Dokonalé dopředné utajení

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 31. května 2022; ověření vyžaduje 1 úpravu .

Perfect forward secrecy ( PFS [1] ) je  vlastnost některých protokolů pro vyjednávání klíčů , která zaručuje, že klíče relace získané pomocí sady dlouhodobých klíčů nebudou kompromitovány , když bude kompromitován jeden z dlouhodobých klíčů.

Termín Dopředné utajení se často používá jako synonymum pro dokonalé dopředné utajení [2] , ale někdy [3] se mezi nimi rozlišuje.

Perfect Forward Secrecy (PFS) znamená, že klíč relace generovaný pomocí dlouhodobých klíčů nebude kompromitován, pokud bude v budoucnu kompromitován jeden nebo více těchto dlouhodobých klíčů. Pro zachování dokonalého dopředného utajení nesmí být klíč použitý k šifrování přenášených dat použit k odvození jakýchkoli dalších klíčů. Pokud byl klíč použitý k šifrování přenášených dat odvozen z jiného klíčového materiálu, nesmí být tento materiál použit k odvození žádných jiných klíčů. [čtyři]

Historie

Vlastnost PFS byla navržena [5] Diffie , van Oorschot a Wiener a odkazovala se na protokol STS , ve kterém jsou soukromé klíče trvalé klíče. PFS vyžaduje použití asymetrické kryptografie a nelze jej implementovat pouze pomocí symetrických kryptografických algoritmů.

Termín PFS byl také použit [6] k popisu podobné vlastnosti v protokolech smluv o klíčích založených na hesle , ve kterých je trvalým klíčem heslo známé oběma stranám.

Dodatek D.5.1 standardu IEEE 1363-2000 popisuje související vlastnosti dopředného utajení jedné strany a dopředného utajení dvou stran různých schémat standardních smluv o klíčích.

Protokoly

Problémy

Při použití PFS v TLS lze lístky relace TLS ( RFC 5077 ) použít k obnovení šifrované relace bez opětovného vyjednávání klíčů a bez ukládání informací o klíčích na serveru. Při otevření prvního připojení a vytvoření klíčů server zašifruje stav připojení a odešle jej klientovi (ve formě session ticketu ). V souladu s tím, když je spojení obnoveno, klient odešle lístek relace obsahující, mimo jiné, klíč relace zpět na server. Samotný lístek je zašifrován dočasným klíčem ( session ticket key ), který je uložen na serveru a musí být distribuován na všechny frontend servery, které zpracovávají SSL v clusterových řešeních. [10] . Zavedení lístku relace tedy může narušit PFS, pokud jsou ohroženy dočasné klíče serveru, například když jsou uloženy po dlouhou dobu ( OpenSSL , nginx , Apache je standardně ukládají po celou dobu běhu programu; oblíbené weby používat klíč několik hodin, až dní). Podobný problém existuje v TOR pro alespoň jednu šifrovací vrstvu [11] [12] .

Některé implementace protokolů klíčové dohody (DH) volí příliš slabé parametry skupiny na straně serveru. Například pole modulo zbytků se někdy používají s délkou 256 bitů (některé webové prohlížeče odmítají) nebo 512 bitů (snadno hacknuté) [13]

Viz také

Poznámky

  1. Elsevier's Dictionary of Information Security Autor: G. Manoilov, B. Radichkova p 364, # 3759
  2. IEEE 1363-2000: Standardní specifikace IEEE pro kryptografii veřejného klíče. Institute of Electrical and Electronics Engineers, 2000. Archivovaná kopie (odkaz není k dispozici) . Získáno 25. listopadu 2017. Archivováno z originálu 1. prosince 2014. 
  3. Telecom Glossary 2000, T1 523-2001, Alliance for Telecommunications Industry Solutions (ATIS) Committee T1A1. http://www.atis.org/tg2k/_perfect_forward_secrecy.html Archivováno 11. prosince 2007 na Wayback Machine
  4. Internet: bezpečnostní protokoly. Výcvikový kurz. // Black W. - Peter, 2001. ISBN 5-318-00002-9 , strana 63, "Perfect forward secrecy (PFS)"
  5. Diffie, Whitfield; van Oorschot, Paul C.; Wiener, Michael J. Authentication and Authenticated Key Exchanges  (undefined)  // Designs, Codes and Cryptography. - 1992. - Červen ( vol. 2 , No. 2 ). - S. 107 . - doi : 10.1007/BF00124891 .
  6. Jablon, David P. Strong Password-Only Authenticated Key Exchange  (neurčité)  // ACM Computer Communication Review. - 1996. - říjen ( roč. 26 , č. 5 ). - S. 5-26 . doi : 10.1145 / 242896.242897 .
  7. Diskuse o TLS mailing listu v říjnu 2007 (odkaz není dostupný) . Získáno 23. listopadu 2011. Archivováno z originálu dne 22. září 2013. 
  8. SSL Labs: Deploying Forward Secrecy Archived 26. června 2013 na Wayback Machine // Ivan Ristic, 25. června 2013; Bezpečnostní laboratoře
  9. SSL Pulse: Průzkum implementace SSL na nejpopulárnějších webových stránkách (odkaz není dostupný) . Získáno 17. června 2016. Archivováno z originálu 15. května 2017. 
  10. Dopředné utajení pro Google HTTPS (22. listopadu 2011) Archivováno 26. ledna 2014 na Wayback Machine // ImperialViolet – Vstupenky na relace
  11. Florent Daigni. TLS "tajemství" Co vám všichni zapomněli říct...  (anglicky)  (downlink) . Blackhat USA (červenec 2013). Datum přístupu: 20. prosince 2013. Archivováno z originálu 5. srpna 2013.
  12. SSL Labs: Deploying Forward Secrecy Archived 26. června 2013 na Wayback Machine // Ivan Ristic, 25. června 2013; Security Labs – Alternativní vektory útoků: „Existuje alternativní mechanismus správy relací nazývaný session tickety, který používá samostatné šifrovací klíče, které se zřídka střídají (v extrémních případech možná nikdy). .. tato funkce je nejlépe deaktivována, aby bylo zajištěno, že neohrozí dopředné utajení."
  13. Jak zpackat dopředné utajení TLS (27. června 2013) Archivováno 8. srpna 2013 na Wayback Machine // ImperialViolet

Odkazy