Обмен ключами Диффи-Хеллмана

Диффи-Хеллмана ( DH ) Обмен ключами ^{[ номер 1 ]} — это математический метод безопасного обмена криптографическими ключами по общедоступному каналу, который был одним из первых протоколов с открытым ключом , задуманных Ральфом Мерклем и названных в честь Уитфилда Диффи и Мартина Хеллмана . ^{[ 1 ] [ 2 ]} DH — один из первых практических примеров обмена открытыми ключами, реализованный в области криптографии. Опубликованная в 1976 году Диффи и Хеллманом, это самая ранняя общеизвестная работа, в которой была предложена идея закрытого ключа и соответствующего открытого ключа.

Традиционно безопасная зашифрованная связь между двумя сторонами требовала, чтобы они сначала обменялись ключами с помощью некоторых безопасных физических средств, таких как бумажные списки ключей, доставленные доверенным курьером . Метод обмена ключами Диффи-Хеллмана позволяет двум сторонам, не имеющим предварительного знания друг о друге, совместно установить общий секретный ключ по незащищенному каналу . Этот ключ затем можно использовать для шифрования последующих сообщений с использованием с симметричным ключом шифра .

Диффи-Хеллмана используется для защиты различных интернет- сервисов. Однако исследование, опубликованное в октябре 2015 года, показывает, что параметры, используемые в то время для многих интернет-приложений DH, недостаточно надежны, чтобы предотвратить компрометацию со стороны очень хорошо финансируемых злоумышленников, таких как службы безопасности некоторых стран. ^{[ 3 ]}

Схема была опубликована Уитфилдом Диффи и Мартином Хеллманом в 1976 году. ^{[ 2 ]} но в 1997 году выяснилось, что Джеймс Х. Эллис , ^{[ 4 ]} Клиффорд Кокс и Малкольм Дж. Уильямсон из GCHQ , британского агентства радиотехнической разведки, ранее показали в 1969 году ^{[ 5 ]} как можно достичь криптографии с открытым ключом. ^{[ 6 ]}

без аутентификации Хотя обмен ключами Диффи-Хеллмана сам по себе является протоколом согласования ключей , он обеспечивает основу для множества протоколов с аутентификацией и используется для обеспечения прямой секретности в транспортного уровня режимах безопасности эфемерных (называемых EDH или DHE). в зависимости от набора шифров ).

Вскоре этому методу последовал RSA — реализация криптографии с открытым ключом с использованием асимметричных алгоритмов.

Патент США с истекшим сроком действия 4 200 770 ^{[ 7 ]} с 1977 года описывает алгоритм, ставший общедоступным . Хеллман, Диффи и Меркл считаются изобретателями.

В 2006 году Хеллман предложил назвать алгоритм обменом ключами Диффи-Хеллмана-Меркла в знак признания вклада Ральфа Меркла в изобретение криптографии с открытым ключом (Hellman, 2006), написав:

Система... с тех пор стала известна как обмен ключами Диффи-Хеллмана. Хотя эта система была впервые описана в статье Диффи и меня, это система распределения открытых ключей, концепция, разработанная Мерклом, и, следовательно, ее следует называть «обмен ключами Диффи-Хеллмана-Меркла», если с ней связаны имена. . Я надеюсь, что эта небольшая кафедра поможет в этом стремлении признать равный вклад Меркла в изобретение криптографии с открытым ключом. ^{[ 8 ]}

Обмен ключами Диффи-Хеллмана устанавливает общий секрет между двумя сторонами, который может использоваться для секретной связи для обмена данными через общедоступную сеть. Аналогия иллюстрирует концепцию обмена открытыми ключами с использованием цветов вместо очень больших чисел:

Процесс начинается с того, что две стороны, Алиса и Боб , публично согласовывают произвольный стартовый цвет, который не нужно держать в секрете. В этом примере цвет желтый. Каждый человек также выбирает секретный цвет, который он держит при себе — в данном случае красный и голубой. Важнейшая часть процесса заключается в том, что Алиса и Боб смешивают каждый свой секретный цвет со своим общим цветом, в результате чего получаются смеси оранжево-коричневого и голубого соответственно, а затем публично обмениваются двумя смешанными цветами. Наконец, каждый из них смешивает цвет, полученный от партнера, со своим собственным цветом. В результате получается окончательная цветовая смесь (в данном случае желто-коричневая), идентичная окончательной цветовой смеси их партнера.

Если бы третья сторона прослушивала разговор, она бы знала только общий цвет (желтый) и первые смешанные цвета (оранжево-коричневый и голубой), но ей было бы очень сложно узнать окончательный секретный цвет ( желто-коричневый). Возвращаясь к аналогии с реальным обменом с использованием больших чисел, а не цветов, такое определение требует больших вычислительных затрат. Вычислить за практический промежуток времени невозможно даже на современных суперкомпьютерах .

Самая простая и оригинальная реализация, ^{[ 2 ]} позже формализовано как конечное поле Диффи-Хеллмана в RFC 7919 , ^{[ 9 ]} протокола использует мультипликативную группу целых чисел по модулю p , где p — простое число , а g — примитивный корень по модулю p . Эти два значения выбраны таким образом, чтобы гарантировать, что полученный общий секрет может принимать любое значение от 1 до p –1. Вот пример протокола: несекретные значения выделены синим цветом , а секретные значения — красным .

1. Алиса и Боб публично соглашаются использовать модуль p = 23 и основание g = 5 (который является примитивным корнем по модулю 23).
2. Алиса выбирает секретное целое число a = 4, затем отправляет Бобу A = g ^а против п
   • А = 5 ⁴ mod 23 = 4 (в этом примере и A , и a имеют одинаковое значение 4, но обычно это не так)
3. Боб выбирает секретное целое число b = 3, затем отправляет Алисе B = g ^б против п
   • Б = 5 ³ против 23 = 10
4. Алиса вычисляет s = B ^а против п
   • с = 10 ⁴ против 23 = 18
5. Боб вычисляет s = A ^б против п
   • с = 4 ³ против 23 = 18
6. Теперь у Алисы и Боба есть секрет (число 18).

И Алиса, и Боб пришли к одним и тем же значениям, поскольку по модулю p

${\displaystyle {\color {Blue}A}^{\color {Red}b}{\bmod {\color {Blue}p}}={\color {Blue}g}^{\color {Red}ab}{\bmod {\color {Blue}p}}={\color {Blue}g}^{\color {Red}ba}{\bmod {\color {Blue}p}}={\color {Blue}B}^{\color {Red}a}{\bmod {\color {Blue}p}}}$

Более конкретно,

${\displaystyle ({\color {Blue}g}^{\color {Red}a}{\bmod {\color {Blue}p}})^{\color {Red}b}{\bmod {\color {Blue}p}}=({\color {Blue}g}^{\color {Red}b}{\bmod {\color {Blue}p}})^{\color {Red}a}{\bmod {\color {Blue}p}}}$

Только А и Б держатся в секрете. Все остальные значения – p , g , g ^а mod p и g ^б mod p – отправляются в открытом виде. Сила схемы заключается в том, что g ^аб мод р = г ^нет mod p занимает очень много времени для вычисления любым известным алгоритмом только на основе знания p , g , g ^а mod p и g ^б мод п . Такая функция, которую легко вычислить, но трудно обратить, называется односторонней функцией . Как только Алиса и Боб вычислят общий секрет, они смогут использовать его в качестве ключа шифрования, известного только им, для отправки сообщений по одному и тому же открытому каналу связи.

Конечно, гораздо большие значения a , b и p чтобы сделать этот пример безопасным, потребуются , поскольку существует только 23 возможных результата n по модулю 23. Однако, если p — простое число, состоящее как минимум из 600 цифр, то даже самые быстрые современные компьютеры, использующие самый быстрый известный алгоритм, не могут найти заданные только g , p и g ^а мод п . Такая задача называется задачей дискретного логарифмирования . ^{[ 3 ]} Вычисление g ^а mod p известен как модульное возведение в степень и может эффективно выполняться даже для больших чисел. Обратите внимание, что g вообще не обязательно должно быть большим и на практике обычно представляет собой небольшое целое число (например, 2, 3,...).

На диаграмме ниже показано неизвестно что: несекретные значения выделены синим цветом , а секретные значения — красным . Здесь Ева является подслушивателем – она наблюдает за тем, что передается между Алисой и Бобом, но не меняет содержание их сообщений.

• g , общедоступная (примитивная корневая) база, известная Алисе, Бобу и Еве. г = 5
• p , публичный (простой) модуль, известный Алисе, Бобу и Еве. р = 23
• a — закрытый ключ Алисы, известный только ей. а = 6
• b , закрытый ключ Боба, известный только Бобу. б = 15
• A — открытый ключ Алисы, известный Алисе, Бобу и Еве. А = г ^а против р = 8
• B — открытый ключ Боба, известный Алисе, Бобу и Еве. Б = г ^б против р = 19

Алиса Известный Неизвестный р = 23 г = 5 а = 6 б А = 5 а к 23 А = 5 6 против 23 = 8 Б = 19 с = Б а к 23 с = 19 6 против 23 = 2

Боб Известный Неизвестный р = 23 г = 5 б = 15 а Б = 5 б к 23 Б = 5 15 против 23 = 19 А = 8 с = А б к 23 с = 8 15 против 23 = 2

Канун Известный Неизвестный р = 23 г = 5 а , б         А = 8 , Б = 19     с

Now s — общий секретный ключ, известный как Алисе, так и Бобу, но не Еве. Обратите внимание, что Еве бесполезно вычислить AB , что равно g ^{а + б} против п .

Примечание. Алисе должно быть сложно найти закрытый ключ Боба или Бобу найти закрытый ключ Алисы. Если Алисе нетрудно найти закрытый ключ Боба (или наоборот), то перехватчик, Ева , может просто подставить свою собственную пару частного/открытого ключей, подсоединить открытый ключ Боба к своему личному ключу, создать фальшивый общий секрет. ключ и найдите закрытый ключ Боба (и используйте его для нахождения общего секретного ключа). Ева может попытаться выбрать пару открытого и закрытого ключей, которая облегчит ей поиск закрытого ключа Боба.

Вот более общее описание протокола: ^{[ 10 ]}

1. Алиса и Боб договариваются о натуральном числе n и порождающем элементе g в конечной циклической группе G порядка n . (Обычно это делается задолго до остальной части протокола; предполагается, что g и n известны всем злоумышленникам.) Группа G записывается мультипликативно.
2. Алиса выбирает случайное натуральное число a с 1 < a < n и отправляет элемент g ^а G . Бобу
3. Боб выбирает случайное натуральное число b с условием 1 < b < n и отправляет элемент g ^б G . Алисе
4. Алиса вычисляет элемент ( g ^б ) ^а = г ^нет Г.
5. Боб вычисляет элемент ( g ^а ) ^б = г ^аб Г.

И Алиса, и Боб теперь владеют элементом группы g. ^аб = г ^нет , который может служить общим секретным ключом. Группа G удовлетворяет необходимому условию безопасной связи , пока не существует эффективного алгоритма определения g. ^аб учитывая г , г ^а , и г ^б .

Например, протокол Диффи-Хеллмана для эллиптической кривой представляет собой вариант, который представляет элемент G как точку на эллиптической кривой, а не как целое число по модулю n. варианты с использованием гиперэллиптических кривых Также были предложены . Суперсингулярный обмен ключами изогении — это вариант Диффи-Хеллмана, который был разработан для защиты от квантовых компьютеров , но был взломан в июле 2022 года. ^{[ 11 ]}

Используемые ключи могут быть либо эфемерными, либо статическими (долгосрочными), но могут быть даже смешанными, так называемым полустатическим DH. Эти варианты имеют разные свойства и, следовательно, разные варианты использования. Обзор многих вариантов, а также некоторые обсуждения можно найти, например, в NIST SP 800-56A. ^{[ 12 ]} Основной список:

1. эфемерный, эфемерный: обычно используется для соглашения о ключах. Обеспечивает прямую секретность , но не аутентичность .
2. static, static: создаст долгосрочный общий секрет. Не обеспечивает прямую секретность, но обеспечивает неявную подлинность. Поскольку ключи являются статическими, это, например, не защитит от атак повторного воспроизведения .
3. эфемерный, статический: например, используется в шифровании Эль-Гамаля или интегрированной схеме шифрования (IES) . Если оно используется в соглашении о ключах, оно может обеспечить неявную одностороннюю подлинность (эфемерная сторона может проверять подлинность статической стороны). Никакой прямой секретности не предусмотрено.

Можно использовать эфемерные и статические ключи в одном соглашении ключей для обеспечения большей безопасности, как показано, например, в NIST SP 800-56A, но также возможно объединить их в одном обмене ключами DH, который тогда называется тройным DH ( 3-ДГ).

В 1997 году своего рода тройная DH была предложена Саймоном Блейком-Уилсоном, Доном Джонсоном, Альфредом Менезесом в 1997 году, ^{[ 13 ]} который был улучшен К. Кудлой и К.Г. Патерсоном в 2005 г. ^{[ 14 ]} и показал себя в безопасности.

Долгосрочные секретные ключи Алисы и Боба обозначаются буквами a и b соответственно, с открытыми ключами A и B , а также парами эфемерных ключей x, X и y, Y. Тогда протокол:

Протокол тройного Диффи-Хеллмана (3-DH)

Алиса ( ${\displaystyle A=g^{a}}$)		Боб ( ${\displaystyle B=g^{b}}$)
${\displaystyle X=g^{x}}$	${\displaystyle X\rightarrow {}}$
	${\displaystyle {}\leftarrow Y}$	${\displaystyle Y=g^{y}}$
${\displaystyle K=\operatorname {KDF} \left(Y^{x},\,B^{x},\,Y^{a},\,X,\,Y,\,A,\,B\right)}$		${\displaystyle K=\operatorname {KDF} \left(X^{y},\,X^{b},\,A^{y},\,X,\,Y,\,A,\,B\right)}$

Долгосрочные открытые ключи необходимо каким-то образом передать. Это можно сделать заранее в отдельном доверенном канале или можно зашифровать открытые ключи с использованием некоторого соглашения о частичном ключе для сохранения анонимности. Более подробную информацию, а также другие улучшения, такие как защита побочного канала или явное подтверждение ключа , а также ранние сообщения и дополнительная аутентификация по паролю, см., например, в патенте США «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации». ^{[ 15 ]}

X3DH изначально был предложен как часть алгоритма двойного храпового механизма, используемого в сигнальном протоколе . Протокол обеспечивает прямую секретность и криптографическое отрицание. Он работает по эллиптической кривой. ^{[ 16 ]}

Протокол использует пять открытых ключей. У Алисы есть идентификационный ключ IK _A и эфемерный ключ _A. EK У Боба есть идентификационный ключ IK _B , подписанный предварительный ключ SPK _B и одноразовый предварительный ключ _B. OPK ^{[ 16 ]} Боб сначала публикует свои три ключа на сервере, который Алиса загружает и проверяет подпись. Затем Алиса инициирует обмен с Бобом. ^{[ 16 ]} OPK не является обязательным. ^{[ 16 ]}

Соглашение о ключах Диффи-Хеллмана не ограничивается согласованием ключа, совместно используемого только двумя участниками. В соглашении может принять участие любое количество пользователей, выполняя итерации протокола соглашения и обмениваясь промежуточными данными (которые сами по себе не должны храниться в секрете). Например, Алиса, Боб и Кэрол могли бы участвовать в соглашении Диффи-Хеллмана следующим образом, при этом все операции выполняются по модулю p :

1. Стороны согласовывают параметры алгоритма p и g .
2. Стороны генерируют свои закрытые ключи с именами a , b и c .
3. Алиса вычисляет g ^а mod p и отправляет его Бобу.
4. Боб вычисляет ( g ^а ) ^б мод р = г ^аб mod p и отправляет его Кэрол.
5. Кэрол вычисляет ( g ^аб ) ^с мод р = г ^абв mod p и использует это как свой секрет.
6. Боб вычисляет g ^б mod p и отправляет его Кэрол.
7. Кэрол вычисляет ( g ^б ) ^с мод р = г ^{до нашей эры} mod p и отправляет его Алисе.
8. Алиса вычисляет ( g ^{до нашей эры} ) ^а мод р = г ^{до н.э.} мод р = г ^абв mod p и использует это как свой секрет.
9. Кэрол вычисляет g ^с mod p и отправляет его Алисе.
10. Алиса вычисляет ( g ^с ) ^а мод р = г ^что mod p и отправляет его Бобу.
11. Боб вычисляет ( g ^что ) ^б мод р = г ^такси мод р = г ^абв mod p и использует его как свой секрет.

Подслушивающий смог увидеть g ^а мод р , г ^б мод р , г ^с мод р , г ^аб мод р , г ^и mod p и g ^{до нашей эры} mod p , но не может использовать любую их комбинацию для эффективного воспроизведения g ^абв против п .

Чтобы распространить этот механизм на более крупные группы, необходимо следовать двум основным принципам:

• Начиная с «пустого» ключа, состоящего только из g , секрет создается путем повышения текущего значения до частного показателя каждого участника один раз в любом порядке (первое такое возведение в степень дает собственный открытый ключ участника).
• Любое промежуточное значение (с применением до N -1 показателей степени, где N — количество участников в группе) может быть раскрыто публично, но окончательное значение (с применением всех N показателей степени) представляет собой общий секрет и, следовательно, никогда не должно быть раскрыто. раскрыто публично. Таким образом, каждый пользователь должен получить свою копию секрета, применив свой собственный закрытый ключ последним (в противном случае у последнего участника не было бы возможности передать окончательный ключ получателю, поскольку этот последний участник превратил бы ключ в самый секрет, который группа хотела защитить).

Эти принципы оставляют открытыми различные варианты выбора порядка, в котором участники вносят ключи. Самое простое и очевидное решение — расположить N участников по кругу и заставить N ключей вращаться по кругу до тех пор, пока в конечном итоге каждый ключ не будет передан всеми N участниками (заканчивается его владельцем), и каждый участник не внес свой вклад в N ключей. (заканчивая своими). Однако для этого требуется, чтобы каждый участник выполнил N модульных возведений в степень.

Выбирая более желательный порядок и полагаясь на то, что ключи могут быть дублированы, можно сократить количество модульных возведений в степень, выполняемых каждым участником, до 2 ₍ N ) + 1, используя в стиле «разделяй и властвуй». подход , приведенное здесь для восьми участников:

1. Участники A, B, C и D каждый выполняют по одному возведению в степень, что дает g ^abcd ; это значение отправляется в E, F, G и H. Взамен участники A, B, C и D получают g ^фух .
2. Участники A и B выполняют по одному возведению в степень, что дает g ^Эфхаб , который они отправляют C и D, в то время как C и D делают то же самое, получая g ^efghcd , который они отправляют A и B.
3. Участник А возводит в степень, получая g ^efghcda , который он отправляет B; аналогично B отправляет g ^efghcdb к A. C и D поступают аналогично.
4. Участник А выполняет последнее возведение в степень, получая секрет g. ^efghcdba = г ^abcdefgh , а B делает то же самое, чтобы получить g ^efghcdab = г ^abcdefgh ; И снова C и D делают то же самое.
5. Участники от E до H одновременно выполняют одни и те же операции, используя g ^abcd в качестве их отправной точки.

Как только эта операция будет завершена, все участники станут обладателями секретного g. ^abcdefgh , но каждый участник выполнит только четыре модульных возведения в степень, а не восемь, как предполагает простое круговое расположение.

Протокол считается защищенным от перехвата, если G и g выбраны правильно. В частности, порядок группы G должен быть большим, особенно если одна и та же группа используется для больших объемов трафика. Подслушивающему необходимо решить задачу Диффи–Хеллмана, чтобы получить g ^аб . В настоящее время это считается затруднительным для групп, порядок которых достаточно велик. Эффективный алгоритм решения проблемы дискретного логарифма облегчил бы вычисление a или b и решение проблемы Диффи-Хеллмана, что сделало бы эту и многие другие криптосистемы с открытым ключом небезопасными. Поля с небольшой характеристикой могут быть менее безопасными. ^{[ 17 ]}

Порядок G должен алгоритма Полига иметь большой простой множитель, чтобы предотвратить использование -Хеллмана для получения a или b . По этой причине простое число Софи Жермен q иногда используется для вычисления p = 2 q + 1 , называемое безопасным простым числом , поскольку тогда порядок G делится только на 2 и q . Иногда g выбирается для создания порядка q подгруппы группы G , а не G , так что символ Лежандра группы g ^а никогда не раскрывает младший бит . Протоколом, использующим такой выбор, является, например, IKEv2 . ^{[ 18 ]}

Генератор g часто представляет собой небольшое целое число, например 2. Из-за случайной самосократимости задачи дискретного логарифмирования маленький g так же безопасен, как и любой другой генератор той же группы.

Если Алиса и Боб используют генераторы случайных чисел , выходные данные которых не являются полностью случайными и могут быть до некоторой степени предсказаны, то подслушать их будет гораздо проще.

В исходном описании обмен Диффи-Хеллмана сам по себе не обеспечивает аутентификацию взаимодействующих сторон и может быть уязвим для атаки «человек посередине» . Мэллори (активный злоумышленник, выполняющий атаку «человек посередине») может установить два отдельных обмена ключами: один с Алисой, другой с Бобом, эффективно маскируясь под Алису для Боба и наоборот, позволяя ей расшифровать, а затем повторно -encrypt, сообщения передаются между ними. Обратите внимание, что Мэллори должна быть посередине с самого начала и продолжать оставаться там, активно расшифровывая и повторно шифруя сообщения каждый раз, когда Алиса и Боб общаются. Если она прибудет после того, как ключи были сгенерированы и зашифрованный разговор между Алисой и Бобом уже начался, атака не увенчается успехом. Если она когда-либо отсутствует, ее предыдущее присутствие раскрывается Алисе и Бобу. Они будут знать, что все их частные разговоры были перехвачены и расшифрованы кем-то на канале. В большинстве случаев это не поможет им получить закрытый ключ Мэллори, даже если она использовала один и тот же ключ для обоих обменов.

Для предотвращения атак такого типа обычно необходим метод аутентификации взаимодействующих сторон друг с другом. Вместо этого можно использовать варианты Диффи-Хеллмана, такие как протокол STS , чтобы избежать атак такого типа.

В CVE, выпущенном в 2021 году ( CVE-2002-20001 ), раскрыта атака типа «отказ в обслуживании» (DoS) против вариантов протокола, использующих эфемерные ключи, называемая атакой D(HE)at. ^{[ 19 ]} Атака использует то, что обмен ключами Диффи-Хеллмана позволяет злоумышленникам отправлять произвольные числа, которые на самом деле не являются открытыми ключами, вызывая дорогостоящие вычисления модульного возведения в степень на стороне жертвы. Другой CVE, выпущенный в 2022 году ( CVE-2022-40735 ), показал, что реализации обмена ключами Диффи-Хеллмана могут использовать длинные частные показатели, которые, возможно, делают вычисления модульного возведения в степень неоправданно дорогими. ^{[ 20 ]} Злоумышленник может использовать обе уязвимости вместе.

Алгоритм решета числового поля , который обычно является наиболее эффективным при решении задачи дискретного логарифмирования , состоит из четырех вычислительных шагов. Первые три шага зависят только от порядка группы G, а не от конкретного числа, конечный журнал которого требуется. ^{[ 21 ]} Оказывается, большая часть интернет-трафика использует одну из немногих групп размером порядка 1024 бит или меньше. ^{[ 3 ]} Предварительно вычислив первые три шага решета числового поля для наиболее распространенных групп, злоумышленнику достаточно выполнить только последний шаг, который требует гораздо меньше вычислительных затрат, чем первые три шага, чтобы получить определенный логарифм. Атака Logjam использовала эту уязвимость для компрометации различных интернет-сервисов, которые позволяли использовать группы, порядок которых представлял собой 512-битное простое число, так называемый уровень экспорта . Авторам потребовалось несколько тысяч процессорных ядер в течение недели для предварительного вычисления данных для одного 512-битного простого числа. Как только это будет сделано, отдельные логарифмы можно будет решить примерно за минуту с помощью двух 18-ядерных процессоров Intel Xeon. ^{[ 3 ]}

По оценкам авторов атаки Logjam, гораздо более сложные предварительные вычисления, необходимые для решения проблемы дискретного журнала для 1024-битного простого числа, будут стоить порядка 100 миллионов долларов, что вполне укладывается в бюджет крупного национального разведывательного агентства, такого как США Агентство национальной безопасности (АНБ). Авторы Logjam предполагают, что предварительные вычисления на основе широко используемых 1024-битных простых чисел DH лежат в основе утверждений в просочившихся документах АНБ о том, что АНБ способно взломать большую часть современной криптографии. ^{[ 3 ]}

Чтобы избежать этих уязвимостей, авторы Logjam рекомендуют использовать криптографию на основе эллиптических кривых , для которой не известно ни одной подобной атаки. В противном случае они рекомендуют, чтобы порядок p группы Диффи-Хеллмана составлял не менее 2048 бит. По их оценкам, предварительные вычисления, необходимые для 2048-битного простого числа, составляют 10 ⁹ раз сложнее, чем для 1024-битных простых чисел. ^{[ 3 ]}

Были предложены схемы шифрования с открытым ключом, основанные на обмене ключами Диффи-Хеллмана. Первой такой схемой является шифрование Эль-Гамаля . Более современный вариант — Integrated Encryption Scheme .

Протоколы, обеспечивающие прямую секретность , генерируют новые пары ключей для каждого сеанса и удаляют их в конце сеанса. Обмен ключами Диффи-Хеллмана является частым выбором для таких протоколов из-за его быстрой генерации ключей.

Когда Алиса и Боб используют общий пароль, они могут использовать форму соглашения о ключах с аутентификацией паролем (PK) Диффи-Хеллмана, чтобы предотвратить атаки «человек посередине». Одна простая схема — сравнить хеш-код s , объединенный с паролем, рассчитанным независимо на обоих концах канала. Особенностью этих схем является то, что злоумышленник может проверять только один конкретный пароль на каждой итерации с другой стороной, поэтому система обеспечивает хорошую безопасность с относительно слабыми паролями. Этот подход описан в ITU-T Рекомендации X.1035 , которая используется стандартом G.hn. домашних сетей

Примером такого протокола является протокол Secure Remote Password .

Также возможно использовать Диффи-Хеллмана как часть инфраструктуры открытых ключей , позволяя Бобу зашифровать сообщение так, чтобы только Алиса могла его расшифровать, без предварительного обмена информацией между ними, кроме того, что Боб доверял знанию открытого ключа Алисы. . Открытый ключ Алисы ${\displaystyle (g^{a}{\bmod {p}},g,p)}$. Чтобы отправить ей сообщение, Боб выбирает случайную букву b , а затем отправляет Алисе ${\displaystyle g^{b}{\bmod {p}}}$ (незашифрованное) вместе с сообщением, зашифрованным симметричным ключом ${\displaystyle (g^{a})^{b}{\bmod {p}}}$. Только Алиса может определить симметричный ключ и, следовательно, расшифровать сообщение, поскольку только у нее есть . (закрытый ключ) Предварительно общий открытый ключ также предотвращает атаки «человек посередине».

На практике алгоритм Диффи-Хеллмана таким образом не используется, поскольку RSA является доминирующим алгоритмом с открытым ключом. Во многом это связано с историческими и коммерческими причинами. ^{[ нужна ссылка ]} а именно, что RSA Security создала центр сертификации для подписи ключей, который стал Verisign . Метод Диффи-Хеллмана, как указано выше, не может использоваться напрямую для подписи сертификатов. Однако с ним математически связаны алгоритмы подписи Эль-Гамаля и DSA , а также MQV , STS и IKE компонент набора протоколов IPsec для защиты связи по Интернет-протоколу .

• Диффи – Хеллмана на эллиптической кривой Обмен ключами
• Обмен ключами суперсингулярной изогении
• Прямая секретность
• Задача Диффи–Хеллмана
• Модульное возведение в степень
• Атака типа «отказ в обслуживании»
• Постквантовое расширенное уравнение Диффи-Хеллмана.

• Голлман, Дитер (2011). Компьютерная безопасность (2-е изд.). Западный Суссекс, Англия: John Wiley & Sons, Ltd. ISBN  978-0470741153 .
• Уильямсон, Малкольм Дж. (21 января 1974 г.). Несекретное шифрование с использованием конечного поля (PDF) (Технический отчет). Группа безопасности коммуникационной электроники. Архивировано (PDF) из оригинала 23 марта 2017 г. Проверено 22 марта 2017 г.
• Уильямсон, Малкольм Дж. (10 августа 1976 г.). Мысли о более дешевом несекретном шифровании (PDF) (Технический отчет). Группа безопасности коммуникационной электроники. Архивировано (PDF) из оригинала 19 июля 2004 г. Проверено 25 августа 2015 г.
• История несекретного шифрования, Дж. Х. Эллис, 1987 г. (PDF-файл, 28 КБ) ( HTML-версия )
• Первые десять лет криптографии с открытым ключом Уитфилд Диффи, Proceedings of the IEEE, vol. 76, нет. 5 мая 1988 г., стр: 560–577 (PDF-файл, 1,9 МБ)
• Менезес, Альфред ; ван Оршот, Пол ; Ванстон, Скотт (1997). Справочник по прикладной криптографии Бока-Ратон, Флорида: CRC Press. ISBN   0-8493-8523-7 . ( Доступно онлайн )
• Сингх, Саймон (1999) Кодовая книга: эволюция секретности от Марии, королевы Шотландии, до квантовой криптографии Нью-Йорк: Doubleday ISBN   0-385-49531-5
• Обзор криптографии с открытым ключом Мартин Э. Хеллман, журнал IEEE Communications Magazine, май 2002 г., стр. 42–49. (PDF-файл, 123 КБ)

в этой статье Использование внешних ссылок может не соответствовать политике и рекомендациям Википедии . Пожалуйста, улучшите эту статью, удалив чрезмерные или неуместные внешние ссылки и преобразуя полезные ссылки, где это возможно, в сноски . ( Март 2016 г. ) ( Узнайте, как и когда удалить это сообщение )

• Устное историческое интервью с Мартином Хеллманом , Институт Чарльза Бэббиджа , Университет Миннесоты. Ведущий ученый-криптографист Мартин Хеллман обсуждает обстоятельства и фундаментальные идеи своего изобретения криптографии с открытым ключом с сотрудниками Уитфилдом Диффи и Ральфом Мерклем в Стэнфордском университете в середине 1970-х годов.
• RFC 2631 — Метод соглашения по ключам Диффи-Хеллмана . Э. Рескорла. Июнь 1999 года.
• RFC 3526 — Больше модульных экспоненциальных (MODP) групп Диффи-Хеллмана для обмена ключами в Интернете (IKE) . Т. Кивинен, М. Коджо, SSH Communications Security. Май 2003 года.
• Краткое изложение ANSI X9.42: Согласование симметричных ключей с использованием криптографии дискретного логарифма (PDF-файл 64 КБ) ( Описание стандартов ANSI 9 )
• Выступление Мартина Хеллмана в 2007 году, видео на YouTube
• Команда крипто-мечты Diffie & Hellman выиграла Премию Тьюринга в размере 1 миллиона долларов в 2015 году (также известную как «Нобелевская премия в области вычислений»)
• Демонстрация Диффи-Хеллмана, написанная на Python3 . Эта демонстрация правильно поддерживает очень большие ключевые данные и требует использования простых чисел там, где это необходимо.