HTTPS krypterad trafik kan vara i riskzonen i och med allt snabbare datorer och bättre programvara för att knäcka säkerhet. Google har nu hittat ett sätt att säkra sina tjänster.
Google har nyligen ändrat den krypteringsmetod som använder https-protokollet för säkrare anslutningar, däribland Gmail, Google Docs och Google+. Detta för att förhindra att trafiken kan komma att dekrypteras.
De flesta av dagens implementeringar av https använder privata nycklar som bara ägaren av domänen känner till. Servern genererar sessionsnycklar som sedan används för att kryptera trafiken mellan servrar och klienter.
Detta tillvägagångssätt exponerar anslutningar till så kallade retrospektiva dekrypteringsattacker.
– Om tio år när datorer är mycket snabbare kan en illasinnad person knäcka serverns nyckel och i efterhand dekryptera dagens e-posttrafik, säger Adam Langley som arbetar på Googles säkerhetsteam.
Ett sätt att minska säkerhetsriskerna är med tekniken forward secrecy, vilket enkelt uttryckt innebär användandet av temporära nycklar för att kryptera sessioner, och efter en bestämd tid radera dessa. Precis som Kerberos autentisering i en Microsoft Active Directory fungerar.
Den data en angripare kommer åt i en lyckad attack blir då begränsad och förhoppningsvis inte utgör något större värde för angriparen.
Jämför det med en inbrottstjuv som tar sig in genom fönstret på ditt hus men bara kommer in i städskrubben.
Tekniken med temporära sessionsnycklar är inte implementerat i dagens SSL protokoll vilket Googles utvecklare nu lagt till som en expansion till sitt OpenSSL Toolkit. Det planeras lanseras till nästa stabila version av OpenSSL.
Än så länge stöds tekniken bara av Firefox och Google Chrome men det är nog bara en tidsfråga innan Microsoft lagt till stödet till Microsoft Explorer via en automatisk uppdatering.
HTTPS encrypted traffic can be at risk, with faster computers and better software to crack the security. Google has now found a way to secure his services.
Google recently changed the encryption method that uses the https protocol for secure connections, including Gmail, Google Docs and Google +. This is to prevent traffic can be decrypted.
Most current implementations of the HTTPS uses private keys that is known only by the owner of the domain. The server generates session keys that are used to encrypt traffic between servers and clients.
This approach exposes the connections to the so-called retrospective decryption attacks.
– In ten years when computers are much faster can a vicious hacker crack the server’s secret key and subsequently decrypt today’s e-mail traffic, said Adam Langley working on the Google Security Team.
One way to reduce security risks is with the technology forward secrecy, which simply means the use of temporary keys to encrypt the session, and after a certain time delete them. Kerberos authentication in a Microsoft Active Directory works the same way.
The data an attacker can access in a successful attack will be limited and hopefully not much value to the attacker.
Compare that to a burglar who enters through the window of your house but only comes into the broom closet.
The technique of temporary session keys are not implemented in today’s SSL protocol which Google developers now added as an expansion to its OpenSSL Toolkit. It planned to launch to the next stable version of OpenSSL .
So far, the technology is supported only by Firefox and Google Chrome but it’s probably just a matter of time before Microsoft add support to Microsoft Explorer through automatic update.
