Perfect forward secrecy là gì?

Chứng chỉ SSL, hay Secure Sockets Layer, đại diện cho một tiêu chuẩn quan trọng trong lĩnh vực công nghệ bảo mật, trở thành một chuẩn bảo mật phổ biến trên hàng triệu trang web toàn cầu ngày nay, giúp đảm bảo an toàn thông tin trong quá trình truyền tải qua môi trường Internet.

Trong quá trình mã hóa SSL, giao thức trao đổi khóa được áp dụng để chia sẻ mã hoá giữa người gửi và người nhận, đảm bảo rằng đường truyền giữa máy chủ Web và trình duyệt được mã hoá, từ đó nâng cao độ an toàn của dữ liệu.

Mặc dù thông tin không thể dễ dàng giải mã, nhưng nếu key sử dụng cho quá trình mã hoá bị rò rỉ, tính bảo mật của dữ liệu lưu trữ trước đó sẽ bị đe dọa.

Perfect Forward Secrecy (PFS) xuất hiện với mục đích ngăn chặn khả năng giải mã thông tin liên lạc, ngay cả khi private key bị rò rỉ. Phương pháp mã hóa này đã được triển khai trên nhiều trang web lớn như Google và Twitter.

Các hệ thống được đưa vào sử dụng thực tế là DHE (Diffie-Hellman key exchange) và ECDHE (Elliptic Curve Diffie-Hellman key exchange).

Sơ đồ hệ thống DHE
Sơ đồ hệ thống ECDHE

Ngay cả khi private key bị rò rỉ, không thể phục hồi encryption key đã được tạo và trao đổi bằng key đó, và cũng không thể khôi phục dữ liệu lưu trữ trước đó. Phiên bản mới nhất của TLS 1.3 chỉ sử dụng phương pháp trao đổi key có PFS mặc định.

Nội dung cập nhật: OpenSerch Service hỗ trợ TLS 1.3 và PFS

Amazon OpenSearch Service đã hỗ trợ phiên bản Transport Layer Security (TLS) 1.3 trong domain endpoint security.

Trước đây, OpenSearch Service chỉ hỗ trợ phiên bản TLS 1.2. Tuy nhiên, với sự cập nhật hỗ trợ TLS 1.3, khả năng bảo mật đã được nâng cao đáng kể. Đặc biệt, tính năng Perfect Forward Secrecy (PFS) giúp tăng cường bảo mật bằng cách sử dụng unique random session key để mã hóa dữ liệu, đồng thời cung cấp một phương pháp hiệu quả để đối phó với nguy cơ rò rỉ thông tin.

TLS 1.3 hiện đã được OpenSearch Service hỗ trợ ở tất cả các region.

  • Hỗ trợ Transport Layer Security (TLS) TLS 1.2 và TLS 1.3
  • Bộ mã hóa đã sử dụng Perfect Forward Secrecy (PFS) như DHE (Ephemeral Diffie-Hellman) và ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)

Khi truy cập API, để thiết lập phiên bản TLS tối thiểu được sử dụng, bạn chỉ cần chỉ định giá trị TLSSecurityPolicy trong Domain endpoint option.

aws opensearch update-domain-config --domain-name my-domain --domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-2019-07"}'

Tùy thuộc vào cài đặt OpenSearch domain, đôi khi bạn cần phải ký vào các request API của OpenSearch.

Tham khảo: 【アップデート】Amazon OpenSearchがTLS1.3とPFSをサポートしました | SunnyCloud