¿Qué es Perfect Forward Secrecy?

En criptografía, algunos cifrados pueden etiquetarse con el acrónimo PFS. Esto significa Perfect Forward Secrecy. Algunas implementaciones pueden simplemente referirse a PFS como FS. Este acrónimo significa Forward Secrecy o Forward Secure. En cualquier caso, todos hablan de lo mismo. Comprender lo que significa Perfect Forward Secrecy requiere que comprenda los conceptos básicos del intercambio de claves criptográficas.

Conceptos básicos de criptografía

Para comunicarse de forma segura, la solución ideal es utilizar algoritmos de cifrado simétrico. Estos son rápidos, mucho más rápidos que los algoritmos asimétricos. Ellos, sin embargo, tienen un problema fundamental. Debido a que se usa la misma clave para cifrar y descifrar un mensaje, no puede enviar la clave a través de un canal no seguro. Como tal, primero debe poder asegurar el canal. Esto se hace usando criptografía asimétrica en la práctica.

Nota: También sería posible, si no factible, usar un canal seguro fuera de banda, aunque la dificultad sigue siendo asegurar ese canal.

Para proteger un canal inseguro, se realiza un proceso llamado intercambio de claves Diffie-Hellman. En el intercambio de claves Diffie-Hellman, una de las partes, Alice, envía su clave pública a la otra parte, Bob. Luego, Bob combina su clave privada con la clave pública de Alice para generar un secreto. Luego, Bob envía su clave pública a Alice, quien la combina con su clave privada, lo que le permite generar el mismo secreto. En este método, ambas partes pueden transmitir información pública pero terminar generando el mismo secreto, sin tener que transmitirlo nunca. Este secreto se puede utilizar como clave de cifrado para un algoritmo de cifrado simétrico rápido.

Nota: el intercambio de claves Diffie-Hellman no ofrece autenticación de forma nativa. Un atacante en una posición Man in the Middle o MitM podría negociar una conexión segura con Alice y Bob, y monitorear silenciosamente las comunicaciones descifradas. Este problema se resuelve a través de PKI o infraestructura de clave pública. En Internet, esto toma la forma de autoridades de certificación de confianza que firman certificados de sitios web. Esto permite que un usuario verifique que se está conectando al servidor que espera.

El problema con el estándar Diffie-Hellman

Si bien el problema de autenticación es fácil de resolver, ese no es el único problema. Los sitios web tienen un certificado, firmado por una autoridad certificadora. Este certificado incluye una clave pública, para la cual el servidor tiene la clave privada. Puede usar este conjunto de claves asimétricas para comunicarse de forma segura, sin embargo, ¿qué sucede si esa clave privada alguna vez se ve comprometida?

Si una parte malintencionada interesada quisiera descifrar datos cifrados, tendría dificultades para hacerlo. El cifrado moderno se ha diseñado de tal manera que se necesitarían al menos muchos millones de años para tener una posibilidad razonable de adivinar una sola clave de cifrado. Sin embargo, un sistema criptográfico es tan seguro como la clave. Entonces, si el atacante puede comprometer la clave, por ejemplo, pirateando el servidor, puede usarla para descifrar cualquier tráfico que se usó para cifrar.

Este problema obviamente tiene algunos requisitos importantes. En primer lugar, la clave debe estar comprometida. El atacante también necesita cualquier tráfico cifrado que quiera descifrar. Para su atacante promedio, este es un requisito bastante difícil. Sin embargo, si el atacante es un ISP malicioso, un proveedor de VPN, el propietario de un punto de acceso Wi-Fi o un estado-nación, está en un buen lugar para capturar grandes cantidades de tráfico cifrado que puede descifrar en algún momento.

El problema aquí es que con la clave privada del servidor, el atacante podría generar el secreto y usarlo para descifrar todo el tráfico que alguna vez se usó para cifrar. Esto podría permitir al atacante descifrar años de tráfico de red para todos los usuarios de un sitio web de una sola vez.

Secreto directo perfecto

La solución a esto es no usar la misma clave de cifrado para todo. En su lugar, desea utilizar claves efímeras. El secreto directo perfecto requiere que el servidor genere un nuevo par de claves asimétricas para cada conexión. El certificado todavía se usa para la autenticación, pero en realidad no se usa para el proceso de negociación de claves. La clave privada se mantiene en la memoria solo el tiempo suficiente para negociar el secreto antes de borrarla. Del mismo modo, el secreto solo se conserva mientras esté en uso antes de que se borre. En sesiones particularmente largas, incluso puede ser renegociado.

Sugerencia: en los nombres de cifrado, los cifrados con Perfect Forward Secrecy generalmente se etiquetan con DHE o ECDHE. El DH significa Diffie-Hellman, mientras que la E al final significa Efímero.

Al usar un secreto único para cada sesión, el riesgo de que la clave privada se vea comprometida se reduce considerablemente. Si un atacante puede comprometer la clave privada, puede descifrar el tráfico actual y futuro, pero no puede usarlo para descifrar en masa el tráfico histórico.

Como tal, el secreto directo perfecto proporciona una amplia protección contra la captura de tráfico de red general. Si bien en el caso de que el servidor se vea comprometido, algunos datos pueden descifrarse, son solo datos actuales, no todos los datos históricos. Además, una vez que se ha detectado el compromiso, el problema se puede resolver dejando que el atacante solo pueda descifrar una cantidad relativamente pequeña del tráfico total de por vida.

Conclusión

Perfect Forward Secrecy es una herramienta para protegerse contra la vigilancia histórica general. Un atacante capaz de recopilar y almacenar grandes cantidades de comunicaciones cifradas puede descifrarlas si alguna vez obtiene acceso a la clave privada. PFS garantiza que cada sesión utilice claves efímeras únicas. Esto limita la capacidad del atacante de "solo" poder descifrar el tráfico actual, en lugar de todo el tráfico histórico.