Perfect Forward Secrecy (PFS) ären av de viktigaste (men minst förstådda) funktionerna i modern kryptering. Det säkerställer att även om en hackare kompromissar med en krypteringsnyckel idag, kan de fortfarande inte dekryptera din tidigare eller framtida kommunikation.
Istället för att förlita sig på en enda långsiktig nyckel, PFSgenererar unika sessionsnycklar för varje anslutning, vilket dramatiskt begränsar skadan av ett intrång. Detta tillvägagångssätt har blivit en säkerhetsstandard för VPN, meddelandeappar och HTTPS-webbplatser i takt med att cyberattacker blir mer sofistikerade.
Den här guiden förklarar vad Perfect Forward Secrecy är, hur det fungerar bakom kulisserna, och varför det spelar en avgörande roll för att skydda din data från storskalig övervakning och dataläckor.
Vad är perfekt framåtsekretess?
Perfect forward secrecy (PFS) är en krypteringstyp som regelbundet ändrar krypteringsnyckelnför att skydda dina onlineaktiviteter. Så, bara en liten bit av din data kommer att äventyras i händelse av ett säkerhetsintrång.
Det är detutformad för att byta nycklar efter varje samtal, meddelande och webbsida laddas. Som ett resultat kommer inkräktaren bara att lyckas få ett meddelande eller en operation eftersom resten av datan är krypterad med olika nycklar.
Systemet kommer också att skydda data från nätverk som använderSSL/TLSprotokoll om deras tilldelade nycklar äventyras.
Hur perfekt framåtsekretess fungerar
Låt oss anta att du chattar med en vän via ensäker meddelandeappsom använder perfekt framåtsekretess. Appen har också offentliga och privata nycklar som gör detkryptera din kommunikationoch identifiera den avsedda avsändaren och mottagaren. Dessa nycklar hjälper din vän och dig att känna igen varandra.
Nyckelutbytesalgoritmen skapar sedan en tillfällig nyckel för att kryptera varje meddelande. Därför, när du skickar ett meddelande till din vän, krypterar nyckeln det. Samtidigt dekrypterar din vänmeddelandet med samma nyckel. Denna process upprepas mednya sessionsnycklarvarje gång du skickar ett meddelande.
Därför, även om en hackare lyckas fånga upp din konversation, kommer de bara att komma åt ett enda meddelande och inte hela chatten. Dessutom, om de får dinoffentliga och privata nycklar, de kan inte se din dialog, eftersom varje meddelande är krypterat med olika nycklar. Tyvärr kan illvilliga aktörer förfalska din vän eller din identitet och potentiellt snoka på framtida konversationer.
Varför är perfekt framåtsekretess hett just nu?
Ett par stora incidenter har inträffat de senaste åren som gjort det utbrett inom cybersäkerhet.
Det första fallet är närEdward Snowdenavslöjade hur den amerikanska regeringen samlar in nätverkstrafik i hemlighet. Så om en institution kan bedriva massövervakning så kan vem som helst. Snowden visade dethemlig övervakningär en realitet snarare än en möjlighet.
Trots detta har IT-gemenskapen stått inför risken för datakompromettering i flera år. Tyvärr, att dölja en hemlighet under lång tid ger bara illvilliga aktörer mer tid att ta reda på hur man kommer åt den. Tack och lov introducerade de långsiktiga SSL-nycklarna avancerad säkerhet för att hantera risken.
Den andra kritiska händelsen var medHeartbleed sårbarhet, som visade hur OpenSSL lätt kunde attackeras. Efter att ha tagit emot de långsiktiga SSL-nycklarna så länge och från Snowdens avslöjande, behövde IT-gemenskapen en merövergående nyckelutbytemetod.
2016, Appleavgjordatt alla appar i App Store måste använda perfekt framåtsekretess. Snabbspolning framåt till 2018 slutförde Internet Engineering Task Force (IETF) det nyaTLS 1.3 standardsom beställer PFS för alla TLS-sessioner.
Tyvärr är fördelen med PFS också dess största nackdel. Hackare kan inte dekryptera din information om de inte använder en av två specifika dekrypteringsmetoder. Tyvärr, på samma sätt kan ditt lag inte heller.
Vad används perfekt framåtsekretess till?
Några av användningarna av den perfekta framåtsekretessen är:
- Skydda webbdata.Det kommer att säkra din integritet genom att se till att ingen fångar upp din webbdata. Det skyddar nätverkets transportlager samt TLS-, SSL- och HTTPS-protokoll. Dessutom kan webbläsare introducera PFS med webbplatser som är kompatibla med HTTPS.
- Säkra snabbmeddelandedata.PFS är ett av de mest effektiva sätten att skydda onlinekonversationer. Signalmeddelandeappen populariserade PFS-kryptering.
- Skydda e-postkommunikation.E-posttjänster som Mailbox.org använder PFS för att säkra meddelanden under överföring.
För- och nackdelar med perfekt framåtsekretess
Fördelar med perfekt framåtsekretess
- Säkrar din tidigare data och kommunikation. Även om hackare äventyrar dina nycklar och blandar sig i dina privata chattar kan de inte komma åt din information.
- Hackare kan bara komma åt en liten mängd data som inte kommer att vara till någon hjälp om de attackerar en PFS-skyddad server.
Nackdelar med perfekt framåtsekretess
- Svårighet att felsöka från utvecklarens sida.
- Behöver mer programmeringsresurser och kraft.
- Säkrar inte framtida kommunikation efter att offentliga och privata nycklar har äventyrats.
Den här digitala tidsåldern behöver perfekt sekretess framåt
Konsekvenserna av att inte använda perfekt sekretess är allvarligare, särskilt om en privat nyckel äventyras. Detta kan ge en illvillig aktör omedelbar tillgång till all tidigare information som överförts mellan en klient och server med hjälp av en specifik nyckel. Teoretiskt sett kan alla med din privata nyckelkomma åt din krypterade trafikoch dekryptera allt.
Låt oss säga att du använder HTTPS för att skyddaditt lösenordnär du går in på din nätbank. Efter ett tag lyckas en hackare få tag i din banks privata TLS-nyckel på vilket sätt som helst. Om du inte har perfekt sekretess kan hackaren använda den privata nyckeln för att dekryptera dina tidigare data och stjäla ditt lösenord.
Hackare lyckas göra detta om PFS saknas på grund av dispositionen av nyckelutbyte mellan klienten och servern. Inledningsvis kommer klienten att ställa in enpre-master hemlighetkrypterad med serverns publika nyckel. Sedan går den till servern, där den privata nyckeln dekrypterar den. Vid det här tillfället är pre-mastern hemlig på både klienten och servern.
Hädanefter kommer genereringen av sessionsnycklar att förlita sig på pre-master-hemligheten, som spelar en viktig roll i ett fram- och tillbaka-samtal. Dessa sessionsnycklar är kända som huvudhemligheten.
Tyvärr kan en hackare stjäla den privata nyckeln om servern använder den upprepade gånger i pre-master-krypteringsprocessen. Konsekvensen är att de kommer att kunna snoka på och dekryptera allakrypterade chattar på serverninklusive tidigare data.
För att detta ska lyckas måste angriparen skaffa två slumpmässiga nummer som används i krypteringsprocessen för klienten och servern. Tyvärr förmedlas de i vanlig text, vilket gör det enkelt att skaffa dem. I vissa fall kan hackare till och med få pre-master-hemligheten.
Det blir lätt att dekryptera pre-master-hemligheten eftersom de redan har serverns privata nyckel. Nu har de alla pusselbitar för att skapa huvudhemligheten, vilket ger dem kraften attdekryptera alla sessionsdata.
Det är omöjligt att samla in alla känsliga uppgifter i en datasession. Men om hackarna tittar på din trafik tillräckligt länge kommer de att få något värdefullt.
Ett enklare sätt att hålla sig säker
Perfekt framåtriktad sekretess är ett värdefullt säkerhetsverktyg, men det är inte det enda sättet att skydda din integritet online. Ett virtuellt privat nätverk (VPN) kommer att hålla dig säker hela tiden. Till exempel,avrobust kryptering. Som ett resultat av detta förblir dina onlineaktiviteter otillgängliga även med en komprometterad internetanslutning.
Dessutom låter ett enda abonnemang dig ansluta upp till sex enheter samtidigt, inklusive datorer, smartphones, routrar, smarta TV-apparater, etc. Dessutom kommer det att hjälpa dig att kringgå geografiska begränsningar för populära streamingtjänster som t.ex.Netflix,,Hulu, och mer.