Perfect Forward Secrecy とは何ですか?

暗号化では、一部の暗号は頭字語 PFS でラベル付けされる場合があります。これは、Perfect Forward Secrecy の略です。一部の実装では、単に PFS を FS と呼ぶ場合があります。この頭字語は、Forward Secrecy または Forward Secure を意味します。いずれにせよ、彼らはすべて同じことについて話します。Perfect Forward Secrecy の意味を理解するには、暗号鍵交換の基本を理解する必要があります。

暗号化の基礎

安全に通信するための理想的なソリューションは、対称暗号化アルゴリズムを使用することです。これらは高速で、非対称アルゴリズムよりもはるかに高速です。しかし、彼らには根本的な問題があります。メッセージの暗号化と復号化には同じキーが使用されるため、安全でないチャネルを介してキーを送信することはできません。そのため、最初にチャネルを保護できる必要があります。これは、実際には非対称暗号化を使用して行われます。

注: 実行不可能な場合は、帯域外の安全なチャネルを使用することも可能ですが、そのチャネルを保護することは依然として困難です。

安全でないチャネルを保護するために、Diffie-Hellman 鍵交換と呼ばれるプロセスが実行されます。Diffie-Hellman 鍵交換では、一方の当事者である Alice が他方の当事者である Bob に公開鍵を送信します。次に、Bob は自分の秘密鍵と Alice の公開鍵を組み合わせてシークレットを生成します。次に、ボブは自分の公開鍵をアリスに送信します。アリスはそれを自分の秘密鍵と組み合わせて、同じ秘密を生成できるようにします。この方法では、両方の当事者が公開情報を送信できますが、送信する必要がなく、同じ秘密を生成することになります。このシークレットは、高速な対称暗号化アルゴリズムの暗号化キーとして使用できます。

注: Diffie-Hellman 鍵交換は、認証をネイティブには提供しません。中間者または MitM の位置にいる攻撃者は、Alice と Bob の両方と安全な接続をネゴシエートし、復号化された通信を静かに監視することができます。この問題は、PKI または公開鍵インフラストラクチャによって解決されます。インターネットでは、これは信頼できる認証局が Web サイトの証明書に署名するという形をとります。これにより、ユーザーは期待どおりのサーバーに接続していることを確認できます。

標準の Diffie-Hellman の問題点

認証の問題は簡単に解決できますが、問題はそれだけではありません。Web サイトには、認証局によって署名された証明書があります。この証明書には、サーバーが秘密鍵を持つ公開鍵が含まれています。この一連の非対称キーを使用して安全に通信できますが、その秘密キーが危険にさらされた場合はどうなりますか?

関心のある悪意のある当事者が暗号化されたデータを解読したい場合、彼らは苦労するでしょう. 現代の暗号化は、単一の暗号化キーを推測する合理的な機会を得るには、少なくとも何百万年もかかるように設計されています. ただし、暗号化システムの安全性は鍵と同じくらいです。そのため、攻撃者がサーバーにハッキングするなどしてキーを侵害できれば、それを使用して、暗号化に使用されたトラフィックを復号化できます。

この問題には明らかにいくつかの大きな要件があります。まず、鍵を危険にさらす必要があります。攻撃者は、解読したい暗号化されたトラフィックも必要とします。平均的な攻撃者にとって、これは非常に難しい要件です。ただし、攻撃者が悪意のある ISP、VPN プロバイダー、Wi-Fi ホットスポットの所有者、または国家である場合、暗号化された大量のトラフィックをキャプチャするのに適した場所にいるため、ある時点で解読できる可能性があります。

ここでの問題は、サーバーの秘密鍵を使用して、攻撃者がシークレットを生成し、それを使用して暗号化に使用されたすべてのトラフィックを復号化できることです。これにより、攻撃者は Web サイトへのすべてのユーザーの何年にもわたるネットワーク トラフィックを一気に復号化できる可能性があります。

完全転送秘密

これに対する解決策は、すべてに同じ暗号化キーを使用しないことです。代わりに、一時キーを使用します。Perfect Forward Secrecy では、サーバーが接続ごとに新しい非対称キー ペアを生成する必要があります。証明書は引き続き認証に使用されますが、キー ネゴシエーション プロセスには実際には使用されません。秘密鍵は、消去される前に秘密をネゴシエートするのに十分な期間だけメモリに保持されます。同様に、シークレットはクリアされる前に使用されている間だけ保持されます。特に長いセッションでは、再交渉されることさえあります。

ヒント: 暗号名では、Perfect Forward Secrecy を特徴とする暗号は通常、DHE または ECDHE でラベル付けされます。DH は Diffie-Hellman を表し、末尾の E はエフェメラルを表します。

セッションごとに一意の秘密を使用することで、秘密鍵が危険にさらされるリスクが大幅に軽減されます。攻撃者が秘密キーを侵害できる場合、現在および将来のトラフィックを復号化できますが、それを使用して過去のトラフィックを一括復号化することはできません。

このように、Perfect Forward Secrecy は、ブランケット ネットワーク トラフィックのキャプチャに対する広範な保護を提供します。サーバーが侵害された場合、一部のデータが復号化される可能性がありますが、それは現在のデータのみであり、すべての履歴データではありません. さらに、侵害が検出されると、問題を解決して、攻撃者が解読できる生涯トラフィック全体を比較的少量にすることができます。

結論

Perfect Forward Secrecy は、包括的な履歴監視から保護するためのツールです。暗号化された通信の膨大な量を収集して保存できる攻撃者は、秘密鍵にアクセスできれば、それらを解読できる可能性があります。PFS は、各セッションが一意の一時キーを使用することを保証します。これにより、攻撃者は過去のすべてのトラフィックではなく、現在のトラフィックのみを復号化できるようになります。