ما هي السرية التامة لإعادة التوجيه؟

في علم التشفير ، يمكن تسمية بعض الأصفار بالاختصار PFS. هذا يعني السرية التامة للأمام. قد تشير بعض عمليات التنفيذ ببساطة إلى PFS على أنها FS. يشير هذا الاختصار إلى Forward Secrecy أو Forward Secure. على أي حال ، كلهم ​​يتحدثون عن نفس الشيء. يتطلب فهم معنى Perfect Forward Secrecy أن تفهم أساسيات تبادل مفاتيح التشفير.

أساسيات التشفير

للتواصل بشكل آمن ، الحل الأمثل هو استخدام خوارزميات التشفير المتماثل. هذه سريعة ، أسرع بكثير من الخوارزميات غير المتماثلة. ومع ذلك ، لديهم مشكلة أساسية. نظرًا لاستخدام نفس المفتاح لتشفير رسالة وفك تشفيرها ، لا يمكنك إرسال المفتاح عبر قناة غير آمنة. على هذا النحو ، يجب أن تكون قادرًا على تأمين القناة أولاً. يتم ذلك باستخدام التشفير غير المتماثل في الممارسة.

ملاحظة: سيكون من الممكن أيضًا ، إذا كان من غير الممكن استخدام قناة آمنة خارج النطاق ، على الرغم من استمرار الصعوبة في تأمين تلك القناة.

لتأمين قناة غير آمنة ، يتم تنفيذ عملية تسمى تبادل مفاتيح Diffie-Hellman. في تبادل مفاتيح Diffie-Hellman ، يرسل أحد الأطراف ، أليس ، مفتاحه العام إلى الطرف الآخر ، بوب. ثم يدمج بوب مفتاحه الخاص مع مفتاح أليس العام لتوليد سر. يرسل بوب بعد ذلك مفتاحه العام إلى أليس ، التي تدمجه مع مفتاحها الخاص ، مما يسمح لها بإنشاء نفس السر. في هذه الطريقة ، يمكن للطرفين نقل المعلومات العامة ولكن ينتهي بهم الأمر بتوليد نفس السر ، دون الحاجة إلى نقله. يمكن بعد ذلك استخدام هذا السر كمفتاح تشفير لخوارزمية تشفير متماثل سريع.

ملاحظة: تبادل مفاتيح Diffie-Hellman لا يوفر أصلاً أي مصادقة. يمكن للمهاجم في موقع Man in the Middle أو MitM التفاوض على اتصال آمن مع كل من Alice و Bob ، ومراقبة الاتصالات التي تم فك تشفيرها بهدوء. يتم حل هذه المشكلة عبر PKI أو البنية التحتية للمفتاح العام. على الإنترنت ، يأخذ هذا شكل المراجع المصدقة الموثوقة التي تقوم بتوقيع شهادات مواقع الويب. يتيح ذلك للمستخدم التحقق من اتصاله بالخادم الذي يتوقعه.

المشكلة مع معيار Diffie-Hellman

في حين أن مشكلة المصادقة سهلة الحل ، فهذه ليست المشكلة الوحيدة. تحتوي مواقع الويب على شهادة موقعة من مرجع مصدق. تتضمن هذه الشهادة مفتاحًا عامًا ، يمتلك الخادم المفتاح الخاص له. يمكنك استخدام هذه المجموعة من المفاتيح غير المتماثلة للتواصل بشكل آمن ، ومع ذلك ، ماذا يحدث إذا تم اختراق هذا المفتاح الخاص؟

إذا أراد طرف ضار ومهتم فك تشفير البيانات المشفرة ، فسيواجه صعوبة في ذلك. تم تصميم التشفير الحديث بطريقة تستغرق ملايين السنين على الأقل للحصول على فرصة معقولة لتخمين مفتاح تشفير واحد. ومع ذلك ، فإن نظام التشفير آمن فقط مثل المفتاح. لذلك إذا كان المهاجم قادرًا على اختراق المفتاح ، على سبيل المثال عن طريق اختراق الخادم ، فيمكنه استخدامه لفك تشفير أي حركة مرور تم استخدامها لتشفيرها.

من الواضح أن هذه المسألة لها بعض المتطلبات الكبيرة. أولا ، المفتاح يحتاج إلى تسوية. يحتاج المهاجم أيضًا إلى أي حركة مرور مشفرة يريد فك تشفيرها. بالنسبة لمهاجمك العادي ، يعد هذا مطلبًا صعبًا للغاية. ومع ذلك ، إذا كان المهاجم هو مزود خدمة إنترنت ضار أو مزود VPN أو مالك نقطة اتصال Wi-Fi أو دولة قومية ، فهم في مكان جيد لالتقاط كميات هائلة من حركة المرور المشفرة التي قد يتمكنون من فك تشفيرها في مرحلة ما.

تكمن المشكلة هنا في أنه باستخدام المفتاح الخاص للخادم ، يمكن للمهاجم بعد ذلك إنشاء السر واستخدامه لفك تشفير كل حركة المرور التي تم استخدامها لتشفيرها. قد يسمح هذا للمهاجم بفك تشفير سنوات من حركة مرور الشبكة لجميع المستخدمين إلى موقع ويب بضربة واحدة.

السرية التامة إلى الأمام

الحل لذلك هو عدم استخدام نفس مفتاح التشفير لكل شيء. بدلاً من ذلك ، تريد استخدام المفاتيح المؤقتة. تتطلب سرية التوجيه التام أن يقوم الخادم بإنشاء زوج مفاتيح غير متماثل جديد لكل اتصال. لا تزال الشهادة مستخدمة للمصادقة ولكنها لا تُستخدم فعليًا في عملية تفاوض المفتاح. يتم الاحتفاظ بالمفتاح الخاص في الذاكرة لفترة كافية فقط للتفاوض على السر قبل مسحه. وبالمثل ، يتم الاحتفاظ بالسر فقط طالما أنه قيد الاستخدام قبل مسحه. في الجلسات الطويلة بشكل خاص ، قد يتم إعادة التفاوض عليها.

نصيحة: في الأسماء المشفرة ، عادةً ما يتم تمييز الشفرات التي تتميز بـ Perfect Forward Secrecy بـ DHE أو ECDHE. DH تقف أو Diffie-Hellman ، بينما E في النهاية تعني سريع الزوال.

باستخدام سر فريد لكل جلسة ، يتم تقليل مخاطر اختراق المفتاح الخاص بشكل كبير. إذا كان المهاجم قادرًا على اختراق المفتاح الخاص ، فيمكنه فك تشفير حركة المرور الحالية والمستقبلية ، لكن لا يمكنهم استخدامه لفك تشفير حركة المرور التاريخية بشكل مجمّع.

على هذا النحو ، توفر السرية التامة للأمام حماية واسعة ضد الالتقاط الشامل لحركة مرور الشبكة. بينما في حالة تعرض الخادم للخطر ، قد يتم فك تشفير بعض البيانات ، فهي بيانات حالية فقط ، وليست جميع البيانات التاريخية. بالإضافة إلى ذلك ، بمجرد اكتشاف الاختراق ، يمكن حل المشكلة مع ترك مقدار صغير نسبيًا من إجمالي حركة المرور مدى الحياة التي يمكن للمهاجم فك تشفيرها.

خاتمة

Perfect Forward Secrecy هي أداة للحماية من المراقبة التاريخية الشاملة. قد يتمكن المهاجم القادر على جمع وتخزين مجموعات كبيرة من الاتصالات المشفرة من فك تشفيرها إذا تمكنوا من الوصول إلى المفتاح الخاص. يضمن PFS أن كل جلسة تستخدم مفاتيح فريدة سريعة الزوال. هذا يحد من قدرة المهاجم على أن يكون قادرًا "فقط" على فك تشفير حركة المرور الحالية ، بدلاً من كل حركة المرور السابقة.