Какво е перфектна тайна за напред? Ръководство за 2023 г.

Киберсигурността е непрекъснато развиваща се област, като новите заплахи, вратички и експлоатации непрекъснато се откриват и се справят с. 

Тази течаща битка срещу киберпрестъпниците представлява изключително предизвикателство за експертите по сигурността, тъй като утрешният подвиг може да компрометира днешния трафик, проблем, който е създадена „перфектна тайна за напред“. И така, какво е перфектна тайна за напред? Продължете да четете тази статия, за да разберете.

Какво е перфектна тайна за напред (PFS)?

И така, какво е PFS? Накратко акронимът на PFS означава „перфектна секретна информация за напред“, което е сравнително скорошна функция за сигурност за уебсайтове. Той има за цел да предотврати бъдещи експлоатации и нарушения на сигурността от компрометиране на текуща или минала комуникация, информация или данни чрез изолиране на криптирането на всяка транзакция.

Традиционно криптираните данни ще бъдат защитени от един частен ключ за криптиране, държан от сървъра, който той може да използва за декриптиране на цялата историческа комуникация със сървъра чрез публичен ключ. Това представлява потенциален риск за сигурността, тъй като нападателят може да прекарва седмици, месеци или години в слушане на криптиран трафик, съхранявайки данните и предлагайки времето си.

Wireshark

Имайки предвид всички тези данни, всичко, което нападателят трябва да направи, е да изчака какъвто и да е потенциален експлоатационен период в бъдеще, който би им позволил да получат ръцете си на личния ключ на сървъра, който след това може да се използва за декриптиране на всички данни, над които са били събирани. път.

Как перфектната секретност на проблема решава проблема

Перфектната секретност за напред решава този проблем, като премахва надеждността на един частен сървър ключ. Вместо да използва един и същ ключ за криптиране за всяка отделна транзакция, нов, уникален сесиен ключ се генерира всеки път, когато се появи нова транзакция с данни. 

Всъщност това означава, че дори ако един атакуващ успее да се добере до ключ на сесията, той ще бъде полезен само за дешифриране на последната транзакция, а не за всички данни, които може да са събрали в миналото.

Вместо стандартната RSA размяна на ключове, тези сесионни ключове се генерират с помощта на Diffie-Hellman криптиране, или още по-добре, криптиране на Diffie-Hellman с елиптична крива. Ключовете за криптиране са ефемерни, което означава, че те не се съхраняват никъде и не могат да бъдат използвани повторно за по-късна транзакция.

Diffie-Hellman

По същия начин личният ключ на сървъра ще бъде напълно безполезен за атакуващия, тъй като не може да се използва за декриптиране на всеки от трафика между сървъра и клиентите.

Въпреки че този метод на атака може да изисква повече търпение и ресурси, отколкото един киберпрестъпник има достъп, същото не може да се каже за разузнавателните организации. 

Предприятия като Агенцията за национална сигурност лесно имат капацитет да слушат в много криптирани връзки, дори стигайки дотам, че да докосват гигантските подводни кабели, които свързват сървъри на континенти.

Този масивен капацитет за събиране на данни – съчетан с институционалното търпение на организация като NSA – означава, че те имат малки проблеми при събирането и съхраняването на огромно количество криптирани данни.

В случай, че бъдещите експлоатации или вратички се представят – позволявайки им да се докопат до необходимия частен ключ – те могат да използват този ключ за криптиране, за да декриптират потенциално милиони или милиарди транзакции с данни с един ход.

За по-задълбочено обяснение на криптирането, като цяло, не забравяйте да прочетете нашето описание на криптирането.

Как PFS поддържа Вашия уебсайт безопасен

Най-очевидният начин, по който перфектната секретна информация да запазва уебсайта ви в безопасност, е като предоставите на вас и вашите потребители допълнителна сигурност в случай на нарушение на данните. В най-лошия случай един нападател ще може да дешифрира само една транзакция с данни и въпреки че това все още може да представлява риск, щетите се съдържат в голяма степен.

Освен това сървърите, използващи перфектна предна секретност, представляват по-малко привлекателни цели за нападателите. Въпреки че все още има информация, съхранявана на сървъра, който е защитен с оригиналния частен ключ, това е всичко, което нападателят ще може да получи ръцете си, което значително ограничава изплащането на атаката.

Разбира се, това не е гаранция срещу атака, но това прави една по-малко вероятна, тъй като нападателите могат да изберат по-възнаграждаващи цели вместо това.

Google беше една от първите големи софтуерни компании, които внедриха перфектна тайна за напред на своите сървъри. Поради това е много вероятно в определен момент в бъдеще Google да използва позицията си на доминираща търсачка, за да насърчи приемането на PFS, като възнаграждава сайтове, които я използват, като ги класира по-високо в резултатите от търсенето, както беше случай с HTTP срещу HTTPS.

Перфектна тайна за напред и сърце

Вероятно няма по-добър пример защо перфектната секретност за напред е от съществено значение от скандалната експлоатация на Heartbleed. За да разберем защо, важно е първо да знаем какво представлява Heartbleed и защо е толкова вредно.

Heartbleed използва грешка, въведена през 2012 г. в OpenSSL – една от най-популярните реализации на протокола TLS (транспортно ниво на сигурност) – но това не беше открито едва две години по-късно през 2014 г.. 

Разбиране на SSL / TLS

Не е необходимо да знаете как точно работи TLS, но накратко, това е протокол за сигурност, който криптира трафика между клиент и сървър чрез частен ключ за криптиране, като HTTPS е примерът, който вероятно сте най-запознати. 

Въпреки че отговаряте на въпроса „как работи TLS?“ е извън обхвата на тази статия, можете да разгледате нашата статия за SSL срещу TLS, за да научите повече.

TLS-Ръкостискане

Грешката се възползва от разширението Heartbeat за TLS, което е предназначено за тестване на TLS комуникация чрез изпращане на полезен товар (обикновено малко текст), както и номер, определящ размера на полезния товар. След това сървърът отговаря, като изпраща полезния товар обратно към оригиналния подател.

Проблемът беше, че сървърът всъщност не проверява съдържанието на полезния товар, а просто числото, определящо неговия размер. Той ще използва този номер за извличане на определено количество данни от буфера на паметта, който трябваше да бъде просто оригиналният полезен товар, изпратен на сървъра.

Heartbleed

Тъй като самият полезен товар не е проверен, това отвори възможността за изпращане на по-малък полезен товар от определения в номера, представляващ неговия размер. Това доведе до връщане на сървъра не само от първоначалния полезен товар, но и допълнителна информация, съхранявана в буфера на паметта, за да достигне искания размер на съобщението.

Сърцебиене в действие

Например, злонамереното съобщение за сърдечен ритъм може да поиска от сървъра да върне думата „тест“, но да уточни, че дължината трябва да бъде 500 знака. Това ще накара сървъра да върне исканата дума „тест“, но и 496 допълнителни знака от паметта.

Въпреки че нападателят няма да може да определи точно каква информация ще получи обратно, има голям шанс тези допълнителни знаци да съдържат чувствителна информация, като частния ключ на сървъра.

По този начин, след като Heartbleed пристигна на сцената, всеки киберпрестъпник, прекарал продължително време в слушане на криптиран трафик, изведнъж имаше перфектен път за атака за придобиване на частния ключ на всеки сървър, изложен на бъг. 

Използвайки тези ключове за криптиране, те биха могли да декриптират всички данни, които преди това са събрали, което доведе до огромно количество компрометирана информация.

Как да активирате перфектна секретна информация на вашия сървър

Активирането на перфектната функция за секретност напред на вашия сървър всъщност е много лесен процес, който не изисква значителни усилия от страна на системния администратор. 

Процесът очевидно варира в зависимост от архитектурата на сървъра, която използвате, така че ще ви преведем как да направите това с Apache и Nginx, две популярни архитектури.

Като цяло, това, което трябва да направите, е да настроите вашия сървър да дава приоритет на DHE и ECDHE шифровите пакети, но все пак трябва да запазите поддръжката на RSA като резервно копие. Това е така, защото по-старите системи и браузъри може да не поддържат PFS, което означава, че те няма да могат да заредят вашия сайт, освен ако не сте сигурни, че други пакети от шифри все още са налични.

Cipher-Suites

За по-конкретни инструкции сме съставили стъпка по стъпка ръководство за това как да активирате перфектна секретна информация на Apache и Nginx сървърите.

Как да конфигурирате PFS на Apache

  1. Намерете вашата SSL конфигурация с командата: “grep -I -r” SSLEngine “/ etc / apache”
  2. Засилете шифровия ред, като напишете: „SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on“
  3. Задайте реда на шифъра по следния начин: „ssl_ciphers“ EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH “;“
  4. И накрая, рестартирайте Apache с командата: „apachectl -k рестартиране“

Как да конфигурирате PFS на Nginx

  1. Намерете вашата SSL конфигурация, като напишете: „grep -r ssl_protocol nginx базова директория“ (заменете „nginx базова директория“ със съответния път)
  2. Променете конфигурацията, като въведете: „ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers; “
  3. Задайте реда на шифъра, като напишете командата: „ssl_ciphers“ EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH “;“
  4. Рестартирайте Nginx със следната команда: „sudo service nginx restart“

Заключителни мисли

Ето всичко, което трябва да знаете за перфектна тайна за напред. Въпреки че потребителите не могат да направят много, за да насърчат използването му, важно е да знаем, че дори криптирани данни, пътуващи през защитена връзка, са потенциално уязвими за бъдеща атака.

Целта на прилагането на перфектна предна секретност е на операторите на сървъри и системните администратори, а целта на това ръководство е да насърчи неговото приемане, което би довело до по-сигурен интернет за уебсайтове и потребители.. 

За потребители, които са особено загрижени дали любимите им уебсайтове използват PFS транспорт, за да защитят своите данни, тестът на Qualys SSL Labs ви позволява да проверите точно това. Ако много от любимите ви уебсайтове не са за задушаване, най-добрият начин да се защитите е свалянето на ръце от виртуална частна мрежа, за да добавите допълнително ниво на криптиране към вашия трафик.

Можете да разгледате нашия списък с най-добрите доставчици на VPN, които ще ви осигурят този допълнителен слой защита, или ако искате да прескочите право към нашия най-добър избор, разгледайте нашия преглед ExpressVPN.

Какво мислите за нашето обяснение за перфектна тайна за напред? Хвърли ли нова светлина върху техническа фраза, която може би сте виждали да се появява по-често през последните години, или все още сте толкова объркани, колкото сте били, когато сте започнали да четете? Уведомете ни в коментарите по-долу. Както винаги, благодаря ви за четенето.