Hacknite Wiki

User Tools

Site Tools

Trace: volatility3 arp local_file_inclusion mac csrf curl dhcp sql hash radare2_practical
pfs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
pfs [2023/11/27 10:56] lsspfs [2025/12/01 11:40] (current) – external edit 127.0.0.1
Line 1: Line 1:
 ====Perfect Forward Secrecy (Savršena unaprijedna sigurnost)==== ====Perfect Forward Secrecy (Savršena unaprijedna sigurnost)====
-**Savršena unaprijedna sigurnost** (//Perfect Forward Secrecy//, PFS) enkripcijsko je svojstvo nekih protokola za razmjenu ključeva koje osigurava razmjenu kratkotrajnih privatnih ključeva među klijentima i poslužiteljima. Osim što im je kratak rok trajanja, ključevi se automatski generiraju pri svakom povezivanju klijenta i poslužitelja. Ako se PFS koristi pri slanju poruka, može se generirati novi ključ za svaku poslanu poruku. Na taj način, čak i ako netko dospije do jednog od korištenih ključevaima vrlo malo podataka koje može dekriptirati. Ključevi ne koriste prethodne podatke, što eliminira potrebu za dugotrajnim čuvanjem ključeva i uklanja ranjivost trenutnih podataka u slučaju da su prethodni ključevi kompromitirani.+**Savršena unaprijedna sigurnost** (//Perfect Forward Secrecy//, PFS) enkripcijsko je svojstvo nekih protokola za razmjenu ključeva koje osigurava razmjenu kratkotrajnih ključeva među klijentima i poslužiteljima. Osim što im je kratak rok trajanja, ključevi se automatski generiraju pri svakom povezivanju klijenta i poslužitelja. Ako se PFS koristi pri slanju poruka, može se generirati novi ključ za svaku poslanu poruku. Tako, čak i ako dođe do kompromitacije privatnog ključa na poslužiteljunapadač neće moći dešifrirati prošle poruke.
  
-Zamislimo da napadač dugo vremena presreće mrežni promet. Nakon toga uspije i kompromitirati server i dođe do enkripcijskog ključa. Takav napadač potencijalno može izvesti napad čovjeka u sredini (engl. man-in-the-middle attack) i dešifrirati budući promet, ali ako se koristio protokol sa svojstvom PFS-a neće moći  +Zamislimo da napadač dugo vremena presreće mrežni promet između korisnika i web aplikacije. Nakon toga uspije i kompromitirati poslužitelj na kojem se web aplikacija nalazi  i dođe do enkripcijskog ključa. Takav napadač potencijalno može izvesti napad čovjeka u sredini (engl. man-in-the-middle attack) i dešifrirati budući promet, ali ako se koristio protokol sa svojstvom PFS-a neće moći  
-dešifrirati promet koji je presreo prije nego što je došao do enkripcijskog ključa. PFS u pravilu koristi **Diffie-Hellman algoritam razmjene ključeva** kako bi spriječio čitanje prošlih podataka. [[https://www.cert.hr/wp-content/uploads/2019/04/NCERT-PUBDOC-2009-12-284.pdf|Diffie-Hellman]] za potpis najčešće koristi statični potpisni ključ. Ako napadač uspješno dođe do ključa, može impersonirati server u komunikaciji s klijentom (i obrnuto) te izvesti klasični napad čovjeka u sredini.+dešifrirati promet koji je presreo prije nego što je došao do enkripcijskog ključa.  PFS u pravilu koristi **Diffie-Hellman algoritam razmjene ključeva** kako bi spriječio čitanje prošlih podataka. [[https://www.cert.hr/wp-content/uploads/2019/04/NCERT-PUBDOC-2009-12-284.pdf|Diffie-Hellman]] za potpis najčešće koristi statični potpisni ključ. Ako napadač uspješno dođe do ključa, može impersonirati server u komunikaciji s klijentom (i obrnuto) te izvesti klasični napad čovjeka u sredini.
 {{ ::dh_mitm_attack.png?nolink&600 | Napad čovjeka u sredini na Diffie-Hellman razmjenu ključeva}} {{ ::dh_mitm_attack.png?nolink&600 | Napad čovjeka u sredini na Diffie-Hellman razmjenu ključeva}}
  
-PFS je prisutan u implementacijama mnogih protokola, kao npr. u SSL protokolu, OMEMO ekstenziji XMPP protokola ili u određenim postavkama IPSec-a. OpenSSL PFS postiže pomoćeliptičnog Diffie-Hellman algoritma, a protokol aplikacije za razmjenu poruka Signal koristi **Double Ratchet algoritam** kako bi postigao PFS. +PFS je prisutan u implementacijama mnogih protokola, kao npr. u SSL protokolu, OMEMO ekstenziji XMPP protokola ili u određenim postavkama IPSec-a. OpenSSL PFS postiže uz pomoć eliptičnog Diffie-Hellman algoritma, a protokol aplikacije za razmjenu poruka Signal koristi **Double Ratchet algoritam** kako bi postigao PFS.
-{{ ::signal_double_ratchet_dh.png?nolink&600 | Double Ratchet algoritam aplikacije Signal[2]}}+
  
-Razvoj kvantnih računala učinit će neke kriptografske metode zastarjelima jer se njihova kompleksnost svodi samo na činjenicu da postoji velik broj kombinacija koje treba isprobati. Međutim, PFS je otporan i na to. On ne prenosi svoje ključeve preko mreže niti ih generira kao potpuno nasumične vrijednosti koje bi se potencijalno mogle pogoditi. Umjesto toga koristi se simetričnom enkripcijom te je za njegovo generiranje potrebna autentifikacija obiju strana, klijentske i poslužiteljske. Nije nemoguće ukrasti neki ključ, ali je smisao da svaki ključ daje pristup čim manjem segmentu podataka (primjerice, samo jednom klijentskom zahtjevu) kako bi podatci bili čim više fragmentirani te da napadač ne bi mogao dobiti pristup nekoj smislenoj cjelini podataka. 
    
 ===Izvori=== ===Izvori===
pfs.1701082590.txt.gz · Last modified: 2025/12/01 11:40 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki