Google улучшает защиту HTTPS-сервисов

24 ноябрь, 2011 - 15:05

Компания Google изменила метод криптографии, используемый ее HTTPS-сервисами, в том числе Gmail, Docs and Google+. Для этого на HTTPS-серверах была внедрена функция perfect forward secrecy (PFS) защиты от будущей потери секретного ключа, для чего разработано open-source дополнение к OpenSSL и исправлено несколько ошибок в OpenSSL. Эти дополнения включены в стабильную сборку OpenSSL 1.0.1.

Новая реализация Google HTTPS использует недолговечные ключи, генерируемые для каждой сесии, а для обмена ими — схему ECDHE_RSA (эфемерный алгоритм Диффи-Хеллмана с использованием эллиптических кривых). После сеанса связи ключи уничтожаются, и даже владелец сервера не сможет расшифровать сессию, зашифрованную сервером с помощью старого ключа. Таким образом, сессия не только является безопасной в момент работы, но и защищена от будущей потери секретного ключа сервера. Для открытых ключей Google использует генератор на эллиптических кривых RC4_128.

Такое сочетание ECDHE_RSA и RC4_128 работает в браузерах Firefox и Chrome, для Internet Explorer поддержка новой технологии будет реализована в будущем, пока же для HTTPS соединения IE использует стандартную схему защиты.