Google schützt seine aktuellen HTTPS-Datenverkehr gegen zukünftige Angriffe

2014-01-08  |  Comebuy News

Google lässt die Verschlüsselungsmethode, die von der HTTPS-gestützte Dienste wie Gmail, Docs und Google +, um zu verhindern, dass aktuelle Verkehrslage wird entschlüsselt, in Zukunft, wenn technologische Fortschritte, die dies möglich machen.

Comebuy Verwandte Artikel: Hacker knacken Internet Verschlüsselung: Sie sollten besorgt?OpenPGP-JavaScript-Implementierung erlaubt Webmail EncryptionLock Down Your Wi-Fi Netzwerk: 8 Tipps für die kleinen BusinessesWi-Fi WPA2 Sicherheitsanfälligkeit FAQSnooping Gesetz unter Beschuss

Die Mehrheit der heutigen HTTPS-Implementierungen verwenden einen privaten Schlüssel, der nur durch den Domaininhaber bekannt Sitzungsschlüssel generiert, die später verwendet werden, um Datenverkehr zwischen den Servern und den Clients zu verschlüsseln.

Dieser Ansatz macht die Verbindungen so genannte nachträgliche Entschlüsselung Angriffen verfügbar. "In zehn Jahren, wenn die Computer viel schneller sind, Gegner könnte brechen den privaten Schlüssel des Servers und nachträglich Entschlüsseln der heutigen e-Mail-Verkehr," erklärte Adam Langley, ein Mitglied vom Google Security Team, in einem Blog-Post.

Um dieses Sicherheitsrisiko relativ niedrig, aber real zu vermindern, hat Google implementiert eine Verschlüsselungseigenschaft bekannt als forward Geheimhaltung, verwenden verschiedene private Schlüssel zum Verschlüsseln von Sitzungen und nach einer gewissen Zeit zu löschen.

Auf diese Weise werden ein Angreifer zu brechen oder zu stehlen einen einzelnen Schlüssel verwaltet nicht können zu eine bedeutende Menge des e-Mail-Verkehrs zu erholen, die Monate der Tätigkeit umfasst Langley sagte. In der Tat, er hingewiesen, dass nicht einmal der Server-Admin HTTPS-Datenverkehr rückwirkend zu entschlüsseln kann.

Da SSL für Schlüsselaustausch Mechanismen der forward Secrecy unterstützen standardmäßig ausgelegt war nicht, hatte die Google-Ingenieure, eine Erweiterung für das beliebte OpenSSL-Toolkit zu entwerfen. Dies wurde in OpenSSL 1.0.1, integriert, die bisher noch als stabile Version freigegeben werden.

Die neue Google HTTPS-Implementierung verwendet ECDHE_RSA für Schlüsselaustausch und die RC4_128-Chiffre für die Verschlüsselung. Leider ist diese Kombination nur in Firefox und Chrome momentan unterstützt was bedeutet, dass HTTPS-Verbindungen in Internet Explorer nicht von der zusätzlichen Sicherheit profitieren.

Das ist nicht unbedingt ein Problem mit Internet Explorer, der eine Kombination von EDH (ephemere Diffie - Hellman) unterstützt Exchange und RC4. EDH bietet auch forward Secrecy, aber Google ECDHE (Elliptic Curve Diffie - Hellman) entschied sich stattdessen aus Performance-Gründen.

Das Unternehmen plant, fügen Sie Unterstützung für IE in Zukunft und hofft, dass sein Beispiel anderen anregen-service-Provider, die Verwendung von HTTPS um forward Secrecy zu implementieren, damit es, dass eines Tages die Norm für die online-Verkehrsverschlüsselung werden kann.

« Back