Protokół Diffiego-Hellmana
Protokół Diffiego-Hellmana – protokół uzgadniania kluczy szyfrujących, opracowany przez Witfielda Diffiego oraz Martina Hellmana w 1976 roku. Jego siła oparta jest na trudności obliczenia logarytmów dyskretnych w ciałach skończonych. Klucz uzgodniony za pomocą tego algorytmu może zostać wykorzystany do szyfrowania komunikacji[1]. Algorytm pozwala bezpiecznie uzgodnić klucz, nawet jeżeli istnieje osoba, która podsłuchuje proces uzgadniania klucza, nie chroni jednak przed atakami typu man in the middle. Algorytm nie nadaje się do szyfrowania i deszyfrowania wiadomości.
Opis protokołu
edytujProtokół Diffiego-Hellmana służy do ustalenia wspólnego tajnego klucza przy użyciu publicznych środków komunikacji. Następujący diagram przedstawia ogólną ideę uzgodnienia klucza na przykładzie kolorów zamiast liczb. Kluczowe dla procesu jest to, że Alicja i Bob używają jedynie prostej operacji mieszania kolorów. Operacja ta powinna być możliwie trudna do odwrócenia (być funkcją jednokierunkową). Wygenerowany klucz jest praktycznie niemożliwy do odtworzenia przez osobę podsłuchującą. Kolor żółty jest znany Alicji i Bobowi:
Poniżej znajduje się wyjaśnienie zawierające nieco matematyki:
Najprostsza, oryginalna wersja protokołu wykorzystuje arytmetykę multiplikatywnych grup modulo p, gdzie p jest liczbą pierwszą, a g pierwiastkiem pierwotnym modulo p. Poniżej przykład, gdzie publicznie znane wartości oznaczono kolorem niebieskim, a tajne pogrubionym czerwonym:
|
- Alicja i Bob uzgadniają liczbę pierwszą p=23 i podstawę g=5.
- Alicja wybiera tajną liczbę całkowitą a=6, i wysyła Bobowi A = ga mod p
- A = 56 mod 23
- A = 15 625 mod 23
- A = 8
- Bob wybiera tajną liczbę całkowitą b=15, i wysyła Alicji B = gb mod p
- B = 515 mod 23
- B = 30 517 578 125 mod 23
- B = 19
- Alicja oblicza s = B a mod p
- s = 196 mod 23
- s = 47 045 881 mod 23
- s = 2
- Bob oblicza s = A b mod p
- s = 815 mod 23
- s = 35 184 372 088 832 mod 23
- s = 2
- Alicja i Bob współdzielą tajną liczbę: s = 2. Jest tak, ponieważ 6⋅15 jest tym samym, co 15⋅6. Więc jeśli ktoś znałby jednocześnie obie tajne wartości, mógłby także obliczyć s:
- s = 56⋅15 mod 23
- s = 515⋅6 mod 23
- s = 590 mod 23
- s = 807 793 566 946 316 088 741 610 050 849 573 099 185 363 389 551 639 556 884 765 625 mod 23
- s = 2
Zarówno Alicja, jak i Bob posiadają tę samą wartość tajną, ponieważ oraz są przystające modulo p. Zauważmy, że jedynie a, b i są trzymane w sekrecie. Pozostałe wartości – p, g, oraz – są wysyłane jawnie. Gdy Alicja i Bob obliczą wspólną wartość, mogą użyć jej jako klucza, znanego tylko im, do wysyłania tajnych komunikatów poprzez ten sam otwarty kanał komunikacji. Oczywiście, o wiele większe wartości a, b i p powinny być użyte dla zapewnienia bezpieczeństwa, ponieważ łatwo jest przeprowadzić próbę dla tych kilku możliwych wartości (są tylko 23 wartości do sprawdzenia). Gdy p jest liczbą pierwszą długości około 300 cyfr dziesiętnych, a a oraz b mają po co najmniej 100 cyfr każda, wtedy nawet najlepszy znany obecnie algorytm nie znajdzie a mając jedynie g, p, i nawet przy użyciu całej mocy obliczeniowej dostępnej ludzkości. Problem jest znany jako logarytm dyskretny. Zauważmy g nie musi być duże, i w praktyce wybiera się 2 lub 5.
Poniżej bardziej ogólny opis protokołu:
- Alicja i Bob uzgadniają skończoną grupę cykliczną G oraz generator g w G (to się zwykle odbywa na długo przed pozostałą częścią protokołu; przyjmuje się, że g jest znane wszystkim napastnikom). Użyjemy dla grupy G notacji multiplikatywnej.
- Alicja losuje naturalną liczbę a i wysyła Bobowi.
- Bob losuje naturalną liczbę b i wysyła Alicji.
- Alicja oblicza
- Bob oblicza
Oboje posiadają teraz element który może posłużyć jako tajny klucz.
W celu odszyfrowania wiadomości m z szyfrogramu Bob (lub Alicja) muszę najpierw obliczyć
Bob zna i Z wartości konstrukcji grupy G, dla każdego x w G,
Bob oblicza
Kiedy Alicja wysyła Bobowi szyfrogram Bob używa i odzyskuje wiadomość
„Karta danych”
edytujPoniżej znajduje się tabela przedstawiająca w uproszczeniu, kto co wie. (Ewa podsłuchuje transmisję z nadzieją uzyskania klucza ustalanego przez Alicję i Boba, nie ma jednak możliwości modyfikacji czy podmiany wysyłanych wiadomości).
- s = wspólny klucz tajny. s = 2
- g = publiczna podstawa. g = 5
- p = publiczna (pierwsza) liczba. p = 23
- a = tajna wartość Alicji. a = 6
- A = publiczna wartość Alicji. A = ga mod p = 8
- b = tajna wartość Boba. b = 15
- B = publiczna wartość Boba. B = gb mod p = 19
|
|
|
Uwaga: Powinno być trudno Alicji odgadnąć tajną wartość Boba (i vice versa). Ewa mogłaby bowiem podmienić własną parę wartości, kładąc publiczną wartość Boba w miejsce jej prywatnej, generując w ten sposób fałszywy współdzielony klucz tajny. Następnie mogłaby obliczyć tajną wartość Boba (oraz użyć jej do obliczenia tajnego klucza współdzielonego). Ewa może próbować wybrać parę wartości taką, że łatwo jej będzie obliczyć prywatną wartość Boba.
Uogólnienie na więcej niż dwie strony
edytujProtokół Diffiego-Hellmana nie jest ograniczony do negocjowania klucza jedynie przez dwoje uczestników. W ustalaniu klucza może brać dowolna liczba uczestników, wykonując kolejne iteracje protokołu uzgadniania. W poniższym przykładzie Alicja, Bob i Cezary będą ustalać wspólny klucz. Jak poprzednio, wszystkie operacje są wykonywane mod
- Uczestnicy uzgadniają parametry algorytmu: p oraz g.
- Uczestnicy tworzą prywatne wartości, nazwane odpowiednio a, b oraz c.
- Alicja oblicza i wysyła Bobowi.
- Bob oblicza i wysyła Cezaremu.
- Cezary oblicza i używa jako klucza tajnego.
- Bob oblicza i wysyła Cezaremu.
- Cezary oblicza i wysyła Alicji.
- Alicja oblicza i używa jako klucza tajnego.
- Cezary oblicza i wysyła Alicji.
- Alicja oblicza i wysyła Bobowi.
- Bob oblicza i używa jako klucza tajnego.
Metoda ta wymaga jednak dużej liczby potęgowania modulo p.
Dystrybuowanie klucza na więcej uczestników metodą dziel i zwyciężaj
edytujW naszym przykładzie występuje 8 uczestników: A, B, C, D, E, F, G i H. Podzielimy ich na dwie mniejsze grupy:
- Uczestnicy A, B, C i D, wyznaczają jedną wspólną wartość, jest ona następnie wysyłana do drugiej grupy – uczestnicy E, F, G i H. W odpowiedzi otrzymują
- Uczestnicy A oraz B wyznaczają która zostaje wysłana do C i D, podczas gdy oni robią to samo i wysyłają do A i B.
- Uczestnik A oblicza i wysyła do B. Podobnież czyni B i wysyła do A wartość C i D czynią podobnie.
- Uczestnik A wykonuje ostatnią operację, uzyskując tajny klucz B oblicza tak samo. Znowu, C i D czynią podobnie.
- Uczestnicy E, F, G i H jednocześnie wykonują analogiczne operacje, używając jako wyjściowej wartości.
Bezpieczeństwo
edytujProtokół jest uważany za bezpieczny na ataki podsłuchowe, o ile G oraz g są wybrane poprawnie. Napastnik (Ewa) musi rozwiązać problem Diffiego Hellmana, by uzyskać gab. Obecnie uważa się to za trudne. Efektywny algorytm rozwiązywania problemu logarytmu dyskretnego uczyniłby łatwym do obliczenia a lub b i rozwiązania problemu Diffiego-Hellmana, czyniąc ten oraz wiele innych schematów klucza publicznego bezużytecznymi.
Rząd grupy G powinien być liczbą pierwszą, lub posiadać duży czynnik pierwszy. Zapobiegnie to użyciu algorytmu Pohlinga-Hellmana do uzyskania a lub b. Z tego powodu liczba pierwsza Sophie Germain q jest czasami używana do obliczenia nazywanej „bezpieczną liczbą pierwszą”, gdyż rząd G jest wtedy podzielny jedynie przez 2 i przez q. g jest natomiast wybierane spośród generatorów podgrupy G rzędu q, zamiast całej G. To powoduje, że symbol Legendre’a ga nie mówi nic o parzystości a.
Jeśli Alicja i Bob używają generatora liczb losowych, którego wyjście nie jest całkiem losowe i wyniki mogą być przewidywane w pewnym stopniu, to zadanie Ewy jest dużo łatwiejsze.
Tajne wartości a i b są porzucane po zakończeniu sesji. Stąd algorytm spełnia trywialnie warunek doskonałej tajności.
W oryginalnej koncepcji protokół Diffiego-Hellmana nie zapewnia uwierzytelniania uczestników, stąd jest podatny na atak man-in-the-middle. Osoba w środku ustanawia dwie sesje protokołu, podając się Alicji za Boba, a Bobowi za Alicję. Pozwala to jej odszyfrowywać (a także odczytywać i zapisywać) i reszyfrowywać wiadomości wysyłane między nimi. Do zapobieżenia tego typu atakowi niezbędna jest wykorzystanie innego algorytmu uwierzytelniającego. W tym celu również mogą zostać użyte inne warianty protokołu Diffiego-Hellmana (np. protokół Station-to-Station ).
Inne zastosowania
edytujUstalanie klucza z uwierzytelnianiem
edytujGdy Alicja i Bob współdzielą hasło, mogą użyć protokołu PAKE (Password-Authentification Key Agreement) – forma protokołu zabezpieczająca przed atakami man-in-the-middle. Prosty schemat polega na wykorzystaniu g jako hasła. Korzyść jest taka, że napastnik może próbować odgadnąć hasło tylko raz dla każdej strony. To sprawia, że system jest dobrze zabezpieczony przy relatywnie słabych hasłach dostępu. To podejście zostało opisane w zaleceniu ITU-T X.1035 i znajduje zastosowanie w zabezpieczeniu sieci domowych w standardzie G.hn.
Klucz publiczny
edytujJest możliwym użycie protokołu Diffiego-Hellmana jako części infrastruktury klucza publicznego. Klucz publiczny Alicji to Aby wysłać wiadomość, Bob wybiera losowe b i wysyła Alicji (niezaszyfrowane) razem z wiadomością zaszyfrowaną kluczem symetrycznym Tylko Alicja jest w stanie odszyfrować wiadomość, ponieważ tylko ona zna a. Wykorzystanie klucza publicznego zapobiega także atakom man-in-the-middle.
W praktyce, protokół Diffiego-Hellmana nie jest używany w ten sposób, z racji wykorzystania algorytmu RSA do podpisywania i weryfikacji certyfikatów. Protokół Diffiego-Hellmana nie może także zostać użyty do podpisywania certyfikatów, pomimo że algorytmy podpisywania ElGamal i DSA są z nim powiązane. Jednakże jest wykorzystywany w algorytmach MQV , STS oraz IKE – składowej stosu protokołów IPsec zabezpieczającego komunikację IP.
Zobacz też
edytujPrzypisy
edytuj- ↑ Bruce Schneier: Kryptografia dla praktyków: protokoły, algorytmy i programy źródłowe w języku C. Warszawa: Wydawnictwa Naukowo-Techniczne, 2002, s. 629–631. ISBN 83-204-2678-2.