¿Se puede usar Perfect Forward Secrecy (PFS) para probar que un archivo en particular se transmitió o recibió en un momento determinado? ¿Si es así, cómo? ¿Manteniendo registros de todo el flujo TLS?
PFS podría usarse para garantizar que un conjunto determinado de paquetes (por ejemplo, que contiene un archivo) pertenecía a una sesión determinada, utilizando el siguiente "protocolo":
El cliente C (que maneja las solicitudes del usuario U1) y el servidor S establecen una sesión TLS con una clave k_i. Toda la sesión se captura y almacena mediante mecanismos resistentes a la manipulación indebida.
C descarga un archivo de S.
A solicitud de un tercero con acceso a la captura de paquetes (por ejemplo, un tribunal), C o S revela k_i. El tercero accede al contenido de la captura de paquetes y utiliza k_i para descifrarlo, por lo que muestra si ese conjunto de paquetes perteneció o no a esa sesión.
Sin embargo, tenga en cuenta que este mecanismo no puede probar que U1 no recibió el archivo antes de esa sesión, como:
1) el mismo texto simple cifrado con diferentes claves puede (y normalmente lo hace) producir diferentes textos cifrados. Sin conocer las claves de todas las sesiones anteriores con ese servidor (desde la primera, que podría haber sido años antes), este problema es inevitable; y
2) U1 podría haber obtenido el mismo archivo previamente y "fuera de banda" de muchas maneras diferentes, por ejemplo, mediante otro servidor, al hacer que U2 descargue el archivo usando su cuenta y copie el archivo localmente (o, en realidad, robando las credenciales de U2), etc.
Lea otras preguntas en las etiquetas tls data-validation perfect-forward-secrecy