Bí mật chuyển tiếp hoàn hảo là gì? Hướng dẫn cho năm 2020

An ninh mạng là một lĩnh vực không ngừng phát triển, với các mối đe dọa, sơ hở và khai thác mới liên tục được phát hiện và xử lý. 


Cuộc chiến chống lại tội phạm mạng này là một thách thức đặc biệt đối với các chuyên gia bảo mật, vì ngày mai khai thác có thể làm tổn hại lưu lượng truy cập ngày hôm nay, một vấn đề mà bí mật hoàn hảo về phía trước đã được phát minh để ngăn chặn. Vì vậy, bí mật hoàn hảo về phía trước là gì? Hãy tiếp tục đọc bài viết này để tìm hiểu.

Bí mật chuyển tiếp hoàn hảo (PFS) là gì?

Vậy, PFS là gì? Nói tóm lại, từ viết tắt PFS là viết tắt của bí mật hoàn hảo về phía trước, là một tính năng bảo mật tương đối gần đây cho các trang web. Nó nhằm mục đích ngăn chặn các hoạt động khai thác và vi phạm bảo mật trong tương lai làm ảnh hưởng đến thông tin, thông tin hoặc dữ liệu hiện tại hoặc trong quá khứ bằng cách cách ly từng giao dịch mã hóa.

Theo truyền thống, dữ liệu được mã hóa sẽ được bảo vệ bởi một khóa mã hóa riêng do máy chủ nắm giữ, nó có thể sử dụng để giải mã tất cả các giao tiếp lịch sử với máy chủ bằng khóa chung. Điều này có nguy cơ bảo mật tiềm ẩn, vì kẻ tấn công có thể mất hàng tuần, hàng tháng hoặc hàng năm để lắng nghe lưu lượng được mã hóa, lưu trữ dữ liệu và chờ đợi thời gian của chúng.

Dây đeo

Với tất cả dữ liệu này, tất cả những gì kẻ tấn công cần làm là chờ đợi bất kỳ khai thác bảo mật tiềm năng nào trong tương lai sẽ cho phép chúng có được khóa riêng của máy chủ, sau đó có thể được sử dụng để giải mã tất cả dữ liệu mà chúng đã thu thập được thời gian.

Làm thế nào hoàn hảo bí mật chuyển tiếp giải quyết vấn đề

Bảo mật hoàn hảo về phía trước giải quyết vấn đề này bằng cách loại bỏ sự phụ thuộc vào một khóa riêng của máy chủ. Thay vì sử dụng cùng một khóa mã hóa cho mỗi giao dịch, một khóa phiên mới, duy nhất được tạo mỗi khi xảy ra giao dịch dữ liệu mới. 

Trên thực tế, điều này có nghĩa là ngay cả khi kẻ tấn công quản lý để có được khóa phiên, nó sẽ chỉ hữu ích cho việc giải mã giao dịch gần đây nhất, thay vì tất cả dữ liệu họ có thể đã thu thập trong quá khứ.

Thay vì trao đổi khóa RSA tiêu chuẩn, các khóa phiên này được tạo bằng mã hóa Diffie-Hellman hoặc tốt hơn là mã hóa Diffie-Hellman đường cong elip. Các khóa mã hóa là phù du, nghĩa là chúng không được lưu trữ ở bất cứ đâu và không thể được sử dụng lại cho một giao dịch sau này.

Diffie-Hellman

Tương tự, khóa riêng của máy chủ sẽ hoàn toàn vô dụng đối với kẻ tấn công vì nó không thể được sử dụng để giải mã bất kỳ lưu lượng nào giữa máy chủ và máy khách.

Mặc dù phương thức tấn công này có thể đòi hỏi nhiều sự kiên nhẫn và tài nguyên hơn so với một tội phạm mạng duy nhất có quyền truy cập, nhưng điều tương tự không thể nói đối với các tổ chức tình báo. 

Các thực thể như Cơ quan An ninh Quốc gia dễ dàng có khả năng lắng nghe trên nhiều kết nối được mã hóa, thậm chí còn đi xa đến mức chạm vào các dây cáp khổng lồ dưới nước kết nối các máy chủ trên khắp các châu lục.

Khả năng thu thập dữ liệu khổng lồ này – kết hợp với sự kiên nhẫn của tổ chức như NSA – có nghĩa là họ gặp khó khăn trong việc thu thập và lưu trữ một lượng lớn dữ liệu được mã hóa.

Trong trường hợp một số lỗ hổng hoặc lỗ hổng trong tương lai xuất hiện – cho phép họ có được khóa riêng được yêu cầu – sau đó họ có thể sử dụng khóa mã hóa này để giải mã hàng triệu hoặc hàng tỷ giao dịch dữ liệu trong một lần đột quỵ.

Để giải thích sâu hơn về mã hóa, nói chung, hãy chắc chắn đọc mô tả về mã hóa của chúng tôi.

Cách PFS giữ cho trang web của bạn an toàn

Cách rõ ràng nhất mà bảo mật hoàn hảo về phía trước giữ an toàn cho trang web của bạn là cung cấp cho bạn và người dùng của bạn bảo mật bổ sung trong trường hợp vi phạm dữ liệu. Tệ nhất, kẻ tấn công sẽ chỉ có thể giải mã một giao dịch dữ liệu duy nhất và mặc dù điều này vẫn có thể gặp rủi ro, thiệt hại được chứa rất nhiều.

Hơn nữa, các máy chủ sử dụng bí mật hoàn hảo về phía trước hiện các mục tiêu kém hấp dẫn hơn cho những kẻ tấn công. Mặc dù có những thông tin vẫn được lưu trữ trên máy chủ mà được bảo vệ bởi khóa riêng tư ban đầu, đây là tất cả những kẻ tấn công sẽ có thể có được trong tay, hạn chế đáng kể mức chi trả của cuộc tấn công.

Tất nhiên, điều này không đảm bảo chống lại một cuộc tấn công, nhưng nó làm cho ít khả năng hơn, vì những kẻ tấn công có thể chọn các mục tiêu bổ ích hơn thay thế.

Google là một trong những công ty phần mềm lớn đầu tiên thực hiện bảo mật hoàn hảo về phía trước trên các máy chủ của mình. Do đó, rất có thể, vào một lúc nào đó trong tương lai, Google sẽ sử dụng vị trí là công cụ tìm kiếm chi phối của mình để khuyến khích việc áp dụng PFS bằng cách thưởng cho các trang web sử dụng nó bằng cách xếp hạng chúng cao hơn trong kết quả tìm kiếm của mình, như là trường hợp với HTTP so với HTTPS.

Bí mật hoàn hảo về phía trước và Heartbleed

Có lẽ không có ví dụ nào tốt hơn cho lý do tại sao bí mật hoàn hảo về phía trước là điều cần thiết hơn là khai thác Heartbleed khét tiếng. Để hiểu lý do tại sao, điều quan trọng đầu tiên là phải biết Heartbleed là gì và tại sao nó lại gây hại như vậy.

Heartbleed khai thác một lỗi được giới thiệu vào năm 2012 cho OpenSSL – một trong những triển khai phổ biến nhất của giao thức TLS (bảo mật cấp độ vận chuyển) – nhưng điều này đã được phát hiện cho đến hai năm sau vào năm 2014. 

Hiểu SSL / TLS

Bạn không cần phải biết chính xác cách thức hoạt động của TLS, nhưng tóm lại, đây là một giao thức bảo mật mã hóa lưu lượng giữa máy khách và máy chủ bằng khóa mã hóa riêng, với HTTPS là ví dụ mà bạn có thể quen thuộc nhất. 

Mặc dù trả lời câu hỏi, làm thế nào để TLS hoạt động? nằm ngoài phạm vi của bài viết này, bạn có thể xem bài viết của chúng tôi về SSL so với TLS để tìm hiểu thêm.

Bắt tay TLS

Lỗi này tận dụng tiện ích mở rộng Heartbeat cho TLS, được thiết kế để kiểm tra giao tiếp TLS bằng cách gửi tải trọng (thường là một chút văn bản) cũng như một số chỉ định kích thước của tải trọng. Sau đó, máy chủ phản hồi bằng cách gửi tải trọng trở lại cho người gửi ban đầu.

Vấn đề là máy chủ sẽ không thực sự kiểm tra nội dung của tải trọng, mà chỉ là con số chỉ định kích thước của nó. Nó sẽ sử dụng số này để lấy một lượng dữ liệu nhất định từ bộ nhớ đệm, được dự định chỉ là tải trọng ban đầu được gửi đến máy chủ.

Đau lòng

Tuy nhiên, vì bản thân tải trọng không được kiểm tra, điều này mở ra khả năng gửi một tải trọng nhỏ hơn so với những gì được chỉ định trong số đại diện cho kích thước của nó. Điều này dẫn đến việc máy chủ trả về không chỉ tải trọng ban đầu mà còn cả thông tin bổ sung được lưu trữ trong bộ nhớ đệm để đạt được kích thước thư được yêu cầu.

Heartbleed trong hành động

Ví dụ, thông báo Heartbeat độc hại có thể yêu cầu máy chủ trả về từ thử nghiệm, nhưng xác định rằng độ dài phải là 500 ký tự. Điều này sẽ dẫn đến việc máy chủ trả về từ được yêu cầu kiểm tra, nhưng cũng có thêm 496 ký tự từ bộ nhớ.

Mặc dù kẻ tấn công sẽ không có cách nào xác định chính xác thông tin nào họ sẽ nhận lại, nhưng có một cơ hội tốt là những nhân vật bổ sung này sẽ chứa thông tin nhạy cảm, chẳng hạn như khóa riêng của máy chủ..

Do đó, một khi Heartbleed đến hiện trường, bất kỳ tội phạm mạng nào đã dành thời gian lắng nghe lưu lượng được mã hóa đột nhiên có một cuộc tấn công hoàn hảo để lấy khóa riêng của bất kỳ máy chủ nào bị lộ lỗi. 

Sử dụng các khóa mã hóa này, sau đó họ có thể giải mã tất cả dữ liệu họ đã thu thập trước đó, dẫn đến một lượng lớn thông tin bị xâm phạm.

Cách bật bí mật chuyển tiếp hoàn hảo trên máy chủ của bạn

Kích hoạt tính năng bảo mật hoàn hảo về phía trước trên máy chủ của bạn thực sự là một quá trình rất đơn giản, không đòi hỏi một nỗ lực đáng kể nào từ phía quản trị viên hệ thống. 

Quá trình rõ ràng thay đổi tùy thuộc vào kiến ​​trúc máy chủ mà bạn đang sử dụng, vì vậy chúng tôi sẽ hướng dẫn bạn cách thực hiện với Apache và Nginx, hai kiến ​​trúc phổ biến.

Nói chung, những gì bạn cần làm là thiết lập máy chủ của mình để ưu tiên các bộ mật mã DHE và ECDHE, nhưng bạn vẫn nên giữ lại hỗ trợ RSA như một bản sao lưu. Điều này là do các hệ thống và trình duyệt cũ hơn có thể không hỗ trợ PFS, có nghĩa là chúng đã thắng có thể tải trang web của bạn trừ khi bạn chắc chắn rằng các bộ mật mã khác vẫn có sẵn.

Mật mã-Suites

Để có hướng dẫn cụ thể hơn, chúng tôi đã biên soạn hướng dẫn từng bước về cách bật bí mật chuyển tiếp hoàn hảo trên máy chủ Apache và Nginx.

Cách cấu hình PFS trên Apache

  1. Xác định vị trí cấu hình SSL của bạn bằng lệnh: Hồi grep -I -r Cách SSLEngine Trực / etc / apache
  2. Thực thi thứ tự mật mã bằng cách gõ: SSL SSLProtocol all -SSLv2 -SSLv3 SSLHonorCodesOrder trên trên
  3. Đặt thứ tự mật mã như thế này: Thời gian ssl_ciphers ‘EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ,;
  4. Cuối cùng, khởi động lại Apache bằng lệnh: Apachectl -k khởi động lại

Cách cấu hình PFS trên Nginx

  1. Xác định vị trí cấu hình SSL của bạn bằng cách nhập: Thư mục cơ sở grep -r ssl_protatio nginx cơ sở dữ liệu (thay thế thư mục cơ sở nginx của Hồi giáo bằng đường dẫn thích hợp)
  2. Thay đổi cấu hình bằng cách nhập: Ssl_prot Protocol TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers trên;
  3. Đặt thứ tự mật mã bằng cách gõ lệnh: Hồi ssl_ciphers EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH,;
  4. Khởi động lại Nginx bằng lệnh sau: Dịch vụ sudo nginx khởi động lại

Suy nghĩ cuối cùng

Đó là, tất cả mọi thứ bạn cần biết về bí mật hoàn hảo về phía trước. Mặc dù có rất nhiều điều mà người tiêu dùng có thể làm để khuyến khích việc sử dụng nó, nhưng điều quan trọng là phải biết rằng ngay cả dữ liệu được mã hóa đi qua kết nối an toàn cũng có khả năng dễ bị tấn công trong tương lai.

Trách nhiệm thực hiện bảo mật hoàn hảo về phía trước nằm ở các nhà khai thác máy chủ và quản trị viên hệ thống, và mục đích của hướng dẫn này là khuyến khích việc áp dụng nó, điều này sẽ dẫn đến một mạng internet an toàn hơn cho các trang web và người dùng. 

Đối với người dùng đặc biệt quan tâm đến việc các trang web yêu thích của họ có sử dụng phương thức vận chuyển PFS để bảo mật dữ liệu của họ hay không, bài kiểm tra Qualys SSL Labs cho phép bạn kiểm tra điều đó. Nếu nhiều trang web yêu thích của bạn không hoạt động, thì cách tốt nhất để tự bảo vệ bạn là tải xuống một mạng riêng ảo để thêm mức mã hóa cho lưu lượng truy cập của bạn.

Bạn có thể xem danh sách các nhà cung cấp VPN tốt nhất của chúng tôi sẽ cung cấp cho bạn lớp bảo vệ bổ sung này hoặc nếu bạn muốn bỏ qua quyền chọn hàng đầu của chúng tôi, hãy xem bài đánh giá ExpressVPN của chúng tôi.

Bạn nghĩ gì về lời giải thích của chúng tôi về bí mật hoàn hảo phía trước? Có phải nó đã làm sáng tỏ một cụm từ kỹ thuật mới mà bạn có thể thấy bật lên thường xuyên hơn trong những năm gần đây, hoặc bạn vẫn còn bối rối như khi bạn bắt đầu đọc? Cho chúng tôi biết trong các ý kiến ​​dưới đây. Như mọi khi, cảm ơn bạn đã đọc.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me