Шта је савршена тајна за напред? Водич за 2020. годину

Цибер-сигурност је непрестано поље које се стално открива, са новим претњама, рупама и експлоатацијама.. 


Ова борбена борба против сајбер криминала представља изузетан изазов за безбедносне стручњаке, јер сутрашњи експлоатација може да компромитује данашњи саобраћај, проблем који је измишљена „савршена тајна за напред“. Дакле, шта је савршена тајна за напред? Наставите читати овај чланак да бисте сазнали.

Шта је савршена тајна напријед (ПФС)?

Дакле, шта је ПФС? Укратко, скраћеница ПФС означава „савршену тајну унапред“, што је релативно недавна безбедносна функција за веб локације. Његов циљ је да спречи будуће искориштавање и кршење безбедности да угрозе тренутну или прошлу комуникацију, информације или податке изоловањем шифрирања сваке трансакције.

Традиционално, шифровани подаци би били заштићени једним приватним кључем за енкрипцију који држи сервер, а који би могао да користи за дешифровање сву историјску комуникацију са сервером јавним кључем. Ово представља потенцијални безбедносни ризик низ линију, јер нападач може провести недеље, месеце или године слушајући шифровани саобраћај, чувајући податке и нудећи своје време.

Виресхарк

Имајући све ове податке у руци, све што нападач треба да уради је да сачека било какав потенцијални будући безбедносни подвиг који би им омогућио да добију руку на приватном кључу сервера, који ће потом бити искоришћени за дешифровање свих података преко којих су прикупљени. време.

Колико савршене тајне решава проблем

Савршена тајност унапред решава овај проблем уклањањем ослањања на приватни приватни кључ сервера. Уместо да користи исти кључ за енкрипцију за сваку појединачну трансакцију, нови, јединствени сесијски кључ генерише се сваки пут када се догоди нова трансакција података. 

У ствари, то значи да чак и ако нападач успе да се ухвати за кључ сесије, биће користан само за дешифровање најновије трансакције, а не за све податке које су можда прикупили у прошлости..

Уместо стандардне РСА размене кључева, ови сесијски кључеви се генеришу помоћу шифрирања Диффие-Хеллман или још боље, шифрирања Диффие-Хеллмана са елиптичном кривуљом. Кључеви за шифровање су ефемерни, што значи да се нигде не похрањују и не могу се поново користити за каснију трансакцију.

Диффие-Хеллман

Слично томе, приватни кључ сервера ће бити потпуно бескористан за нападача јер се не може користити за дешифровање било ког промета између сервера и клијената..

Иако би за овај начин напада могло бити потребно више стрпљења и ресурса којима приступа један цибер-криминалац, то се не може рећи за обавештајне организације. 

Ентитети попут Агенције за националну сигурност лако имају могућност слушања на многим шифрованим конекцијама, чак и тако да дотакну џиновске подводне каблове који повезују сервере широм континената.

Овај огроман капацитет за прикупљање података – у комбинацији са институционалним стрпљењем организације као што је НСА – значи да имају малих проблема са прикупљањем и складиштењем огромне количине шифрованих података.

У случају да се представи неки будући експлоататор или рупа – омогућава им да се рукују потребним приватним кључем – они могу помоћу овог кључа за шифровање дешифровати потенцијално милионе или милијарде трансакција података у једном потезу.

За детаљније објашњење енкрипције, обавезно прочитајте наш опис шифрирања.

Како ПФС чува вашу веб локацију

Најочитији начин да савршена тајна унапред чува вашу веб локацију је пружање додатне сигурности вама и вашим корисницима у случају кршења података. У најгорем случају, нападач ће моћи да дешифрује само једну трансакцију података, и иако то још увек може представљати ризик, штета се увелико задржава.

Надаље, сервери који користе савршену тајну према напријед представљају мање атрактивне циљеве за нападаче. Иако још увек постоје информације сачуване на серверу који су заштићени оригиналним приватним кључем, то је све што ће нападач моћи да се ухвати у руке, значајно ограничавајући исплату напада.

Наравно, ово није гаранција против напада, али чини се мање вјероватним, јер ће се нападачи умјесто тога одлучити за више корисних циљева.

Гоогле је био једна од првих великих софтверских компанија која је увела савршену тајну унапред на својим серверима. Због тога је врло вероватно да ће Гоогле у неком тренутку у будућности искористити своју позицију доминантног претраживача да охрабри усвајање ПФС-а награђивањем веб локација које га користе тако што их рангира више у резултатима претраге. случај са ХТТП-ом у односу на ХТТПС.

Савршена тајна напријед и срце

Можда нема бољег примера зашто је савршена тајна унапред неопходна од злогласног искориштавања Хеартблеед-а. Да бисмо разумели зашто, важно је прво знати шта је Хеартблеед и зашто је то тако штетно.

Хеартблеед искориштава грешку уведену 2012. године на ОпенССЛ – једну од најпопуларнијих имплементација ТЛС (транспорт левел сецурити) протокола – али то није откривено тек две године касније у 2014. 

Разумевање ССЛ / ТЛС

Не морате знати тачно како функционише ТЛС, али укратко, то је безбедносни протокол који шифрира саобраћај између клијента и сервера приватним кључем за шифровање, а ХТТПС је пример који сте вероватно најпознатији. 

Иако одговарам на питање „како функционише ТЛС?“ је ван оквира овог чланка, можете погледати наш чланак о ССЛ-у против ТЛС-а да бисте сазнали више.

ТЛС-Руковање

Буг користи предност Хеартбеат екстензије за ТЛС, која је дизајнирана за тестирање ТЛС комуникације слањем корисног терета (обично мало текста), као и броја који одређује величину корисног оптерећења. Сервер затим реагује слањем оптерећења назад оригиналном пошиљаоцу.

Проблем је био у томе што сервер заправо не би проверио садржај корисног оптерећења, већ само број одређујући његову величину. Овај број би користио за проналажење одређене количине података из меморијског међуспремника, који је требао бити само оригинални корисни терет послан серверу.

Хеартблеед

Међутим, будући да сам корисни терет није проверен, то је отворило могућност слања мањег оптерећења од оног који је наведен у броју који представља његову величину. То је резултирало да сервер врати не само оригинални корисни терет, већ и додатне информације похрањене у меморијском међуспремнику како би достигао тражену величину поруке.

Срцем у акцији

Као пример, злонамерна порука Хеартбеат може тражити од сервера да врати реч „тест“, али одредити да дужина треба да буде 500 знакова. То би довело до тога да сервер врати тражену реч „тест“, али и 496 додатних знакова из меморије.

Иако нападач не би могао да одреди тачно које ће информације добити, постоји велика шанса да ти додатни знакови садрже осетљиве информације, попут приватног кључа сервера.

Тако је, једном када је Хеартблеед стигао на сцену, сваки цибер-криминалац који је провео дуго времена слушајући шифровани саобраћај одједном имао савршену авенију напада за набавку приватног кључа било ког сервера изложеног бугу. 

Помоћу ових кључева за шифровање могли су дешифровати све претходно прикупљене податке, што је резултирало огромном количином компромитованих информација.

Како омогућити савршену тајну унапред на вашем серверу

Омогућавање савршене функције тајности унапред на вашем серверу заправо је врло једноставан поступак који не захтева значајне напоре од стране администратора система. 

Процес очигледно варира у зависности од архитектуре сервера коју користите, па ћемо вас провести како да то урадите са Апацхе и Нгинк, две популарне архитектуре.

Генерално, оно што требате да урадите је да поставите свој сервер да даје приоритет ДХЕ и ЕЦДХЕ шифрама, али ипак треба да задржите РСА подршку као резервну копију. То је зато што старији системи и прегледачи можда не подржавају ПФС, што значи да неће моћи да учитају вашу веб локацију уколико се не уверите да су остали шифрантски програми још увек доступни.

Ципхер-Суитес

За детаљнија упутства, саставили смо детаљни водич како да омогућимо савршену тајну напред на Апацхе и Нгинк серверима.

Како конфигурирати ПФС на Апацхеу

  1. Пронађите своју ССЛ конфигурацију наредбом: “греп -И -р” ССЛЕнгине “/ етц / апацхе”
  2. Утврдите шифрирани ред тако што ћете уписати: „ССЛПротоцол алл -ССЛв2 -ССЛв3 ССЛХонорЦипхерОрдер он“
  3. Подесите ред шифре овако: “ссл_ципхерс” ЕЕЦДХ + АЕСГЦМ: ЕДХ + АЕСГЦМ: АЕС256 + ЕЕЦДХ: АЕС256 + ЕДХ ‘; “
  4. На крају, поново покрените Апацхе наредбом: “апацхецтл -к рестарт”

Како конфигурирати ПФС на Нгинку

  1. Пронађите своју ССЛ конфигурацију тако да упишете: „греп -р ссл_протоцол нгинк основни директориј“ (замените „нгинк основни директориј“ одговарајућом стазом)
  2. Промените конфигурацију уносом: „ссл_протоцолс ТЛСв1.2 ТЛСв1.1 ТЛСв1; ссл_префер_сервер_ципхерс укључен; “
  3. Подесите редослед шифрирања укуцавањем наредбе: “ссл_ципхерс” ЕЕЦДХ + АЕСГСМ: ЕДХ + АЕСГЦМ: АЕС256 + ЕЕЦДХ: АЕС256 + ЕДХ ‘; “
  4. Поново покрените Нгинк следећом наредбом: „судо сервице нгинк рестарт“

Последње мисли

Ту је све што треба да знате о савршеној тајности унапред. Иако потрошачи не могу много да учине да охрабре његову употребу, важно је знати да чак и шифровани подаци који путују сигурном везом потенцијално су рањиви за будући напад.

Одговорност за спровођење савршене тајности унапред лежи на операторима сервера и администраторима система, а циљ овог водича је да подстакне његово усвајање, што би довело до сигурнијег приступа интернету за веб странице и кориснике.. 

За кориснике који су посебно забринути због тога да ли њихове омиљене веб локације користе ПФС превоз за заштиту података, тест Куалис ССЛ Лабс омогућава вам да то проверите. Ако пуно ваших омиљених веб локација није потребно да се угушите, најбољи начин да се заштитите је преузимање руку виртуелном приватном мрежом како бисте додали додатни ниво шифровања вашем промету.

Можете погледати нашу листу најбољих ВПН провајдера који ће вам пружити овај додатни слој заштите или ако желите да прескочите право на наш избор, погледајте нашу ЕкпрессВПН рецензију.

Шта сте мислили о нашем објашњењу савршене тајности унапред? Да ли је бацио неко ново светло на техничку фразу коју сте могли чешће виђати последњих година или сте и даље збуњени као што сте почели да читате? Јавите нам у коментарима испод. Као и увек, хвала вам на читању.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map