Пряма секретність

Пряма секретність (англ. forward security), також цілковита пряма секретність — властивість криптосистем зберігати конфіденційність минулих сеансових ключів при компрометації довготривалого ключа.

Опис

Компрометація ключа компрометує будь-які майбутні його застосування. Однак, навіть якщо факт компрометації ключа буде швидко виявлено та вжито заходів з його анулювання, то під загрозою опиняються колишні його застосування. Наприклад, зловмисник може мати отриманий цим ключем шифротекст і тепер у нього з'явиться можливість його дешифрувати. Криптосистеми з прямою секретністю покликані надати захист від подібних загроз: колишні застосування ключа не будуть скомпрометовані втратою певної інформації в теперішній час^[1].

Вимоги до криптосистем з прямою секретністю можуть бути посилені: криптосистема з сильною прямою секретністю гарантує, що при компрометації ключа в момент t_e не будуть скомпрометовані сеанси в моменти t_j < t_e та t_e < t_j^[2].

Наприклад, протокол обміну ключами з прямою секретністю гарантує, що навіть за умови компрометації ключів однієї зі сторін минулі повідомлення залишаються конфедеційними: вразливими до атаки стають лише майбутні повідомлення^{[джерело?]}. Системи електронного цифрового підпису з прямою секретністю гарантують, що компрометація таємного ключа не скомпрометує минулі підписи, а скомпрометує лише майбутні підписи^[3].

Генератор псевдовипадкових чисел з прямою таємністю має певний стан, проте гарантує, що навіть якщо зловмиснику вдасться дізнатись його поточний стан, йому не вдасться встановити отримані на цьому генераторі попередні псевдовипадкові значення. Генератори псевдовипадкових чисел з прямою таємністю дозволяють створювати криптосистеми з симетричними ключами з властивістю прямої таємності^[1].

Значення

В 2016 році група науковців оприлюднила результати дослідження налаштувань HTTPS/TLS у найпопулярніших вебсерверів на той час (Alexa Top Million). Вони встановили, що заради поліпшення швидкодії деякі адміністратори налаштували сервери для підтримки слабшого захисту, який, теоретично, мав поліпшити швидкість обробки запитів. Дослідникам вдалось виявити численні випадки повторного використання секретних значень в алгоритмах DHE та ECDHE, відновлення сеансів TLS, та квитків сеансів TLS. Через це істотно погіршується пряма секретність: до 24 години трафіку 38 % досліджених серверів може бути дешифровано у випадку компрометації сервера, іще у 10 % серверів цей термін становить 30 діб, незалежно від обраного набору шифрів. Через спільне збереження таємних значень TLS та стану сеансів між різними вебдоменами у деяких випадків викрадення єдиного таємного значення може бути достатнім для компрометації десятків тисяч вебсайтів^[4].

Приклади

Нижче наведено неповний перелік криптосистем з підтримкою прямої секретності:

• розширена криптосистема цифрового підпису Меркле (англ. eXtended Merkle Signature Scheme, XMSS). Окрім прямої секретності дана криптосистема також стійка до криптоаналізу із використанням квантових комп'ютерів^[5].

Примітки

1. Mihir Bellare та Bennet Yee (2003). Forward-Security in Private-Key Cryptography. CT-RSA 2003. Springer-Verlag. doi:10.1.1.123.2142. {{cite journal}}: Перевірте значення |doi= (довідка)
2. Mike Burmester, Vassilios Chrissikopoulos, Panayiotis Kotzanikolaou, Emmanouil Magkos (2001). IFIP-SEC ’01 Conference. Kluwer Academic Publishers: 109--121.
3. Mihir Bellare and Sara K. Miner (1999). Michael Wiener (ред.). A Forward-Secure Digital Signature Scheme (PDF). CRYPTO'99. Lecture Notes in Computer Science. Springer-Verlag. 1666: 431—448.
4. Drew Springall, Zakir Durumeric, J. Alex Halderman. Measuring the Security Harm of TLS Crypto Shortcuts // ACM. — . — ISBN 78-1-4503-4526-2/16/11. — DOI:http://dx.doi.org/10.1145/2987443.2987480.
5. Johannes Buchmann, Erik Dahmen, Andreas Hulsing (26 листопада 2011). XMSS – A Practical Forward Secure Signature Scheme based on Minimal Security Assumptions (PDF).

Література

• Gene Itkis. Forward Security Adaptive Cryptography: Time Evolution (PDF).

Див. також

• Протокол Діффі-Геллмана