Ano ang Perfect Forward Secrecy? Isang Gabay para sa 2020

Ang Cybersecurity ay isang patuloy na umuusbong na patlang, na may mga bagong banta, loopholes at sinasamantala na patuloy na natuklasan at pakikitungo sa. 


Ang nagpapatakbo na labanan laban sa mga cybercriminals ay nagtatanghal ng pambihirang hamon para sa mga dalubhasa sa seguridad, dahil ang pagsasamantala bukas ay maaaring makompromiso ang trapiko ngayon, isang problema na “perpektong pasulong na lihim” ay naimbento upang maiwasan. Kaya, ano ang perpektong pasulong na lihim? Patuloy na basahin ang artikulong ito upang malaman.

Ano ang Perpektong Pasulong na Kalihim (PFS)?

Kaya, ano ang PFS? Sa madaling salita, ang acronym PFS ay nakatayo para sa “perpektong pasulong na lihim,” na kung saan ay isang medyo tampok na seguridad para sa mga website. Nilalayon nitong pigilan ang hinaharap na pagsasamantala at paglabag sa seguridad mula sa pagkompromiso sa kasalukuyan o nakaraang komunikasyon, impormasyon o data sa pamamagitan ng paghiwalayin ang bawat pag-encrypt ng bawat transaksyon.

Ayon sa kaugalian, ang naka-encrypt na data ay maprotektahan ng isang solong pribadong pag-encrypt na key na hawak ng server, na magagamit nito upang i-decrypt ang lahat ng makasaysayang komunikasyon sa server gamit ang isang pampublikong susi. Nagtatanghal ito ng isang potensyal na peligro sa seguridad pababa sa linya, dahil ang isang umaatake ay maaaring gumugol ng mga linggo, buwan o taon na nakikinig sa naka-encrypt na trapiko, nag-iimbak ng data at nagtatakip ng kanilang oras.

Wireshark

Gamit ang lahat ng data na ito, kailangan gawin ng lahat ng umaatake ay maghintay para sa anumang potensyal na pagsasamantala sa seguridad sa hinaharap na magpapahintulot sa kanila na makuha ang kanilang mga kamay sa pribadong susi ng server, na maaaring magamit upang i-decrypt ang lahat ng data na kanilang naani oras.

Paano Napakahusay ng Paglulutas ng Lihim na Kalihim ang Suliranin

Nilulutas ng perpektong pasulong na lihim ang problemang ito sa pamamagitan ng pagtanggal ng pag-asa sa isang solong key ng pribadong server. Sa halip na gamitin ang parehong susi ng pag-encrypt para sa bawat solong transaksyon, ang isang bago, natatanging session key ay nabuo tuwing nagaganap ang isang bagong transaksyon ng data. 

Sa bisa nito, nangangahulugan ito na kahit na ang isang magsasalakay ay namamahala upang makakuha ng kanilang mga kamay sa isang susi ng session, magiging kapaki-pakinabang lamang ito sa pag-decrypting ng pinakabagong transaksyon, sa halip na lahat ng data na maaaring nakolekta nila sa nakaraan.

Sa halip na karaniwang pamantayang RSA key, ang mga key key na ito ay nabuo gamit ang alinman sa pag-encrypt ng diffie-Hellman, o mas mahusay pa, ang pag-encrypt ng elliptic-curve diffie-Hellman. Ang mga susi ng pag-encrypt ay ephemeral, nangangahulugang hindi sila naka-imbak kahit saan at hindi maaaring magamit muli para sa isang kalaunan na transaksyon.

Diffie-Hellman

Katulad nito, ang pribadong susi ng server ay magiging ganap na walang silbi sa nag-aatake dahil hindi ito magamit upang mai-decrypt ang anuman sa trapiko sa pagitan ng server at kliyente.

Kahit na ang pamamaraang ito ng pag-atake ay maaaring mangailangan ng higit na pasensya at mga mapagkukunan kaysa sa isang pag-access sa isang cybercriminal, hindi masasabi ang parehong para sa mga organisasyon ng intelihente. 

Ang mga entity tulad ng National Security Agency ay madaling may kakayahang makinig sa maraming naka-encrypt na koneksyon, kahit na pagpunta sa pag-tap sa higanteng mga kable sa ilalim ng tubig na kumokonekta sa mga server sa buong kontinente.

Ang napakalaking kapasidad na ito upang mangolekta ng data – na sinamahan ng institusyonal na pasensya ng isang samahan tulad ng NSA – ay nangangahulugang mayroon silang kaunting problema sa pagkolekta at pag-iimbak ng maraming halaga ng naka-encrypt na data.

Sa kaganapan na ang ilang hinaharap na pagsamantala o loophole ay nagtatanghal mismo – na nagpapahintulot sa kanila na makuha ang kanilang mga kamay sa kinakailangang pribadong key – maaari nilang gamitin ang key na ito ng pag-encrypt upang i-decrypt ang potensyal na milyon-milyon o bilyun-bilyong mga transaksyon ng data sa isang solong stroke.

Para sa isang mas malalim na paliwanag ng pag-encrypt, sa pangkalahatan, siguraduhing basahin ang aming paglalarawan ng pag-encrypt.

Paano Pinapanatili ng Ligtas ang Iyong Website

Ang pinaka-halata na paraan na ang perpektong pasulong na lihim ay nagpapanatiling ligtas ang iyong website ay sa pamamagitan ng pagbibigay sa iyo at sa iyong mga gumagamit ng karagdagang seguridad sa kaganapan ng isang paglabag sa data. Sa pinakamalala, ang isang umaatake ay makakakilala lamang sa isang transaksyon ng data, at kahit na maaari pa ring magkaroon ng panganib, ang pinsala ay lubos na nilalaman.

Bukod dito, ang mga server na gumagamit ng perpektong pasulong na lihim ay nagpapakita ng mas kaakit-akit na mga target para sa mga umaatake. Kahit na mayroon pa ring impormasyon na naka-imbak sa server na protektado ng orihinal na pribadong susi, ito ang lahat ng magsasalakay ay makakakuha ng kanilang mga kamay, na makabuluhang nililimitahan ang pagbabayad ng pag-atake.

Siyempre, hindi ito garantiya laban sa isang pag-atake, ngunit ginagawang mas malamang ang isa, dahil ang mga umaatake ay maaaring pumili ng higit pang mga nagaganyak na mga target sa halip.

Ang Google ay isa sa mga unang pangunahing kumpanya ng software na nagpatupad ng perpektong pasulong na lihim sa mga server nito. Dahil dito, malamang na, sa ilang sandali sa hinaharap, gagamitin ng Google ang posisyon nito bilang nangingibabaw na search engine upang hikayatin ang pag-ampon ng PFS sa pamamagitan ng paggantimpala ng mga site na gumagamit nito sa pamamagitan ng pagraranggo ng mas mataas sa mga resulta ng paghahanap, tulad ng kaso sa HTTP kumpara sa HTTPS.

Perpektong Pasulong na Kalihim at Puso

Marahil ay walang mas mahusay na halimbawa para sa kung bakit mahalaga ang perpektong pasulong na lihim kaysa sa napakasamang pinagsasamantalang Heartbleed. Upang maunawaan kung bakit, mahalaga na malaman muna kung ano ang Heartbleed, at kung bakit napakasira nito.

Sinusamantalahan ng pusong may bug ang ipinakilala noong 2012 sa OpenSSL – isa sa pinakatanyag na pagpapatupad ng protocol ng TLS (transport level ng transportasyon) – ngunit hindi ito natuklasan hanggang sa dalawang taon mamaya sa 2014. 

Pag-unawa sa SSL / TLS

Hindi mo kailangang malaman nang eksakto kung paano gumagana ang TLS, ngunit sa maikli, ito ay isang protocol ng seguridad na nagsasagawa ng pag-encrypt ng trapiko sa pagitan ng isang kliyente at server gamit ang isang pribadong pag-encrypt na susi, na ang HTTPS ay naging halimbawa na marahil pamilyar ka. 

Bagaman ang pagsagot sa tanong na “paano gumagana ang TLS?” nasa labas ng saklaw ng artikulong ito, maaari mong suriin ang aming artikulo sa SSL kumpara sa TLS upang matuto nang higit pa.

TLS-Handshake

Sinasamantala ng bug ang extension ng heartbeat para sa TLS, na idinisenyo upang subukan ang komunikasyon ng TLS sa pamamagitan ng pagpapadala ng isang payload (karaniwang isang maliit na teksto) pati na rin ang isang numero na tumutukoy sa laki ng payload. Pagkatapos ay tumugon ang server sa pamamagitan ng pagpapadala ng payload pabalik sa orihinal na nagpadala.

Ang problema ay hindi suriin ng server ang nilalaman ng payload, ngunit ang numero lamang na tumutukoy sa laki nito. Gagamitin nito ang numerong ito upang makuha ang isang tiyak na halaga ng data mula sa memorya ng buffer, na inilaan na lamang ang orihinal na payload na ipinadala sa server.

Malakas ang loob

Gayunpaman, dahil ang payload mismo ay hindi nasuri, binuksan nito ang posibilidad para sa pagpapadala ng isang mas maliit na kargamento kaysa sa tinukoy sa numero na kumakatawan sa laki nito. Nagresulta ito sa pagbabalik ng server hindi lamang ang orihinal na payload, kundi pati na rin ang karagdagang impormasyon na naka-imbak sa buffer ng memorya upang maabot ang hiniling na laki ng mensahe.

Malakas ang loob sa Aksyon

Bilang isang halimbawa, ang malisyosong mensahe ng tibok ng puso ay maaaring hilingin sa server na ibalik ang salitang “pagsubok” ngunit tukuyin na ang haba ay dapat na 500 character. Ito ang hahantong sa server na ibalik ang hiniling na salitang “pagsubok” ngunit 496 karagdagang mga character mula sa memorya.

Bagaman ang paraan ng pag-atake ay walang paraan upang matukoy kung ano mismo ang impormasyon na kanilang makakabalik, mayroong isang magandang pagkakataon na ang mga karagdagang karakter na ito ay maglalaman ng sensitibong impormasyon, tulad ng pribadong susi ng server.

Sa gayon, sa sandaling dumating si Heartbleed sa eksena, ang anumang cybercriminal na gumugol ng anumang haba ng oras sa pakikinig sa naka-encrypt na trapiko biglang nagkaroon ng isang perpektong paraan ng pag-atake para sa pagkuha ng pribadong susi ng anumang server na nakalantad sa bug. 

Gamit ang mga susi sa pag-encrypt, maaari nilang i-decrypt ang lahat ng mga datos na dati nilang nakolekta, na nagresulta sa isang malaking halaga ng nakompromiso na impormasyon.

Paano Paganahin ang Perpektong Pasulong na Kalihim sa Iyong Server

Ang pagpapagana ng perpektong pasulong na lihim na tampok sa iyong server ay talagang isang prangka na proseso na hindi nangangailangan ng isang malaking halaga ng pagsisikap sa bahagi ng system administrator. 

Ang proseso ay malinaw na nag-iiba depende sa arkitektura ng server na iyong ginagamit, kaya tatakbo ka namin kung paano ito gagawin nina Apache at Nginx, dalawang tanyag na arkitektura.

Sa pangkalahatan, ang kailangan mong gawin ay i-set up ang iyong server upang unahin ang mga DHE at ECDHE cipher suite, ngunit dapat mo pa ring mapanatili ang suporta sa RSA bilang isang backup. Ito ay dahil ang mga matatandang sistema at browser ay maaaring hindi suportahan ang PFS, nangangahulugang hindi nila mai-load ang iyong site maliban kung tiyakin mong magagamit pa ang iba pang mga cipher suite..

Cipher-Suites

Para sa mas tiyak na mga tagubilin, naipon namin ang isang hakbang-hakbang na gabay para sa kung paano paganahin ang perpektong pasulong na lihim sa Apache at Nginx server.

Paano i-configure ang PFS sa Apache

  1. Hanapin ang iyong SSL pagsasaayos sa utos: “grep -A” SSLEngine “/ etc / apache”
  2. Patunayan ang order ng cipher sa pamamagitan ng pag-type: “SSLProtocol lahat -SSLv2 -SSLv3 SSLHonorCipherOrder sa”
  3. Itakda ang pagkakasunud-sunod ng cipher na ganito: “ssl_ciphers ‘EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH’;”
  4. Sa wakas, i-restart ang Apache na may utos: “apachectl -k restart”

Paano Ma-configure ang PFS sa Nginx

  1. Hanapin ang iyong SSL pagsasaayos sa pamamagitan ng pag-type: “grep -r ssl_protocol nginx base direktoryo” (palitan ang “direktoryo nginx base” sa naaangkop na landas)
  2. Baguhin ang pagsasaayos sa pamamagitan ng pagpasok: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers sa; “
  3. Itakda ang order ng cipher sa pamamagitan ng pag-type ng utos: “ssl_ciphers ‘EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH’;”
  4. I-restart ang Nginx gamit ang sumusunod na utos: “sudo service nginx restart”

Pangwakas na Kaisipan

Narito, ang lahat ng kailangan mong malaman tungkol sa perpektong pasulong na lihim. Kahit na hindi gaanong magagawa ng mga mamimili upang hikayatin ang paggamit nito, mahalagang malaman na kahit na ang naka-encrypt na data na naglalakbay sa isang ligtas na koneksyon ay potensyal na masugatan sa pag-atake sa hinaharap.

Ang layunin na ipatupad ang perpektong pasulong na lihim ay namamalagi sa mga operator ng server at mga administrador ng system, at ang layunin ng gabay na ito ay hikayatin ang pag-aampon, na hahantong sa isang mas ligtas na internet para sa mga website at mga gumagamit na magkamukha.. 

Para sa mga gumagamit na partikular na nag-aalala tungkol sa kung o hindi ang kanilang mga paboritong website ay gumagamit ng transportasyon ng PFS upang ma-secure ang kanilang data, ang Qualys SSL Labs test ay nagbibigay-daan sa iyo upang suriin lamang iyon. Kung ang marami sa iyong mga paboritong website ay hindi makakagat, ang pinakamahusay na paraan upang maprotektahan ang iyong sarili ay ang mga pag-download ng isang virtual pribadong network upang magdagdag ng dagdag na antas ng pag-encrypt sa iyong trapiko.

Maaari mong suriin ang aming listahan ng pinakamahusay na mga nagbibigay ng VPN na magbibigay sa iyo ng karagdagang layer na ito ng proteksyon, o kung nais mong laktawan nang tama sa aming nangungunang pick, suriin ang aming pagsusuri sa ExpressVPN.

Ano ang naisip mo sa aming paliwanag ng perpektong pasulong na lihim? Nailabas ba nito ang ilang mga bagong ilaw sa isang teknikal na parirala na maaari mong makita nang madalas na lumitaw sa mga nakaraang taon, o nalilito ka pa ba tulad ng ikaw ay nagsimulang magbasa? Ipaalam sa amin sa mga komento sa ibaba. Tulad ng dati, salamat sa pagbabasa.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map