完全向前保密

事先申明:这篇文章不是给 PFS 翻译,只是我个人的见解。欲知 PFS 是神马,请自己阅读这里(英文)和这里(英文)。

完全向前保密(Perfect Forward Secrecy,PFS)使用“会话密钥(Session Key)”在会话结束后就过期。“会话密钥”是一个长期密钥(Long-Term Key)的衍生出来的密钥,不会透露额外的密钥。所以,简单来说,黑客今天截取一些通讯资料,明天或者有更好更快的机器帮助他解密,就算破解到这个“会话密钥”,他也只能看到这个会话的内容,其他的通讯是不能用这个已破解的密钥来解密。如果你没有使用 PFS,一旦解密密钥被破解,网站的加密也统统给破解掉了。

软件需求:

  • nginx 1.1.13+
  • nginx 的 ngx_http_ssl_module 模块
  • 一个有效的 SSL 证书
  • OpenSSL 1.0.1+

Forward Secrecy

因为 PFS 使用了『迪菲-赫尔曼加密法』,所以需要一些额外的配置。 Continue reading 完全向前保密