Дебаты вокруг TLS 1.3 и совершенной прямой секретности
В настоящее время завершается процесс стандартизации TLS (Transport Layer Security) версии 1.3. В рамках новой версии, среди прочих изменений, предполагается полный отказ от методов шифрования (cyphersuites), не поддерживающих совершенную прямую секретность (PFS, Perfect Forward Secrecy).
Свойство совершенной прямой секретности гарантирует, что при утечке долговременных ключей не удастся расшифровать ранее зашифрованные сообщения. Очевидно, использование методов шифрования с этим свойством привлекательно для конечных пользователей. Однако это свойство создает проблемы при использовании в корпоративной среде: становится невозможным анализ проходящего трафика даже при наличии и потребности в таковом (например, для детектирования проблемных узлов). В связи с этим ряд крупных сетевых операторов все настойчивее просит соответствующую рабочую группу IETF о том, чтобы не отказываться полностью от методов шифрования без поддержки совершенной прямой секретности.
Следует отметить что речь идет именно о тех случаях, когда перехват трафика используется не для компрометации пользователей (для слежения за ними), а для обеспечения отказоустойчивости сетевых сервисов. На данный момент доминирует три точки зрения на вопрос:
- Отказ от совершенной прямой секретности не допустим, так как ущемляет интересы пользователей и может использоваться во вред им.
- В то время как для ряда задач совершенная прямая секретность важна и даже необходима, она не требуется всегда и везде. В то же время чрезмерное усложнение жизни для сетевых операторов может привести к естественному избеганию нового стандарта, от чего как раз пострадают пользователи. Здесь можно вспомнить IPv6, который до сих пор медленно внедряется из-за целого ряда ошибок.
- Интернет - для пользователей, а не для сетевых операторов, и если интересы первых идут вразрез с интересами вторых, то это не проблема пользователей. Пусть сетевые операторы предлагают решения (в качестве варианта рассматривается, например, использование постоянных параметров для алгоритма Диффи-Хелмана).