?

Joten mikä on PFS? Lyhyesti sanottuna, PFS-lyhenne tarkoittaa ”täydellistä eteenpäin suuntautuvaa salaisuutta”, joka on verrattain uusi verkkosivustojen turvaominaisuus. Sen tarkoituksena on estää tulevat hyväksikäytöt ja tietoturvaloukkaukset vaarantamasta nykyistä tai aiempaa viestintää, tietoja tai tietoja eristämällä kunkin tapahtuman salaus.

Perinteisesti salatut tiedot suojataan palvelimen hallussa olevalla yhdellä yksityisellä salausavaimella, jota se voisi käyttää salaamaan kaiken historiallisen viestinnän palvelimen kanssa julkista avainta käyttämällä. Tämä aiheuttaa mahdollisen tietoturvariskin linjalla, sillä hyökkääjä voi viettää viikkoja, kuukausia tai vuosia kuuntelemalla salattua liikennettä, tallentamalla tietoja ja sitomalla aikansa.

Wireshark

Kaikkien näiden tietojen ollessa kädessä, kaikki hyökkääjät tarvitsevat odottaa mahdollisia tulevaisuuden tietoturvahyökkäyksiä, joiden avulla he voivat saada käsiinsä palvelimen yksityisen avaimen, jota voidaan sitten käyttää salaamaan kaikki tiedot, jotka he ovat keränneet. aika.

Kuinka täydellinen eteenpäin suuntautuva salaisuus ratkaisee ongelman

Täydellinen eteenpäin suuntautuva salaisuus ratkaisee tämän ongelman poistamalla luottamus yksittäisen palvelimen yksityiseen avaimeen. Sen sijaan, että käytettäisiin samaa salausavainta jokaisessa tapahtumassa, luodaan uusi, ainutlaatuinen istuntoavain joka kerta, kun tapahtuu uusi datatapahtuma. 

Itse asiassa tämä tarkoittaa, että vaikka hyökkääjä onnistuisi saamaan käsiinsä istuntoavaimen, siitä on hyötyä vain viimeisimmän tapahtuman salauksen purkamiseksi sen sijaan, että kaikki aiemmin mahdollisesti keräämänsä tiedot purkautuisivat..

Tavallisen RSA-avainvaihdon sijasta nämä istuntoavaimet luodaan joko Diffie-Hellman-salaus tai vielä paremmin, ellipttikäyrän Diffie-Hellman-salaus. Salausavaimet ovat lyhytaikaisia, eli niitä ei tallenneta mihinkään eikä niitä voida käyttää uudelleen myöhempää tapahtumaa varten.

Diffie-Hellman

Samoin palvelimen yksityinen avain on täysin hyödytön hyökkääjälle, koska sitä ei voida käyttää palvelimen ja asiakkaiden välisen liikenteen salauksen purkamiseen..

Vaikka tämä hyökkäysmenetelmä saattaa vaatia enemmän kärsivällisyyttä ja resursseja kuin yhdellä verkkorikollisuudella on käytössään, samaa ei voida sanoa tiedustelupalvelun organisaatioille.. 

Kansallisen turvallisuusviraston kaltaisilla yhteisöillä on helposti kyky kuunnella monia salattuja yhteyksiä, jopa mennä niin pitkälle, että napautetaan jättiläisiä vedenalaisia ​​kaapeleita, jotka yhdistävät palvelimia mantereiden välillä.

Tämä valtava tiedonkeruukyky yhdistettynä NSA: n kaltaisen organisaation institutionaaliseen kärsivällisyyteen tarkoittaa, että heillä on pieniä vaikeuksia kerätä ja tallentaa valtavia määriä salattuja tietoja..

Jos jokin tulevaisuuden hyväksikäyttö tai porsaanreikä esittelee itsensä – antaa heille mahdollisuuden saada käsiinsä tarvittava yksityinen avain -, he voivat sitten käyttää tätä salausavainta salaamaan potentiaalisesti miljoonia tai miljardeja tietotapahtumia yhdellä iskulla..

Jos haluat tarkempia selityksiä salauksesta, lue yleensä salauksen kuvaus.

Kuinka PFS pitää verkkosivustosi turvassa

Ilmeisin tapa, jolla täydellinen eteenpäin suuntautuva salaisuus pitää verkkosivustosi turvassa, on tarjota sinulle ja käyttäjillesi lisäsuojaus tietoturvaloukkausten varalta. Pahimmassa tapauksessa hyökkääjä pystyy purkamaan vain yhden tietotapahtuman, ja vaikka tämä saattaa silti aiheuttaa riskin, vahingot ovat suuresti rajoitettu.

Lisäksi palvelimet, jotka käyttävät täydellistä eteenpäin salaisuutta, tarjoavat hyökkääjille vähemmän houkuttelevia kohteita. Vaikka palvelimelle on edelleen tallennettu tietoja, jotka ovat suojattu alkuperäisellä yksityisellä avaimella, tämä on kaikki hyökkääjät voivat saada käsiinsä, mikä rajoittaa huomattavasti hyökkäyksen maksamista..

Tämä ei tietenkään takaa hyökkäystä, mutta se tekee siitä vähemmän todennäköisen, koska hyökkääjät saattavat valita palkitsevamman kohteen sen sijaan.

Google oli yksi ensimmäisistä suurimmista ohjelmistoyrityksistä, joka otti käyttöön täydellisen salassapitovelvollisuuden palvelimillaan. Tämän vuoksi on erittäin todennäköistä, että Google käyttää jossain vaiheessa tulevaisuuden asemaansa hallitsevana hakukoneena rohkaistakseen PFS: n käyttöönottoa palkitsemalla sitä käyttävät sivustot sijoittamalla ne korkeammalle hakutuloksissaan, kuten oli tapaus HTTP vs. HTTPS.

Täydellinen eteenpäin salaisuus ja sydämen syke

Ei ehkä ole parempaa esimerkkiä sille, miksi täydellinen eteenpäin salaisuus on välttämätöntä kuin surullisen Heartbleedin hyväksikäyttö. Ymmärtääksesi miksi, on tärkeää ensin tietää, mikä Heartbleed on ja miksi se oli niin vahingollista.

Heartbleed hyödyntää OpenSSL: lle vuonna 2012 käyttöön otettua virhettä – yksi suosituimmista TLS (liikenneturvallisuus) -protokollan toteutuksista – mutta se löydettiin vasta kaksi vuotta myöhemmin vuonna 2014. 

SSL / TLS: n ymmärtäminen

Sinun ei tarvitse tietää tarkalleen kuinka TLS toimii, mutta lyhyesti sanottuna se on tietoturvaprotokolla, joka salaa asiakkaan ja palvelimen välisen liikenteen yksityisellä salausavaimella. HTTPS on esimerkki, jonka todennäköisesti tunnet parhaiten.. 

Vaikka vastataan kysymykseen “miten TLS toimii?” ei kuulu tämän artikkelin soveltamisalaan, saat lisätietoja tutustumalla artikkeliin SSL vs. TLS.

TLS-kättely

Virhe hyödyntää TLS: n Heartbeat-laajennusta, joka on suunniteltu testaamaan TLS-viestintää lähettämällä hyötykuorma (yleensä vähän tekstiä) sekä numero, joka määrittää hyötykuorman koon. Palvelin vastaa sitten lähettämällä hyötykuorma takaisin alkuperäiselle lähettäjälle.

Ongelmana oli, että palvelin ei itse tarkista hyötykuorman sisältöä, vaan vain sen koon määrittävän numeron. Se käyttäisi tätä numeroa tietyn määrän tietojen hakemiseen muistipuskurista, jonka oli tarkoitus olla vain alkuperäinen palvelimelle lähetetty hyötykuorma..

heartbleed-haavoittuvuus

Koska itse hyötykuormaa ei kuitenkaan tarkistettu, tämä avasi mahdollisuuden lähettää pienempää hyötykuormaa kuin mitä sen kokoa vastaavassa numerossa määritettiin. Tämä johti siihen, että palvelin palautti alkuperäisen hyötykuorman lisäksi myös muistipuskuriin tallennetut lisätiedot pyydetyn viestin koon saavuttamiseksi..

Sydänsydän toiminnassa

Esimerkiksi haitalliset Heartbeat-viestit saattavat pyytää palvelinta palauttamaan sanan “test”, mutta täsmentävät, että pituuden on oltava 500 merkkiä. Tämä johtaisi palvelimen palauttamaan pyydetyn sanan “testi”, mutta myös 496 lisämerkkiä muistista.

Vaikka hyökkääjällä ei olisi keinoa määritellä tarkalleen, mitä tietoja he saavat takaisin, on suuri mahdollisuus, että nämä lisämerkit sisältävät arkaluontoisia tietoja, kuten palvelimen yksityinen avain.

Niinpä kun Heartbleed saapui tapahtumapaikalle, kaikilla verkkorikollisilla, jotka olivat viettäneet kaiken aikaa salaisen liikenteen kuunteluun, oli yhtäkkiä täydellinen hyökkäystapa hankkiakseen virheen joutuneiden palvelimien yksityisen avaimen.. 

Näitä salausavaimia käyttämällä he pystyivät salaamaan kaikki aiemmin keräämänsä tiedot, mikä johti valtavaan määrään vaarantuneita tietoja.

Kuinka ottaa täydellinen eteenpäin salaisuus palvelimellesi

Täydellisen eteenpäin suuntautuvan salassapitoominaisuuden käyttöönotto palvelimellasi on itse asiassa erittäin suoraviivainen prosessi, joka ei vaadi järjestelmänvalvojalta huomattavaa vaivaa. 

Prosessi vaihtelee tietysti käyttämäsi palvelinarkkitehtuurin mukaan, joten opastamme sinut, kuinka tämä tehdään kahden suositun Apache- ja Nginx-arkkitehtuurin kanssa..

Yleensä sinun on määritettävä palvelimesi priorisoimaan DHE- ja ECDHE-salausohjelmat, mutta sinun tulisi silti säilyttää RSA-tuki varmuuskopiona. Tämä johtuu siitä, että vanhemmat järjestelmät ja selaimet eivät ehkä tue PFS: ää, mikä tarkoittaa, että he eivät voi ladata sivustoasi, ellet varmista, että muut salausohjelmat ovat edelleen käytettävissä.

Cipher-Suites

Tarkempia ohjeita varten olemme laatineet vaiheittaiset ohjeet täydellisen eteenpäin suuntautuvan salauksen mahdollistamiseksi Apache- ja Nginx-palvelimilla..

PFS: n määrittäminen Apachessa

  1. Etsi SSL-kokoonpano komennolla: “grep -I -r“ SSLEngine ”/ etc / apache”
  2. Suorita salausjärjestys kirjoittamalla: ”SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder käytössä”
  3. Aseta salausjärjestys seuraavasti: “ssl_ciphers” EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ”;”
  4. Käynnistä lopuksi Apache uudelleen komennolla: “apachectl -k restart”

Kuinka määrittää PFS Nginxiin

  1. Etsi SSL-kokoonpano kirjoittamalla: “grep -r ssl_protocol nginx base hakemisto” (korvata “nginx base hakemisto” asianmukaisella polulla)
  2. Muuta kokoonpanoa kirjoittamalla: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers on; ”
  3. Aseta salausjärjestys kirjoittamalla komento: “ssl_ciphers” EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ”;”
  4. Käynnistä Nginx uudelleen seuraavalla komennolla: “sudo service nginx restart”

Lopulliset ajatukset

Siellä se on, kaikki mitä sinun tarvitsee tietää täydellisestä eteenpäin salaisuudesta. Vaikka kuluttajat eivät voi tehdä paljon sen käytön edistämiseksi, on tärkeää tietää, että jopa suojatun yhteyden kautta kulkevat salatut tiedot ovat mahdollisesti alttiita tulevalle hyökkäykselle..

Vastuu täydellisen eteenpäin salaisuuden toteuttamisesta on palvelinoperaattoreilla ja järjestelmänvalvojilla, ja tämän oppaan tarkoituksena on rohkaista sen käyttöönottoa, mikä johtaisi entistä turvallisempaan Internetiin verkkosivustoille ja käyttäjille. 

Niille käyttäjille, jotka ovat erityisen huolissaan siitä, käyttävätkö heidän suosikkiverkkosivunsa tietonsa suojaamiseen PFS-kuljetusta, Qualys SSL Labs -testi antaa sinun tarkistaa juuri tämän. Jos monet suosikkiverkkosivustosi eivät kykene nuuskimaan, paras tapa suojella itseäsi on ladata virtuaalinen yksityinen verkko ladataksesi ylimääräisen salausasteen liikenteeseesi..

Voit tutustua luetteloomme parhaista VPN-palveluntarjoajista, jotka antavat sinulle tämän ylimääräisen suojauskerroksen, tai jos haluat ohittaa parhaan valintamme, tutustu ExpressVPN-arvosteluun.

Mitä mieltä olet selityksestämme täydellisestä eteenpäin salaisuudesta? Valottiiko se uutta valoa tekniseen lauseeseen, jonka olet ehkä nähnyt esiintyvän useammin viime vuosina, vai oletko edelleen hämmentynyt kuin olit lukeessasi? Kerro meille alla olevissa kommenteissa. Kuten aina, kiitos lukemisesta.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map