Twitter implementa Perfect Forward Secrecy, más seguridad, más privacidad
Twitter continúa mejorando la seguridad de su red social, ahora han activado PFS (Perfect Forward Secrecy) para el tráfico de twitter.com, api.twitter.com y mobile.twitter.com. Además de la confidencialidad e integridad que proporciona el uso de SSL en la web de Twitter, PFS agrega un extra de seguridad. Si un usuario malintencionado captura tráfico cifrado de los usuarios de Twitter y a continuación roba la clave privada de Twitter, no podrá ser capaz de descifrar el tráfico capturado.
Twitter también quiere blindarse contra los usuarios malintencionados, y asegurarse de que si alguna vez roban sus claves privadas no sean capaces de descifrar todo el contenido de las cuentas de Twitter. Con el tradicional HTTPS, un cliente selecciona una clave de sesión aleatoria y la cifra con la llave pública del servidor para enviarla a través de la red. De esta forma, con la clave privada de Twitter se podría descifrar toda la sesión.
Para soportar PFS han habilitado las suites de cifrado Diffie-Hellmann, de esta forma el intercambio de claves aleatorias se podrá hacer sin necesidad de enviar la clave cifrada a través de la red. La llave privada del servidor sólo servirá para firmar el intercambio de claves, evitando los ataques MITM. La suite Diffie-Hellmann usa dos métodos, el tradicional y el de curva elíptica (ECDHE), este último ha sido el elegido por la red social ya que aumenta de forma insignificante la carga de CPU con respecto a RSA de 2048bits.
Aunque la red social basada en microblog ha publicado ahora que usa PFS, la verdad es que lleva varias semanas usándolo para comprobar qué tal les funciona, en este tiempo han sacado estadísticas muy interesantes y es que el 75% de clientes están usando ECDHE, el 25% restante no lo usa porque tienen clientes antiguos y no soportan las suites de cifrados ECDHE.
Podría decirse que ahora es un lugar más seguro.
Tenéis todos los detalles técnicos en el blog de Twitter.