Perfekt framåtsekretess

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 31 maj 2022; verifiering kräver 1 redigering .

Perfekt framåtriktad sekretess ( PFS [1] ) är en  egenskap hos vissa nyckelförhandlingsprotokoll [ som garanterar att sessionsnycklar som erhålls med en långsiktig nyckeluppsättning inte äventyras när en av de långsiktiga nycklarna äventyras.

Termen Forward sekretess används ofta som en synonym för perfekt framåtsekretess [2] , men ibland [3] görs en skillnad mellan de två.

Perfect Forward Secrecy (PFS) innebär att en sessionsnyckel som genereras med hjälp av långtidsnycklar inte kommer att äventyras om en eller flera av dessa långtidsnycklar äventyras i framtiden. För att upprätthålla perfekt sekretess får nyckeln som används för att kryptera de överförda data inte användas för att härleda några ytterligare nycklar. Dessutom, om nyckeln som användes för att kryptera den överförda datan härrörde från något annat nyckelmaterial, får det materialet inte användas för att härleda några andra nycklar. [fyra]

Historik

PFS - egenskapen föreslogs [5] av Diffie , van Oorschot och Wiener och hänvisade till STS -protokollet , där privata nycklar är hållbara nycklar. PFS kräver användning av asymmetrisk kryptografi och kan inte implementeras enbart med symmetriska kryptografiska algoritmer.

Termen PFS har också använts [6] för att beskriva en liknande egenskap i lösenordsbaserade nyckelavtalsprotokoll , där den hållbara nyckeln är ett lösenord som båda parter känner till.

Bilaga D.5.1 i IEEE 1363-2000- standarden beskriver de relaterade enpartsframåtriktade sekretessegenskaperna och tvåparts forwardsekretessegenskaper för olika standardsystem för nyckelavtal.

Protokoll

Problem

När du använder PFS i TLS kan TLS-sessionsbiljetter ( RFC 5077 ) användas för att återuppta en krypterad session utan att omförhandla nycklar och utan att lagra nyckelinformation på servern. När den första anslutningen öppnas och nycklar skapas, krypterar servern anslutningens tillstånd och skickar det till klienten (i form av en sessionsbiljett ). Följaktligen, när anslutningen återupptas, skickar klienten en sessionsbiljett innehållande bland annat sessionsnyckeln tillbaka till servern. Själva biljetten krypteras med en temporär nyckel ( session ticket key ), som lagras på servern och måste distribueras till alla frontendservrar som hanterar SSL i klustrade lösningar. [10] . Således kan införandet av en sessionsbiljett bryta mot PFS om temporära servernycklar äventyras, till exempel när de lagras under lång tid ( OpenSSL , nginx , Apache lagrar dem som standard under hela tiden programmet körs; populära webbplatser använd nyckeln i flera timmar, upp till dagar). Ett liknande problem finns i TOR för minst ett krypteringslager [11] [12] .

Vissa implementeringar av DH-protokoll (key agreement) väljer för svaga gruppparametrar på serversidan. Till exempel används modulo-restfält ibland med en längd på 256 bitar (avvisas av vissa webbläsare) eller 512 bitar (lätt hackad) [13]

Se även

Anteckningar

  1. Elsevier's Dictionary of Information Security av G. Manoilov, B. Radichkova s ​​364, # 3759
  2. IEEE 1363-2000: IEEE Standard Specifications for Public Key Cryptography. Institute of Electrical and Electronics Engineers, 2000. Arkiverad kopia (länk ej tillgänglig) . Hämtad 25 november 2017. Arkiverad från originalet 1 december 2014. 
  3. Telecom Ordlista 2000, T1 523-2001, Alliance for Telecommunications Industry Solutions (ATIS) Committee T1A1. http://www.atis.org/tg2k/_perfect_forward_secrecy.html Arkiverad 11 december 2007 på Wayback Machine
  4. Internet: säkerhetsprotokoll. Träningskurs. // Black W. - Peter, 2001. ISBN 5-318-00002-9 , sida 63, "Perfect forward secrecy (PFS)"
  5. Diffie, Whitfield; van Oorschot, Paul C.; Wiener, Michael J. Autentisering och autentiserade nyckelutbyten  (odefinierat)  // Designs, Codes and Cryptography. - 1992. - Juni ( vol. 2 , nr 2 ). - S. 107 . - doi : 10.1007/BF00124891 .
  6. Jablon, David P. Starkt lösenord endast autentiserat nyckelutbyte  (obestämd)  // ACM Computer Communication Review. - 1996. - Oktober ( vol. 26 , nr 5 ). - S. 5-26 . doi : 10.1145 / 242896.242897 .
  7. Diskussion om TLS-sändlistan i oktober 2007 (länk ej tillgänglig) . Hämtad 23 november 2011. Arkiverad från originalet 22 september 2013. 
  8. SSL Labs: Deploying Forward Secrecy Arkiverad 26 juni 2013 på Wayback Machine // Ivan Ristic, 25 juni 2013; Säkerhetslabb
  9. SSL Pulse: Undersökning av SSL-implementeringen av de mest populära webbplatserna (länk ej tillgänglig) . Hämtad 17 juni 2016. Arkiverad från originalet 15 maj 2017. 
  10. Vidarebefordra sekretess för Google HTTPS (22 nov 2011) Arkiverad 26 januari 2014 på Wayback Machine // ImperialViolet - Sessionsbiljetter
  11. Florent Daigni. TLS "hemligheter" Vad alla glömde att berätta för dig...  (engelska)  (nedlänk) . Blackhat USA (juli 2013). Tillträdesdatum: 20 december 2013. Arkiverad från originalet den 5 augusti 2013.
  12. SSL Labs: Deploying Forward Secrecy Arkiverad 26 juni 2013 på Wayback Machine // Ivan Ristic, 25 juni 2013; Security Labs - Alternativa attackvektorer: "det finns en alternativ sessionshanteringsmekanism som kallas sessionsbiljetter, som använder separata krypteringsnycklar som sällan roteras (möjligen aldrig i extrema fall). .. den här funktionen är bäst inaktiverad för att säkerställa att den inte äventyrar sekretessen framåt."
  13. Hur man misslyckas med TLS-sändningssekretess (27 juni 2013) Arkiverad 8 augusti 2013 på Wayback Machine // ImperialViolet

Länkar