Végpontok közötti titkosítás

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2019. július 10-én felülvizsgált verziótól ; az ellenőrzések 30 szerkesztést igényelnek .

A végpontok közötti titkosítás (szintén end-to-end encryption ; angolul  end-to-end encryption ) egy olyan adatátviteli módszer, amelyben csak a kommunikációban részt vevő felhasználók férhetnek hozzá az üzenetekhez. Így a végpontok közötti titkosítás használata nem teszi lehetővé harmadik felek számára a kriptográfiai kulcsokhoz való hozzáférést. [egy]

Kulcscsere

Szimmetrikus és aszimmetrikus algoritmusok egyaránt használhatók kulcscserére . [2] A végpontok közötti titkosítás feltételezi, hogy a titkosítási kulcsokat csak a kommunikáló felek ismerik. Ennek a feltételnek a megvalósításához egy előzetes titkos megosztással rendelkező séma, vagy például a WhatsApp [3] és a Telegram [4] [5] azonnali üzenetküldőiben használt Diffie-Hellman protokoll használható .

Modern használat

Általános elvek

A végpontok közötti titkosítás biztosítja, hogy csak a feladó és a címzett férhessen hozzá az üzenet eredeti szövegéhez. [6] Ez azt jelenti, hogy a felhasználói információk még az adatokat továbbító szerverek számára is elérhetetlenné válnak . [6]

A titkosítás és a visszafejtés a felhasználó végkészülékein történik. Ezenkívül az adatok titkosítva maradnak mindaddig, amíg a célállomásra nem kerülnek. Ezért a végpontok közötti titkosítást gyakran "nulla hozzáférésnek" vagy "kliens oldali titkosításnak" is nevezik. Különbséget kell tenni azonban az adatátvitel során végpontok közötti titkosítás és az adattárolás során a kliensoldali titkosítás között.

E- mail

Az aszinkron üzenetküldés egyik első szabványa az SMTP protokoll [7] . Ez a protokoll, amelyet eredetileg csak e-mailek továbbítására használtak , eredeti megvalósításában nem biztosította a levelezés titkosságát végpontok közötti titkosítással [8] . 1991-ben a PGP e- mail titkosító szoftvercsomagot Philip Zimmerman hozta létre . A könyvtár széles körben elterjedt az egész világon, ezért sok cég szeretne saját, PGP-vel kompatibilis szoftvert létrehozni [9] . Ezt követően, 1997-ben az IETF végre meghatározta a végpontok közötti e-mail titkosítás szabványait, amelyeket OpenPGP -nek [10] nevezett el . Az OpenPGP olyan nyílt forráskódú szoftverrendszerekben valósul meg, mint az Enigmail for Thunderbird , valamint olyan mobilalkalmazások, mint az IPGMail for iOS [11] és az Openkeychain kulcskezelő rendszer Androidra [12] és mások [13] .

1999-ben a Free Software Foundation kifejlesztette az OpenPGP megvalósítását GnuPG néven . Megfelel az OpenPGP specifikáció szabványainak, ingyenes szoftveralapként szolgál a legtöbb modern PGP-képes alkalmazáshoz [14] .

Messengerek és csevegések

Az aszinkron üzenetküldést használó e-mailekkel ellentétben az azonnali üzenetküldő rendszerek eredetileg szinkron adatátvitelt használtak, de ma már sok azonnali üzenetküldő lehetővé teszi az aszinkron üzenetküldést. Az utóbbi időben az ilyen rendszerek népszerűbbek lettek, mint az e-mail kliensek, mivel támogatják a videó- , fájl- és hangátvitelt is [15] .

1998-ban Jeremy Miller elkezdte a Jabber projekt fejlesztését, amely később XMPP néven vált ismertté . Az XMPP olyan technológiát biztosít a strukturált adatok aszinkron cseréjéhez, elosztott hálózaton keresztül az ügyfelek és a szerverek között, amely támogatja a jelenléti értesítéseket. A biztonság javítása érdekében az új protokollspecifikációk támogatják a végpontok közötti titkosítást, mivel az XMPP jelenleg alapértelmezés szerint nem titkosít, bár beépített SASL és TLS protokollokat használ [16] . Kezdetben az IETF nyílt XMPP protokollszabványát használták a legtöbb azonnali üzenetküldő rendszerben, például a Google Talk -ban . [17] .

A 2004-ben kiadott OTR protokoll az XMPP kiterjesztése, amely végpontok közötti titkosítást biztosít. Felhasználói riasztásokat is biztosít, ellentétben a PGP-vel, amely később a kapcsolat létrehozásának és a résztvevő azonosításának rekordjaként használható. Az OTR bizonyos értelemben a PGP feletti biztonsági frissítésnek tekinthető, mivel nem tárol hosszú távú nyilvános kulcsokat, amelyek kompromittálhatóak. Az OTR hátrányai közé tartozik a csoportos csevegés és az aszinkron üzenetküldés támogatásának hiánya, mivel két ember közötti szinkron üzenetküldésre tervezték [18] [19] .

Számos modern üzenetküldő használ Signal Protocolt a titkosításhoz .

Problémák

Attack "man in the middle"

A végpontok közötti titkosítás lehetővé teszi, hogy a levelezést közvetlenül a felhasználók irányítsák. A végpontok közötti titkosítás megkerülésének egyik lehetősége a támadó számára az, hogy átveszi az irányítást a végpontok közötti kommunikációs csatorna felett, ami után megpróbálhatja kiadni magát az üzenet címzettjének, hogy például lecserélje a nyilvános kulcsot. Az észlelés elkerülése érdekében a támadó az üzenet visszafejtése után titkosíthatja azt egy kulccsal , amelyet megoszt a tényleges címzettel, vagy a nyilvános kulcsával (aszimmetrikus rendszerek esetén), és újra elküldheti az üzenetet. Az ilyen típusú támadásokat általában "man-in-the-middle" támadásoknak nevezik [1] [20] - MITM (Man-In-The-Middle) .

A MITM-támadások megelőzése érdekében a legtöbb kriptográfiai protokoll hitelesítést használ . Ehhez például a tanúsító hatóságokat lehet használni . Egy másik módszer a nyilvános kulcsú ujjlenyomatok létrehozása a felhasználók nyilvános kulcsaiból vagy megosztott titkaiból. A beszélgetés megkezdése előtt a felek összehasonlítják nyilvános kulcsú ujjlenyomataikat egy külső kommunikációs csatorna segítségével, amely garantálja a kommunikáció integritását és hitelességét, és nem kell titkosnak lennie. Ha a kulcslenyomatok egyeznek, akkor a man-in-the-middle támadást nem hajtották végre [20] [21] .

Endpoint Security

A végpontok közötti titkosítás megkerülésének másik módja a hozzáférési végpontok közvetlen megtámadása. Minden felhasználó eszközét feltörhetik, hogy ellopják a kriptográfiai kulcsot (köztes támadás létrehozásához), vagy egyszerűen elolvassák a visszafejtett felhasználói üzeneteket. [3] Az ilyen típusú hackelési kísérletek elkerülése érdekében szükséges a felhasználói eszközök megfelelő védelme szoftverrel vagy más módszerekkel. [22] A végpontok biztonságának javítására tett fő kísérletek a kulcsgenerálási, tárolási és kriptográfiai műveletek intelligens kártyához való hozzárendelése voltak, például a Google Project Vault-ban [23] . Mivel azonban az egyszerű szöveges bemenet és kimenet látható a rendszeren, ezek a megközelítések nem nyújtanak védelmet a billentyűzetnaplózókkal és a beszélgetéseket valós időben figyelni képes kártevőkkel szemben [24] . Robusztusabb megközelítés az eszköz fizikai izolálása [25] .

Backdoors

A vállalatok (önmagukban vagy kényszer hatására) hátsó ajtókat is bevezethetnek szoftvereikbe , amelyek segítenek megszegni a kulcsszerződést vagy megkerülni a titkosítást. Edward Snowden által 2013-ban nyilvánosságra hozott információk szerint a Skype tartalmazott egy hátsó ajtót, amely lehetővé tette a Microsoft számára, hogy felhasználói üzeneteket továbbítson az NSA -nak , annak ellenére, hogy ezek az üzenetek hivatalosan végponttól végpontig titkosítottak [26] [27] .

Jegyzetek

  1. 1 2 Hacker Lexikon: Mi az a végpontok közötti titkosítás?  (angol) . VEZETÉKES . Letöltve: 2015. december 22.
  2. JH Ellis. Biztonságos, nem titkos digitális titkosítás lehetősége (nem elérhető link) (2014. október 30.). Letöltve: 2018. január 19. Az eredetiből archiválva : 2014. október 30. 
  3. 1 2 Végpontok közötti  titkosítás . whatsapp . Letöltve: 2017. december 23. Az eredetiből archiválva : 2018. június 2.
  4. Chris Alexander, Ian Avrum Goldberg. Továbbfejlesztett felhasználói hitelesítés az off-The-Record üzenetküldésben  //  A 2007-es ACM munkaértekezlete az adatvédelemről az elektronikus társadalomban : folyóirat. - New York: Association for Computing Machinery, 2007. - február. - P. 41-47 . - doi : 10.1145/1314333.1314340 . Archiválva az eredetiből 2016. február 27-én.
  5. Végpontok közötti titkosítás, titkos  csevegés . távirat . Letöltve: 2017. december 23. Az eredetiből archiválva : 2018. március 20.
  6. 12 Végpontok közötti titkosítás . EHA felügyeleti önvédelmi útmutató . Electronic Frontier Foundation. Hozzáférés dátuma: 2016. február 2. Az eredetiből archiválva : 2016. március 5.
  7. SMTP és az e-mail fejlődése | SendGrid  (angol) , SendGrid  (2015. június 17.). Az eredetiből archiválva : 2018. január 16. Letöltve: 2018. január 15.
  8. John C. Klensin <[email protected]>. Egyszerű levéltovábbítási protokoll  . tools.ietf.org. Letöltve: 2017. december 29. Az eredetiből archiválva : 2015. január 16..
  9. A PGP története (2016. augusztus 15.). Letöltve: 2018. január 19. Az eredetiből archiválva : 2018. május 15.
  10. Az OpenPGP -ről (2016. augusztus 15.). Letöltve: 2018. január 5. Az eredetiből archiválva : 2018. május 15.
  11. PGP iOS-hez . iPGMail (2016. október 25.). Letöltve: 2018. január 5. Az eredetiből archiválva : 2018. április 25.
  12. Nyissa meg a Keychain Team alkalmazást. Névjegy · OpenKeychain (downlink) . www.openkeychain.org. Letöltve: 2018. január 5. Az eredetiből archiválva : 2018. január 5.. 
  13. OpenPGP szoftver (2017. szeptember 27.). Letöltve: 2018. január 5. Az eredetiből archiválva : 2016. augusztus 27..
  14. A GnuPG 2.2.3 kiadása (2017. november 21.). Letöltve: 2018. január 5. Az eredetiből archiválva : 2017. december 15.
  15. Tom Van Vleck. Azonnali üzenetküldés CTSS-en és Multics-on . multicians.org. Letöltve: 2012. május 11. Az eredetiből archiválva : 2017. december 2.
  16. XMPP |  Az XMPP- ről . xmpp.org. Letöltve: 2018. január 5. Az eredetiből archiválva : 2018. október 18..
  17. Az XMPP története . Letöltve: 2018. január 5. Az eredetiből archiválva : 2011. február 12.
  18. Borisov N., Goldberg I., Brewer E. Rekordon kívüli kommunikáció, vagy miért ne használjuk a PGP-t (2004). Letöltve: 2018. január 5. Az eredetiből archiválva : 2018. június 25.
  19. Nem rekord üzenetküldés . otr.cypherpunks.ca. Letöltve: 2018. január 5. Az eredetiből archiválva : 2018. április 12..
  20. 1 2 Felmérés a Man In The Middle  Attacks -ről . IEEEXplore . Letöltve: 2017. december 22. Az eredetiből archiválva : 2018. március 21..
  21. David Mazières ; M. Frans Kaashoek (1998. szeptember). Menekülés a központosított irányítás gonoszságai elől önigazoló útvonalnevekkel ( PostScript ) . A 8. ACM SIGOPS európai workshop anyaga: Elosztott alkalmazások összeállításának támogatása. Sintra, Portugália: M.I.T. Letöltve: 2006-12-23 . (nem elérhető link)
  22. Mi az Endpoint Security? | Hogyan működik a végpontvédelem?  (angol) , Comodo  (2013. október 22.). Az eredetiből archiválva: 2016. december 2.
  23. Julie Bort, Matt Weinberger „A Google Project Vault egy apró számítógép titkos üzenetek küldésére” Archiválva : 2017. augusztus 8., a Wayback Machine , Business Insider , NYC, 2015. május 29.
  24. ↑ Billentyűnaplózók : A számítógép-biztonságot és a magánéletet fenyegető növekvő veszélyek  . IEEEXplore .
  25. A végpontok biztonságkezelésének áttekintése . Letöltve: 2015. július 22. Az eredetiből archiválva : 2021. március 22.
  26. Goodin, Dan. Úgy gondolja, hogy Skype-üzenetei végpontok közötti titkosítást kapnak? Gondold át újra . Ars Technica (2013. május 20.). Letöltve: 2018. január 16. Az eredetiből archiválva : 2015. december 22.
  27. Greenwald, Glenn; MacAskill, Ewen; Poitras, Laura; Ackerman, Spencer; Rushe, Dominic. A Microsoft hozzáférést adott az NSA-nak a titkosított üzenetekhez . The Guardian (2013. július 12.). Letöltve: 2018. január 16. Az eredetiből archiválva : 2015. november 19.