Forward Secrecy Not Implemented

未实现前向保密 (Forward Secrecy)

Risk: medium

描述

前向保密 (Forward Secrecy, FS)，又称完全前向保密 (Perfect Forward Secrecy, PFS)，可确保即使长期的服务器私钥被泄露，用于加密通信的会话密钥也不会受到破坏。这是通过为每个会话生成唯一的、临时的会话密钥 (ephemeral session keys) 来实现的，并且这些密钥不会被重用或存储。这些密钥的临时性意味着它们仅在单个会话期间存在，这使得攻击者即使在日后获得了长期的私钥，也无法解密过去的会话。每个会话密钥都是全新生成的，并在会话结束后丢弃，从而增强了通信的安全性。

在实践中，这意味着即使攻击者捕获了加密流量，他们也只能访问用该特定会话密钥加密的数据。如果他们后来攻破了服务器的长期私钥，仍然无法解密以前的会话，从而保护敏感信息免受追溯解密的影响。

未实现前向保密的风险：

1. 追溯解密 (Retroactive Decryption)：如果攻击者获取了私钥，他们可以解密历史数据。
2. 扩大攻击面 (Increased Attack Surface)：缺乏 FS 增加了面临高级攻击（例如涉及泄露私钥的攻击）的风险。
3. 违反合规性 (Compliance Violations)：许多安全标准和法规都建议使用前向保密来保护加密数据。

场景示例： 如果没有启用前向保密，攻破了服务器私钥的攻击者可以解密之前捕获的所有流量。登录凭据、财务信息或个人数据等敏感信息可能会被暴露。

未实施前向保密也可能影响对 PCI-DSS、GDPR 和 HIPAA 等强调强加密和数据保护机制的安全标准的合规性。

建议

为了减轻因缺乏前向保密而导致过去通信被解密的风险，请考虑以下建议：

• 启用前向保密 (Enable Forward Secrecy)： 实施支持前向保密的密钥交换算法，如 ECDHE 或 DHE。这些算法确保为每个连接生成唯一的会话密钥，即使长期密钥被攻破，也无法解密过去的通信。

• 使用强加密套件 (Use Strong Encryption Suites)： 优先考虑结合了 ECDHE 或 DHE 与 AES-GCM 或 ChaCha20-Poly1305 等强加密方法的密码套件。通过优先使用这些强套件，可提高加密通信的整体安全性。

• 使用 TLS 1.2 或 TLS 1.3： 始终使用 TLS 1.2 或 TLS 1.3，因为 TLS 1.3 默认强制执行前向保密，从而简化配置并降低配置错误的风险。对于 TLS 1.2，确保仅启用支持前向保密的密码套件。

• 禁用不支持 FS 的密码套件 (Disable Non-FS Cipher Suites)： 定期审核服务器配置，移除任何不支持前向保密的密码套件，如那些利用 RSA 密钥交换或其他静态密钥方法的套件。这将有助于最小化潜在漏洞的风险。

• 定期审查 TLS 配置 (Regularly Review TLS Configuration)： 持续监控并更新 TLS 配置，以符合最新的安全建议和最佳实践。这种主动的方法将确保您的服务器在应对不断演变的威胁时保持安全。

配置片段示例：

Nginx

```nginx server { listen 443 ssl; server_name example.com;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;

    # 启用 HSTS (可选，但推荐)
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

```

Apache

      <VirtualHost *:443>
          ServerName example.com

          SSLEngine on
          SSLProtocol all -SSLv2 -SSLv3
          SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
          SSLHonorCipherOrder on
          SSLSessionCache shmcb:/var/run/ssl_scache(512000)
          SSLSessionCacheTimeout 300

          # 启用 HSTS (可选，但推荐)
          Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
      </VirtualHost>

链接

• NIST Guidelines for TLS Implementations
• SSL Labs: SSL and TLS Deployment Best Practices

标准

• SOC2_CONTROLS:
  • CC_2_1
  • CC_3_4
  • CC_6_7
  • CC_7_1
• OWASP_MASVS_L1:
  • MSTG_CRYPTO_4
• OWASP_MASVS_L2:
  • MSTG_CRYPTO_4
• OWASP_MASVS_v2_1:
  • MASVS_CRYPTO_1
  • MASVS_CRYPTO_2
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_5
  • ART_25
  • ART_32
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_7
  • REQ_4_2
  • REQ_6_2
  • REQ_6_3
  • REQ_6_4
  • REQ_11_3
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213