Ո՞րն է կատարյալ գաղտնիության գաղտնիքը: Ուղեցույց 2020 թ

Կիբերանվտանգությունը անընդհատ զարգացող ոլորտ է `նոր սպառնալիքներով, բացթողումներով ու շահագործումներով, որոնք շարունակաբար հայտնաբերվում և լուծվում են. 


Կիբերհանցագործների դեմ ընթացող այս պայքարը բացառիկ մարտահրավեր է անվտանգության անվտանգության մասնագետների համար, քանի որ վաղվա շահագործումը կարող է փոխզիջում բերել այսօրվա երթևեկությանը, խնդիր է, որը ստեղծվել է «կատարյալ գաղտնիության գաղտնիք» `կանխելու համար: Այսպիսով, ո՞րն է կատարյալ առաջի գաղտնիքը: Շարունակեք կարդալ այս հոդվածը `պարզելու համար.

Ո՞րն է կատարյալ գաղտնիության գաղտնիք (PFS)?

Այսպիսով, ինչ է PFS- ը: Մի խոսքով, PFS- ի հապավումը կոչվում է «կատարյալ գաղտնիության գաղտնիք», որը համեմատաբար վերջերս կայքերի անվտանգության առանձնահատկությունն է: Այն նպատակ ունի կանխել ապագա շահագործումները և անվտանգության խախտումները ՝ կխորտակելով ընթացիկ կամ անցյալ հաղորդակցությունը, տեղեկատվությունը կամ տվյալները ՝ մեկուսացնելով յուրաքանչյուր գործարքի գաղտնագրումը.

Ավանդաբար, գաղտնագրված տվյալները պաշտպանված կլինեն սերվերի կողմից պահվող մեկ մասնավոր գաղտնագրման ստեղնով, որը այն կարող էր օգտագործել հանրային բանալին օգտագործելու համար սերվերի հետ բոլոր պատմական հաղորդակցությունը գաղտնազերծելու համար: Սա վտանգի տակ է դնում անվտանգության հավանական ռիսկը, քանի որ հարձակվողը կարող է շաբաթներ, ամիսներ կամ տարիներ անցկացնել գաղտնագրված երթևեկությունը լսելու, տվյալների պահպանում և նրանց ժամանակը արգելակելու համար:.

Wireshark

Այս բոլոր տվյալներով `բոլոր հարձակվողները պետք է անեն` սպասելով անվտանգության հետագա հնարավոր շահագործումներին, ինչը թույլ կտա նրանց ձեռքերը ձեռք բերել սերվերի անձնական բանալին, որն այնուհետև կարող է օգտագործվել `հավաքագրելու համար ձեռք բերված բոլոր տվյալները ժամանակ.

Որքանո՞վ է կատարյալ գաղտնիությունը լուծում խնդիրը

Հիանալի գաղտնիության գաղտնիությունը լուծում է այս խնդիրը `հեռացնելով մեկ սերվերի անձնական բանալու վրա ապավինումը: Յուրաքանչյուր գործարքի համար նույն կոդագրման բանալին օգտագործելու փոխարեն `նոր, եզակի նստաշրջանի բանալին ստեղծվում է ամեն անգամ, երբ նոր տվյալների նոր գործարք է տեղի ունենում:. 

Ըստ էության, սա նշանակում է, որ նույնիսկ եթե հարձակվողին հաջողվի ձեռք բերել նստաշրջանի բանալին, դա օգտակար կլինի միայն վերջին գործարքը գաղտնազերծելու համար, քան բոլոր այն տվյալները, որոնք նրանք նախկինում կարող էին հավաքել:.

RSA ստեղնաշարի ստանդարտ փոխանակման փոխարեն, այս նստաշրջանի ստեղները ստեղծվում են ՝ օգտագործելով կամ Diffie-Hellman կոդավորումը կամ էլ ավելի լավը ՝ էլիպսաձև կորի Diffie-Hellman կոդավորումը: Գաղտնագրման ստեղները փչացնում են, այսինքն ՝ դրանք ոչ մի տեղ չեն պահվում և չեն կարող օգտագործվել հետագայում գործարքի համար.

Դիֆի-Հելլման

Նմանապես, սերվերի անձնական բանալին հարձակվողի համար լիովին անօգուտ կլինի, քանի որ այն չի կարող օգտագործվել սերվերի և հաճախորդների միջև ցանկացած երթևեկի գաղտնագրման համար:.

Թեև հարձակման այս եղանակը կարող է ավելի շատ համբերություն և ռեսուրսներ պահանջել, քան մեկ կիբերհանցագործություն ունի, նույնը չի կարելի ասել հետախուզական կազմակերպությունների համար. 

Ազգային անվտանգության գործակալության նման սուբյեկտները հեշտությամբ ունակ են ունկնդրելու շատ գաղտնագրված կապեր, անգամ գնալով այնքանով, որքանով թակել են հսկա ստորջրյա մալուխները, որոնք սերվերները կապում են մայրցամաքներում:.

Տվյալներ հավաքելու այս զանգվածային հնարավորությունը, որը զուգորդվում է NSA- ի նման կազմակերպության ինստիտուցիոնալ համբերատարության հետ, նշանակում է, որ նրանք մեծ դժվարություն ունեն կոդավորված տվյալների հսկայական քանակի հավաքման և պահպանման համար:.

Այն դեպքում, երբ ինչ-որ ապագա շահագործում կամ սողանցք ներկայացվի իրեն `թույլ տալով նրանց ձեռք բերել ձեռքի վրա պահանջվող մասնավոր բանալին, ապա նրանք կարող են օգտագործել գաղտնագրման այս բանալին` հնարավոր հարվածներով միլիոնավոր կամ միլիարդավոր տվյալների գործարքներ վերծանելու համար:.

Ընդհանրապես, գաղտնագրման ավելի խորքային բացատրության համար, անպայման, կարդացեք կոդագրման մեր նկարագիրը.

Ինչպե՞ս PFS- ն ապահով պահի ձեր կայքը

Ձեր վեբ կայքից անվտանգ գաղտնի պահելու ամենա ակնհայտ ձևը ձեզ և ձեր օգտագործողներին տվյալների անվտանգության խախտման դեպքում լրացուցիչ անվտանգություն ապահովելն է: Վատագույն դեպքում, հարձակվողը կկարողանա վերծանել միայն տվյալների փոխանցման մեկ գործարք, և չնայած դա դեռ կարող է ռիսկ ներկայացնել, վնասը մեծապես պարունակում է.

Ավելին, սերվերները, որոնք օգտվում են կատարյալ գաղտնի գաղտնիքներից, հարձակվողների համար ավելի քիչ գրավիչ թիրախներ են ներկայացնում: Թեև սերվերում դեռևս կան պահվող տեղեկություններ, որոնք պաշտպանված են բնօրինակ անձնական ստեղնով, այս ամենն այն է, որ հարձակվողը կկարողանա ձեռքերը ձեռք բերել ՝ էապես սահմանափակելով հարձակման մարումը:.

Իհարկե, դա երաշխիք չէ հարձակման դեմ, բայց դա ավելի քիչ հավանական է դարձնում, քանի որ հարձակվողները կարող են փոխարենը ընտրել ավելի պարգևատրող թիրախներ.

Google- ը առաջին խոշոր ծրագրային ընկերություններից էր, որն իրականացրեց կատարյալ գաղտնի գաղտնիք իր սերվերներում: Դրա պատճառով շատ հավանական է, որ ապագայում ինչ-որ պահի Google- ը օգտագործի իր դիրքը որպես գերակշռող որոնիչ `PFS- ի ընդունումը խրախուսելու համար` վարձատրելով այն կայքերին, որոնք այն կիրառում են `նրանց որոնման արդյունքներում ավելի բարձր դասելով: գործ HTTP- ի և HTTPS- ի հետ.

Կատարյալ առաջ գաղտնիք և սրտաբաց

Գուցե չկա ավելի լավ օրինակ, թե ինչու է կատարյալ գաղտնի գաղտնազերծումն էական, քան տխրահռչակ սրտաբաց շահագործումը: Հասկանալու համար, ինչու է կարևոր, նախևառաջ իմանալ, թե ինչն է սրտամկանը և ինչու է այն այդքան վնասակար.

Heartbleed- ը շահագործում է 2012-ին OpenSSL- ին ներկայացրած վրիպակը `TLS (տրանսպորտային մակարդակի անվտանգություն) արձանագրության ամենատարածված իրագործումներից մեկը, բայց դա չի հայտնաբերվել մինչև երկու տարի անց ՝ 2014 թ.. 

Հասկանալով SSL / TLS

Անհրաժեշտ չէ ճշգրիտ իմանալ, թե ինչպես է աշխատում TLS- ը, բայց, մի խոսքով, դա անվտանգության արձանագրություն է, որը գաղտնագրում է հաճախորդի և սերվերի միջև երթևեկը գաղտնագրող բանալին օգտագործելու միջոցով, ընդ որում HTTPS- ը այն օրինակն է, որին դուք հավանաբար առավելագույնս ծանոթ եք. 

Չնայած պատասխանելով այն հարցին, թե «ինչպես է աշխատում TLS»: ավելին է, քան սույն հոդվածի շրջանակներում, դուք կարող եք ստուգել մեր հոդվածը SSL ընդդեմ TLS ՝ ավելին իմանալու համար.

TLS- ձեռքսեղմում

Սխալը օգտվում է TLS- ի համար Heartbeat- ի երկարացումից, որը նախատեսված է TLS հաղորդակցությունը փորձարկելու համար `ուղարկելով payload (սովորաբար մի փոքր տեքստ), ինչպես նաև մի շարք, որոնք նշում են ծանրաբեռնվածության չափը: Այնուհետև սերվերը պատասխանում է ՝ բեռի բեռը հետ ուղարկելով բնօրինակ ուղարկողին.

Խնդիրն այն էր, որ սերվերը իրականում չի ստուգի բեռի պարունակությունը, այլ պարզապես դրա չափը նշող համարը: Այս համարը կօգտագործի որոշակի քանակությամբ տվյալների հիշողությունից բուֆեր ստանալու համար, որը նախատեսված էր պարզապես սերվերին ուղարկված բեռի բեռի վրա:.

Սրտամկանը

Այնուամենայնիվ, քանի որ բեռի բեռը ինքնին չի ստուգվել, սա հնարավորություն է տվել ավելի փոքր բեռ ուղարկելու հնարավորություն, քան նշված է իր չափը ներկայացնող համարով: Սա հանգեցրեց, որ սերվերը վերադարձրեց ոչ միայն բեռի բուն բեռը, այլև հիշողության բուֆերներում պահվող լրացուցիչ տեղեկությունները `հասնելու պահանջվող հաղորդագրության չափին.

Գործով սրտացավ

Որպես օրինակ, Սրտի վնասակար հաղորդագրությունը կարող է սերվերին պահանջել վերադարձնել «թեստ» բառը, բայց նշել, որ երկարությունը պետք է լինի 500 նիշ: Սա կհանգեցնի, որ սերվերը վերադարձնի պահանջվող «թեստ» բառը, բայց նաև 496 լրացուցիչ նիշ հիշողությունից.

Չնայած հարձակվողը չի կարողանա հստակ որոշել, թե որ տեղեկատվությունը հետ կվերադառնա, լավ հնարավորություն կա, որ այս լրացուցիչ նիշերը պարունակեն զգայուն տեղեկություններ, ինչպիսին է սերվերի անձնական բանալին.

Այսպիսով, երբ Heartbleed- ը ժամանել էր դեպքի վայր, ցանկացած կիբերհանցագործություն, որը ծախսել էր ցանկացած երկար ժամանակ, գաղտնագրված տրաֆիկի մասին լսելիս, հանկարծակի հարձակման կատարյալ ուղի էր ունենում վրիպակներին ենթարկված ցանկացած սերվերի անձնական բանալին ձեռք բերելու համար:. 

Օգտագործելով գաղտնագրման այս ստեղները, նրանք կարող էին այնուհետև գաղտնազերծել նախկինում հավաքված բոլոր տվյալները, ինչը հանգեցրել է հսկայական քանակությամբ վարկաբեկված տեղեկատվության.

Ինչպես միացնել կատարյալ գաղտնիությունը ձեր սերվերում

Ձեր սերվերում կատարյալ գաղտնիության գաղտնիության առանձնահատկությունը միացնելը իրականում շատ պարզ գործընթաց է, որը չի պահանջում զգալի քանակությամբ ջանք գործադրել համակարգի կառավարչի կողմից:. 

Գործընթացը ակնհայտորեն տարբեր է `կախված ձեր կողմից օգտագործվող սերվերի ճարտարապետությունից, այնպես որ մենք ձեզ կուղեկցեն, թե ինչպես դա անել Apache- ի և Nginx- ի հետ, երկու հայտնի ճարտարապետություններ.

Ընդհանուր առմամբ, այն, ինչ դուք պետք է անեք, ձեր սերվերն ստեղծելն է ՝ DHE և ECDHE ծածկագրերի կոդերը առաջնահերթ լուծելու համար, բայց դուք դեռ պետք է պահպանեք RSA աջակցությունը ՝ որպես պահուստ: Դա այն է, որ հին համակարգերը և զննարկիչները կարող են չաջակցել PFS, այսինքն ՝ նրանք չեն կարողանա բեռնել ձեր կայքը, քանի դեռ համոզված չեք, որ այլ ծածկագրաշարեր դեռ առկա են.

Ծածկագիր կոստյումներ

Ավելի կոնկրետ հրահանգների համար մենք կազմել ենք քայլ առ քայլ ուղեցույց, թե ինչպես կարելի է կատարել Apache և Nginx սերվերների կատարյալ գաղտնի գաղտնիությունը.

Ինչպես կարգավորել PFS- ը Apache- ում

  1. Տեղադրեք ձեր SSL կազմաձևը հրամանի հետ. «Grep-I -r« SSLEngine »/ այլն / apache»
  2. Ծածկագրեք ծածկագրերի կարգը `մուտքագրելով.« SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on »
  3. Սահմանեք ծածկագրերի կարգը հետևյալ կերպ. «Ssl_ciphers ‘EEDH + AESGCM: EDH + AESGCM: AES256 + EEZHH: AES256 + EDH»; »
  4. Վերջապես, վերագործարկեք Apache- ն `« apachectl -k- ի վերագործարկում »հրամանով

Ինչպես կարգավորել PFS- ը Nginx- ի վրա

  1. Տեղադրեք ձեր SSL կազմաձևերը `մուտքագրելով.« Grep -r ssl_protocol nginx բազային տեղեկատու »(փոխարինեք« nginx բազային գրացուցակը »համապատասխան ուղով)
  2. Փոփոխեք կազմաձևումը `մուտքագրելով.« Ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers; “
  3. Սահմանեք ծածկագրերի կարգը `մուտքագրելով հրամանը.« Ssl_ciphers ‘EEDH + AESGSM: EDH + AESGCM: AES256 + EEZHH: AES256 + EDH »;»
  4. Վերագործարկեք Nginx հետևյալ հրամանով. «Sudo service nginx վերագործարկեք»

Վերջնական մտքեր

Այնտեղ կա այն ամենը, ինչ դուք պետք է իմանաք կատարյալ առաջ գաղտնիության մասին: Չնայած դրան շատ բան չկա, որ սպառողները կարող են անել դրա օգտագործումը խրախուսելու համար, կարևոր է իմանալ, որ նույնիսկ գաղտնագրված տվյալները, որոնք անցնում են անվտանգ կապով, պոտենցիալ խոցելի են ապագա հարձակման համար.

Հիանալի գաղտնիության ապահովման հիմնական նպատակը սերվերային օպերատորներին և համակարգային ադմինիստրատորներինն է, և այս ուղեցույցի նպատակն է խրախուսել դրա ընդունումը, ինչը կհանգեցնի ավելի անվտանգ ինտերնետ ինտերնետային կայքերի և օգտվողների:. 

Օգտագործողների համար, ովքեր հատկապես անհանգստացած են այն հարցի շուրջ, թե իրենց սիրած կայքերը օգտագործում են PFS փոխադրումներ `իրենց տվյալներն ապահովելու համար, Qualys SSL Labs թեստը թույլ է տալիս ստուգել հենց դա: Եթե ​​ձեր նախընտրած կայքերից շատերը վնասակար չեն, ինքներդ ձեզ պաշտպանելու լավագույն միջոցը վիրտուալ մասնավոր ցանց ներբեռնելն է `ձեր տրաֆիկում գաղտնագրման լրացուցիչ մակարդակ ավելացնելու համար.

Կարող եք ստուգել մեր լավագույն VPN պրովայդերների ցանկը, որոնք ձեզ կտան պաշտպանության այս լրացուցիչ շերտը, կամ եթե ցանկանում եք բաց թողնել մեր լավագույն ընտրությունը, ստուգեք մեր ExpressVPN ակնարկը:.

Ի՞նչ ես մտածել կատարյալ առաջի գաղտնիության մեր բացատրության մասին: Արդյո՞ք դա նոր լույս է տեսել այն տեխնիկական արտահայտության վրա, որը դուք կարող եք տեսնել վերջին տարիներին ավելի հաճախակի երևալու մեջ, կամ էլի նույնքան շփոթված եք, որքան նախկինում, երբ սկսեցիք կարդալ: Տեղեկացե՛ք ստորև ներկայացված մեկնաբանություններում: Ինչպես միշտ, շնորհակալություն կարդալու համար.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me