Was ist Perfect Forward Secrecy?

In der Kryptographie können einige Chiffren mit dem Akronym PFS bezeichnet werden. Das steht für Perfect Forward Secrecy. Einige Implementierungen können PFS einfach als FS bezeichnen. Dieses Akronym bedeutet Forward Secrecy oder Forward Secure. Auf jeden Fall reden alle über dasselbe. Um zu verstehen, was Perfect Forward Secrecy bedeutet, müssen Sie die Grundlagen des kryptografischen Schlüsselaustauschs verstehen.

Grundlagen der Kryptografie

Um sicher zu kommunizieren, ist die ideale Lösung die Verwendung symmetrischer Verschlüsselungsalgorithmen. Diese sind schnell, viel schneller als asymmetrische Algorithmen. Sie haben jedoch ein grundlegendes Problem. Da zum Verschlüsseln und Entschlüsseln einer Nachricht derselbe Schlüssel verwendet wird, können Sie den Schlüssel nicht über einen unsicheren Kanal senden. Daher müssen Sie zuerst in der Lage sein, den Kanal zu sichern. Dies geschieht in der Praxis mit asymmetrischer Kryptografie.

Hinweis: Es wäre auch möglich, falls dies nicht möglich ist, einen sicheren Außerbandkanal zu verwenden, obwohl die Schwierigkeit bleibt, diesen Kanal zu sichern.

Um einen unsicheren Kanal abzusichern, wird ein als Diffie-Hellman-Schlüsselaustausch bezeichneter Prozess durchgeführt. Beim Diffie-Hellman-Schlüsselaustausch sendet eine Partei, Alice, ihren öffentlichen Schlüssel an die andere Partei, Bob. Bob kombiniert dann seinen privaten Schlüssel mit dem öffentlichen Schlüssel von Alice, um ein Geheimnis zu generieren. Bob sendet dann seinen öffentlichen Schlüssel an Alice, die ihn mit ihrem privaten Schlüssel kombiniert, sodass sie dasselbe Geheimnis generieren kann. Bei dieser Methode können beide Parteien öffentliche Informationen übertragen, erzeugen aber am Ende dasselbe Geheimnis, ohne es jemals übertragen zu müssen. Dieses Geheimnis kann dann als Verschlüsselungsschlüssel für einen schnellen symmetrischen Verschlüsselungsalgorithmus verwendet werden.

Hinweis: Der Diffie-Hellman-Schlüsselaustausch bietet nativ keine Authentifizierung. Ein Angreifer in einer Man-in-the-Middle- oder MitM-Position könnte sowohl mit Alice als auch mit Bob eine sichere Verbindung aushandeln und die entschlüsselte Kommunikation stillschweigend überwachen. Dieses Problem wird über PKI oder Public Key Infrastructure gelöst. Im Internet geschieht dies in Form von vertrauenswürdigen Zertifizierungsstellen, die Zertifikate von Websites signieren. Auf diese Weise kann ein Benutzer überprüfen, ob er sich mit dem erwarteten Server verbindet.

Das Problem mit Standard-Diffie-Hellman

Das Authentifizierungsproblem ist zwar leicht zu lösen, aber das ist nicht das einzige Problem. Websites haben ein Zertifikat, das von einer Zertifizierungsstelle signiert ist. Dieses Zertifikat enthält einen öffentlichen Schlüssel, für den der Server den privaten Schlüssel hat. Sie können diesen Satz asymmetrischer Schlüssel verwenden, um sicher zu kommunizieren, aber was passiert, wenn dieser private Schlüssel jemals kompromittiert wird?

Wenn ein interessierter, böswilliger Beteiligter verschlüsselte Daten entschlüsseln wollte, hätte er es schwer. Die moderne Verschlüsselung wurde so konzipiert, dass es mindestens viele Millionen Jahre dauern würde, um eine vernünftige Chance zu haben, einen einzigen Verschlüsselungsschlüssel zu erraten. Ein kryptografisches System ist jedoch nur so sicher wie der Schlüssel. Wenn der Angreifer also in der Lage ist, den Schlüssel zu kompromittieren, beispielsweise indem er sich in den Server hackt, kann er damit jeden Datenverkehr entschlüsseln, mit dem er verschlüsselt wurde.

Dieses Problem hat offensichtlich einige große Anforderungen. Zuerst muss der Schlüssel kompromittiert werden. Der Angreifer benötigt auch jeglichen verschlüsselten Datenverkehr, den er entschlüsseln möchte. Für einen durchschnittlichen Angreifer ist dies eine ziemlich schwierige Anforderung. Handelt es sich bei dem Angreifer jedoch um einen böswilligen ISP, VPN-Anbieter, Wi-Fi-Hotspot-Besitzer oder einen Nationalstaat, sind sie an einem guten Ort, um große Mengen an verschlüsseltem Datenverkehr abzufangen, den sie möglicherweise irgendwann entschlüsseln können.

Das Problem hierbei ist, dass der Angreifer mit dem privaten Schlüssel des Servers dann das Geheimnis generieren und damit den gesamten Datenverkehr entschlüsseln könnte, zu dessen Verschlüsselung er jemals verwendet wurde. Dies könnte es dem Angreifer ermöglichen, jahrelangen Netzwerkverkehr für alle Benutzer zu einer Website auf einen Schlag zu entschlüsseln.

Perfect Forward Secrecy

Die Lösung hierfür besteht darin, nicht für alles denselben Verschlüsselungsschlüssel zu verwenden. Stattdessen möchten Sie flüchtige Schlüssel verwenden. Perfect Forward Secretion erfordert, dass der Server für jede Verbindung ein neues asymmetrisches Schlüsselpaar generiert. Das Zertifikat wird weiterhin für die Authentifizierung verwendet, wird aber nicht wirklich für den Schlüsselaushandlungsprozess verwendet. Der private Schlüssel wird nur lange genug im Speicher gehalten, um das Geheimnis auszuhandeln, bevor er gelöscht wird. Ebenso wird das Geheimnis nur so lange aufbewahrt, wie es verwendet wird, bevor es gelöscht wird. Bei besonders langen Sitzungen kann sogar nachverhandelt werden.

Tipp: In Chiffriernamen werden Chiffren mit Perfect Forward Secrecy typischerweise mit DHE oder ECDHE gekennzeichnet. Das DH steht für Diffie-Hellman, während das E am Ende für Ephemeral steht.

Durch die Verwendung eines eindeutigen Geheimnisses für jede Sitzung wird das Risiko, dass der private Schlüssel kompromittiert wird, stark reduziert. Wenn ein Angreifer den privaten Schlüssel kompromittieren kann, kann er aktuellen und zukünftigen Datenverkehr entschlüsseln, aber er kann ihn nicht zur Massenentschlüsselung des historischen Datenverkehrs verwenden.

Somit bietet Perfect Forward Secrecy einen umfassenden Schutz vor der pauschalen Erfassung des Netzwerkverkehrs. Während im Falle einer Kompromittierung des Servers einige Daten entschlüsselt werden können, handelt es sich nur um aktuelle Daten, nicht alle historischen Daten. Sobald die Kompromittierung erkannt wurde, kann das Problem außerdem behoben werden, sodass nur eine relativ kleine Menge des gesamten lebenslangen Datenverkehrs vom Angreifer entschlüsselt werden kann.

Abschluss

Perfect Forward Secrecy ist ein Instrument zum Schutz vor flächendeckender historischer Überwachung. Ein Angreifer, der in der Lage ist, riesige Mengen verschlüsselter Kommunikation zu sammeln und zu speichern, kann diese möglicherweise entschlüsseln, wenn er jemals Zugriff auf den privaten Schlüssel erhält. PFS stellt sicher, dass jede Sitzung eindeutige kurzlebige Schlüssel verwendet. Dies schränkt die Fähigkeit des Angreifers ein, „nur“ den aktuellen Datenverkehr zu entschlüsseln und nicht den gesamten historischen Datenverkehr.