什麼是完美前向保密？

在密碼學中，一些密碼可能標有首字母縮略詞 PFS。這代表完美前向保密。一些實現可能簡單地將 PFS 稱為 FS。此首字母縮寫詞表示前向保密或前向安全。無論如何，他們都在談論同一件事。了解完美前向保密的含義，需要您了解加密密鑰交換的基礎知識。

密碼學基礎

為了安全地通信，理想的解決方案是使用對稱加密算法。這些速度很快，比非對稱算法快得多。然而，他們有一個根本問題。因為同一個密鑰用於加密和解密消息，所以您不能通過不安全的通道發送密鑰。因此，您首先需要能夠保護通道。這是在實踐中使用非對稱密碼術完成的。

注意：如果使用帶外安全通道不可行，也有可能，儘管保護該通道的困難仍然存在。

為了保護不安全的通道，執行稱為 Diffie-Hellman 密鑰交換的過程。在 Diffie-Hellman 密鑰交換中，一方 Alice 將其公鑰發送給另一方 Bob。然後 Bob 將他的私鑰與 Alice 的公鑰結合起來生成一個秘密。然後鮑勃將他的公鑰發送給愛麗絲，愛麗絲將其與她的私鑰結合起來，讓她生成相同的秘密。在這種方法中，雙方都可以傳輸公共信息，但最終會生成相同的秘密，而無需傳輸它。然後可以將該秘密用作快速對稱加密算法的加密密鑰。

注意：Diffie-Hellman 密鑰交換本身不提供任何身份驗證。處於中間人或 MitM 位置的攻擊者可以與 Alice 和 Bob 協商安全連接，並悄悄監視解密的通信。此問題通過 PKI 或公鑰基礎設施解決。在 Internet 上，這採用受信任的證書頒發機構簽署網站證書的形式。這允許用戶驗證他們正在連接到他們期望的服務器。

標準 Diffie-Hellman 的問題

雖然身份驗證問題很容易解決，但這不是唯一的問題。網站有證書，由證書頒發機構簽署。該證書包含一個公鑰，服務器擁有該公鑰的私鑰。您可以使用這組非對稱密鑰進行安全通信，但是，如果該私鑰被洩露會怎樣？

如果有興趣的惡意方想要解密加密數據，他們會遇到困難。現代加密的設計方式使得至少需要數百萬年才能有合理的機會猜測出一個加密密鑰。然而，密碼系統的安全性取決於密鑰。因此，如果攻擊者能夠破壞密鑰，比如通過侵入服務器，他們就可以使用它來解密任何用於加密的流量。

這個問題顯然有一些很大的要求。首先，密鑰需要被洩露。攻擊者還需要他們想要解密的任何加密流量。對於普通攻擊者來說，這是一個相當困難的要求。但是，如果攻擊者是惡意 ISP、VPN 提供商、Wi-Fi 熱點所有者或民族國家，他們就可以很好地捕獲大量加密流量，他們可能會在某個時候解密這些流量。

這裡的問題是，使用服務器的私鑰，攻擊者可以生成秘密並使用它來解密它曾經用來加密的所有流量。這可能允許攻擊者一次性解密所有用戶多年的網絡流量到一個網站。

完美前向保密

解決方案是不要對所有內容使用相同的加密密鑰。相反，您想使用臨時密鑰。完美前向保密要求服務器為每個連接生成一個新的非對稱密鑰對。該證書仍用於身份驗證，但實際上並未用於密鑰協商過程。私鑰在內存中保留的時間僅足以在被擦除之前協商秘密。同樣，秘密只會在它被清除之前一直被使用。在特別長的會議中，甚至可能重新協商。

提示：在密碼名稱中，具有完美前向保密性的密碼通常標有 DHE 或 ECDHE。DH 代表或 Diffie-Hellman，而末尾的 E 代表 Ephemeral。

通過為每個會話使用唯一的秘密，私鑰被洩露的風險大大降低。如果攻擊者能夠破解私鑰，他們就可以解密當前和未來的流量，但不能使用它來批量解密歷史流量。

因此，完美的前向保密提供了廣泛的保護，防止全面的網絡流量捕獲。而在服務器被攻破的情況下，一些數據可能會被解密，這只是當前數據，而不是所有歷史數據。此外，一旦檢測到危害，問題就可以解決，攻擊者只能解密相對少量的總生命週期流量。

結論

Perfect Forward Secrecy 是一種防止全面歷史監視的工具。能夠收集和存儲大量加密通信的攻擊者如果能夠訪問私鑰，就可能能夠解密這些通信。PFS 確保每個會話都使用唯一的臨時密鑰。這限制了攻擊者“僅”能夠解密當前流量而不是所有歷史流量的能力。