Perfect Forward Secrecy: toekomstbestendige codering voor websites

0
1208
ssl

Klokkenluider Edward Snowden onthult dat de NSA massaal gegevens verzamelt. Hoewel het vandaag sommige informatie niet kan ontsleutelen, is dit in de toekomst misschien wel mogelijk. Webmasters van vandaag kunnen zichzelf en hun bezoekers beschermen tegen de ontsleuteling van morgen.

Edward Snowden heeft de wereld laten zien dat geen gegevens veilig zijn voor de inlichtingendiensten. Ze verzamelen (uit voorzorg) alle informatie die ze tegenkomen. Sommige van deze gegevens worden gecodeerd, bijvoorbeeld via een HTTPS-verbinding. Deze omvatten websites die gevoelige informatie verzenden, de aankoop van een product of inloggen op het e-mailaccount of thuisbankieren. Al deze gegevens worden onderschept, hoewel ze vandaag onbruikbaar zijn. Over een paar jaar konden geheime diensten ze decoderen.

De kwetsbaarheid van HTTPS

Wat wordt precies bedoeld met Perfect Forward Secrecy, kortweg PFS? Om de term uit te leggen, moet eerst worden uitgelegd hoe SSL-codering werkt, die wordt gebruikt op websites waar gevoelige gegevens worden verzonden.

Wanneer u onze website hoster.online bezoekt, wordt een klein slotje zichtbaar in de zoekbalk van de webbrowser. Een klik op het slot opent informatie over het SSL-certificaat. Met een andere klik kunt u informatie over het certificaat bekijken, zoals bijvoorbeeld de vervaldatum.

SSL-certificaten kunnen vrijwel elke website gebruiken. De verschillen zitten erin

- hun codering
- of zij de zijn Domein of identiteit valideren en
- hoe hoog uw browsercompatibiliteit is.

Er zijn ook drie certificaattypen:

1. single
2. wildcard
3. Multi-domein

Het SSL-certificaat werkt als volgt: de gebruiker surft op een webpagina, bijvoorbeeld hoster.online. Zijn browser maakt contact met de server, die een openbare sleutel aangeeft die is uitgegeven door de certificeringsinstantie. De browser controleert de handtekening van de certificeringsinstantie. Als dit correct is, wisselt hij gegevens uit met hoster.online. Alle gegevens worden vanaf nu versleuteld verzonden.

Perfect Forward Secrecy als bescherming tegen de methoden van morgen

Voor de gecodeerde verzending van een HTTPS-sessie stelt de browser elke keer een geheime sessiesleutel voor. De server bevestigt deze sleutel.

Het probleem met de methode is dat inlichtingendiensten zoals de NSA de overdracht van de sleutel kunnen registreren. In de nabije toekomst zou het voor hem mogelijk zijn om te decoderen. Dit zou haar in staat stellen alle gegevens te lezen die op hoster.online zijn verzonden.

Er zijn in het verleden problemen geweest met HTTPS. De Bug Heartbleed, die webpagina's heeft blootgelegd sinds 2011 grote beveiligingsproblemen, trof twee van de drie websites op internet. Heartbleed was een programmeerfout in de OpenSSL-software. Hij gaf hackers die via HTTPs aan een server met een kwetsbare versie van OpenSSL toegang gaven tot 64 KB privéopslagruimte. De aanval lekte servercookies, wachtwoorden en e-mailadressen. Beïnvloed waren geweldige services zoals Yahoo Mail en LastPass.

De oplossing voor dergelijke scenario's is Perfect Forward Secrecy: met de zogenaamde Diffie-Hellman-methode komen de twee communicatiepartners - in dit geval webbrowser en server - een tijdelijke sessiesleutel overeen. Dit wordt nooit overgedragen. Nadat de sessie is voltooid, wordt de sleutel vernietigd.

PFS in de praktijk en de toekomst

Helaas zijn er twee slecht nieuws:

1. Momenteel gebruiken slechts enkele websites PFS.
2. Alle eerder uitgewisselde gegevens kunnen niet langer worden gecodeerd.

Desalniettemin moeten webpagina's op zijn minst vanaf nu Perfect Forward Secrecy implementeren om ervoor te zorgen dat ondanks versleuteling geen gegevens vroeg of laat kunnen worden gelezen.

Ivan Ristic van Security Labs beveelt de volgende suites aan voor de implementatie van PFS:

- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Webmasters kunnen hun website op ssllabs.com testen en vervolgens beslissen over passende maatregelen.

Na de implementatie van Perfetct Forward Secrecy kunnen services zoals de NSA en BND alleen gegevens lezen met behulp van man-in-the-middle-aanvallen. In alle andere gevallen zal FPS een grote doorn zijn in het oog van afluisteraars.

VERWIJDER EEN ANTWOORD

Vul hier uw reactie!
Vul uw naam hier