Isfarë është sekreti i përsosur përpara? Një udhëzues për vitin 2023

Siguria në internet është një fushë gjithnjë në zhvillim, me kërcënime, zbrazje dhe shfrytëzime të reja që zbulohen dhe trajtohen vazhdimisht. 

Kjo betejë e vrarë kundër kriminelëve kibernetikë paraqet një sfidë të jashtëzakonshme për ekspertët e sigurisë, pasi shfrytëzimi i së nesërmes mund të rrezikojë trafikun e sotëm, një problem që u zbulua “sekret i përsosur përpara” për të parandaluar. Pra, cili është sekreti i përsosur përpara? Vazhdoni ta lexoni këtë artikull për ta zbuluar.

Isfarë është sekreti i përsosur përpara (PFS)?

Pra, çfarë është PFS? Me pak fjalë, akronimi PFS nënkupton “sekretin perfekt përpara”, që është një veçori relativisht e fundit e sigurisë për faqet e internetit. Ai synon të parandalojë shfrytëzimet e ardhshme dhe shkeljet e sigurisë nga komprometimi i komunikimit, informacionit ose të dhënave aktuale ose të kaluara, duke izoluar kriptimin e secilit transaksion.

Tradicionalisht, të dhënat e koduara do të mbroheshin nga një çelës i vetëm privat i enkriptimit i mbajtur nga serveri, të cilin mund të përdorte për të deshifruar të gjithë komunikimin historik me serverin duke përdorur një çelës publik. Kjo paraqet një rrezik të mundshëm sigurie poshtë vijës, pasi një sulmues mund të kalojë javë, muaj ose vite duke dëgjuar trafikun e koduar, ruajtjen e të dhënave dhe shpalljen e kohës së tyre..

Wireshark

Me të gjitha këto të dhëna në dorë, e gjithë sulmuesi që duhet të bëjë është të presë për çdo shfrytëzim të mundshëm të sigurisë së ardhshme që do t’i lejonte ata të marrin duart e tyre në çelësin privat të serverit, i cili më pas mund të përdoret për të deshifruar të gjitha të dhënat që kanë korrur gjatë kohë.

Sa sekret i përsosur përpara zgjidh problemin

Sekreti i përsosur përpara e zgjidh këtë problem duke hequr besimin në një çelës privat të vetëm të serverëve. Në vend që të përdorni të njëjtin çelës encryption për çdo transaksion të vetëm, një çelës i ri unik i seancës gjenerohet sa herë që ndodh një transaksion i ri i të dhënave. 

Në të vërtetë, kjo do të thotë që edhe nëse një sulmues arrin të marrë duart e tij në një çelës sesioni, do të jetë i dobishëm vetëm për deshifrimin e transaksionit më të fundit, në vend se të gjitha të dhënat që mund të kenë mbledhur në të kaluarën.

Në vend të shkëmbimit standard të çelësave RSA, këto çelësa të sesionit gjenerohen duke përdorur ose encryption Diffie-Hellman, ose më mirë akoma, encryption-kurbë eliptike-Diffie-Hellman. Keyselësat e enkriptimit janë shumë efektivë, do të thotë se ato nuk janë ruajtur askund dhe nuk mund të ripërdoren për një transaksion të mëvonshëm.

Diffie-Hellman

Në mënyrë të ngjashme, çelësi privat i serverit do të jetë plotësisht i padobishëm për sulmuesin sepse nuk mund të përdoret për të deshifruar ndonjë prej trafikut midis serverit dhe klientëve.

Edhe pse kjo metodë e sulmit mund të kërkojë më shumë durim dhe burime sesa një kriminel i vetëm kibernetik ka qasje, e njëjta gjë nuk mund të thuhet për organizatat e inteligjencës. 

Subjektet si Agjencia e Sigurisë Kombëtare lehtësisht kanë aftësinë të dëgjojnë shumë lidhje të kriptuara, madje shkojnë aq larg sa të kthejne kabllot gjigande nënujore që lidhin serverat nëpër kontinente..

Ky aftësi masive për të mbledhur të dhëna – kombinuar me durimin institucional të një organizate si NSA – do të thotë që ata kanë pak probleme në mbledhjen dhe ruajtjen e sasive të mëdha të të dhënave të koduara.

Në rast se disa shfrytëzime të ardhshme ose zbrazësi paraqesin veten – duke u lejuar atyre që të marrin duart e tyre në çelësin e kërkuar privat – ata mund të përdorin më pas këtë çelës encryption për të deshifruar miliona ose miliarda transaksione të të dhënave në një goditje të vetme.

Për një shpjegim më të thelluar të kriptimit, në përgjithësi, sigurohuni që të lexoni përshkrimin tonë të kriptimit.

Si PFS e mban të sigurt faqen tuaj te internetit

Mënyra më e qartë se fshehtësia e përsosur përpara mban të sigurt faqen tuaj të internetit është duke ju ofruar juve dhe përdoruesve tuaj siguri shtesë në rast të një shkeljeje të të dhënave. Në rastin më të keq, një sulmues do të jetë në gjendje të deshifrojë një transaksion të vetëm të të dhënave, dhe megjithëse ky ende mund të paraqesë një rrezik, dëmi përmbahet shumë.

Për më tepër, serverët që përdorin sekret të përsosur përpara paraqesin objektiva më pak tërheqës për sulmuesit. Edhe pse ka akoma informacione të ruajtura në server që mbrohen nga çelësi origjinal privat, kjo është e gjitha që sulmuesi do të jetë në gjendje të marrë duart e tyre, duke kufizuar ndjeshëm shpërblimin e sulmit.

Sigurisht, kjo nuk është garanci kundër një sulmi, por e bën atë më pak të mundshëm, pasi sulmuesit mund të zgjedhin për më shumë objektiva shpërblyese në vend.

Google ishte një nga kompanitë e para të mëdha softverike që zbatoi sekret të përsosur përpara në serverët e saj. Për shkak të kësaj, ka shumë të ngjarë që, në një pikë të së ardhmes, Google të përdorë pozicionin e tij si motori kërkues mbizotërues për të inkurajuar miratimin e PFS duke shpërblyer faqet që e përdorin atë duke i renditur ato më të larta në rezultatet e kërkimit të tij, siç ishte rasti me HTTP vs HTTPS.

Sekret i përsosur përpara dhe zemërlirë

Ndoshta nuk ka një shembull më të mirë pse fshehtësia e përsosur përpara është thelbësore sesa shfrytëzimi famëkeq i zemrës. Për të kuptuar pse, është e rëndësishme që së pari të dini se çfarë është zemra e zemrës dhe pse ishte kaq e dëmshme.

Zemra e zemrës shfrytëzon një gabim të paraqitur në 2012 në OpenSSL – një nga zbatimet më të njohura të protokollit TLS (niveli i transportit) – por kjo nuk u zbulua deri dy vjet më vonë në 2014. 

Kuptimi i SSL / TLS

Ju nuk duhet të dini saktësisht se si funksionon TLS, por me pak fjalë, është një protokoll sigurie që kodon trafikun midis një klienti dhe serveri duke përdorur një çelës encryption privat, me HTTPS të jetë shembulli me të cilin jeni ndoshta më të njohur. 

Megjithëse iu përgjigj pyetjes “si funksionon TLS?” është jashtë qëllimit të këtij neni, ju mund të shikoni artikullin tonë në SSL vs TLS për të mësuar më shumë.

TLS-Shtrëngim duarsh

Gabimi përfiton nga shtesa e rrahjeve të zemrës për TLS, i cili është krijuar për të provuar komunikimin TLS duke dërguar një ngarkesë (zakonisht pak tekst) si dhe një numër që specifikon madhësinë e ngarkesës. Serveri më pas përgjigjet duke e dërguar ngarkesën përsëri tek dërguesi origjinal.

Problemi ishte se serveri nuk do të kontrollonte përmbajtjen e ngarkesës, por vetëm numrin që specifikonte madhësinë e tij. Do ta përdorte këtë numër për të tërhequr një sasi të caktuar të të dhënave nga tamponja e kujtesës, e cila kishte për qëllim të ishte thjesht ngarkesa origjinale e dërguar në server.

Heartbleed

Sidoqoftë, për shkak se vetë ngarkesa nuk është kontrolluar, kjo hapi mundësinë e dërgimit të një ngarkese më të vogël se sa ishte specifikuar në numrin që përfaqëson madhësinë e saj. Kjo rezultoi që serveri të kthehej jo vetëm ngarkesën origjinale, por edhe informacione shtesë të ruajtura në tamponin e kujtesës në mënyrë që të arrijnë madhësinë e mesazhit të kërkuar.

Zemëruar në veprim

Si shembull, mesazhi me rrahje zemre mund të kërkojë nga serveri të kthejë fjalën “test”, por specifikon se gjatësia duhet të jetë 500 karaktere. Kjo do të bëjë që serveri të kthejë fjalën e kërkuar “test”, por edhe 496 karaktere shtesë nga memorja.

Edhe pse sulmuesi nuk do të kishte mënyrë për të përcaktuar saktësisht se çfarë informacioni do të ktheheshin, ekziston një shans i mirë që këta karaktere shtesë të përmbajnë informacion të ndjeshëm, siç është çelësi privat i serverit.

Kështu, sapo Heartbleed arriti në vendin e ngjarjes, çdo kriminel në internet që kishte kaluar çdo kohë të gjatë duke dëgjuar në trafikun e koduar papritmas kishte një rrugë të përsosur sulmi për marrjen e çelësit privat të çdo serveri të ekspozuar ndaj bug. 

Duke përdorur këto çelësa kriptimi, ata më pas mund të deshifrojnë të gjitha të dhënat që kishin grumbulluar më parë, të cilat rezultuan në një sasi të madhe informacioni të komprometuar.

Si të aktivizoni sekretin e përsosur përpara në serverin tuaj

Mundësimi i veçorisë perfekte të fshehtësisë përpara në serverin tuaj është në të vërtetë një proces shumë i drejtpërdrejtë që nuk kërkon një sasi të konsiderueshme përpjekjesh nga ana e administratorit të sistemit. 

Procesi padyshim ndryshon në varësi të arkitekturës së serverit që po përdorni, kështu që ne do t’ju drejtojmë se si ta bëni këtë me Apache dhe Nginx, dy arkitektura të njohura.

Në përgjithësi, ajo që duhet të bëni është të vendosni serverin tuaj për të dhënë përparësi në suitat e shifrave të shifrave DHE dhe ECDHE, por prapëseprapë duhet të mbani mbështetjen e RSA si një kopje rezervë. Kjo për shkak se sistemet dhe shfletuesit e vjetër mund të mos e mbështesin PFS, do të thotë se ata nuk do të jenë në gjendje të ngarkojnë faqen tuaj, përveç nëse siguroheni që suitat e tjera të shifrave janë ende në dispozicion.

Shifrës-Suites

Për udhëzime më specifike, ne kemi përpiluar një udhëzues hap pas hapi se si të mundësoni fshehtësi të përsosur përpara në serverët Apache dhe Nginx.

Si të konfiguroni PFS në Apache

  1. Gjeni konfigurimin tuaj SSL me komandën: “grep -I -r” SSLEngine “/ etc / apache”
  2. Zbatoni urdhrin e shifrimit duke shtypur: “SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”
  3. Vendosni renditjen e shifrave si kjo: “ssl_ciphers‘ EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH “;”
  4. Në fund, rindizni Apache-un me komandën: “apachectl -k rinisni”

Si të konfiguroni PFS në Nginx

  1. Gjeni konfigurimin tuaj SSL duke shtypur: “grep -r ssl_protocol nginx baza e të dhënave” (zëvendësoni “drejtorin bazë nginx” me rrugën e duhur)
  2. Ndryshoni konfigurimin duke futur: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers në; “
  3. Vendosni renditjen e shifrimit duke shtypur komandën: “ssl_ciphers‘ EEZH + AESGSM: EDH + AESGCM: AES256 + EEZH: AES256 + EDH “;”
  4. Rinisni Nginx me urdhrin e mëposhtëm: “sudo service nginx rinisni”

Mendimet përfundimtare

Aty është gjithçka që ju duhet të dini për sekretin e përsosur përpara. Edhe pse nuk ka shumë gjëra që konsumatorët mund të bëjnë për të inkurajuar përdorimin e tij, është e rëndësishme të dini se edhe të dhënat e koduara që udhëtojnë mbi një lidhje të sigurt janë potencialisht të prekshëm nga një sulm i ardhshëm.

Qëllimi i zbatimit të fshehtësisë së përsosur përpara qëndron tek operatorët e serverëve dhe administratorët e sistemit, dhe qëllimi i këtij udhëzuesi është të inkurajojë miratimin e tij, i cili do të çonte në një internet më të sigurt për faqet e internetit dhe përdoruesit njëlloj.. 

Për përdoruesit që janë veçanërisht të shqetësuar nëse përdorin apo jo faqet e internetit të tyre të preferuar përdorimin e transportit PFS për të siguruar të dhënat e tyre, testi i Qualys SSL Labs ju lejon të kontrolloni vetëm atë. Nëse shumë nga faqet e internetit të preferuara nuk ju takojnë, mënyra më e mirë për të mbrojtur veten është shkarkimi i një rrjeti virtual privat për të shtuar një nivel shtesë të kriptimit në trafikun tuaj.

Ju mund të shikoni listën tonë të ofruesve më të mirë VPN që do t’ju japin këtë shtresë shtesë mbrojtjeje, ose nëse doni të kaloni drejt në zgjedhjen tonë të lartë, shikoni rishikimin tonë të ExpressVPN..

Youfarë menduat për shpjegimin tonë për sekretin e përsosur përpara? A ka hedhur dritë të re mbi një frazë teknike që mund të keni parë të shfaqet më shpesh vitet e fundit, apo jeni akoma aq i hutuar sa keni qenë kur filluat të lexoni? Na tregoni në komentet më poshtë. Si gjithmonë, faleminderit që lexove.