Perfect Forward Secrecy: criptografia à prova de futuro para sites

0
1351
ssl

As revelações do denunciante Edward Snowden mostraram que a NSA coleta dados em grande escala. Embora não possa descriptografar algumas informações hoje, no futuro isso pode ser possível. Hoje, os webmasters podem proteger a si mesmos e a seus visitantes da descriptografia de amanhã.

Edward Snowden mostrou ao mundo que nenhum dado está seguro dos serviços de inteligência. Eles coletam (como medida de precaução) todas as informações que encontram. Alguns desses dados são criptografados, por exemplo, em uma conexão HTTPS. Isso inclui sites que transmitem informações confidenciais, a compra de um produto ou o login na conta de e-mail ou o uso de home banking. Todos esses dados são interceptados, mesmo hoje inutilizáveis. Em alguns anos, os serviços secretos poderiam descriptografá-los.

A vulnerabilidade do HTTPS

O que exatamente se entende por Perfect Forward Secrecy, PFS, para abreviar? Para explicar o termo, primeiro é necessário explicar como a criptografia SSL funciona, que é usada em sites nos quais dados confidenciais são transmitidos.

Ao visitar nosso site hoster.online, um pequeno cadeado se torna visível na barra de pesquisa do navegador. Um clique no cadeado abre informações sobre o certificado SSL. Com outro clique, você pode visualizar informações sobre o certificado, incluindo, por exemplo, a data de validade.

Os certificados SSL podem usar praticamente qualquer site. As diferenças estão em

- sua criptografia
- se são os Domínio ou identidade validar e
- quão alta é a compatibilidade do seu navegador.

Existem também três tipos de certificado:

1. solteiro
2. Wildcard
3. domínio multi

O certificado SSL funciona da seguinte maneira: O usuário navega em uma página da web, por exemplo hoster.online. Seu navegador entra em contato com o servidor, que especifica uma chave pública emitida pela autoridade de certificação. O navegador verifica a assinatura da autoridade de certificação. Se isso estiver correto, ele troca dados com hoster.online. Todos os dados serão transmitidos criptografados a partir de agora.

Perfect Forward Secrecy como proteção contra os métodos de amanhã

Para a transmissão criptografada de uma sessão HTTPS, o navegador propõe uma chave de sessão secreta a cada vez. O servidor confirma essa chave.

O problema com o método é que serviços de inteligência como a NSA podem registrar a transmissão da chave. No futuro próximo, seria possível descriptografar. Isso permitiria que ela lesse todos os dados transmitidos no hoster.online.

Houve problemas com o HTTPS no passado. O Bug Heartbleed, que expõe páginas da Web desde as principais vulnerabilidades de segurança da 2011, afetou dois em cada três sites na Internet. Heartbleed foi um erro de programação no software OpenSSL. Ele deu aos hackers que vincularam via HTTPs a um servidor com uma versão vulnerável do OpenSSL o acesso ao 64 KB de espaço de armazenamento privado. O ataque vazou cookies, senhas e endereços de email do servidor. Os afetados foram ótimos serviços como Yahoo Mail e LastPass.

A solução para esses cenários é o Perfect Forward Secrecy: com o chamado método Diffie-Hellman, os dois parceiros de comunicação - nesse caso, navegador e servidor - concordam com uma chave de sessão temporária. Isso nunca será transferido. Depois que a sessão é concluída, a chave é destruída.

PFS na prática e no futuro

Infelizmente, existem duas más notícias:

1. Atualmente, apenas alguns sites usam o PFS.
2. Todos os dados trocados anteriormente não podem mais ser criptografados.

No entanto, pelo menos a partir de agora as páginas da Web devem implementar o Perfect Forward Secrecy para garantir que nenhum dado possa ser lido mais cedo ou mais tarde, apesar da criptografia.

Ivan Ristic, do Security Labs, recomenda os seguintes pacotes para a implementação do PFS:

- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Os webmasters podem testar seu site em ssllabs.com e depois decidir a ação apropriada.

Após a implementação do Perfetct Forward Secrecy, serviços como NSA e BND só podem ler dados usando ataques man-in-the-middle. Em todos os outros casos, o FPS será um grande espinho para os bisbilhoteiros.

DEIXE UMA RESPOSTA

Por favor, escreva seu comentário!
Digite seu nome aqui