我正在参加一个信息安全课程,偶然发现了这个概念并被它吸引。我也查看了一些网站和维基百科上的说明,以及在stackoverflow上发布的一些帖子,但我仍然感到困惑。据我所知,在典型的HTTPS公钥交换中,浏览器和服务器使用密钥来创建会话密钥......如果有人获得了派生会话密钥的私钥,他们可以查看在此连接之间发送的所有数据,甚至是过去的。
我的理解是,在PFS中,“会话密钥”甚至没有以加密形式发送。它被保密,即使有人找到了私钥,他们也无法访问过去的加密记录信息。这正确吗?
我还想知道,如果我参与PFS交换,称为“ A”,与服务器“ B”,PFS应该与我的密钥被破坏后仍能工作,因为A和B的对话不会被破坏,因为他们不知道会话密钥。但是如果我的密钥实际上已被破解,B如何将我认证为A,例如它如何区分尝试使用我的密钥访问数据的我(A)或另一个用户(C)。
我非常喜欢Robert Love在Quora上的回答:http://www.quora.com/What-is-perfect-forward-secrecy-PFS-as-used-in-SSL
在这个第二个例子中,X未被用于创建共享密钥,因此即使X被破解,M也是无法发现的。但你可能会说,你只是把问题推给了X'。如果X'被知道怎么办?但这就是巧妙之处。假设X'从未被重复使用或存储,在通信时获得X'的唯一方法是对手在主机内存上有访问权限。如果你的对手具有这样的物理访问权限,那么任何类型的加密都不会对你有所帮助。此外,即使X'被某种方式破解,它也只会揭示这次特定的通信。让我们看一下在普通的非短暂情况下密钥交换是如何工作的。 我将给出一个简单的例子,假设使用Diffie-Hellman算法,并且具有简单的数学模型:
Alice(客户端)想要与Bob(服务器)进行通信。
Bob拥有私钥X和公钥Y。X是保密的,Y是公开的。
Alice生成一个大的随机整数M。
Alice使用Y加密M并将Y(M)发送给Bob。
Bob使用X解密Y(M),得到M。
现在Alice和Bob都拥有M,并将其用作他们同意在SSL会话中使用的密码,例如AES。
相当简单吧?问题在于,如果有人发现了X,则每个通信都被破解:X让攻击者解密Y(M),从而获得M。现在我们来看一下这种情况的PFS版本:
Alice(客户端)想要与Bob(服务器)进行通信。
Bob生成了一组新的公钥和私钥Y'和X'。
Bob将Y'发送给Alice。
Alice生成一个大的随机整数M。
Alice使用Y'加密M并将Y'(M)发送给Bob。
Bob使用X'解密Y'(M),得到M。
现在Alice和Bob都拥有M,并将其用作他们同意在SSL会话中使用的密码,例如AES。
(X和Y仍然用于验证身份;我将其省略。)
这就是PFS。
您为每个消息生成一个新的公钥,并仅使用真实永久公钥进行身份验证。
这在其他答案中已经提到,但我只想给出一个更易于理解和具有上下文的版本。
您可以使用某人的公钥执行两件事情:
在许多方面,身份验证是更关键/成本更高的步骤,因为要知道给定公钥属于某人且避免中间人攻击,您需要采取以下步骤:
然而,生成新密钥相对便宜。
因此,一旦您完成了这个昂贵的初始密钥验证步骤,现在您可以:
消息被接收和阅读后,他们立即删除该临时私钥和解密的消息。
因此,如果他们的计算机被黑客攻击并泄漏了永久私钥,则无法解密攻击者在网络上捕获的旧加密消息,因为临时密钥用于加密它们,并且已经被删除。
但是,如果他们在泄漏后没有注意到并更改其永久密钥,则未来的消息仍然容易受到中间人攻击。
