Пряма секретність (англ.forward security), також цілковита пряма секретність — властивість криптосистем зберігати конфіденційність минулих сеансових ключів при компрометації довготривалого ключа.
Опис
Компрометація ключа компрометує будь-які майбутні його застосування. Однак, навіть якщо факт компрометації ключа буде швидко виявлено та вжито заходів з його анулювання, то під загрозою опиняються колишні його застосування. Наприклад, зловмисник може мати отриманий цим ключем шифротекст і тепер у нього з'явиться можливість його дешифрувати. Криптосистеми з прямою секретністю покликані надати захист від подібних загроз: колишні застосування ключа не будуть скомпрометовані втратою певної інформації в теперішній час[1].
Вимоги до криптосистем з прямою секретністю можуть бути посилені: криптосистема з сильною прямою секретністю гарантує, що при компрометації ключа в момент te не будуть скомпрометовані сеанси в моменти tj < te та te < tj[2].
Наприклад, протокол обміну ключами з прямою секретністю гарантує, що навіть за умови компрометації ключів однієї зі сторін минулі повідомлення залишаються конфіденційними: вразливими до атаки стають лише майбутні повідомлення[джерело?]. Системи електронного цифрового підпису з прямою секретністю гарантують, що компрометація таємного ключа не скомпрометує минулі підписи, а скомпрометує лише майбутні підписи[3].
Генератор псевдовипадкових чисел з прямою таємністю має певний стан, проте гарантує, що навіть якщо зловмиснику вдасться дізнатись його поточний стан, йому не вдасться встановити отримані на цьому генераторі попередні псевдовипадкові значення. Генератори псевдовипадкових чисел з прямою таємністю дозволяють створювати криптосистеми з симетричними ключами з властивістю прямої таємності[1].
Значення
У 2016 році група науковців оприлюднила результати дослідження налаштувань HTTPS/TLS у найпопулярніших вебсерверів на той час (Alexa Top Million). Вони встановили, що заради поліпшення швидкодії деякі адміністратори налаштували сервери для підтримки слабшого захисту, який, теоретично, мав поліпшити швидкість обробки запитів. Дослідникам вдалось виявити численні випадки повторного використання секретних значень в алгоритмах DHE та ECDHE, відновлення сеансів TLS, та квитків сеансів TLS. Через це істотно погіршується пряма секретність: до 24 години трафіку 38 % досліджених серверів може бути дешифровано у випадку компрометації сервера, іще у 10 % серверів цей термін становить 30 діб, незалежно від обраного набору шифрів. Через спільне збереження таємних значень TLS та стану сеансів між різними вебдоменами у деяких випадків викрадення єдиного таємного значення може бути достатнім для компрометації десятків тисяч вебсайтів[4].
↑Mihir Bellare and Sara K. Miner (1999). Michael Wiener (ред.). A Forward-Secure Digital Signature Scheme(PDF). CRYPTO'99. Lecture Notes in Computer Science. Springer-Verlag. 1666: 431—448.