Perfect forward secrecy

(Perfect) forward secrecy (of PFS) is in de cryptografie een eigenschap die ervoor zorgt dat in het geval een bepaalde sleutel uit een communicatiekanaal gecompromitteerd wordt, dat hiermee hooguit de sleutel voor een sessie wordt gecompromitteerd. Uit de gecompromitteerde sleutel kunnen niet de sleutels afgeleid worden die in voorgaande sessies zijn gebruikt. Hierdoor zijn de voorgaande berichten ook niet af te leiden. Doordat sessies kort duren en er een beperkte hoeveelheid informatie wordt gecommuniceerd wordt hiermee de impact van een gecompromitteerde sleutel aanzienlijk verlaagd.

Een sleutel zou bijvoorbeeld gecompromitteerd kunnen worden door een kwetsbaarheid in een implementatie (Heartbleed), een algoritme of sleutelwaarde welke op een moment in de toekomst niet meer veilig is, een rechter die beveelt een sleutel af te staan of doordat een aanvaller in de computer inbreekt.

Met PFS wordt voorkomen dat wanneer de versleutelde sessies in een communicatiekanaal door een aanvaller zijn opgeslagen deze op een later moment, nadat de aanvaller beschikking heeft gekregen over de sleutel, alsnog de sessies kan ontsleutelen en de informatie kan lezen.

Geschiedenis

PFS werd als eerste geïntroduceerd^[1] door Diffie, Van Oorschot en Wiener , en werd gebruikt om een eigenschap van het Station-to-Station protocol (STS) te beschrijven, waarbij de langetermijngeheimen private keys zijn.

PFS is ook gebruikt^[2] om de analoge eigenschap van wachtwoord geauthentiseerde sleutel overeenkomst protocollen te beschrijven, waarbij het langetermijngeheim een gedeeld wachtwoord is.

Annex D.5.1 van IEEE 1363-2000 bediscussieert de aan elkaar gerelateerde eenpartij- en tweepartijen-forwardsecrecy-eigenschappen van diverse standaardsleutelovereenkomstschema's.

Forward secrecy van een session key

Alice en Bob zijn met elkaar de session key ${\displaystyle k}$ overeengekomen. Nu willen ze graag forward secrecy over de door hen verstuurde berichten. Ze kiezen ervoor om voor het eerste bericht sleutel k te gebruiken, voor het 2^e bericht ${\displaystyle h(k)}$, voor het n^e bericht ${\displaystyle h^{n}(k)}$. ${\displaystyle h}$ is een hash-functie die aan de volgende eisen voldoet:

One-wayness: Indien ${\displaystyle k}$ uit te rekenen is uit een gegeven ${\displaystyle h(k)}$, is het hele systeem onveilig. Alle voorgaande sleutels kunnen dan gewoon uitgerekend worden.

Collision resistance: Je wilt dat er telkens weer unieke nieuwe sleutels uit de hash-functie komen, indien ${\displaystyle h^{x}(k)=h^{x+n}(k)}$ blijft de reeks sleutels zich steeds herhalen, je kan dan met ${\displaystyle h^{x+n+k}(k)}$ behalve bericht ${\displaystyle x+n+k}$ ook ${\displaystyle x+k}$ ontsleutelen.

Op deze manier zal de hash-functie telkens een nieuwe sleutel opleveren, vanuit een nieuwe sleutel is de oude niet te berekenen.

Daarnaast is het van belang dat ze de oude sleutel verwijderen, indien ze deze bewaren, kan een persoon die inbreekt op de computer, nog steeds alle sleutels verkrijgen.