Skip to content

¿Qué es Perfect Forward Secrecy y por qué importa?

Respuesta breve

Perfect Forward Secrecy (PFS) significa que cada sesión deriva una clave única de un intercambio de claves efímero que se descarta después. Si un atacante roba más tarde la clave privada de largo plazo del servidor, aún no puede descifrar el tráfico capturado previamente, porque esa clave nunca se usó para derivar las claves de sesión. Se logra con Diffie-Hellman efímero (DHE/ECDHE).

La confidencialidad hacia adelante es uno de esos conceptos que separan a quienes memorizaron las suites de cifrado de quienes las entienden. La pregunta que responde es: si la clave privada de mi servidor es robada dentro de un año, ¿qué le ocurre al tráfico que un atacante grabó hoy?

La amenaza contra la que defiende

Los adversarios —especialmente los bien dotados de recursos— practican la recolección ahora, descifrado después: capturar tráfico cifrado en masa y almacenarlo, apostando a que obtendrán la clave de descifrado con el tiempo, ya sea por una filtración, una citación judicial o un criptoanálisis futuro. Sin confidencialidad hacia adelante, la clave privada de largo plazo del servidor puede descifrar cada sesión que alguna vez protegió. Un solo compromiso de clave expone retroactivamente años de comunicaciones.

Cómo funciona PFS

Con la confidencialidad hacia adelante, la clave de sesión no se deriva de la clave de largo plazo del servidor. En su lugar, ambas partes ejecutan un intercambio Diffie-Hellman efímero (DHE o ECDHE) solo para esa sesión. Cada lado genera material de clave fresco y de un solo uso, deriva el secreto compartido, y luego destruye los valores privados efímeros una vez que termina la sesión. La clave de largo plazo solo se usa para firmar el intercambio, probando la identidad, nunca para derivar el secreto.

Como el material efímero ha desaparecido, no hay nada que un robo de clave posterior pueda desbloquear. Cada sesión es criptográficamente independiente.

Los límites

PFS no protege una sesión que está siendo objeto de un ataque de hombre en el medio activo en tiempo real, y no hace nada si el propio extremo se compromete mientras los datos están en uso. Protege las sesiones pasadas y grabadas contra un compromiso de clave futuro: una garantía estrecha pero extremadamente valiosa. TLS 1.3 la hace obligatoria al eliminar el transporte de claves RSA estático.

Qué buscan los entrevistadores

Una afirmación nítida de que la clave de sesión es efímera y se descarta, el encuadre «roba la clave después, aún no puedes descifrar el pasado», nombrar DHE/ECDHE como mecanismo, e idealmente la motivación recolectar-ahora-descifrar-después.

Posibles preguntas de seguimiento

  • ¿Qué métodos de intercambio de claves proporcionan confidencialidad hacia adelante y cuáles no?
  • ¿Cómo se relaciona el modelo de amenaza «recolectar ahora, descifrar después» con PFS?
  • ¿Protege PFS una sesión que está siendo interceptada activamente en tiempo real?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.