Quest-ce que le secret de transmission parfait ?

En cryptographie, certains chiffrements peuvent être étiquetés avec l'acronyme PFS. Cela signifie Perfect Forward Secrecy. Certaines implémentations peuvent simplement faire référence à PFS en tant que FS. Cet acronyme signifie Forward Secrecy ou Forward Secure. En tout cas, ils parlent tous de la même chose. Pour comprendre ce que signifie Perfect Forward Secrecy, vous devez comprendre les bases de l'échange de clés cryptographiques.

Bases de la cryptographie

Pour communiquer en toute sécurité, la solution idéale consiste à utiliser des algorithmes de chiffrement symétriques. Ce sont des algorithmes rapides, beaucoup plus rapides que les algorithmes asymétriques. Ils ont cependant un problème fondamental. Étant donné que la même clé est utilisée pour chiffrer et déchiffrer un message, vous ne pouvez pas envoyer la clé sur un canal non sécurisé. En tant que tel, vous devez d'abord être en mesure de sécuriser le canal. Cela se fait en utilisant la cryptographie asymétrique dans la pratique.

Remarque : Il serait également possible, si cela n'est pas possible, d'utiliser un canal sécurisé hors bande, bien que la difficulté demeure de sécuriser ce canal.

Pour sécuriser un canal non sécurisé, un processus appelé échange de clés Diffie-Hellman est exécuté. Dans l'échange de clés Diffie-Hellman, une partie, Alice, envoie sa clé publique à l'autre partie, Bob. Bob combine ensuite sa clé privée avec la clé publique d'Alice pour générer un secret. Bob envoie ensuite sa clé publique à Alice, qui la combine avec sa clé privée, lui permettant de générer le même secret. Dans cette méthode, les deux parties peuvent transmettre des informations publiques mais finissent par générer le même secret, sans jamais avoir à le transmettre. Ce secret peut ensuite être utilisé comme clé de chiffrement pour un algorithme de chiffrement symétrique rapide.

Remarque : L'échange de clés Diffie-Hellman n'offre aucune authentification en mode natif. Un attaquant dans une position Man in the Middle ou MitM pourrait négocier une connexion sécurisée avec Alice et Bob, et surveiller discrètement les communications décryptées. Ce problème est résolu via PKI ou Public Key Infrastructure. Sur Internet, cela prend la forme d'autorités de certification de confiance signant des certificats de sites Web. Cela permet à un utilisateur de vérifier qu'il se connecte au serveur auquel il s'attend.

Le problème avec Diffie-Hellman standard

Bien que le problème d'authentification soit facile à résoudre, ce n'est pas le seul problème. Les sites Web ont un certificat, signé par une autorité de certification. Ce certificat comprend une clé publique, dont le serveur possède la clé privée. Vous pouvez utiliser cet ensemble de clés asymétriques pour communiquer en toute sécurité, cependant, que se passe-t-il si cette clé privée est compromise ?

Si une partie intéressée et malveillante voulait décrypter des données cryptées, elle aurait du mal. Le chiffrement moderne a été conçu de telle manière qu'il faudrait au moins plusieurs millions d'années pour avoir une chance raisonnable de deviner une seule clé de chiffrement. Un système cryptographique, cependant, n'est aussi sûr que la clé. Ainsi, si l'attaquant est capable de compromettre la clé, par exemple en piratant le serveur, il peut l'utiliser pour déchiffrer tout trafic qu'il a été utilisé pour chiffrer.

Cette question a évidemment de grandes exigences. Tout d'abord, la clé doit être compromise. L'attaquant a également besoin de tout trafic chiffré qu'il souhaite déchiffrer. Pour votre attaquant moyen, c'est une exigence assez difficile. Si, toutefois, l'attaquant est un FAI malveillant, un fournisseur de VPN, un propriétaire de point d'accès Wi-Fi ou un État-nation, il est bien placé pour capturer de grandes quantités de trafic crypté qu'il pourra peut-être décrypter à un moment donné.

Le problème ici est qu'avec la clé privée du serveur, l'attaquant pourrait alors générer le secret et l'utiliser pour déchiffrer tout le trafic qu'il a déjà été utilisé pour chiffrer. Cela pourrait permettre à l'attaquant de déchiffrer des années de trafic réseau pour tous les utilisateurs d'un site Web d'un seul coup.

Secret de transmission parfait

La solution à cela est de ne pas utiliser la même clé de chiffrement pour tout. Au lieu de cela, vous souhaitez utiliser des clés éphémères. Le secret de transmission parfait nécessite que le serveur génère une nouvelle paire de clés asymétriques pour chaque connexion. Le certificat est toujours utilisé pour l'authentification mais n'est pas réellement utilisé pour le processus de négociation de clé. La clé privée n'est conservée en mémoire que le temps nécessaire pour négocier le secret avant d'être effacée. De même, le secret n'est conservé que tant qu'il est utilisé avant d'être effacé. Lors de sessions particulièrement longues, il peut même être renégocié.

Conseil : dans les noms de chiffrement, les chiffrements comportant Perfect Forward Secrecy sont généralement étiquetés avec DHE ou ECDHE. Le DH signifie Diffie-Hellman, tandis que le E à la fin signifie Ephemeral.

En utilisant un secret unique pour chaque session, le risque que la clé privée soit compromise est considérablement réduit. Si un attaquant est capable de compromettre la clé privée, il peut déchiffrer le trafic actuel et futur, mais il ne peut pas l'utiliser pour déchiffrer en bloc le trafic historique.

En tant que tel, le secret de transmission parfait offre une large protection contre la capture globale du trafic réseau. Alors que dans le cas où le serveur est compromis, certaines données peuvent être déchiffrées, il ne s'agit que de données actuelles, pas de toutes les données historiques. De plus, une fois que la compromission a été détectée, le problème peut être résolu en ne laissant qu'une quantité relativement faible du trafic total à vie décryptable par l'attaquant.

Conclusion

Perfect Forward Secrecy est un outil de protection contre la surveillance historique généralisée. Un attaquant capable de collecter et de stocker de vastes quantités de communications cryptées peut être en mesure de les décrypter s'il parvient un jour à accéder à la clé privée. PFS garantit que chaque session utilise des clés éphémères uniques. Cela limite la capacité de l'attaquant à "uniquement" pouvoir déchiffrer le trafic actuel, plutôt que tout le trafic historique.