Co to jest DHCP?
Kiedy łączysz się z siecią, zazwyczaj masz adres IP przypisywany automatycznie przez router dzięki usłudze DHCP.
W kryptografii niektóre szyfry mogą być oznaczone akronimem PFS. To oznacza Perfect Forward Secrecy. Niektóre implementacje mogą po prostu odnosić się do PFS jako FS. Ten akronim oznacza Forward Secrecy lub Forward Secure. W każdym razie wszyscy mówią o tym samym. Zrozumienie, co oznacza Perfect Forward Secrecy, wymaga zrozumienia podstaw wymiany kluczy kryptograficznych.
Podstawy kryptografii
Aby zapewnić bezpieczną komunikację, idealnym rozwiązaniem jest użycie algorytmów szyfrowania symetrycznego. Są szybkie, znacznie szybsze niż algorytmy asymetryczne. Mają jednak fundamentalny problem. Ponieważ ten sam klucz jest używany do szyfrowania i odszyfrowywania wiadomości, nie można wysłać klucza niezabezpieczonym kanałem. W związku z tym musisz najpierw zabezpieczyć kanał. W praktyce odbywa się to za pomocą kryptografii asymetrycznej.
Uwaga: Byłoby również możliwe, gdyby niewykonalne, użycie pozapasmowego, bezpiecznego kanału, chociaż trudność pozostaje w zabezpieczeniu tego kanału.
Aby zabezpieczyć niezabezpieczony kanał, przeprowadzany jest proces zwany wymianą klucza Diffiego-Hellmana. W wymianie kluczy Diffie-Hellmana jedna strona, Alice, wysyła swój klucz publiczny do drugiej strony, Boba. Następnie Bob łączy swój klucz prywatny z kluczem publicznym Alicji, aby wygenerować sekret. Następnie Bob wysyła swój klucz publiczny do Alicji, która łączy go ze swoim kluczem prywatnym, umożliwiając jej wygenerowanie tego samego sekretu. W tej metodzie obie strony mogą przekazywać informacje publiczne, ale ostatecznie generują ten sam sekret, bez konieczności jego przekazywania. Ten klucz tajny może być następnie użyty jako klucz szyfrujący dla szybkiego algorytmu szyfrowania symetrycznego.
Uwaga: wymiana kluczy Diffie-Hellman natywnie nie oferuje żadnego uwierzytelnienia. Atakujący na stanowisku Man in the Middle lub MitM może wynegocjować bezpieczne połączenie zarówno z Alice, jak i Bobem, i po cichu monitorować odszyfrowaną komunikację. Ten problem jest rozwiązywany przez PKI lub Infrastrukturę Klucza Publicznego. W Internecie przybiera to postać zaufanych urzędów certyfikacji podpisujących certyfikaty stron internetowych. Dzięki temu użytkownik może sprawdzić, czy łączy się z serwerem, którego oczekuje.
Problem ze standardowym Diffie-Hellmanem
Chociaż problem z uwierzytelnianiem jest łatwy do rozwiązania, nie jest to jedyny problem. Strony internetowe posiadają certyfikat podpisany przez urząd certyfikacji. Certyfikat ten zawiera klucz publiczny, do którego serwer posiada klucz prywatny. Możesz użyć tego zestawu kluczy asymetrycznych do bezpiecznej komunikacji, jednak co się stanie, jeśli ten klucz prywatny zostanie kiedykolwiek naruszony?
Gdyby zainteresowana, złośliwa strona chciała odszyfrować zaszyfrowane dane, miałaby z tym trudności. Nowoczesne szyfrowanie zostało zaprojektowane w taki sposób, że zajęłoby co najmniej wiele milionów lat, aby istniała rozsądna szansa na odgadnięcie pojedynczego klucza szyfrującego. Jednak system kryptograficzny jest tak bezpieczny, jak klucz. Jeśli więc osoba atakująca jest w stanie złamać klucz, na przykład włamując się do serwera, może go użyć do odszyfrowania ruchu, do zaszyfrowania którego użyto.
Ten problem ma oczywiście pewne duże wymagania. Po pierwsze, klucz musi zostać naruszony. Atakujący potrzebuje również zaszyfrowanego ruchu, który chce odszyfrować. Dla przeciętnego atakującego jest to dość trudne wymaganie. Jeśli jednak atakujący jest złośliwym dostawcą usług internetowych, dostawcą VPN, właścicielem hotspotu Wi-Fi lub państwem narodowym, jest w dobrym miejscu do przechwytywania ogromnych ilości zaszyfrowanego ruchu, który być może będzie w stanie odszyfrować w pewnym momencie.
Problem polega na tym, że za pomocą klucza prywatnego serwera osoba atakująca może następnie wygenerować klucz tajny i użyć go do odszyfrowania całego ruchu, do którego kiedykolwiek został użyty. To może pozwolić atakującemu na odszyfrowanie wieloletniego ruchu sieciowego dla wszystkich użytkowników na stronie internetowej za jednym zamachem.
Doskonała tajemnica do przodu
Rozwiązaniem tego problemu jest nieużywanie tego samego klucza szyfrowania do wszystkiego. Zamiast tego chcesz użyć kluczy efemerycznych. Doskonała poufność przekazywania wymaga od serwera generowania nowej pary kluczy asymetrycznych dla każdego połączenia. Certyfikat jest nadal używany do uwierzytelniania, ale w rzeczywistości nie jest używany w procesie negocjowania klucza. Klucz prywatny jest przechowywany w pamięci tylko na tyle długo, aby wynegocjować sekret przed wyczyszczeniem. Podobnie sekret jest przechowywany tylko tak długo, jak jest używany, zanim zostanie wyczyszczony. W szczególnie długich sesjach może nawet zostać renegocjowana.
Porada: W nazwach szyfrów szyfry z funkcją Perfect Forward Secrecy są zwykle oznaczane jako DHE lub ECDHE. DH oznacza Diffie-Hellman, podczas gdy E na końcu oznacza efemeryczny.
Używając unikalnego sekretu dla każdej sesji, ryzyko naruszenia klucza prywatnego jest znacznie zmniejszone. Jeśli atakujący jest w stanie złamać klucz prywatny, może odszyfrować bieżący i przyszły ruch, ale nie może go użyć do masowego odszyfrowania historycznego ruchu.
Jako taka doskonała poufność przekazywania zapewnia szeroką ochronę przed powszechnym przechwytywaniem ruchu sieciowego. O ile w przypadku naruszenia bezpieczeństwa serwera niektóre dane mogą zostać odszyfrowane, to są to tylko dane bieżące, a nie wszystkie dane historyczne. Ponadto, po wykryciu naruszenia, problem można rozwiązać, pozostawiając jedynie stosunkowo niewielką ilość całkowitego ruchu w całym okresie życia, który jest możliwy do odszyfrowania przez atakującego.
Wniosek
Perfect Forward Secrecy to narzędzie chroniące przed wszechogarniającą inwigilacją historyczną. Atakujący zdolny do gromadzenia i przechowywania ogromnej ilości zaszyfrowanych wiadomości może być w stanie je odszyfrować, jeśli kiedykolwiek uzyska dostęp do klucza prywatnego. PFS zapewnia, że każda sesja korzysta z unikalnych kluczy efemerycznych. Ogranicza to zdolność atakującego do „tylko” odszyfrowania bieżącego ruchu, a nie całego ruchu historycznego.
Kiedy łączysz się z siecią, zazwyczaj masz adres IP przypisywany automatycznie przez router dzięki usłudze DHCP.
Przestrzeń może być na wagę złota. Dowiedz się, jak połączyć dwa komputery za pomocą jednego wyświetlacza. Poznaj najlepsze rozwiązania.
Czy na pulpicie pojawia się błąd NVIDIA GeForce o kodzie 0x0003? Jeśli tak, przeczytaj blog, aby dowiedzieć się, jak szybko i łatwo naprawić ten błąd.
GDDR6X to nowoczesny typ pamięci graficznej, który oferuje wyjątkową prędkość transferu i efektywność energetyczną.
Sprawdź, czy Twój pracodawca monitoruje Twój komputer, korzystając z Menedżera zadań lub Monitorowania aktywności. Dowiedz się więcej!
Dwa sposoby na znalezienie adresu MAC drukarki Canon Pixma MG5200 i dodatkowe praktyczne porady.
We współczesnej epoce cyfrowej, gdzie dane są cennym zasobem, klonowanie dysku twardego w systemie Windows może być dla wielu kluczowych procesów. Ten obszerny przewodnik
Czy podczas uruchamiania komputera pojawia się komunikat o błędzie informujący, że nie udało się załadować sterownika WUDFRd na Twój komputer?
Today, were going to delve into a tool that can automate repetitive clicking tasks on your Chromebook: the Auto Clicker. This tool can save you time and
Czy musisz usunąć GPU z komputera? Dołącz do mnie, gdy wyjaśnię, jak usunąć procesor graficzny z komputera w tym przewodniku krok po kroku.