完美的前向保密性:网站的面向未来的加密

0
1075
SSL

举报人的爱德华·斯诺登(Edward Snowden)的启示表明,国家安全局(NSA)大规模收集数据。 尽管目前无法解密某些信息,但将来可能会实现。 今天的网站管理员可以保护自己和访客免受明天的解密。

爱德华·斯诺登(Edward Snowden)向世界展示了情报服务没有安全的数据。 他们收集(作为预防措施)遇到的所有信息。 其中一些数据是加密的,例如通过HTTPS连接。 这些网站包括传输敏感信息,购买产品,登录电子邮件帐户或使用家庭银行业务的网站。 所有这些数据都被拦截,即使它们今天无法使用。 几年后,秘密服务可以解密它们。

HTTPS的漏洞

完全向前保密(PFS)的确切含义是什么? 要解释该术语,首先必须解释SSL加密的工作原理,该协议在传输敏感数据的网站上使用。

当访问我们的网站hoster.online时,在网络浏览器的搜索栏中会看到一个小锁。 单击该锁将打开有关SSL证书的信息。 再次单击,您可以查看有关证书的信息,包括例如到期日期。

SSL证书几乎可以使用任何网站。 区别在于

-他们的加密
-他们是否是 或身份验证并
-您的浏览器兼容性有多高。

还有三种证书类型:

1。 单
2。 通配符
3。 多域

SSL证书的工作方式如下:用户浏览网页,例如hoster.online。 他的浏览器联系服务器,服务器指定由证书颁发机构颁发的公共密钥。 浏览器检查证书颁发机构的签名。 如果正确,他将与hoster.online交换数据。 从现在开始,所有数据将以加密方式传输。

完善的前向保密性,可抵御明天的方法

对于HTTPS会话的加密传输,浏览器每次都会建议一个秘密会话密钥。 服务器确认此密钥。

该方法的问题在于,诸如NSA之类的情报服务可以记录密钥的传输。 在可预见的将来,他有可能解密。 这将使她能够读取hoster.online上传输的所有数据。

过去,HTTPS一直存在问题。 自2011重大安全漏洞以来,Bug Heartbleed就暴露了网页,影响了Internet上三个网站中的两个。 Heartbleed是OpenSSL软件中的一个编程错误。 他给黑客通过HTTPs链接到具有易受攻击的OpenSSL版本的服务器访问64 KB的私有存储空间。 该攻击泄漏了服务器Cookie,密码和电子邮件地址。 受影响的是诸如Yahoo Mail和LastPass之类的优质服务。

此类方案的解决方案是完全向前保密:通过所谓的Diffie-Hellman方法,两个通信伙伴(在本例中为Web浏览器和服务器)就临时会话密钥达成一致。 这将永远不会被转移。 会话完成后,密钥将被销毁。

PFS的实践和未来

不幸的是,有两个坏消息:

1。 当前,只有少数网站使用PFS。
2。 以前所有交换的数据都无法再加密。

但是,至少从现在开始,网页上应实施“完全向前保密”功能,以确保尽管进行了加密,但迟早不能读取任何数据。

安全实验室的Ivan Ristic建议使用以下套件来实现PFS:

-TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
-TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
-TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

网站管理员可以在ssllabs.com上测试其网站,然后决定采取适当的措施。

在实施Perfetct Forward Secrecy后,NSA和BND等服务只能使用中间人攻击来读取数据。 在所有其他情况下,FPS将是窃听者眼中的一大麻烦。

留下答案

请输入您发表评论!
请在此输入你的名字