Cosè il perfetto segreto in avanti?

In crittografia, alcuni cifrari possono essere etichettati con l'acronimo PFS. Questo sta per Perfect Forward Secrecy. Alcune implementazioni possono semplicemente fare riferimento a PFS come FS. Questo acronimo significa Forward Secrecy o Forward Secure. In ogni caso, parlano tutti della stessa cosa. Comprendere cosa significa Perfect Forward Secrecy richiede di comprendere le basi dello scambio di chiavi crittografiche.

Nozioni di base sulla crittografia

Per comunicare in modo sicuro la soluzione ideale è utilizzare algoritmi di crittografia simmetrica. Questi sono veloci, molto più veloci degli algoritmi asimmetrici. Tuttavia, hanno un problema fondamentale. Poiché la stessa chiave viene utilizzata per crittografare e decrittografare un messaggio, non è possibile inviare la chiave su un canale non protetto. Pertanto, devi prima essere in grado di proteggere il canale. Questo viene fatto utilizzando la crittografia asimmetrica in pratica.

Nota: sarebbe anche possibile, se non fattibile, utilizzare un canale sicuro fuori banda, anche se la difficoltà rimane nell'assicurare quel canale.

Per proteggere un canale non sicuro viene eseguito un processo chiamato scambio di chiavi Diffie-Hellman. Nello scambio di chiavi Diffie-Hellman, una parte, Alice, invia la propria chiave pubblica all'altra parte, Bob. Bob quindi combina la sua chiave privata con la chiave pubblica di Alice per generare un segreto. Bob quindi invia la sua chiave pubblica ad Alice, che la combina con la sua chiave privata, permettendole di generare lo stesso segreto. In questo metodo, entrambe le parti possono trasmettere informazioni pubbliche ma finiscono per generare lo stesso segreto, senza doverlo mai trasmettere. Questo segreto può quindi essere utilizzato come chiave di crittografia per un veloce algoritmo di crittografia simmetrica.

Nota: lo scambio di chiavi Diffie-Hellman non offre nativamente alcuna autenticazione. Un utente malintenzionato in una posizione Man in the Middle o MitM potrebbe negoziare una connessione sicura sia con Alice che con Bob e monitorare silenziosamente le comunicazioni decrittografate. Questo problema viene risolto tramite PKI o infrastruttura a chiave pubblica. Su Internet, ciò assume la forma di autorità di certificazione affidabili che firmano i certificati dei siti web. Ciò consente a un utente di verificare che si sta connettendo al server che si aspetta.

Il problema con il Diffie-Hellman standard

Sebbene il problema di autenticazione sia facile da risolvere, non è l'unico problema. I siti web hanno un certificato, firmato da un'autorità di certificazione. Questo certificato include una chiave pubblica, per la quale il server ha la chiave privata. Puoi utilizzare questo set di chiavi asimmetriche per comunicare in modo sicuro, tuttavia, cosa succede se quella chiave privata viene mai compromessa?

Se una parte interessata e malintenzionata volesse decrittografare i dati crittografati, avrebbe difficoltà a farlo. La crittografia moderna è stata progettata in modo tale che ci vorrebbero almeno molti milioni di anni per avere una ragionevole possibilità di indovinare una singola chiave di crittografia. Un sistema crittografico, tuttavia, è sicuro solo quanto la chiave. Quindi, se l'attaccante è in grado di compromettere la chiave, ad esempio hackerando il server, può utilizzarla per decrittografare qualsiasi traffico che è stato utilizzato per crittografare.

Questo problema ha ovviamente alcuni grandi requisiti. Innanzitutto, la chiave deve essere compromessa. L'attaccante ha anche bisogno di tutto il traffico crittografato che desidera decrittografare. Per il tuo aggressore medio, questo è un requisito piuttosto difficile. Se, tuttavia, l'aggressore è un ISP, un provider VPN, un proprietario di hotspot Wi-Fi o uno stato nazione dannoso, si trova in una buona posizione per acquisire grandi quantità di traffico crittografato che potrebbe essere in grado di decrittografare a un certo punto.

Il problema qui è che con la chiave privata del server, l'attaccante potrebbe quindi generare il segreto e utilizzarlo per decrittografare tutto il traffico che è mai stato utilizzato per crittografare. Ciò potrebbe consentire all'attaccante di decrittografare anni di traffico di rete per tutti gli utenti su un sito Web in un colpo solo.

Perfetta segretezza in avanti

La soluzione a questo è non utilizzare la stessa chiave di crittografia per tutto. Invece, vuoi usare chiavi effimere. La perfetta segretezza in avanti richiede che il server generi una nuova coppia di chiavi asimmetriche per ogni connessione. Il certificato viene ancora utilizzato per l'autenticazione ma non viene effettivamente utilizzato per il processo di negoziazione della chiave. La chiave privata viene conservata in memoria solo il tempo necessario per negoziare il segreto prima di essere cancellata. Allo stesso modo, il segreto viene conservato solo finché è in uso prima di essere cancellato. In sessioni particolarmente lunghe, può anche essere rinegoziato.

Suggerimento: nei nomi di cifratura, le cifrature con Perfect Forward Secrecy sono generalmente etichettate con DHE o ECDHE. La DH sta per Diffie-Hellman, mentre la E alla fine sta per Ephemeral.

Utilizzando un segreto univoco per ogni sessione, il rischio che la chiave privata venga compromessa è notevolmente ridotto. Se un utente malintenzionato è in grado di compromettere la chiave privata, può decrittografare il traffico attuale e futuro, ma non può utilizzarla per decrittografare in blocco il traffico storico.

In quanto tale, la perfetta segretezza in avanti fornisce un'ampia protezione contro l'acquisizione generalizzata del traffico di rete. Sebbene nel caso in cui il server venga compromesso, alcuni dati potrebbero essere decrittografati, si tratta solo di dati correnti, non di tutti i dati storici. Inoltre, una volta che la compromissione è stata rilevata, il problema può essere risolto lasciando solo una quantità relativamente piccola di traffico totale decifrabile dall'attaccante.

Conclusione

Perfect Forward Secrecy è uno strumento per proteggersi dalla sorveglianza storica generale. Un utente malintenzionato in grado di raccogliere e archiviare vaste quantità di comunicazioni crittografate potrebbe essere in grado di decrittografarle se mai riuscisse ad accedere alla chiave privata. PFS garantisce che ogni sessione utilizzi chiavi temporanee univoche. Ciò limita la capacità dell'attaccante di decifrare "solo" il traffico corrente, piuttosto che tutto il traffico storico.