Perfect Forward Secrecy
Perfect Forward Secrecy - Eigenschaft einer Kryptografie, die Vertraulichkeit auch dann zu gewährleistet, wenn der Serverschlüssel kompromittiert wurde
Beschreibung
- Perfect Forward Secrecy (PFS) oder Forward Secrecy
- perfekte vorwärts gerichtete Geheimhaltung
- In der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle
- Eigenschaft einer Cipher Suite
- Vertraulichkeit gewährleistet, wenn Serverschlüssel kompromittiert wurde
- Aufgezeichneter Datenverkehr
- kann nicht entschlüsselt werden
- auch, falls ein Angreifer in den Besitz des Serverschlüssels gelangt ist
- Ziel
Gemeinsamen Sitzungsschlüssel so vereinbaren
- dass dieser von einem Dritten auch dann nicht rekonstruiert werden kann, wenn einer der beiden Langzeitschlüssel später einmal kompromittiert werden sollte
- Folgenlosigkeit und break-backward protection
- aufgezeichnete, verschlüsselte Kommunikation auch bei Kenntnis des Langzeitschlüssels nicht nachträglich entschlüsselt werden
- Gelegentlich wird diese Eigenschaft auch unter dem Schlagwort Folgenlosigkeit behandelt, da ein späteres Aufdecken des Langzeitschlüssels folgenlos für die Sicherheit aller früheren Sitzungen bleibt
- Diese Eigenschaft betont auch die alternative englische Bezeichnung break-backward protection
Hintergrund
- Prinzipiell kann jeder Schlüssel aufgedeckt werden
- Aufwendige Analyseverfahren
- Ausspähung
- Diebstahl
- Bestechung
- Erpressung
- Nachlässigkeit
- Brute-Force
- Sitzungsschlüssel
- Deswegen werden Sitzungsschlüssel verwendet, die in kurzen Abständen immer wieder neu ausgehandelt werden
- Ein Angreifer, dem ein derartiger Sitzungsschlüssel bekannt wird, kann deshalb nur den Teil der Kommunikation entschlüsseln, der mit diesem Sitzungsschlüssel verschlüsselt worden war.
- Langzeitschlüssel
- Allerdings sind sämtliche Sitzungsschlüssel der Gefahr ausgesetzt, dass derjenige Langzeitschlüssel kompromittiert wird, der für die gesicherte Übertragung der Sitzungsschlüssel verwendet wird.
- Durch die Kenntnis dieses Langzeitschlüssels könnte ein möglicher Angreifer sämtlichen Datenverkehr entschlüsseln, insbesondere auch die Übertragung der Sitzungsschlüssel und somit Zugriff auf den gesamten früheren Datenverkehr erhalten.
- Perfect Forward Secrecy
Dies wird durch Perfect Forward Secrecy unterbunden
- Angreifer können trotz Kenntnis des Langzeitschlüssels keinerlei Rückschlüsse auf die ausgehandelten Sitzungsschlüssel ziehen
- Bei TLS wird dies dadurch erreicht, dass der Langzeitschlüssel zu einem Signaturverfahren gehört und nur benutzt wird, um Kurzzeitschlüssel zu signieren
- Mit diesen wird jeweils durch einen Diffie-Hellman ein Sitzungsschlüssel ausgehandelt
- Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen.
- Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren.
Praxis
- Standardverfahren
Bei den heutigen Standardverfahren, bei denen zusammen mit symmetrischen Sitzungsschlüsseln (session key) auch asymmetrische Master-Keys eingesetzt werden, müssen auch die sehr viel langlebigeren Hauptschlüssel (master keys) eines Kommunikationskanals PFS-fähig sein.
- Die Kenntnis eines oder beider privater Schlüssel der Kommunikationsendpunkte darf Angreifern das Aufdecken der Sitzungsschlüssel nicht erleichtern.
- Nachteil
Ein Nachteil von Perfect Forward Secrecy ist der deutlich höhere Aufwand zur Generierung von Sitzungsschlüsseln und die dadurch geringere Verarbeitungsgeschwindigkeit.
- Aus diesem Grunde kann es bei manchen Kryptografiesverfahren (z. B. IPsec) deaktiviert werden.
- Empfehlung
Im April 2019 empfahl das deutsche Bundesamt für Sicherheit in der Informationstechnik in seinen Sicherheitsanforderungen für den Einsatz von TLS bei der Übertragung von Daten die Version TLS 1.2 oder TLS 1.3 in Kombination mit Perfect Forward Secrecy zu nutzen.
- Unterstützung
- Von den großen internationalen IT-Unternehmen war Google das Erste, das den Standard unterstützte.
- Mittlerweile wenden auch Facebook, YouTube und andere dieses Verfahren an.
- Nach Angabe des Trustworthy Internet Movement vom Januar 2015 waren damals ca. 20,9 Prozent aller Webseiten, die eine TLS-Kryptografie nutzen, dazu konfiguriert, Cipher Suites zu verwenden, die Perfect Forward Secrecy mit modernen Browsern unterstützten.
Dokumentation
RFC
- RFC 2409, Beispiel bei The Internet Key Exchange (IKE)
- RFC 2412, Beispiel bei IPsec
- RFC 4650