Wat is perfecte voorwaartse geheimhouding?

In cryptografie kunnen sommige cijfers worden gelabeld met het acroniem PFS. Dit staat voor Perfect Forward Secrecy. Sommige implementaties verwijzen eenvoudigweg naar PFS als FS. Deze afkorting betekent Forward Secrecy of Forward Secure. Ze praten in ieder geval allemaal over hetzelfde. Om te begrijpen wat Perfect Forward Secrecy betekent, moet u de basisprincipes van cryptografische sleuteluitwisseling begrijpen.

Basisprincipes van cryptografie

Om veilig te communiceren is de ideale oplossing het gebruik van symmetrische versleutelingsalgoritmen. Deze zijn snel, veel sneller dan asymmetrische algoritmen. Ze hebben echter een fundamenteel probleem. Omdat dezelfde sleutel wordt gebruikt om een ​​bericht te versleutelen en ontsleutelen, kunt u de sleutel niet via een onveilig kanaal verzenden. Daarom moet u eerst het kanaal kunnen beveiligen. In de praktijk gebeurt dit met behulp van asymmetrische cryptografie.

Opmerking: het zou ook mogelijk zijn, als dit niet haalbaar is, om een ​​out-of-band, beveiligd kanaal te gebruiken, hoewel het moeilijk blijft om dat kanaal te beveiligen.

Om een ​​onveilig kanaal te beveiligen, wordt een proces genaamd Diffie-Hellman-sleuteluitwisseling uitgevoerd. Bij Diffie-Hellman-sleuteluitwisseling stuurt de ene partij, Alice, hun openbare sleutel naar de andere partij, Bob. Bob combineert vervolgens zijn privésleutel met de openbare sleutel van Alice om een ​​geheim te genereren. Bob stuurt vervolgens zijn openbare sleutel naar Alice, die deze combineert met haar privésleutel, waardoor ze hetzelfde geheim kan genereren. Bij deze methode kunnen beide partijen openbare informatie verzenden, maar uiteindelijk hetzelfde geheim genereren, zonder het ooit te hoeven verzenden. Dit geheim kan vervolgens worden gebruikt als de coderingssleutel voor een snel symmetrisch coderingsalgoritme.

Opmerking: Diffie-Hellman-sleuteluitwisseling biedt geen native authenticatie. Een aanvaller in een Man in the Middle- of MitM-positie kan een beveiligde verbinding tot stand brengen met zowel Alice als Bob en de ontsleutelde communicatie stilletjes in de gaten houden. Dit probleem wordt opgelost via PKI of Public Key Infrastructure. Op internet neemt dit de vorm aan van vertrouwde certificeringsinstanties die certificaten van websites ondertekenen. Hierdoor kan een gebruiker verifiëren dat hij verbinding maakt met de server die hij verwacht.

Het probleem met standaard Diffie-Hellman

Hoewel het authenticatieprobleem eenvoudig op te lossen is, is dat niet het enige probleem. Websites hebben een certificaat, ondertekend door een certificeringsinstantie. Dit certificaat bevat een openbare sleutel, waarvan de server de persoonlijke sleutel heeft. U kunt deze set asymmetrische sleutels gebruiken om veilig te communiceren, maar wat gebeurt er als die privésleutel ooit wordt gecompromitteerd?

Als een geïnteresseerde, kwaadwillende partij versleutelde gegevens zou willen ontsleutelen, zouden ze daar moeite mee hebben. Moderne encryptie is zo ontworpen dat het minstens vele miljoenen jaren zou kosten om een ​​redelijke kans te hebben om een ​​enkele encryptiesleutel te raden. Een cryptografisch systeem is echter slechts zo veilig als de sleutel. Dus als de aanvaller in staat is om de sleutel te compromitteren, bijvoorbeeld door de server te hacken, kan hij deze gebruiken om al het verkeer te ontsleutelen dat werd gebruikt om te versleutelen.

Dit nummer heeft duidelijk een aantal grote vereisten. Eerst moet de sleutel worden gecompromitteerd. De aanvaller heeft ook al het versleutelde verkeer nodig dat hij wil ontsleutelen. Voor de gemiddelde aanvaller is dit best een lastige eis. Als de aanvaller echter een kwaadwillende ISP, VPN-provider, eigenaar van een Wi-Fi-hotspot of een natiestaat is, bevindt hij zich in een goede positie om grote hoeveelheden versleuteld verkeer te onderscheppen, dat hij op een gegeven moment mogelijk kan ontsleutelen.

Het probleem hier is dat de aanvaller met de privésleutel van de server het geheim kan genereren en dat kan gebruiken om al het verkeer te ontsleutelen dat ooit is gebruikt om te versleutelen. Hierdoor kan de aanvaller jarenlang netwerkverkeer voor alle gebruikers naar een website in één klap ontsleutelen.

Perfecte voorwaartse geheimhouding

De oplossing hiervoor is om niet voor alles dezelfde encryptiesleutel te gebruiken. In plaats daarvan wilt u kortstondige sleutels gebruiken. Bij Perfect Forward Secrecy moet de server voor elke verbinding een nieuw asymmetrisch sleutelpaar genereren. Het certificaat wordt nog steeds gebruikt voor authenticatie, maar wordt niet echt gebruikt voor het sleutelonderhandelingsproces. De privésleutel wordt alleen lang genoeg in het geheugen bewaard om over het geheim te onderhandelen voordat het wordt gewist. Evenzo wordt het geheim alleen bewaard zolang het in gebruik is voordat het wordt gewist. In bijzonder lange sessies kan er zelfs opnieuw over worden onderhandeld.

Tip: in cijfernamen worden cijfers met Perfect Forward Secrecy meestal gelabeld met DHE of ECDHE. De DH staat voor Diffie-Hellman, terwijl de E aan het einde staat voor Ephemeral.

Door voor elke sessie een uniek geheim te gebruiken, wordt het risico dat de privésleutel wordt gecompromitteerd aanzienlijk verkleind. Als een aanvaller de privésleutel kan compromitteren, kan hij het huidige en toekomstige verkeer ontsleutelen, maar hij kan deze niet gebruiken om historisch verkeer bulksgewijs te ontsleutelen.

Als zodanig biedt perfecte voorwaartse geheimhouding een brede bescherming tegen het vastleggen van algemeen netwerkverkeer. Hoewel in het geval dat de server wordt gecompromitteerd, sommige gegevens kunnen worden ontsleuteld, zijn dit alleen actuele gegevens, niet alle historische gegevens. Bovendien kan het probleem worden opgelost zodra de aanval is gedetecteerd, waardoor slechts een relatief kleine hoeveelheid van het totale levenslange verkeer door de aanvaller kan worden ontsleuteld.

Conclusie

Perfect Forward Secrecy is een hulpmiddel om te beschermen tegen algemene historische surveillance. Een aanvaller die in staat is om enorme hoeveelheden versleutelde communicatie te verzamelen en op te slaan, kan deze mogelijk ontsleutelen als hij ooit toegang krijgt tot de privésleutel. PFS zorgt ervoor dat elke sessie unieke kortstondige sleutels gebruikt. Dit beperkt het vermogen van de aanvaller om "alleen" het huidige verkeer te decoderen, in plaats van al het historische verkeer.