الكمال إلى الأمام السرية: تشفير المستقبل واقية للمواقع

0
1356
SSL

كشفت الوحوش التي كشف عنها إدوارد سنودين أن وكالة الأمن القومي تقوم بجمع البيانات على نطاق واسع. على الرغم من أنه لا يمكن فك تشفير بعض المعلومات اليوم ، فقد يكون ذلك ممكنًا في المستقبل. يمكن لمشرفي المواقع اليوم حماية أنفسهم وزائريهم من فك التشفير في الغد.

أظهر إدوارد سنودن للعالم أنه لا توجد بيانات آمنة من أجهزة المخابرات. يقومون بجمع (كإجراء احترازي) جميع المعلومات التي يصادفونها. يتم تشفير بعض هذه البيانات ، على سبيل المثال عبر اتصال HTTPS. وتشمل هذه المواقع التي تنقل المعلومات الحساسة ، وشراء المنتج ، أو تسجيل الدخول إلى حساب البريد الإلكتروني أو باستخدام الخدمات المصرفية المنزلية. يتم اعتراض كل هذه البيانات ، على الرغم من أنها غير صالحة للاستعمال اليوم. في غضون بضع سنوات ، يمكن لأجهزة المخابرات فك تشفيرها.

ضعف HTTPS

ما هو المقصود بالكمال من قبل السرية إلى الأمام ، PFS لفترة قصيرة؟ لشرح المصطلح ، من الضروري أولاً توضيح كيفية عمل تشفير SSL ، والذي يتم استخدامه على مواقع الويب التي يتم فيها إرسال البيانات الحساسة.

عند زيارة hoster.online على الإنترنت ، يصبح القفل الصغير مرئيًا في شريط البحث في متصفح الويب. يؤدي النقر فوق القفل إلى فتح معلومات حول شهادة طبقة المقابس الآمنة. بنقرة أخرى ، يمكنك عرض معلومات حول الشهادة ، بما في ذلك ، على سبيل المثال ، تاريخ انتهاء الصلاحية.

يمكن لشهادات SSL استخدام أي موقع ويب تقريبًا. الاختلافات في

- تشفيرها
- سواء كانوا هم نطاق أو هوية التحقق من صحة و
- مدى ارتفاع توافق المتصفح الخاص بك.

هناك أيضًا ثلاثة أنواع من الشهادات:

1. غير مرتبطة
2. البدل
3. نطاق متعدد

تعمل شهادة SSL على النحو التالي: يتصفح المستخدم صفحة ويب ، على سبيل المثال hoster.online. يقوم مستعرضه بالاتصال بالخادم ، والذي يحدد مفتاح عمومي صادر عن سلطة التصديق. يتحقق المتصفح من توقيع المرجع المصدق. إذا كان هذا صحيحًا ، فسيتبادل البيانات مع hoster.online. سيتم نقل جميع البيانات المشفرة من الآن فصاعدا.

الكمال إلى الأمام السرية كحماية ضد أساليب الغد

بالنسبة إلى النقل المشفر لجلسة HTTPS ، يقترح المستعرض مفتاح جلسة سرية في كل مرة. يؤكد الخادم هذا المفتاح.

المشكلة في هذه الطريقة هي أن أجهزة الاستخبارات مثل وكالة الأمن القومي يمكنها تسجيل انتقال المفتاح. في المستقبل المنظور سيكون من الممكن له فك تشفير. هذا سيمكنها من قراءة جميع البيانات المنقولة على hoster.online.

كانت هناك مشاكل مع HTTPS في الماضي. أثرت Bug Heartbleed ، التي كشفت عن صفحات الويب منذ ظهور ثغرات أمنية كبيرة في 2011 ، على موقعين من بين ثلاثة مواقع على شبكة الإنترنت. Heartbleed كان خطأ في البرمجة في برنامج OpenSSL. أعطى المتسللين الذين ربطوا عبر HTTPs إلى خادم مع نسخة عرضة من OpenSSL الوصول إلى 64 KB من مساحة التخزين الخاصة. تسرب الهجوم ملفات تعريف ارتباط الخادم وكلمات المرور وعناوين البريد الإلكتروني. تأثرت الخدمات الرائعة مثل Yahoo Mail و LastPass.

الحل لمثل هذه السيناريوهات هو Perfect Forward Secrecy: من خلال طريقة Diffie-Hellman المزعومة ، يتفق شريكا الاتصالات - في هذه الحالة متصفح الويب والخادم - على مفتاح جلسة مؤقت. لن يتم نقل هذا. بمجرد اكتمال الجلسة ، يتم إتلاف المفتاح.

PFS في الممارسة والمستقبل

لسوء الحظ ، هناك نوعان من الأخبار السيئة:

1. حاليًا ، هناك عدد قليل فقط من المواقع التي تستخدم PFS.
2. لا يمكن تشفير جميع البيانات التي تم تبادلها مسبقًا.

ومع ذلك ، على الأقل من الآن فصاعدًا ، يجب أن تقوم صفحات الويب بتطبيق Perfect Forward Secrecy لضمان عدم إمكانية قراءة أي بيانات عاجلاً أو آجلاً على الرغم من التشفير.

يوصي Ivan Ristic of Security Labs بالأجنحة التالية لتطبيق PFS:

- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

يمكن لمشرفي المواقع اختبار موقع الويب الخاص بهم على ssllabs.com ثم اتخاذ قرار بشأن الإجراء المناسب.

بعد تنفيذ Perfetct Forward Secrecy ، يمكن لخدمات مثل NSA و BND قراءة البيانات فقط باستخدام هجمات man-in-the-المتوسطة. في جميع الحالات الأخرى ، سيكون FPS شوكة كبيرة في عين التنصت.