PERFECT FORWARD SECRECY
Por: Goianio • 13/11/2018 • Artigo • 1.686 Palavras (7 Páginas) • 214 Visualizações
À partir de 2012 foi perceptível o aumento no número de notícias referentes
ao comprometimento de informações sensíveis e o prejuízo resultante desses
acontecimentos. Houveram notícias sobre o envolvimento de governos em projetos
de espionagem, como no caso do ex-funcionário da agência nacional de segurança
dos Estados Unidos, Edward Snowden; vazamento de senhas e dados privados,
como o comprometimento das informações de milhares de cartões de crédito
utilizados na empresa americana Target; descoberta de vulnerabilidades em
ferramentas utilizadas para a proteção de dados com exemplo a ferramenta openssl
e a falha conhecida como Heartbleed, e empresas sendo prejudicadas através de
ataques e falhas como aconteceu à Sony Entertainment.
A utilização crescente de sistemas distribuídos torna inviável o controle sobre
quem utiliza as informações geradas e quem, com permissão ou não, as armazena.
Milhares de websites e milhões de pessoas confiam na utilização de protocolos
como SSL e TLS para proteger a transmissão de informações sensíveis como
senhas, número de cartões de crédito e outras informações pessoais. Entretanto,
entidades governamentais, entre elas, Estados Unicos, China e Irã adotam a
utilização de ferramentas para armazenar vastas quantidades de tráfego de internet
sobre seu domínio, durante quanto tempo for necessário para que os dados sejam
descriptografados e analizados. [FORBES 2013].
Estruturas bilhonárias, construídas especificamente com o objetivo de acesso
a essas informações [WIRED 2012], sendo através de criptoanálise, engenharia
social ou mesmo através do compromentimento da chave privadas dos servidores
utilizados para proteger e transmitir as informações demonstram que a abordagem
utilizada para a proteção de dados não é suficiente para garantir a privacidade dos
usuários.
A falta de garantia na confidencialidade da informação frente a técnicas cada
vez mais sofisticadas de ataques como Men in the Midle (MitM) ou mesmo atraques
de força bruta tornam necessárias a busca e implementação de técnicas para
resolver ou ao menos mitigar o comprometimento da informação que traféga por
meio não seguro.
O objetivo desse artigo é listar as principais técnicas utilizadas para acessar a
informações que foram protegidas através dos protocolos SSL e TLS e demonstrar
as opções disponíveis para dificultar o sucesso dessas técnicas e minimizar o
impacto frente ao comprometimento de um par de chaves ou certificado digital
utilizado na comunicação entre cliente e servidor.
2 OS PROTOCOLOS SSL E TLS
Os primeiros rascunhos de um protocolo com objetivo de protejer a
comunicação entre duas máquinas, seja ela web ou e-mail, surgiram em 1994 pela
empresa americana Netscape. Os principais itens considerados para o protocolo
eram a transparência, isto é, o protocolo não deveria alterar o conteúdo transmitido,
apenas protege-lo, essa característica permitia a integração com vários protocolos
compatíveis com TCP. A segunda característica importante foi a capacidade de
identificar os hosts com os quais eram realizados a comunicação. O SSL seria um
intermediário entre a camada de transporte e a camada de aplicação.
Em 1994 a maior preocupação na comunicação web era prover um método
seguro de transmitir informações confidencias através de um canal inseguro. O
modelo utilizado era a necessidade de proteger as informações de cartões de crédito
utilizados em compras online.[Rescola 2008]. As características inicias do SSL
garantiam que a informação dos cartões seriam entregues de forma criptografada e
que o alvo da comunicação (servidor) fosse identificado. De forma paralela, o SSL
também permitia a auteticação do cliente caso fosse necessário.
2.1 SSLv1
A primeira versão do protocolo foi iniciada no final de 1993 pela empresa
Netscape. A versão não foi a público devido a várias falhas existentes como por
exemplo falta de verificação na integridade da mensagem o que permitia que um
Figura 1 - SSL na pilha TCP.
atacante alterasse o conteúdo da mensagem mesmo essa estando criptografada.
2.2 SSLv2
Publicado no final de 1994, foi a primeira versão de um protocolo no qual o
objetivo era a proteção da comunicação. Durante o desenvolvimentos das versões 1
e 2 do protocolo não houve a presença de especialistas em segurança e criptografia
bem como a participação da comunidade para teste e melhorias o que resultou em
um padrão falho que ainda permitia o comprometimento da comunicação de forma
simples[Rescola 2008].
2.3 SSLv3
Após
...