HTTPS krypterad trafik kan vara i riskzonen i och med allt snabbare datorer och bättre programvara för att knäcka säkerhet. Google har nu hittat ett sätt att säkra sina tjänster.
Google har nyligen ändrat den krypteringsmetod som använder https-protokollet för säkrare anslutningar, däribland Gmail, Google Docs och Google+. Detta för att förhindra att trafiken kan komma att dekrypteras.
De flesta av dagens implementeringar av https använder privata nycklar som bara ägaren av domänen känner till. Servern genererar sessionsnycklar som sedan används för att kryptera trafiken mellan servrar och klienter.
Detta tillvägagångssätt exponerar anslutningar till så kallade retrospektiva dekrypteringsattacker.
– Om tio år när datorer är mycket snabbare kan en illasinnad person knäcka serverns nyckel och i efterhand dekryptera dagens e-posttrafik, säger Adam Langley som arbetar på Googles säkerhetsteam.
Ett sätt att minska säkerhetsriskerna är med tekniken forward secrecy, vilket enkelt uttryckt innebär användandet av temporära nycklar för att kryptera sessioner, och efter en bestämd tid radera dessa. Precis som Kerberos autentisering i en Microsoft Active Directory fungerar.
Den data en angripare kommer åt i en lyckad attack blir då begränsad och förhoppningsvis inte utgör något större värde för angriparen.
Jämför det med en inbrottstjuv som tar sig in genom fönstret på ditt hus men bara kommer in i städskrubben.
Tekniken med temporära sessionsnycklar är inte implementerat i dagens SSL protokoll vilket Googles utvecklare nu lagt till som en expansion till sitt OpenSSL Toolkit. Det planeras lanseras till nästa stabila version av OpenSSL.
Än så länge stöds tekniken bara av Firefox och Google Chrome men det är nog bara en tidsfråga innan Microsoft lagt till stödet till Microsoft Explorer via en automatisk uppdatering.

