Пряма секретність
Пряма секретність (англ. forward security), також цілковита пряма секретність — властивість криптосистем зберігати конфіденційність минулих сеансових ключів при компрометації довготривалого ключа.
Опис
Компрометація ключа компрометує будь-які майбутні його застосування. Однак, навіть якщо факт компрометації ключа буде швидко виявлено та вжито заходів з його анулювання, то під загрозою опиняються колишні його застосування. Наприклад, зловмисник може мати отриманий цим ключем шифротекст і тепер у нього з'явиться можливість його дешифрувати. Криптосистеми з прямою секретністю покликані надати захист від подібних загроз: колишні застосування ключа не будуть скомпрометовані втратою певної інформації в теперішній час[1].
Вимоги до криптосистем з прямою секретністю можуть бути посилені: криптосистема з сильною прямою секретністю гарантує, що при компрометації ключа в момент te не будуть скомпрометовані сеанси в моменти tj < te та te < tj[2].
Наприклад, протокол обміну ключами з прямою секретністю гарантує, що навіть за умови компрометації ключів однієї зі сторін минулі повідомлення залишаються конфедеційними: вразливими до атаки стають лише майбутні повідомлення[джерело?]. Системи електронного цифрового підпису з прямою секретністю гарантують, що компрометація таємного ключа не скомпрометує минулі підписи, а скомпрометує лише майбутні підписи[3].
Генератор псевдовипадкових чисел з прямою таємністю має певний стан, проте гарантує, що навіть якщо зловмиснику вдасться дізнатись його поточний стан, йому не вдасться встановити отримані на цьому генераторі попередні псевдовипадкові значення. Генератори псевдовипадкових чисел з прямою таємністю дозволяють створювати криптосистеми з симетричними ключами з властивістю прямої таємності[1].
Значення
В 2016 році група науковців оприлюднила результати дослідження налаштувань HTTPS/TLS у найпопулярніших веб-серверів на той час (Alexa Top Million). Вони встановили, що заради поліпшення швидкодії деякі адміністратори налаштували сервери для підтримки слабшого захисту, який, теоретично, мав поліпшити швидкість обробки запитів. Дослідникам вдалось виявити численні випадки повторного використання секретних значень в алгоритмах DHE та ECDHE, відновлення сеансів TLS, та квитків сеансів TLS. Через це істотно погіршується пряма секретність: до 24 години трафіку 38 % досліджених серверів може бути дешифровано у випадку компрометації сервера, іще у 10 % серверів цей термін становить 30 діб, незалежно від обраного набору шифрів. Через спільне збереження таємних значень TLS та стану сеансів між різними веб-доменами у деяких випадків викрадення єдиного таємного значення може бути достатнім для компрометації десятків тисяч вебсайтів[4].
Приклади
Нижче наведено неповний перелік криптосистем з підтримкою прямої секретності:
Примітки
- Mihir Bellare та Bennet Yee (2003). Forward-Security in Private-Key Cryptography. CT-RSA 2003 (Springer-Verlag). doi:10.1.1.123.2142.
- Mike Burmester, Vassilios Chrissikopoulos, Panayiotis Kotzanikolaou, Emmanouil Magkos (2001). IFIP-SEC ’01 Conference. Kluwer Academic Publishers. с. 109––121.
- Mihir Bellare and Sara K. Miner (1999). A Forward-Secure Digital Signature Scheme. У Michael Wiener. CRYPTO'99. Lecture Notes in Computer Science (Springer-Verlag) 1666: 431–448.
- Drew Springall, Zakir Durumeric, J. Alex Halderman. Measuring the Security Harm of TLS Crypto Shortcuts // ACM. — . — ISBN 78-1-4503-4526-2/16/11. — DOI: .
- Johannes Buchmann, Erik Dahmen, Andreas Hulsing (26 листопада 2011). XMSS – A Practical Forward Secure Signature Scheme based on Minimal Security Assumptions.