Google forbedrer HTTPS-sikkerheten

Men løsningen fungerer bare i visse nettlesere.

Google kunngjorde i forrige uke at selskapet har tatt i bruk en egenskap som kalles for «forward secrecy» («fremoverrettet hemmelighold») for å forbedre sikkerheten til tjenester som allerede leveres over en kryptert HTTPS-forbindelse. Dette inkluderer Docs, Gmail, Google+ og SSL Search.

Ifølge Adam Langley i Googles Security Team benytter de fleste større nettsteder HTTPS uten fremoverrettet hemmelighold. Dette innebærer at for eksempel e-post som i dag er kryptert og uleselig for uvedkommende i dag, likevel kan lagres av en avlytter. Om for eksempel ti år, når datamaskinene har fått langt større regnekraft enn i dag, vil avlytteren kanskje kunne knekke den private nøkkelen og i dermed dekryptere e-posten som har blitt sendt i dag.

Med fremoverrettet hemmelighold kreves det at de private nøklene til en forbindelse ikke oppbevares i ettertid. Dersom en motpart da knekker en enkelt nøkkel, vil ikke vedkommende lenger kunne dekryptere all kommunikasjon som har sendt over en lang tidsperiode. Ifølge Langley skal heller ikke serveroperatøren kunne dekryptere HTTPS-økter i ettertid.

Ifølge Google støttes «forward secrecy» av Internet Explorer dersom det kjøres på Windows Vista eller nyere, samt av Chrome og Firefox, ved å bruke «elliptic curve Diffie-Hellman» (ECDH). Men siden Internet Explorer ikke støtter kombinasjonen av nøkkelutveksling med ECDHE_RSA og kryptering med RC4, er det foreløpig bare Chrome og Firefox som kan bruke den nye sikkerhetsmetoden.

I Chrome skal man kunne se informasjon som den vist til høyre når man klikker på den grønne hengelåsen som vises ved adressefeltet i nettleseren, når man besøker Googles tjenester som leveres ved hjelp av HTTPS.

Google har utgitt de endringene selskapet har gjort i det åpen kildekode-baserte OpenSSL-biblioteket som gjorde forward secrecy mulig.

Til toppen