Titkosítanák az egész internetet
A kormányok egyre fokozódó adatfigyelése arra ösztönzi az Electronic Frontier Foundationt, hogy új technológiák elterjesztésével az összes internetes forgalom titkosítását szorgalmazza.
Legjobban titkosítással védhetők meg az internetezők a csalóktól, hackerektől és a kormányok hírszerzési tevékenységétől. Örvendetes tény, hogy a web éppen most tér át a világháló kezdete óta alkalmazott, nem biztonságos HTTP protokoll használatáról a HTTPS-re, amely a titkosítás segítségével biztonságos kapcsolatot tesz lehetővé a böngészők és a weboldalak között.
Kevés szervezet tett többet azért, hogy a webhelyek titkosítási technológiákat használjanak, mint az Electronic Frontier Foundation (EFF). Tíz éve még szinte egyáltalán nem létezett titkosítás a világhálón. Cynthia Brumfield, a CSO biztonsági portál munkatársa igyekezett összefoglalni az EFF-nek az internet biztonságának növeléséért tett erőfeszítéseit és jövőbeli terveit.
A titkosítást a megfigyelés ösztönzi
2016-ban egy meglepetésszerű fejlesztés miatt vált még fontosabbá az EFF számára a titkosítás. Az év január 26-án Mark Klein, az AT&T korábbi munkatársa hívatlanul besétált az EFF irodájába, és elmondta, hogy az NSA titkos kémszobát hozott létre az AT&T San Franciscó-i létesítményében, ahol hozzáfért a telekommunikációs cég infrastruktúráján keresztül továbbított teljes internetes forgalomhoz. Az NSA szöveges tartalmak után kutatott. Az EFF technológiai problémaként fogta fel az NSA hozzáférését az adatokhoz, tudjuk meg Jeremy Gillulától, az EFF technikai projektigazgatójától. A szervezet együttműködést kezdeményezett az anonim böngészést biztosító Tor Project fejlesztőjével, és létrehozták a HTTPS Everywhere böngésző plugint, amely titkosítja a felhasználók webes forgalmát.
Amikor az EFF elindította a HTTPS Everywhere-t, alig ezer webhely használta a HTTPS protokollt, amelynél a kommunikációt titkosítja a webhelyet hitelesítő, valamint a forgalmazott adatok védelmét és integritását biztosító Transport Layer Security (TLS) eljárás. Ugyanakkor 2018 augusztusa óta Scott Helme biztonsági kutató adatai szerint az Alexa legnagyobb forgalmú egymillió webhelyének már több mint a fele aktívan átirányít a HTTPS-re. Ráadásul a legtöbb böngésző már alapértelmezésben használja a biztonságos protokollt.
Egy másik esemény is arra ösztönözte az EFF-et, hogy gyorsítsa fel a titkosítással kapcsolatos tevékenységét. Edward Snowden 2013-ban tudatta a világgal, hogy az NSA gyakorlatilag a felhasználók minden online tevékenységét figyeli. - Elhatároztuk, hogy osztályozzuk a vállalatokat az alapján, hogy miként alkalmazzák a titkosítást, mondta ezzel kapcsolatban Gillula. Kiadták az Encrypting the Web Report jelentést, amely értékelte a vezető internetes vállalatok tevékenységét. A hírbe hozás és megszégyenítés működött, a nyilvánosságra hozatalt követően számos szervezet igyekezett javítani a róla kialakult képen.
De még ezeket az erőfeszítéseket követően sem titkosítottak nagyon sok webhelyet. A TLS nem volt elterjedt még 2015-ben sem, és a Google-nak is volt olyan bejelentkezési oldala, melynek forgalmát nem titkosították. Ha a keresőkirály nem rendezi a helyzetet, akkor mit várhatunk a kisebb cégektől és az átlagfelhasználóktól? - tette fel a kérdést Gillula. Még három évvel ezelőtt is nehéz és drága volt a TLS rendszerbe állítása, ami azt igényelte a kisebb weboldalak üzemeltetőitől, hogy külső szakértőket foglalkoztassanak, és drága tanúsítványokat vásároljanak.
E problémák leküzdésére és a HTTPS bevezetésének olcsóbbá tételére hozta létre az EFF a University of Michigannel és a Mozillával együtt a Let's Encrypt nevű ingyenes tanúsító hatóságot. Az erőfeszítés célja a TLS alkalmazásának és a HTTPS tanúsítványok telepítésének útjában lévő akadályok megszüntetése volt a tanúsítványok ingyenessé tételével és automatikus kiadásával.
Három új titkosítási technológia
- Véleményem szerint a Let's Encrypttel nagyot alakítottunk, de még nem lehetünk teljesen elégedettek. A titkosítást ki akarjuk terjeszteni a webről a teljes internetre. Ennek érdekében az EFF három új technológiára fókuszál, melyekkel a titkosítás eljut az internet infrastruktúrájának mélyebb rétegeibe, hangsúlyozza Gillula.
Az első technológia a titkosított szervernév-azonosítás (encrypted server name identification, SNI). Az SNI a TLS protokoll kiterjesztése, amellyel több titkosított webhely futhat ugyanazon a szerveren. A kezdeti TLS kézfogás során megköveteli a kliensektől, hogy megadják, mely webhelyhez akarnak csatlakozni. Mivel azonban közönséges szövegként küldik el, bármely megfigyelő (internetszolgáltató, ingyenes wifit kínáló kávéház üzemeltetője vagy egy tűzfal) nyomon tudja követni, hogy a kliens mely webhelyeket látogatja meg.
A megoldást az SNI titkosítása jelenti, ami lehetővé teszi, hogy a kliens és a szerver megosztott titkosító kulcsot generáljon a nem megbízható csatornán keresztül a felhasználó által meglátogatni kívánt webhely identitásának blokkolására. Egy támadó azonban még titkosított SNI esetén is láthatja a nem titkosított doménnevet az aktuális doménnévrendszerben (DNS-ben). A megoldás természetesen a DNS titkosítása.
Két javaslatot fontolgatnak a DNS titkosítására: a DNS over HTTPS (DoH) és a DNS over TLS (DoT) rendszert. A DNS over HTTPS egy protokoll a távoli DNS-lekérések titkosítására a HTTPS protokoll használatával. A DNS over TLS módszer a DNS-lekérdezések és -válaszok titkosítására a TLS protokoll segítségével. A DoH előnye, hogy nagyon nehéz cenzorálni, hátránya viszont, hogy megnehezíti a hálózatüzemeltetők számára a rosszindulatú tevékenységek monitorozását. A DoT esetében pont az ellenkezőjéről beszélhetünk: könnyebb a rosszindulatú tevékenységek figyelése, de egyszerűbb a cenzorálás is.
Gillula szerint az EFF még nem döntötte el, melyik módszert preferálja. A titkosított SNI és a titkosított DNS nagymértékben megnöveli a webhelyek biztonságát, de mi a helyzet a régi vágású, krónikusan nem biztonságos e-mailekkel?
- Az e-mail az internet csótánya. Amikor eljön a szingularitás kora, a kaptár elme e-maillel fog kommunikálni, mivel az e-mail nem pusztul el, viccelődött Gillula.
A STARTTLS olyan e-mail-protokollutasítás, amely azt jelzi a levelezőkiszolgálónak, hogy az e-mail kliens nem biztonságos kapcsolatról biztonságosra kíván váltani. Érzékeny a downgrade támadásokra, és triviálisan egyszerű kivonni az e-mail fejléceket a protokoll alatt. A legtöbb mail-transzfer ügynök (mail transfer agent, MTA) szoftver manapság nem validálja a tanúsítványokat. - Egy közbeékelődő támadó aláírhatja a saját tanúsítványát, és azt mondhatja: "Én vagyok a Google, és titkosított kapcsolatban vagyok veled", állítja Gillula. Ez nem csak elméletben létező szituáció, egyes országokban a STARTTLS fejlécet elképesztő számban vonják ki, így például Tunéziában az összes e-mail 96 százalékánál ez történik.
Erre a problémára lehet megoldás az SMTP MTA-STS (Mail Transfer Agent Strict Transport Security) technológia, amely lehetővé teszi a doménnevek szigorú TLS módba kapcsolását, amely érvényes nyilvános tanúsítványok általi hitelesítést igényel, és titkosítást valósít meg. E viszonylag új protokoll éles alkalmazása sok lépést igényel, többek között annak biztosítását, hogy a levelezőszerverek támogatják a STARTTLS-t; certbotok használatát annak biztosítására, hogy a mailszerverek megkapják a tanúsítványokat; annak megoldását, hogy a rendszeradminisztrátorok megkapják a hibajelentéseket; valamint annak megvalósítását, hogy a rendszeradminisztrátorok egyszerűen posztolhassák az MTA-STS DNS rekordokat és előírásokat. Az utolsó probléma megoldására az EFF elindította a STARTTLS Everywhere kezdeményezést, hogy a levelezőkiszolgáló adminisztrátorok automatikusan generálhassanak MTS rekordot és tanúsítványt.
De mégis hogyan fogja elérni az EFF, hogy az érintettek alkalmazzák is ezeket a technológiákat? Gillula elmondta, hogy újabb osztályozásra készülnek, muníciót adva ezzel a biztonsági szakembereknek, akik az esetleges gyenge minősítésre hivatkozva érhetik el a modern titkosítási eljárások bevezetését. Az EFF terve a teljes internet titkosítására igen ambiciózus kezdeményezés, különösen a technológiai kihívások miatt.
Forrás:https://computerworld.hu