完美前向保密:它是什么以及它如何工作?
在线传输的任何数据都容易受到未经授权的拦截甚至下载。这可能包括个人或敏感数据,例如密码、信用卡号和银行帐户详细信息。因此,找到一种有效的方法来保护这些信息至关重要。
这是确保您上网安全的最佳方法之一。在本文中,我们将讨论什么是完美前向保密及其工作原理。
什么是完美前向保密?
完美前向保密 (PFS) 是一种定期更改加密密钥的加密类型保护您的在线活动。因此,如果发生安全漏洞,只有一小部分数据会受到损害。
这是设计用于在每次通话、消息和网页加载后切换按键。因此,入侵者只能设法获取一条消息或操作,因为其余数据是使用不同的密钥加密的。
该系统还将使用以下方式保护网络数据SSL/TLS协议(如果其分配的密钥被泄露)。
完美的前向保密如何运作
让我们假设您正在通过一个朋友与朋友聊天安全消息传递应用程序使用完美的前向保密。此外,该应用程序具有公钥和私钥,可以加密您的通信并识别预期的发送者和接收者。这些钥匙可以帮助您和您的朋友互相认出对方。
然后,密钥交换算法创建一个临时密钥来加密每条消息。因此,当您向朋友发送消息时,密钥会对其进行加密。与此同时,你的朋友解密了具有相同密钥的消息。这个过程重复新的会话密钥每次您发送消息时。
因此,即使黑客设法拦截您的对话,他们也只能访问一条消息,而不是整个聊天。此外,如果他们获得你的公钥和私钥,他们看不到您的对话,因为每条消息都使用不同的密钥加密。不幸的是,恶意行为者可能会伪造您的朋友或您的身份,并可能窥探未来的对话。
为什么完美前向保密现在很热门?
近年来发生的几起重大事件使其在网络安全领域广泛传播。
第一种情况是当爱德华·斯诺登揭露美国政府如何秘密收集网络流量。因此,如果一个机构可以进行大规模监控,那么任何人都可以。斯诺登表明秘密监视是现实而不是可能性。
即便如此,IT 社区多年来一直面临数据泄露的风险。不幸的是,长时间隐藏秘密只会让恶意行为者有更多时间来弄清楚如何访问它。值得庆幸的是,长期 SSL 密钥引入了高级安全性来管理风险。
第二个严重事件是与心脏出血漏洞这表明 OpenSSL 是如何容易受到攻击的。根据斯诺登的披露,在长期容纳长期 SSL 密钥之后,IT 社区需要更多临时密钥交换方法。
2016年,苹果决定App Store 中的所有应用程序都必须采用完美的前向保密。快进到 2018 年,互联网工程任务组 (IETF) 完成了新的TLS 1.3 标准为所有 TLS 会话订购 PFS。
不幸的是,PFS 的好处也是其最大的缺点。黑客无法解密您的信息,除非他们使用两种特定解密方法之一。可悲的是,同样,您的团队也不能。
完美前向保密有什么用?
完美前向保密的一些用途是:
- 保护网络数据。它将确保没有人拦截您的网络数据,从而保护您的隐私。它保护网络的传输层以及 TLS、SSL 和 HTTPS 协议。此外,浏览器可以在兼容 HTTPS 的网站中引入 PFS。
- 保护即时消息数据。PFS 是保护在线对话的最有效方法之一。 Signal 消息应用程序普及了 PFS 加密。
- 保护电子邮件通信。Mailbox.org 等电子邮件服务利用 PFS 来保护传输中的邮件。
完美前向保密的优点和缺点
完美前向保密的优点
- 保护您过去的数据和通信。即使黑客泄露了您的密钥并干扰您的私人聊天,他们也无法访问您的信息。
- 黑客只能访问少量数据,如果攻击受 PFS 保护的服务器,这些数据将没有任何帮助。
完美前向保密的缺点
- 开发人员方面难以排除故障。
- 需要更多的编程资源和能力。
- 公钥和私钥被泄露后无法保护未来的通信。
这个数字时代需要完美的前向保密
不使用完美前向保密的后果更为严重,尤其是在私钥被泄露的情况下。这可以使恶意行为者立即访问使用特定密钥在客户端和服务器之间传输的所有过去的信息。理论上,任何拥有你私钥的人都可以访问您的加密流量并解密一切。
假设您使用 HTTPS 来保护你的密码访问您的网上银行时。一段时间后,黑客会通过各种方式设法获取您银行的 TLS 私钥。如果您没有完美的保密性,黑客可以使用私钥解密您过去的数据并窃取您的密码。
如果由于客户端和服务器之间密钥交换的配置而缺乏 PFS,黑客就会设法做到这一点。最初,客户端将设置一个预主秘密使用服务器的公钥加密。然后,它发送到服务器,并用私钥对其进行解密。此时,预主密钥同时存在于客户端和服务器上。
从此以后,会话密钥的生成将依赖于预主密钥,这在来回对话中起着至关重要的作用。这些会话密钥称为主密钥。
不幸的是,如果服务器在预主加密过程中重复使用私钥,则黑客可以窃取私钥。其后果是他们将能够窥探并解密所有服务器上的加密聊天,包括过去的数据。
为了成功,攻击者必须获取客户端和服务器加密过程中使用的两个随机数。遗憾的是,它们是以纯文本形式传达的,因此获取它们很容易。在某些情况下,黑客甚至可以获得预主密钥。
解密预主密钥变得很容易,因为他们已经拥有服务器的私钥。现在,他们拥有了创造主要秘密的所有拼图,使他们有能力解密所有会话数据。
不可能通过一次会话数据获取所有敏感数据。然而,如果黑客观察你的流量足够长的时间,他们就会得到一些有价值的东西。
保持安全的更简单方法
完美的前向保密是一种有价值的安全工具,但它并不是保护您的在线隐私的唯一方法。虚拟专用网络 (VPN) 将始终保证您的安全。例如,使用多层强大的加密。因此,即使互联网连接受损,您的在线活动仍然无法访问。
此外,一次订阅可让您同时连接最多六台设备,包括电脑、智能手机、路由器、智能电视等。此外,它将帮助您绕过流行流媒体服务的地理限制,例如Netflix,,葫芦,等等。
