HPKP

HPKP (engl. HTTP Public Key Pinning) on internetin turvallisuutta parantava menetelmä, jossa HTTP ylätunnisteen (header) kautta verkkosivun ylläpitäjä antaa kopion julkisesta avaimestaan tai jopa koko varmenteen pitkäaikaiseen säilöön esimerkiksi käyttäjän selaimeen. Kun käyttäjä käy jälleen sivulla, vertailee hänen selaimensa sivun ylläpitäjän nyt antamaan avaimeen ja aiemmin antamaan avaimeen. Jos ne täsmäävät, käyttäjä jatkaa normaalisti sivun käyttöä. Jos avaimet eivät täsmää, voi kyseessä olla yritys suorittaa välistävetohyökkäys, jolloin käyttäjä saa asiasta varoituksen. HPKP suojaa siis välistävetohyökkäyksiltä.^[1]

HPKP:n haittana voi olla mm. se, että jos HPKP:n vanhenemisen aika-asetus on liian pitkä ja sivun ylläpitäjän varmenne vanhenee tai sitä joudutaan muuttamaan yllättäen ennen HPKP vanhenemista, saavat sivua aiemmin käyttäneet varoituksen sivun turvattomuudesta ja saattavat lopettaa tai joutua lopettamaan sivun käytön. Tällöin sivun imago voi kärsiä ja sivun ylläpitäjä voi menettää rahaa asiakaskadon vuoksi. Termiä kutsutaan HPKP itsemurhaksi (eng. HPKP suicide).^[2]^[3] HPKP voi myös heikentää käyttäjän yksityisyyttä, sillä lista tallennetuista sivuista säilyy selainohjelmassa, ja laajalle levittäytynyt internetpalvelu (kuten Google) voi käyttää tätä ominaisuutta seuraamaan käyttäjän toimia internetissä.^[4] Lisäksi HPKP:tä voidaan käyttää väärin esimerkiksi jonkin verkkosivun ylätunnisteen hakkeroinnissa, jolloin hakkeri saa sivun hallintaansa ja voi kiristää sen ylläpitäjää ns. HPKP ransom -hyökkäyksessä.^[2]

HPKP-säilö on usein mahdollista tyhjentää tai kytkeä HPKP ominaisuus pois päältä.

Kirjoitushetkellä vuonna 2018 HPKP-tuki löytyy Firefox-, Opera- ja Chrome-selaimista. Edge-^[1] tai Safari-selaimissa tukea ei ole. Chrome-selaimessa tuki aiotaan lopettaa.^[5]

Katso myös muokkaa

Lähteet muokkaa

↑ ^a ^b HTTP Public Key Pinning (HPKP) Mozilla Developer Network. Arkistoitu . Viitattu 21.1.2018.
↑ ^a ^b Scott Helme: Using security features to do bad things scotthelme.co.uk. 15.8.2016. Arkistoitu . Viitattu 21.1.2018.
↑ Be Afraid Of HTTP Public Key Pinning (HPKP) 26.10.2016. Smashing Magazine. Arkistoitu . Viitattu 21.1.2018.
↑ Sleevi, Ryan, Evans, Chris, Palmer, Chris: Public Key Pinning Extension for HTTP tools.ietf.org. Arkistoitu . Viitattu 21.1.2018.
↑ RIP HPKP: Google abandons public key pinning theregister.co.uk. Arkistoitu . Viitattu 21.1.2018.

[:0-1] HTTP Public Key Pinning (HPKP) Mozilla Developer Network. Arkistoitu . Viitattu 21.1.2018.

[:1-2] Scott Helme: Using security features to do bad things scotthelme.co.uk. 15.8.2016. Arkistoitu . Viitattu 21.1.2018.

[3] Be Afraid Of HTTP Public Key Pinning (HPKP) 26.10.2016. Smashing Magazine. Arkistoitu . Viitattu 21.1.2018.

[4] Sleevi, Ryan, Evans, Chris, Palmer, Chris: Public Key Pinning Extension for HTTP tools.ietf.org. Arkistoitu . Viitattu 21.1.2018.

[5] RIP HPKP: Google abandons public key pinning theregister.co.uk. Arkistoitu . Viitattu 21.1.2018.

[1]

[2]

[3]

[4]

[5]