RSA、単なるDH、ECDHでの鍵交換である限りはAES-256だろうとno FSだぞ
TLSではephemeralなDHE、ECDHEでの鍵交換のみがFSに該当する https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-de... [qualys.com]
> It's also sometimes called perfect forward secrecy, but, because it is possible to decrypt the communication by breaking the session keys, it's clearly not perfect
Perfect Forward Secrecy? (スコア:0)
Perfect Forward Secrecy と Forward Secrecy の違いがわからないのですが、誰か教えてくれないでしょうか。
Re: (スコア:3)
元々は、
Forward Secrecy=長期間復号されない強度の暗号(AES-128以上とか)
no FS=今この瞬間は大丈夫でも、近い将来復号される暗号(64bit暗号とか)
に加えて、
PFS=永続的なストレージ内の鍵は将来漏れることを前提とした上でなお通信は復号されない鍵共有を含めた暗号化
DH鍵共有はメモリ上で完結するのでPFSを満たしうる。RSA鍵共有は暗号文とサーバー側ストレージ内のRSA秘密鍵(長期間署名に使う)があれば復号できるので、FSは満たせてもPFSは満たさない。
Re: (スコア:0)
TLSではephemeralなDHE、ECDHEでの鍵交換のみがFSに該当する
https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-de... [qualys.com]
> It's also sometimes called perfect forward secrecy, but, because it is possible to decrypt the communication by breaking the session keys, it's clearly not perfect
Re:Perfect Forward Secrecy? (スコア:2)
暗号自体がいつかは解読されるから文字通りのPerfectではないのはその通りなのでso called.
qualysはかつてのFSをno FSに格下げしてFS=安全な鍵共有・破棄手続きを含む高強度暗号に再定義している。
# 将来的には異常に長いTTLのクッキーやクッキーの共有も減点対象になるかも。外部から検査が面倒だけど
あとTLSのstatic-static DHは鍵を明示的に再利用するオプションで、DH鍵共有自体の問題ではないのだけれど。
# opensslの出力綺麗にしたい時は!kDH:!kECDHしているけれどわざわざstatic DH実装しているブラウザってあるの? セッションクッキーあるのに。