Was ist Perfect Forward Secrecy und warum ist es wichtig?
Kurzantwort
Perfect Forward Secrecy (PFS) bedeutet, dass jede Sitzung einen einzigartigen Schlüssel aus einem flüchtigen Schlüsselaustausch ableitet, der danach verworfen wird. Stiehlt ein Angreifer später den langlebigen privaten Schlüssel des Servers, kann er zuvor erfassten Verkehr dennoch nicht entschlüsseln, weil dieser Schlüssel nie zur Ableitung der Sitzungsschlüssel diente. Erreicht wird das mit flüchtigem Diffie-Hellman (DHE/ECDHE).
Forward Secrecy ist eines jener Konzepte, die jene, die Cipher Suites auswendig gelernt haben, von jenen trennen, die sie verstehen. Die Frage, die es beantwortet, lautet: Wird der private Schlüssel meines Servers in einem Jahr gestohlen, was geschieht mit dem Verkehr, den ein Angreifer heute aufgezeichnet hat?
Die Bedrohung, gegen die es schützt
Gegner – besonders gut ausgestattete – praktizieren jetzt sammeln, später entschlüsseln: verschlüsselten Verkehr massenhaft erfassen und speichern, in der Wette, den Entschlüsselungsschlüssel irgendwann zu erlangen, sei es durch ein Leck, eine Vorladung oder künftige Kryptoanalyse. Ohne Forward Secrecy kann der langlebige private Schlüssel des Servers jede Sitzung entschlüsseln, die er je geschützt hat. Eine einzige Schlüsselkompromittierung legt rückwirkend Jahre an Kommunikation offen.
Wie PFS funktioniert
Mit Forward Secrecy wird der Sitzungsschlüssel nicht aus dem langlebigen Schlüssel des Servers abgeleitet. Stattdessen führen beide Parteien einen flüchtigen Diffie-Hellman-Austausch (DHE oder ECDHE) nur für diese Sitzung durch. Jede Seite erzeugt frisches, einmal verwendbares Schlüsselmaterial, leitet das gemeinsame Geheimnis ab und vernichtet dann die flüchtigen privaten Werte, sobald die Sitzung endet. Der langlebige Schlüssel dient nur dem Signieren des Austauschs, um die Identität zu beweisen – nie der Ableitung des Geheimnisses.
Da das flüchtige Material verschwunden ist, gibt es nichts, was ein späterer Schlüsseldiebstahl entsperren könnte. Jede Sitzung ist kryptografisch unabhängig.
Die Grenzen
PFS schützt keine Sitzung, die in Echtzeit aktiv durch einen Man-in-the-Middle abgefangen wird, und es nützt nichts, wenn der Endpunkt selbst kompromittiert wird, während die Daten in Gebrauch sind. Es schützt vergangene, aufgezeichnete Sitzungen gegen künftige Schlüsselkompromittierung – eine enge, aber äußerst wertvolle Garantie. TLS 1.3 macht es verpflichtend, indem es den statischen RSA-Schlüsseltransport entfernt.
Worauf Interviewer achten
Eine klare Aussage, dass der Sitzungsschlüssel flüchtig ist und verworfen wird, die Formulierung „stiehl den Schlüssel später, kannst die Vergangenheit dennoch nicht entschlüsseln", das Benennen von DHE/ECDHE als Mechanismus und idealerweise die Motivation jetzt-sammeln-später-entschlüsseln.
Wahrscheinliche Anschlussfragen
- Welche Schlüsselaustauschverfahren bieten Forward Secrecy und welche nicht?
- Wie hängt das Bedrohungsmodell des späteren Entschlüsselns vorab gesammelten Verkehrs mit PFS zusammen?
- Schützt PFS eine Sitzung, die in Echtzeit aktiv abgefangen wird?