E2EE + WEB = поищем безопасность?

Question

[N]

Виртуальная задача(упрощённо):

- Обмен сообщениями(данными) со сквозным шифрованием через WEB;
- "Создатель сервера" - недоверенное лицо - но сервер под контролем разработчика.

Решение "с наскока":

- Стандартная авторизация WEB-приложения;
- Генерируем ключи ECDH(если до этого на устройстве их нет - или они невалидные);
- Храним приватный ключ на клиенте(в браузере в данном случае...или пойти дальше - в приложении);
- Публичный - используем как хотим в пределах системы и обмена между участниками;
- При шифровке/дешифровке данных используем derivedKey(общий ключ шифирования для публичного "получателя" и приватный ключ "отправителя" - и наоборот);
- При смене устройства(где хранится приватный ключ пользователя) - предлагать синхронизировать приватные ключи(аля QR) или введя доп. пинкод(который задаётся при регистрации...или который высылается по другой "довереннной" связи);
- Или предлагать "сбросить всё" - в случае - если нет "пин-кода", НО при этом - пройдена авторизация WEB-приложения(тем самым предыдущая переписка будет недоступна третьим лицам);
- При смене(сброса) публичного ключа - "вторая сторона" будет оповещена об этом - и далее "эта сторона" сама решает о "ликвидности" общения со стороной изменившей "публичный ключ".

Минимальный JS(в виде класса) для этой задачи на стороне клиента состряпал такой:

class msgCrypt {

    constructor(publicKeyJwk, privateKeyJwk) {

        this.publicKeyJwk = publicKeyJwk;
        this.privateKeyJwk = privateKeyJwk;

    }

    static async generateKeyPair() {

        const keyPair = await window.crypto.subtle.generateKey(
            {
                name: "ECDH",
                namedCurve: "P-256",
            },
            true,
            ["deriveKey", "deriveBits"]
        );

        const publicKeyJwk = await window.crypto.subtle.exportKey(
            "jwk",
            keyPair.publicKey
        );

        const privateKeyJwk = await window.crypto.subtle.exportKey(
            "jwk",
            keyPair.privateKey
        );

        return {publicKeyJwk, privateKeyJwk};

    }

    async deriveKey() {

        const publicKeyJwk = this.publicKeyJwk;
        const privateKeyJwk = this.privateKeyJwk;

        const publicKey = await window.crypto.subtle.importKey(
            "jwk",
            publicKeyJwk,
            {
                name: "ECDH",
                namedCurve: "P-256",
            },
            true,
            []
        );

        const privateKey = await window.crypto.subtle.importKey(
            "jwk",
            privateKeyJwk,
            {
                name: "ECDH",
                namedCurve: "P-256",
            },
            true,
            ["deriveKey", "deriveBits"]
        );

        return await window.crypto.subtle.deriveKey(
            {name: "ECDH", public: publicKey},
            privateKey,
            {name: "AES-GCM", length: 256},
            true,
            ["encrypt", "decrypt"]
        );
    };

    async encrypt(text) {

        const derivedKey = await this.deriveKey();

        const encodedText = new TextEncoder().encode(text);

        const iv = window.crypto.getRandomValues(new Uint8Array(12));

        const encryptedData = await window.crypto.subtle.encrypt(
            {name: "AES-GCM", iv: iv},
            derivedKey,
            encodedText
        );

        const uintArray = new Uint8Array(encryptedData);

        const string = String.fromCharCode.apply(null, uintArray);
        const iv_string = String.fromCharCode.apply(null, iv);

        const bDATA = btoa(string);
        const bIV = btoa(iv_string);

        return JSON.stringify({bDATA, bIV});
    };

    async decrypt(messageJSON) {
        try {

            const derivedKey = await this.deriveKey();

            const message = JSON.parse(messageJSON);
            const text = message.bDATA;
            const initializationVector = message.bIV;

            const iv_string = atob(initializationVector);
            const iv = new Uint8Array(
                [...iv_string].map((char) => char.charCodeAt(0))
            );

            const string = atob(text);
            const uintArray = new Uint8Array(
                [...string].map((char) => char.charCodeAt(0))
            );
            const algorithm = {
                name: "AES-GCM",
                iv: iv,
            };
            const decryptedData = await window.crypto.subtle.decrypt(
                algorithm,
                derivedKey,
                uintArray
            );

            return new TextDecoder().decode(decryptedData);
        } catch (e) {
            return `error decrypting message: ${e}`;
        }
    };

}

Остальное - "детали" - если взять за "ядро" - JS выше...

Вопрос:
Какие видятся минусы с точки зрения безопасности пересылаемых данных?
Если "отбросить" самый главный минус - "скомпрометированное устройство" самого обладателя.

Comments

[pfg21]

если сервер находится в недоверенных руках. то поставить на любой нем http-proxy или что подобное.
и прокидывать через него httpS поток https через http-прокси и все становится идеально работающим.

[N]

pfg21, Данные и так будут шифрованы...мне кажется ещё одна "обёртка" будет лишней...

Answer 1

[rPman]

Для общения вообще достаточно клиентского шифрования с хранением ключей у клиентов и использованием публичных серверов stun/turn и signaling для старта webrtc. Т.е. для создания защищенного чата вообще достаточно статичных страниц github pages (там и исходники можно проконтролировать) и пользователи при создании комнаты должны обменяться по какому то каналу информацией об используемых stun/turn/signaling серверов (есть публичные, можно взять в аренду, можно поднять свой), при этом на практике почти ничего плохого владельцы stun/turn серверов сделать не могут, правда есть проблема с signaling сервером, его владельцы могут селать атаку MITM но второй уровень шифрования на стороне клиента (штатно webrtc уже шифруется) нивелирует эту проблему.

как и всегда, главная проблема - обмен контактами между пользователями (ключами шифрования) требования к каналу передачи тут наиважнейшие, и для этого рекомендуется вообще личная встреча.

Comments

[N]

Историю сообщений хотелось бы сохранить для удобства...и смену устройств...
А так, получается, мной описанная выше схема рабочая?

как и всегда, главная проблема - обмен контактами между пользователями (ключами шифрования) требования к каналу передачи тут наиважнейшие, и для этого рекомендуется вообще личная встреча.

Это уже детали и проблемы "клиента"...можно что-то типа как в блютузе при подключчении сделать...пин-код обоим одинаковый например вводить...сам способ обмена ключами пока не беру за "проблему".

[rPman]

удобство и безопасность обычно не совместимы.
но если очень грамотно подойти к разработки usability то все возможно.

историю хранить могут все ото всех и погдружать при подключении (вырожненный случай - блокчейн, но не нужно)

[N]

rPman, Для этого в БД и будут храниться зашифрованные данные...а приватные ключи только на устройствах...

[rPman]

база данных есть в браузере, штатная web storage api.
еще раз, сервер формально не очень нужен, он нужен только на старте подключения пользователя к чату - webrtc signaling server, и stun/turn сервера для тех кого заперли за NAT, но этих публичных даже полно, начиная с гугловского.

если вам нужно убедить клиентов в безопасности вашего клиента и то что он не крадет приватную информацию, вам нужно - обеспечить доступ к исходникам, и главное обеспечить возможность запуска на контролируемых мощностях (так как проконтролировать что там ваш веб сервер возвращает невозможно) и главное ни в какой форме не хранить приватные ключи пользователей на сервере... этот момент убивает все фишки удобства для большинства неофитов, привыкших что для доступа к чату им достаточно своего номера телефона.
p.s. одна из форм приватной информации - факт общения конкретного пользователя с другим конкретным пользователем, даже без расшифровки сообщений, дать гарантии того что эта информация не собирается очень и очень технически сложно

[N]

rPman, Да не о военном уровне речь идёт :)
Сам факт общения - пофиг...главное безопасность пересылаемых данных...чтобы просто обе стороны были уверены, что их переписка останется только их...массовости "для народа" не будет...это некий "для своих" только...даже если сервак "приватизируют" - и фиг с ним...на новом развернулся и далее погнал...

[N]

rPman,

база данных есть в браузере, штатная web storage api.

Синхронизацию между устройствами всё равно придётся делать...а история и так в шифре...пусть хранится в БД...чёрт с ней...

еще раз, сервер формально не очень нужен, он нужен только на старте подключения пользователя к чату - webrtc signaling server, и stun/turn сервера для тех кого заперли за NAT, но этих публичных даже полно, начиная с гугловского.

Это подразумевает, что оба "онлайн"...хочется и в "офлайне" писать...

если вам нужно убедить клиентов в безопасности вашего клиента и то что он не крадет приватную информацию

Убеждать никого ненадо будет...)

[N]

rPman, Остался получается один момент во всей схеме описанной в впоросе:

Закрытый ключ "поверх" шифровать же не имеет смысла(с помощью какого-то "мастер-ключа"), если он всё равно будет храниться в браузере(в том же indexDB или localStorage)?
Ведь, чтобы "расшифровать" его(закрытый ключ) перед применением - всё равно придётся где-то хранить "мастер-ключ"(чтобы каждую "итерацию", где он нужен не "спрашивать" пользователя его ввести)...

Понятно, что самая большая "дыра" - это здесь сам пользователь и его устройство...чисто технически, если подумать без этого нюанса...

[rPman]

шифруют паролем/пинкодом, типовая практика.

барузер пользователя почти всегда разблокирован, поэтому если мы защищаемся от 'доступ злоумышленника к рабочему месту', то дополнительный уровень шифрования имеет смысл.. да есть еще отладчик, но его использование не такое простое как 'открыть консоль разработчика и вставить команду'.

[N]

rPman, Тогда какая схема видится при шифровании приватного ключа с паролем/пин-кодом?

Вот например:
С сервера приходят данные для расшифровки(сообщения в чате)...если перед этим покрыть паролем приватный ключ, то каждый раз спрашивать пользователя его ввести? Если нет - то где его(пароль) хранить? Если опять же - там же, где и приватный ключ - то - те же яйца в профиле - получается...

Варианты со встроенными(и другими) "хранилищами паролей" - тоже гемор...каждый раз "дрочка" с "открытием" этих данных для применения...

UPD:

барузер пользователя почти всегда разблокирован, поэтому если мы защищаемся от 'доступ злоумышленника к рабочему месту', то дополнительный уровень шифрования имеет смысл

Тут возможно на стороне сервера сделать проверку...если какое-то время "не онлайн" - то доп. пин-код запрашивать(который на стороне сервера будет храниться) и в случае "неудачи" - просто не отдавать данные с сервера(даже шифрованные)...норм будет?

[rPman]

зачем каждый раз вводить пароль? ключ хранить в памяти после ввода пароля, доступ к оперативной памяти гораздо сложнее чем доступ к данным в базе данных браузера.

доп пинкод? никакой безопасности не повысит, а вот пользователи тебя возненавидят.

Функционал с точки зрения usability не должен отличаться от типовых месседженеров, за исключением запрета забыть пароль от ключей шифрования или потери самих ключей.

[N]

rPman, Чёт прям затупил...как в браузере "хранить в памяти" ?

[N]

rPman,

Функционал с точки зрения usability не должен отличаться от типовых месседженеров, за исключением запрета забыть пароль от ключей шифрования или потери самих ключей.

Вот и остался этот момент...если дополнительно шифровать ключ - то где пароль этот хранить НА СТОРОНЕ КЛИЕНТА, чтобы "сверять/проверять" ?

[rPman]

const storage = (() => {
  let SEED; // не глобальная, снаружи напрямую не доступна

  return {
    set(v) { SEED = v; },
    hashed(x) { return (x ^ SEED) | 0; }, // не воспринимай xor как что то надежное, мне тупо лень писать вычисление хеша с солью
  };
})();

storage.set(0x9e3779b9);
storage.hashed(123);
storage.SEED; // undefined

повторюсь, через отладчик все можно вытащить, но это сложнее и требует иные скилы

[N]

rPman, Получается...этот скрипт работает только ДО обновления страницы?
Не вдуплю логику использования "бесшовно" для юзера...

[rPman]

угу, обновление страницы все убьет.
он работает в контексте, либо страницы до ее обновления либо до webworker или sharedworker (несколько страниц с общим воркером, пока хотя бы одна страница существует воркер тоже существует)... если пользователь закрыл или обновил страницу, значит он это хотел, и нормально спросить ПОСЛЕ этого у него пароль заново.

привыкайте к понятию SPA

[N]

rPman, Ну тоже вариант...просто при каждом "зависании инета" юзеры любят "обновлять"...

Если попробовать это исправить моим варинатом:

Тут возможно на стороне сервера сделать проверку...если какое-то время "не онлайн" - то доп. пин-код запрашивать(который на стороне сервера будет храниться) и в случае "неудачи" - просто не отдавать данные с сервера(даже шифрованные)...

По-сути же одно и тоже...если знать пин-код - то всё "пропало"...
При этом, если знать пин-код и нет "закрытого ключа" - то всё норм.
Если "скомпромитировать" устройство с закрытым ключом - и нет пина - тоже норм.

Единственный минус - сервер где хранится пин-код...но тогда всё равно и устройство клиента придётся "раздуплить" для полуения шифрованого ключа...

[rPman]

при каждом "зависании инета" юзеры любят "обновлять"

это потому что само приложение ничего для решения не делает.

это фича браузера - окно это контекст, закрыл окно - закрыл приложение и ты точно знаешь что ничего в оперативной памяти (кроме кеша статичного контента и тот только для оптимизации) не останется и не будет запущено, итак у пользователя весь контроль отобрали, надеюсь ЭТО еще долго не отберут.

потому то обновление и решает большинство проблем, потому что это сброс до начального состояния (на самом деле часть состояния можно хранить в ссылке, с помощью #xxx но это само собой не ваш случай)

p.s. не храните на сервере пинкод/пароль пользователя, иначе все остальное в этом случае бессмысленно, зачем тогда мучиться то

[N]

rPman, Подумаю на эту тему...Спасибо.
Но тот же ватсап - получается - не замарачивается...

[N]

rPman,

p.s. не храните на сервере пинкод/пароль пользователя, иначе все остальное в этом случае бессмысленно, зачем тогда мучиться то

Тут фишка была вот в чём: если "слили" сервер - то ещё нужно и слить "ключи" юзеров...типа доп. "костыль" для "хацкеров"...
А если всё на одном устройстве - то, мне кажется, - больше вариантов "слить" одно устройство...

[rPman]

whatsup это отличный пример, они переусложнили код и юзабилити, при этом полностью забив на собственно ради чего это делается... они все хранят у себя и ключи и информацию, ибо в законе от них это требуют.

[N]

rPman, Вот и хочется сделать "что-то" для "юзера" без доп. плясок...

Ну, в общем, вариантов не много получается...спасибо за мозговой штурм.

P.S.: Отмечу решением, если в ответе под вопрос(с учётом комментов) текст перепишите...в комментах тут многое мы "прошли"...

Answer 2

[Василий Банников]

Выглядит как что-то избыточное, так как в обычных ситуациях должно быть достаточно https+обычной аутентификации по паролю, чтобы убедиться, что на том конце клиент именно тот, за кого себя выдаёт.

Если хочется добавить аутентификацию по ключу, то можно использовать mTLS.

Если у тебя нет https и ты хочешь защититься от mitm, то тогда такое решение как сейчас не подойдёт, так как злоумышленник посередине может подменить js, чтобы параллельно отправлять незашифрованный текст.

Comments

[N]

Если у тебя нет https и ты хочешь защититься от mitm, то тогда такое решение как сейчас не подойдёт, так как злоумышленник посередине может подменить js, чтобы параллельно отправлять незашифрованный текст.

Это забота "клиента" в данном случае...ибо "сам сервер" подменять JS не будет...если только - "провайдер"...но тут можно еще пару "костылей" вставить между этим делом...

UPD:
Да, всё именно на https конечно...

UPD2:
В такой ситуации...тому же ватсапу и любому "сигналу" могут вставить "свой JS"...

[Василий Банников]

N, речь именно о случае, если нет https.
Если https есть, то тогда никто js не подменит, кроме клиента, а о компрометации клиента сейчас не думаем.

=> решение из вопроса выглядит избыточным, если не раскрывается реальная решаемая задача.

У вацапа https есть, потому никто не подменит код

[Василий Банников]

N, а, вопрос о шифровании сообщений между клиентами, чтобы сервер не мог прочитать.

Тогда согласен с rPman, что сервер фактически и не нужен получается.

Ключами клиенты должны как-то между собой обменяться, так как без этого или PKI невозможно убедиться, что сообщение действительно было написано заявленным отправителем.

В целом выглядит как переизобретение pgp, s/mime.

[N]

Василий Банников,

Тогда согласен с rPman, что сервер фактически и не нужен получается.

Без сервера для синхронизации сообщений придётся быть всем в "онлайне" или хотя бы на какое-то время иметь соединение...с сервером больше "удобств"...