Kas ir perfekta priekšlaicīga slepenība? Rokasgrāmata 2020. gadam

Kiberdrošība ir joma, kas nepārtraukti attīstās, ar jauniem draudiem, nepilnībām un iespējām, kas tiek nepārtraukti atklāti un risināti. 


Šī notiekošā cīņa pret kibernoziedzniekiem ir ārkārtējs izaicinājums drošības ekspertiem, jo ​​rītdienas ekspluatācija var kompromitēt šodienas satiksmi – problēmu, kuras novēršanai tika izgudrota “pilnīga priekšlaicīga slepenība”. Kas ir perfekta priekšlaicīga slepenība? Lasiet šo rakstu, lai uzzinātu.

Kas ir ideāls noslēpums (PFS)?

Kas ir PFS? Īsāk sakot, PFS akronīms apzīmē “pilnīgu priekšlaicīgu slepenību”, kas ir salīdzinoši nesena vietņu drošības funkcija. Tās mērķis ir novērst turpmāku izmantošanu un drošības pārkāpumus, kas varētu kompromitēt pašreizējo vai iepriekšējo saziņu, informāciju vai datus, izolējot katra darījuma šifrēšanu..

Parasti šifrētus datus aizsargātu ar vienu servera turētu privātu šifrēšanas atslēgu, kuru tas varētu izmantot, lai atšifrētu visu vēsturisko komunikāciju ar serveri, izmantojot publisko atslēgu. Tas rada potenciālu drošības risku, jo uzbrucējs nedēļas, mēnešus vai gadus var pavadīt, ieklausoties šifrētā datplūsmā, saglabājot datus un apņemot laiku.

Wireshark

Kamēr visi šie dati ir rokā, uzbrucējam ir jāgaida jebkāds potenciālais drošības izmantojums nākotnē, kas ļautu viņiem nokļūt rokās uz servera privāto atslēgu, kuru pēc tam var izmantot, lai atšifrētu visus datus, kurus viņi ir novākuši. laiks.

Cik nevainojams noslēpums atrisina problēmu

Pilnīga noslēpuma glabāšana šo problēmu atrisina, noņemot paļaušanos uz viena servera privāto atslēgu. Nevis izmanto vienu un to pašu šifrēšanas atslēgu katram darījumam, bet katru reizi, kad notiek jauns datu darījums, tiek ģenerēta jauna, unikāla sesijas atslēga.. 

Faktiski tas nozīmē, ka pat tad, ja uzbrucējam izdodas iegūt roku uz sesijas atslēgas, tas būs noderīgs tikai pēdējās transakcijas atšifrēšanai, nevis visiem datiem, ko viņi, iespējams, ir savācuši iepriekš..

Standarta RSA atslēgu apmaiņas vietā šīs sesijas atslēgas tiek ģenerētas, izmantojot vai nu Diffie-Hellman šifrēšanu, vai vēl labāk – eliftisku līknes Diffie-Hellman šifrēšanu. Šifrēšanas atslēgas ir īslaicīgas, kas nozīmē, ka tās nekur netiek saglabātas un nevar tikt izmantotas vēlākam darījumam.

Difija-Hellmane

Tāpat servera privātā atslēga uzbrucējam būs pilnīgi bezjēdzīga, jo to nevar izmantot, lai atšifrētu kādu trafiku starp serveri un klientiem.

Lai arī šai uzbrukuma metodei varētu būt nepieciešama vairāk pacietības un resursu, nekā ir piekļuvei vienam kiberkriminalistam, to nevar teikt par izlūkošanas organizācijām. 

Tādām organizācijām kā Nacionālās drošības aģentūra ir viegli noklausīties daudzos šifrētos savienojumos, pat nokļūstot tik tālu, ka pieskarieties milzu zemūdens kabeļiem, kas savieno serverus visos kontinentos..

Šī milzīgā datu vākšanas spēja apvienojumā ar tādas organizācijas kā NSA institucionālo pacietību nozīmē, ka tām ir maz grūtību savākt un glabāt milzīgu daudzumu šifrētu datu..

Gadījumā, ja kāds nākotnē to izmanto vai nepilnības pieļauj – ļaujot viņiem nokļūt vajadzīgajā privātajā atslēgā, viņi pēc tam var izmantot šo šifrēšanas atslēgu, lai atšifrētu potenciāli miljonus vai miljardus datu transakciju vienā piegājienā..

Lai iegūtu pilnīgāku šifrēšanas skaidrojumu, noteikti izlasiet mūsu šifrēšanas aprakstu.

Kā PFS nodrošina jūsu vietnes drošību

Acīmredzamākais veids, kā nevainojama priekšlaicīga slepenība nodrošina jūsu vietnes drošību, ir nodrošināt jums un jūsu lietotājiem papildu drošību datu pārkāpuma gadījumā. Sliktākajā gadījumā uzbrucējs varēs atšifrēt tikai vienu datu darījumu, un, lai arī tas joprojām var radīt risku, kaitējums tiek lielā mērā ierobežots.

Turklāt serveri, kas izmanto perfektu priekšlaicīgu slepenību, uzbrucējiem rada mazāk pievilcīgus mērķus. Kaut arī uz servera joprojām tiek glabāta informācija, kuru aizsargā oriģinālā privātā atslēga, tas ir viss, ko uzbrucējs varēs iegūt, līdz ar to ievērojami ierobežojot uzbrukuma izmaksas.

Protams, tas negarantē uzbrukumu, taču tas tomēr padara to mazāku, jo uzbrucēji var izvēlēties labāk atalgojošus mērķus.

Google bija viens no pirmajiem lielākajiem programmatūras uzņēmumiem, kas savos serveros ieviesa nevainojamu slepenību. Tāpēc ir ļoti iespējams, ka nākotnē kaut kādā nākotnē Google izmantos savu kā dominējošās meklētājprogrammas stāvokli, lai veicinātu PFS ieviešanu, apbalvojot vietnes, kas to izmanto, ranžējot tās augstāk meklēšanas rezultātos, kā tas bija lieta ar HTTP pret HTTPS.

Lieliska noslēpuma saglabāšana un sirdsdarbība

Varbūt nav labāka piemēra tam, kāpēc ir nepieciešama perfekta noslēpuma glabāšana, nekā drausmīgais Heartbleed izmantotais. Lai saprastu, kāpēc, vispirms ir svarīgi zināt, kas ir Sirdspuksts un kāpēc tas tik ļoti kaitēja.

Heartbleed izmanto kļūdu, kas 2012. gadā tika ieviesta OpenSSL – vienā no populārākajām TLS (transporta līmeņa drošības) protokola ieviešanām -, taču tā tika atklāta tikai divus gadus vēlāk – 2014. gadā.. 

Izpratne par SSL / TLS

Jums nav precīzi jāzina, kā darbojas TLS, bet īsi sakot, tas ir drošības protokols, kas šifrē trafiku starp klientu un serveri, izmantojot privātu šifrēšanas atslēgu, un HTTPS ir piemērs, ar kuru jūs, iespējams, esat vispazīstamākais.. 

Lai gan atbildot uz jautājumu “kā darbojas TLS?” ir ārpus šī raksta darbības jomas, lai uzzinātu vairāk, varat izlasīt mūsu rakstu par SSL vs. TLS.

TLS - rokasspiediens

Kļūda izmanto TLS paplašinājumu Heartbeat, kas ir paredzēts TLS sakaru pārbaudei, nosūtot noslodzi (parasti mazliet teksta), kā arī numuru, kas norāda noslodzes lielumu. Pēc tam serveris reaģē, nosūtot kravas atpakaļ sākotnējam sūtītājam.

Problēma bija tā, ka serveris faktiski nepārbaudīja kravas saturu, bet tikai numuru, kas norāda tā lielumu. Tas izmantotu šo numuru, lai izgūtu noteiktu datu daudzumu no atmiņas bufera, kas bija paredzēts tikai kā oriģināla kravas nosūtīšana uz serveri.

Sirdspuksti

Tomēr, tā kā pati krava netika pārbaudīta, tas pavēra iespēju nosūtīt mazāku kravas daudzumu, nekā norādīts skaitlī, kas apzīmē tās lielumu. Tā rezultātā serveris atgriezās ne tikai sākotnējā krava, bet arī papildu informācija, kas saglabāta atmiņas buferī, lai sasniegtu pieprasīto ziņojuma lielumu..

Sirdsdarbībā

Piemēram, ļaunprātīgs Heartbeat ziņojums var pieprasīt serverim atgriezt vārdu “test”, bet norāda, ka garumam jābūt 500 rakstzīmēm. Tas liks serverim atgriezt pieprasīto vārdu “pārbaude”, kā arī 496 papildu rakstzīmes no atmiņas.

Lai arī uzbrucējs nevarētu precīzi noteikt, kādu informāciju viņš saņems, pastāv liela iespēja, ka šajās papildu rakstzīmēs būs slepena informācija, piemēram, servera privātā atslēga..

Tādējādi, tiklīdz Heartbleed ieradās notikuma vietā, jebkuram kiberkriminalistam, kurš visu laiku bija pavadījis klausīšanos šifrētā satiksmē, pēkšņi bija lielisks uzbrukuma ceļš, lai iegūtu jebkura servera, kas pakļauts kļūdai, privāto atslēgu.. 

Izmantojot šīs šifrēšanas atslēgas, viņi pēc tam varēja atšifrēt visus iepriekš savāktos datus, kā rezultātā tika iegūts milzīgs daudzums kompromitētas informācijas.

Kā iespējot perfektu pārsūtīšanas slepenību uz jūsu servera

Perfektas pārsūtīšanas slepenības funkcijas iespējošana serverī faktiski ir ļoti vienkāršs process, kuram nav nepieciešami ievērojami sistēmas administratora pūliņi. 

Process acīmredzami mainās atkarībā no jūsu izmantotās servera arhitektūras, tāpēc mēs jums parādīsim, kā to izdarīt ar divām populārām arhitektūrām Apache un Nginx..

Parasti tas, kas jums jādara, ir iestatīt serveri, lai par prioritāti noteiktu DHE un ECDHE šifru komplektus, taču jums joprojām vajadzētu saglabāt RSA atbalstu kā dublējumu. Tas notiek tāpēc, ka vecākas sistēmas un pārlūkprogrammas, iespējams, neatbalsta PFS, tas nozīmē, ka viņi nevarēs ielādēt jūsu vietni, ja nepārliecināsities, vai citi šifru komplekti joprojām ir pieejami.

Cipher-Suites

Lai iegūtu precīzākus norādījumus, mēs esam apkopojuši soli pa solim, kā iespējot perfektu priekšlaicīgu slepenību Apache un Nginx serveros..

Kā konfigurēt PFS uz Apache

  1. Atrodiet savu SSL konfigurāciju ar komandu: “grep -I -r“ SSLEngine ”/ etc / apache”
  2. Izpildiet šifrēšanas kārtību, ierakstot: “SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on”.
  3. Šifrēšanas secību iestatiet šādi: “ssl_ciphers” EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ”;”
  4. Visbeidzot restartējiet Apache ar komandu: “apachectl -k restart”

Kā konfigurēt PFS vietnē Nginx

  1. Atrodiet savu SSL konfigurāciju, ierakstot: “grep -r ssl_protocol nginx bāzes direktorija” (aizstājiet “nginx bāzes direktoriju” ar atbilstošo ceļu)
  2. Mainiet konfigurāciju, ievadot: “ssl_protocols TLSv1.2 TLSv1.1 TLSv1; ssl_prefer_server_ciphers on; ”
  3. Iestatiet šifra secību, ierakstot komandu: “ssl_ciphers” EECDH + AESGSM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH ”;”
  4. Restartējiet Nginx ar šādu komandu: “sudo service nginx restart”

Noslēguma domas

Tur tas ir, viss, kas jums jāzina par pilnīgu priekšnoslēpuma slepenību. Lai gan to nav daudz, ko patērētāji var darīt, lai veicinātu tā izmantošanu, ir svarīgi zināt, ka pat šifrēti dati, kas ceļo, izmantojot drošu savienojumu, ir potenciāli neaizsargāti pret turpmāku uzbrukumu.

Pilnīga priekšlaicīgas slepenības ieviešanas pienākums ir serveru operatoriem un sistēmu administratoriem, un šīs rokasgrāmatas mērķis ir mudināt to pieņemt, kas radītu drošāku internetu vietnēm un lietotājiem. 

Lietotājiem, kurus īpaši uztrauc tas, vai viņu iecienītās vietnes datu drošībai izmanto PFS transportēšanu, Qualys SSL Labs tests ļauj jums to pārbaudīt. Ja daudzas no iecienītākajām vietnēm nav jūsu rīcībā, vislabākais veids, kā sevi pasargāt, ir virtuālā privātā tīkla lejupielāde, lai trafikam pievienotu papildu šifrēšanas līmeni..

Varat apskatīt mūsu labāko VPN pakalpojumu sniedzēju sarakstu, kas nodrošinās jums šo papildu aizsardzības līmeni, vai arī, ja vēlaties pāriet uz mūsu labāko izvēli, apskatiet mūsu ExpressVPN pārskatu.

Ko jūs domājāt par mūsu skaidrojumu par perfektu priekšlaicīgu slepenību? Vai tas parādīja jaunu informāciju par tehnisko frāzi, kuru pēdējos gados jūs, iespējams, redzējāt biežāk, vai arī jūs joprojām esat tik apjukuši, kā bijāt, kad sākat lasīt? Paziņojiet mums par to komentāros zemāk. Kā vienmēr, paldies, ka lasījāt.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map