Лекция
Привет, Вы узнаете о том , что такое совершенная прямая секретность ( pfs ), Разберем основные их виды и особенности использования. Еще будет много подробных примеров и описаний. Для того чтобы лучше понимать что такое совершенная прямая секретность ( pfs ) , настоятельно рекомендую прочитать все из категории Шифры в криптографии.
В криптографии прямая секретность ( FS ), также известная как совершенная прямая секретность ( PFS ), представляет собой функцию определенных протоколов согласования ключей , которая дает гарантии того, что ключи сеанса не будут скомпрометированы, даже если при обмене ключами сеанса используются долгосрочные секреты. скомпрометированы. Для HTTPS долгосрочным секретом обычно является закрытый ключ.сервера. Прямая секретность защищает прошлые сеансы от будущего взлома ключей или паролей. Генерируя уникальный сеансовый ключ для каждого сеанса, инициируемого пользователем, компрометация одного сеансового ключа не повлияет ни на какие данные, кроме тех, которыми обмениваются в конкретном сеансе, защищенном этим конкретным ключом. Этого самого по себе недостаточно для прямой секретности, которая дополнительно требует, чтобы долгосрочная компрометация секрета не влияла на безопасность прошлых сеансовых ключей.
Прямая секретность защищает данные на транспортном уровне сети, которая использует общие протоколы безопасности транспортного уровня, включая OpenSSL , когда ее долгосрочные секретные ключи скомпрометированы, как в случае с ошибкой безопасности Heartbleed . Если используется прямая секретность, зашифрованные сообщения и сеансы, записанные в прошлом, не могут быть извлечены и расшифрованы, если долгосрочные секретные ключи или пароли будут скомпрометированы в будущем, даже если злоумышленник активно вмешался, например, через «человека внутри» . средняя (MITM) атака .
Ценность прямой секретности заключается в том, что она защищает прошлые сообщения. Это снижает мотивацию злоумышленников к компрометации ключей. Например, если злоумышленник узнает долгосрочный ключ, но компрометация обнаружена, а долгосрочный ключ отозван и обновлен, в системе прямой защиты произойдет утечка относительно небольшой информации.
Ценность прямой секретности зависит от предполагаемых возможностей противника. Прямая секретность имеет значение, если предполагается, что злоумышленник может получить секретные ключи от устройства (доступ для чтения), но либо обнаружен, либо не может изменить способ генерации сеансовых ключей на устройстве (полная компрометация). В некоторых случаях злоумышленник, который может читать долгосрочные ключи с устройства, может также иметь возможность изменить работу генератора сеансовых ключей, как в детерминированном генераторе случайных битов с двойной эллиптической кривой с бэкдором . Если злоумышленник сможет сделать генератор случайных чисел предсказуемым, то прошлый трафик будет защищен, но весь будущий трафик будет скомпрометирован.
Ценность прямой секретности ограничена не только предположением, что злоумышленник будет атаковать сервер, только украв ключи и не изменяя генератор случайных чисел, используемый сервером, но также ограничено предположением, что злоумышленник будет только пассивно собирать трафик. на канале связи и не проявлять активности, используя атаку «человек посередине». Прямая секретность обычно использует эфемерный обмен ключами Диффи-Хеллмана для предотвращения чтения прошлого трафика. Обмен эфемерными ключами Диффи-Хеллмана часто подписывается сервером с использованием статического ключа подписи. Если злоумышленник может украсть (или получить по решению суда) этот статический (долгосрочный) ключ подписи, он может замаскироваться под сервер для клиента и под клиента для сервера и реализовать классический «человек посередине». атака.
Термин «совершенная прямая секретность» был придуман К.Г. Гюнтером в 1990 году и далее обсуждался Уитфилдом Диффи , Полом ван Оршотом и Майклом Джеймсом Винером в 1992 году , где он использовался для описания свойства - Протокол станции.
Прямая секретность также использовалась для описания аналогичного свойства протоколов соглашения о ключах, аутентифицированных паролем, где долгосрочным секретом является (общий) пароль .
В 2000 году IEEE впервые ратифицировал стандарт IEEE 1363 , который устанавливает соответствующие свойства односторонней и двусторонней секретности для различных стандартных схем соглашения о ключах.
Система шифрования обладает свойством прямой секретности, если проверка открытого (расшифрованного) обмена данными, происходящая на этапе согласования ключей при инициировании сеанса, не выявляет ключ, который использовался для шифрования оставшейся части сеанса.
Ниже приведен гипотетический пример простого протокола обмена мгновенными сообщениями, использующего прямую секретность:
Прямая секретность (достигаемая путем создания новых сеансовых ключей для каждого сообщения) гарантирует, что прошлые сообщения не могут быть расшифрованы, если один из ключей, сгенерированных на итерации шага 2, скомпрометирован, поскольку такой ключ используется только для шифрования одного сообщения. Прямая секретность также гарантирует, что прошлые сообщения не могут быть расшифрованы, если долгосрочные секретные ключи, полученные на этапе 1, будут скомпрометированы. Однако, если это произойдет, маскировка под Алису или Боба будет возможной, что может поставить под угрозу все будущие сообщения.
Прямая секретность предназначена для предотвращения воздействия компрометации долговременного секретного ключа на конфиденциальность прошлых разговоров. Однако прямая секретность не может защитить от успешного криптоанализа используемых основных шифров , поскольку криптоанализ заключается в поиске способа расшифровки зашифрованного сообщения без ключа, а прямая секретность защищает только ключи, а не сами шифры. Терпеливый злоумышленник может перехватить разговор, конфиденциальность которого защищена за счет использования криптографии с открытым ключом, и дождаться, пока основной шифр не будет взломан (например, могут быть созданы большие квантовые компьютеры , которые позволят решить задачу дискретного логарифма).нужно быстро вычислить). Это позволит восстановить старые открытые тексты даже в системе, использующей прямую секретность.
Неинтерактивные протоколы обмена ключами с прямой защитой сталкиваются с дополнительными угрозами, которые не имеют отношения к интерактивным протоколам. При атаке с подавлением сообщений злоумышленник, контролирующий сеть, может сам хранить сообщения, не позволяя им достичь предполагаемого получателя; поскольку сообщения никогда не принимаются, соответствующие закрытые ключи не могут быть уничтожены или проколоты, поэтому компрометация закрытого ключа может привести к успешной расшифровке. Заблаговременное удаление закрытых ключей по расписанию смягчает, но не устраняет эту атаку. При атаке с исчерпанием злонамеренного ключа злоумышленник отправляет получателю множество сообщений и исчерпывает материал закрытого ключа, заставляя протокол выбирать между сбоем закрытия (и включением отказа в обслуживании).атаки) или не открываются (и теряют некоторую часть прямой секретности).
Большинство протоколов обмена ключами являются интерактивными и требуют двусторонней связи между сторонами. Протокол, который позволяет отправителю передавать данные без необходимости предварительного получения каких-либо ответов от получателя, может называться неинтерактивным , асинхронным или нулевым двусторонним обходом (0-RTT).
Интерактивность является обременительной для некоторых приложений — например, в системе безопасного обмена сообщениями может быть желательно иметь реализацию с промежуточным хранением , а не требовать, чтобы отправитель и получатель были в сети одновременно; Ослабление требования двунаправленности также может улучшить производительность, даже если это не является строгим требованием, например при установлении или возобновлении соединения. Эти варианты использования стимулировали интерес к неинтерактивному обмену ключами, а поскольку прямая безопасность является желательным свойством протокола обмена ключами, к неинтерактивной прямой секретности. Эта комбинация считалась желательной, по крайней мере, с 1996 года. Однако сочетание прямой секретности и неинтерактивности оказалось сложной задачей; предполагалось, что прямая секретность с защитой от повторных атак невозможна в неинтерактивном режиме, но было показано, что можно достичь всех трех целей.
В целом были исследованы два подхода к неинтерактивной прямой секретности: предварительно вычисленные ключи и прокалываемое шифрование .
При использовании заранее вычисленных ключей создается множество пар ключей, а открытые ключи используются совместно, а закрытые ключи уничтожаются после получения сообщения с использованием соответствующего открытого ключа. Этот подход был развернут как часть протокола Signal .
При прокалываемом шифровании получатель изменяет свой закрытый ключ после получения сообщения таким образом, что новый закрытый ключ не может прочитать сообщение, а открытый ключ остается неизменным. Росс Дж. Андерсон неофициально описал прокалываемую схему шифрования для прямого безопасного обмена ключами в 1997 году , а Грин и Майерс (2015) формально описали такую систему, основываясь на соответствующей схеме Канетти, Халеви и Каца (2003). ) , который изменяет закрытый ключ по расписанию, чтобы сообщения, отправленные в предыдущие периоды, не могли быть прочитаны с помощью закрытого ключа из более позднего периода. Green & Miers (2015) используют иерархическое шифрование на основе идентификации.и шифрование на основе атрибутов , в то время как Günther et al. (2017) используют другую конструкцию, которая может быть основана на любой иерархической схеме, основанной на идентичности. [18] Даллмайер и др. (2020) экспериментально обнаружили, что модификация QUIC для использования прямого безопасного и устойчивого к повторному обмену ключей 0-RTT, реализованного с помощью прокалываемого шифрования, привела к значительному увеличению использования ресурсов, но не настолько, чтобы сделать практическое использование невозможным.
Слабая совершенная прямая секретность (Wpfs) — это более слабое свойство, согласно которому при компрометации долгосрочных ключей агентов секретность ранее установленных сеансовых ключей гарантируется, но только для сеансов, в которые злоумышленник активно не вмешивался. Это новое понятие и различие между ним и прямой секретностью было введено Хьюго Кравчиком в 2005 году. Это более слабое определение неявно требует, чтобы полная (совершенная) прямая секретность сохраняла секретность ранее установленных сеансовых ключей даже в сеансах, где противник активно вмешивался или пытался действовать как посередине.
Прямая секретность присутствует в нескольких основных реализациях протокола, таких как SSH , а также в качестве дополнительной функции в IPsec (RFC 2412). Сообщения без записи , криптографический протокол и библиотека для многих клиентов обмена мгновенными сообщениями, а также OMEMO , который предоставляет дополнительные функции, такие как многопользовательская функциональность в таких клиентах, обеспечивают как прямую секретность, так и шифрование с возможностью отказа .
В Transport Layer Security (TLS) доступны наборы шифров, основанные на обмене ключами Диффи-Хеллмана (DHE- RSA , DHE- DSA ) и обмене ключами Диффи-Хеллмана на основе эллиптической кривой (ECDHE- RSA , ECDHE- ECDSA ). Теоретически TLS мог выбирать подходящие шифры, начиная с SSLv3, но в повседневной практике многие реализации отказывались обеспечивать прямую секретность или предоставляли ей только очень низкую степень шифрования. Это уже не относится к TLS 1.3, который обеспечивает прямую секретность, оставляя эфемерный метод Диффи-Хеллмана (варианты с конечным полем и эллиптической кривой) в качестве единственного оставшегося механизма обмена ключами.
OpenSSL поддерживает прямую секретность с использованием эллиптической кривой Диффи-Хеллмана, начиная с версии 1.0, с вычислительными затратами примерно 15% для начального установления связи.
Протокол сигналов использует алгоритм двойного храпового механизма для обеспечения прямой секретности.
С другой стороны, среди популярных протоколов, используемых в настоящее время, WPA не поддерживает прямую секретность.
Прямая секретность рассматривается несколькими крупными поставщиками информации в Интернете как важная функция безопасности. С конца 2011 года Google по умолчанию обеспечивает прямую секретность с помощью TLS для пользователей своей службы Gmail , службы Google Docs и служб зашифрованного поиска. С ноября 2013 года Twitter обеспечил своим пользователям прямую секретность с помощью TLS.
Facebook сообщил в рамках расследования шифрования электронной почты, что по состоянию на май 2014 года 74% хостов, поддерживающих STARTTLS , также обеспечивают прямую секретность. В версии TLS 1.3, опубликованной в августе 2018 года, прекращена поддержка шифров без прямой секретности. По состоянию на февраль 2019 года 96,6% опрошенных веб-серверов поддерживают ту или иную форму прямой секретности, а 52,1% будут использовать прямую секретность в большинстве браузеров.
На WWDC 2016 Apple объявила, что все приложения iOS должны будут использовать App Transport Security (ATS) — функцию, которая обеспечивает использование передачи HTTPS. В частности, ATS требует использования шифра шифрования, обеспечивающего прямую секретность. [ ATS стал обязательным для приложений с 1 января 2017 г.
Приложение обмена сообщениями Signal использует в своем протоколе прямую секретность, что заметно отличает его от протоколов обмена сообщениями, основанных на PGP .
Исследование, описанное в статье про совершенная прямая секретность ( pfs ), подчеркивает ее значимость в современном мире. Надеюсь, что теперь ты понял что такое совершенная прямая секретность ( pfs ) и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Шифры в криптографии
Комментарии
Оставить комментарий
Шифры в криптографии
Термины: Шифры в криптографии