Perfect Secrecy คืออะไร คำแนะนำสำหรับปี 2020

ไซเบอร์ซีเคียวริตี้เป็นเขตที่มีการพัฒนาอยู่ตลอดเวลาพร้อมกับภัยคุกคามใหม่ช่องโหว่และการหาช่องโหว่ที่ถูกค้นพบและจัดการอย่างต่อเนื่อง. 


การต่อสู้กับอาชญากรไซเบอร์ที่นำเสนอนี้เป็นความท้าทายที่ยอดเยี่ยมสำหรับผู้เชี่ยวชาญด้านความปลอดภัยเนื่องจากการใช้ประโยชน์จากวันพรุ่งนี้สามารถลดทอนการรับส่งข้อมูลในวันนี้ปัญหาที่ว่า“ การรักษาความลับที่สมบูรณ์แบบไปข้างหน้า” ได้ถูกคิดค้นขึ้น ดังนั้นความลับส่งต่อที่สมบูรณ์แบบคืออะไร? โปรดอ่านบทความนี้เพื่อค้นหา.

Perfect Secrecy (PFS) คืออะไร?

PFS คืออะไร กล่าวโดยย่อตัวย่อของ PFS ย่อมาจาก “perfect forward Secrecy” ซึ่งเป็นคุณสมบัติความปลอดภัยล่าสุดสำหรับเว็บไซต์ มันมีจุดมุ่งหมายเพื่อป้องกันการหาประโยชน์ในอนาคตและการละเมิดความปลอดภัยจากการสื่อสารในปัจจุบันหรือที่ผ่านมาข้อมูลหรือข้อมูลโดยการแยกการเข้ารหัสของแต่ละธุรกรรม.

ตามเนื้อผ้าข้อมูลที่เข้ารหัสจะได้รับการป้องกันโดยคีย์การเข้ารหัสส่วนตัวเดียวที่จัดขึ้นโดยเซิร์ฟเวอร์ซึ่งสามารถใช้เพื่อถอดรหัสการสื่อสารที่ผ่านมาทั้งหมดกับเซิร์ฟเวอร์โดยใช้คีย์สาธารณะ สิ่งนี้นำเสนอความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นในขณะที่ผู้โจมตีสามารถใช้เวลาหลายสัปดาห์หลายเดือนหรือหลายปีในการฟังทราฟฟิกที่เข้ารหัสการจัดเก็บข้อมูลและการแบ่งเวลา.

Wireshark

เมื่อข้อมูลทั้งหมดนี้อยู่ในมือผู้โจมตีทุกคนต้องทำคือรอความปลอดภัยที่อาจเกิดขึ้นในอนาคตซึ่งจะช่วยให้พวกเขาสามารถเข้าถึงคีย์ส่วนตัวของเซิร์ฟเวอร์ซึ่งสามารถนำมาใช้ในการถอดรหัสข้อมูลทั้งหมดที่ได้ทำการเก็บเกี่ยว เวลา.

ความลับส่งต่อที่สมบูรณ์แบบแก้ปัญหาได้อย่างไร

การรักษาความลับไปข้างหน้าอย่างสมบูรณ์แบบแก้ปัญหานี้ได้โดยการลบการพึ่งพาคีย์ส่วนตัวของเซิร์ฟเวอร์เดียว แทนที่จะใช้คีย์การเข้ารหัสเดียวกันสำหรับทุก ๆ ธุรกรรมคีย์เซสชันใหม่ที่ไม่ซ้ำกันจะถูกสร้างขึ้นทุกครั้งที่มีการทำธุรกรรมข้อมูลใหม่. 

ซึ่งหมายความว่าแม้ว่าผู้โจมตีจะจัดการกับคีย์เซสชัน แต่ก็จะมีประโยชน์สำหรับการถอดรหัสธุรกรรมล่าสุดเท่านั้นแทนที่จะเป็นข้อมูลทั้งหมดที่พวกเขาอาจเก็บรวบรวมในอดีต.

แทนที่จะใช้การแลกเปลี่ยนคีย์มาตรฐาน RSA คีย์เซสชันเหล่านี้สร้างขึ้นโดยใช้การเข้ารหัส Diffie-Hellman หรือดีกว่าการเข้ารหัส Diffie-Hellman รูปไข่ คีย์การเข้ารหัสเป็นชั่วคราวซึ่งหมายความว่าพวกเขาจะไม่ถูกเก็บไว้ที่ใดและไม่สามารถนำกลับมาใช้ใหม่สำหรับการทำธุรกรรมในภายหลัง.

Diffie-Hellman

คีย์ส่วนตัวของเซิร์ฟเวอร์จะไร้ประโยชน์อย่างสมบูรณ์ต่อผู้โจมตีเนื่องจากไม่สามารถใช้ในการถอดรหัสการรับส่งข้อมูลใด ๆ ระหว่างเซิร์ฟเวอร์และไคลเอนต์.

แม้ว่าวิธีการโจมตีนี้อาจต้องการความอดทนและทรัพยากรมากกว่าอาชญากรไซเบอร์คนเดียวที่สามารถเข้าถึงได้ แต่ก็ไม่สามารถพูดได้เหมือนกันสำหรับองค์กรข่าวกรอง. 

หน่วยงานต่างๆเช่น National Security Agency มีความสามารถในการรับฟังในการเชื่อมต่อที่เข้ารหัสมากมายได้อย่างง่ายดายแม้จะไปจนถึงการแตะสายเคเบิลใต้น้ำขนาดยักษ์ที่เชื่อมต่อเซิร์ฟเวอร์ข้ามทวีป.

ความจุมหาศาลในการรวบรวมข้อมูล – รวมกับความอดทนเชิงสถาบันขององค์กรเช่น NSA หมายความว่าพวกเขามีปัญหาเล็กน้อยในการรวบรวมและจัดเก็บข้อมูลที่เข้ารหัสจำนวนมหาศาล.

ในกรณีที่การหาประโยชน์หรือช่องโหว่ในอนาคตนำเสนอตัวเองทำให้พวกเขาสามารถเข้าถึงคีย์ส่วนตัวที่ต้องการได้จากนั้นพวกเขาสามารถใช้คีย์เข้ารหัสนี้เพื่อถอดรหัสล้านธุรกรรมที่อาจเกิดขึ้นในจังหวะเดียว.

สำหรับคำอธิบายในเชิงลึกเกี่ยวกับการเข้ารหัสโดยทั่วไปโปรดอ่านคำอธิบายการเข้ารหัสของเรา.

PFS ช่วยให้เว็บไซต์ของคุณปลอดภัยอย่างไร

วิธีที่ชัดเจนที่สุดที่การรักษาความลับส่งต่อที่สมบูรณ์แบบจะทำให้เว็บไซต์ของคุณปลอดภัยคือการให้ความปลอดภัยเพิ่มเติมแก่คุณและผู้ใช้ในกรณีที่มีการละเมิดข้อมูล ที่เลวร้ายที่สุดผู้โจมตีจะสามารถถอดรหัสการทำธุรกรรมข้อมูลเพียงครั้งเดียวและถึงแม้ว่าสิ่งนี้อาจยังคงมีความเสี่ยงความเสียหายที่มีอยู่อย่างมาก.

นอกจากนี้เซิร์ฟเวอร์ที่ใช้การรักษาความลับที่สมบูรณ์แบบนำเสนอเป้าหมายที่น่าสนใจน้อยกว่าสำหรับผู้โจมตี แม้ว่าจะยังมีข้อมูลที่เก็บไว้ในเซิร์ฟเวอร์ที่ได้รับการปกป้องโดยรหัสส่วนตัวดั้งเดิมนี่คือผู้โจมตีทั้งหมดจะสามารถรับมือได้โดย จำกัด การจ่ายเงินของการโจมตีอย่างมีนัยสำคัญ.

แน่นอนว่านี่ไม่รับประกันการโจมตี แต่มันมีโอกาสน้อยลงเนื่องจากผู้โจมตีอาจเลือกเป้าหมายที่คุ้มค่ามากกว่าแทน.

Google เป็นหนึ่งใน บริษัท ซอฟต์แวร์รายใหญ่รายแรกที่ใช้การรักษาความลับล่วงหน้าที่สมบูรณ์แบบบนเซิร์ฟเวอร์ ด้วยเหตุนี้จึงมีความเป็นไปได้สูงที่ Google จะใช้ตำแหน่งเป็นเครื่องมือค้นหาที่โดดเด่นเพื่อสนับสนุนการยอมรับ PFS ด้วยการให้รางวัลแก่ไซต์ที่ใช้งานโดยจัดอันดับให้สูงกว่าในผลการค้นหา กรณีที่มี HTTP กับ HTTPS.

การรักษาความลับและหัวใจที่สมบูรณ์แบบ

อาจไม่มีตัวอย่างที่ดีกว่าว่าทำไมความลับที่สมบูรณ์แบบไปข้างหน้าจึงเป็นสิ่งจำเป็นมากกว่าการใช้ประโยชน์จาก Heartbleed ที่น่าอับอาย เพื่อทำความเข้าใจว่าทำไมจึงเป็นสิ่งสำคัญที่จะต้องรู้ก่อนว่า Heartbleed คืออะไรและทำไมมันถึงสร้างความเสียหายได้.

Heartbleed ใช้ประโยชน์จากข้อผิดพลาดที่แนะนำในปี 2012 ถึง OpenSSL ซึ่งเป็นหนึ่งในการติดตั้งโปรโตคอล TLS (ความปลอดภัยระดับการขนส่ง) ที่ได้รับความนิยมมากที่สุด – แต่สิ่งนี้ไม่ได้ถูกค้นพบจนกระทั่งสองปีต่อมาในปี 2014. 

ทำความเข้าใจกับ SSL / TLS

คุณไม่จำเป็นต้องรู้อย่างแน่ชัดว่า TLS ทำงานอย่างไร แต่ในระยะสั้นมันเป็นโปรโตคอลความปลอดภัยที่เข้ารหัสการรับส่งข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์โดยใช้คีย์การเข้ารหัสส่วนตัวโดย HTTPS เป็นตัวอย่างที่คุณคุ้นเคยมากที่สุด. 

แม้ว่าการตอบคำถาม“ TLS ทำงานอย่างไร” อยู่นอกขอบเขตของบทความนี้คุณสามารถตรวจสอบบทความของเราเกี่ยวกับ SSL กับ TLS เพื่อเรียนรู้เพิ่มเติม.

TLS-Handshake

บั๊กใช้ประโยชน์จากส่วนขยาย Heartbeat สำหรับ TLS ซึ่งออกแบบมาเพื่อทดสอบการสื่อสาร TLS โดยการส่ง payload (โดยปกติจะเป็นบิตของข้อความ) รวมถึงหมายเลขที่ระบุขนาดของ payload เซิร์ฟเวอร์ตอบกลับโดยการส่ง payload กลับไปยังผู้ส่งดั้งเดิม.

ปัญหาคือว่าเซิร์ฟเวอร์จะไม่ตรวจสอบเนื้อหาของ payload แต่เพียงแค่จำนวนที่ระบุขนาดของมัน มันจะใช้หมายเลขนี้เพื่อดึงข้อมูลจำนวนหนึ่งจากบัฟเฟอร์หน่วยความจำซึ่งมีจุดประสงค์เพื่อให้เป็นเพย์โหลดดั้งเดิมที่ส่งไปยังเซิร์ฟเวอร์.

Heartbleed

อย่างไรก็ตามเนื่องจากไม่มีการตรวจสอบน้ำหนักบรรทุกเองสิ่งนี้เปิดโอกาสในการส่งน้ำหนักบรรทุกขนาดเล็กกว่าที่ระบุไว้ในจำนวนที่แสดงขนาดของมัน สิ่งนี้ส่งผลให้เซิร์ฟเวอร์กลับมาไม่ใช่แค่เพย์โหลดดั้งเดิมเท่านั้น แต่ยังส่งข้อมูลเพิ่มเติมที่เก็บไว้ในบัฟเฟอร์หน่วยความจำเพื่อให้ได้ขนาดข้อความที่ร้องขอ.

Heartbleed in Action

ตัวอย่างเช่นข้อความ Heartbeat ที่เป็นอันตรายอาจขอให้เซิร์ฟเวอร์ส่งคืนคำว่า“ ทดสอบ” แต่ระบุว่าความยาวควรเป็น 500 อักขระ สิ่งนี้จะนำไปสู่เซิร์ฟเวอร์เพื่อส่งคืนคำที่ร้องขอ“ ทดสอบ” แต่ยังมีตัวอักษรเพิ่มเติมจากหน่วยความจำ 496 ตัว.

แม้ว่าผู้โจมตีจะไม่มีวิธีกำหนดข้อมูลที่แน่นอนว่าพวกเขาจะได้รับกลับมา แต่มีโอกาสดีที่อักขระเพิ่มเติมเหล่านี้จะมีข้อมูลที่ละเอียดอ่อนเช่นรหัสส่วนตัวของเซิร์ฟเวอร์.

ดังนั้นเมื่อ Heartbleed มาถึงที่เกิดเหตุอาชญากรไซเบอร์คนไหนที่ใช้เวลานานในการรับส่งข้อมูลที่เข้ารหัสนั้นจู่ ๆ ก็มีช่องทางที่สมบูรณ์แบบในการโจมตีเพื่อรับกุญแจส่วนตัวของเซิร์ฟเวอร์ที่พบข้อผิดพลาด. 

การใช้คีย์เข้ารหัสเหล่านี้จะสามารถถอดรหัสข้อมูลทั้งหมดที่รวบรวมไว้ก่อนหน้านี้ซึ่งส่งผลให้มีข้อมูลจำนวนมากที่ถูกบุกรุก.

วิธีการเปิดใช้งานการส่งต่อความลับที่สมบูรณ์แบบบนเซิร์ฟเวอร์ของคุณ

การเปิดใช้งานคุณสมบัติการส่งต่อความลับที่สมบูรณ์แบบบนเซิร์ฟเวอร์ของคุณเป็นกระบวนการที่ไม่ซับซ้อนซึ่งไม่ต้องใช้ความพยายามอย่างมากในส่วนของผู้ดูแลระบบ. 

กระบวนการจะแตกต่างกันอย่างชัดเจนขึ้นอยู่กับสถาปัตยกรรมเซิร์ฟเวอร์ที่คุณกำลังจ้างดังนั้นเราจะแนะนำวิธีการทำเช่นนั้นให้กับ Apache และ Nginx ซึ่งเป็นสถาปัตยกรรมยอดนิยมสองแห่ง.

โดยทั่วไปสิ่งที่คุณต้องทำคือตั้งค่าเซิร์ฟเวอร์ของคุณเพื่อจัดลำดับความสำคัญของชุดรหัส DHE และ ECDHE แต่คุณควรคงการสนับสนุน RSA ไว้เป็นข้อมูลสำรอง นี่เป็นเพราะระบบเก่าและเบราว์เซอร์อาจไม่รองรับ PFS ซึ่งหมายความว่าพวกเขาจะไม่สามารถโหลดเว็บไซต์ของคุณได้จนกว่าคุณจะแน่ใจว่าชุดรหัสอื่นยังคงพร้อมใช้งาน.

Cipher สวีท

สำหรับคำแนะนำที่เฉพาะเจาะจงยิ่งขึ้นเราได้รวบรวมคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการเปิดใช้งานการส่งต่อความลับที่สมบูรณ์แบบบนเซิร์ฟเวอร์ Apache และ Nginx.

วิธีกำหนดค่า PFS บน Apache

  1. ค้นหาการกำหนดค่า SSL ของคุณด้วยคำสั่ง:“ grep -I -r“ SSLEngine” / etc / apache”
  2. บังคับใช้ลำดับการเข้ารหัสโดยพิมพ์:“ SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”
  3. ตั้งค่าลำดับรหัสดังนี้:“ ssl_ciphers ‘EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH’;”
  4. ในที่สุดรีสตาร์ท Apache ด้วยคำสั่ง:“ apachectl -k restart”

วิธีกำหนดค่า PFS บน Nginx

  1. ค้นหาการกำหนดค่า SSL ของคุณโดยพิมพ์:“ grep -r ssl_protocol nginx base directory” (แทนที่“ nginx base directory” ด้วยพา ธ ที่เหมาะสม)
  2. เปลี่ยนการกำหนดค่าโดยป้อน:“ ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers on;”
  3. ตั้งค่าลำดับรหัสโดยพิมพ์คำสั่ง:“ ssl_ciphers ‘EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH’;”
  4. รีสตาร์ท Nginx ด้วยคำสั่งต่อไปนี้:“ sudo service nginx restart”

ความคิดสุดท้าย

มีทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับความลับของการส่งต่อที่สมบูรณ์แบบ แม้ว่าจะมีไม่มากที่ผู้บริโภคสามารถทำได้เพื่อส่งเสริมการใช้งานของมัน แต่สิ่งสำคัญคือต้องรู้ว่าแม้แต่ข้อมูลที่เข้ารหัสที่เดินทางผ่านการเชื่อมต่อที่ปลอดภัยอาจเสี่ยงต่อการถูกโจมตีในอนาคต.

ความรับผิดชอบในการดำเนินการส่งต่อความลับที่สมบูรณ์แบบนั้นอยู่ที่ผู้ให้บริการเซิร์ฟเวอร์และผู้ดูแลระบบและเป้าหมายของคู่มือนี้คือเพื่อสนับสนุนการยอมรับซึ่งจะนำไปสู่อินเทอร์เน็ตที่ปลอดภัยยิ่งขึ้นสำหรับเว็บไซต์และผู้ใช้. 

สำหรับผู้ใช้ที่มีความกังวลเป็นพิเศษเกี่ยวกับว่าเว็บไซต์โปรดของพวกเขาใช้การขนส่ง PFS เพื่อรักษาความปลอดภัยข้อมูลหรือไม่การทดสอบ Qualys SSL Labs ช่วยให้คุณสามารถตรวจสอบได้ หากเว็บไซต์โปรดจำนวนมากของคุณไม่ได้รับกลิ่นวิธีที่ดีที่สุดในการป้องกันตัวคุณเองก็คือการดาวน์โหลดเครือข่ายส่วนตัวเสมือนจริงเพื่อเพิ่มการเข้ารหัสระดับพิเศษให้กับทราฟฟิกของคุณ.

คุณสามารถตรวจสอบรายชื่อผู้ให้บริการ VPN ที่ดีที่สุดของเราที่จะให้การปกป้องชั้นพิเศษนี้แก่คุณหรือหากคุณต้องการที่จะข้ามไปที่ตัวเลือกอันดับต้น ๆ ของเราให้ตรวจสอบ ExpressVPN ของเรา.

คุณคิดอย่างไรกับคำอธิบายของเราเกี่ยวกับความลับที่สมบูรณ์แบบ มันทำให้เกิดแสงสว่างใหม่ ๆ ในวลีทางเทคนิคที่คุณอาจเห็นปรากฏขึ้นบ่อยครั้งในช่วงไม่กี่ปีที่ผ่านมาหรือคุณยังสับสนเหมือนเดิมเมื่อคุณเริ่มอ่าน? แจ้งให้เราทราบในความคิดเห็นด้านล่าง และเช่นเคยขอขอบคุณที่อ่าน.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map