Protokół Diffiego-Hellmana

Protokół Diffiego-Hellmana – protokół uzgadniania kluczy szyfrujących, opracowany przez Witfielda Diffiego oraz Martina Hellmana w 1976 roku. Jego siła oparta jest na trudności obliczenia logarytmów dyskretnych w ciałach skończonych. Klucz uzgodniony za pomocą tego algorytmu może zostać wykorzystany do szyfrowania komunikacji[1]. Algorytm pozwala bezpiecznie uzgodnić klucz nawet jeżeli istnieje osoba, która podsłuchuje proces uzgadniania klucza, nie chroni jednak przed atakami typu man in the middle. Algorytm nie nadaje się do szyfrowania i deszyfrowania wiadomości.

Opis protokołuEdytuj

Protokół Diffiego-Hellmana służy do ustalenia wspólnego tajnego klucza przy użyciu publicznych środków komunikacji. Następujący diagram przedstawia ogólną ideę uzgodnienia klucza na przykładzie kolorów zamiast liczb. Kluczowe dla procesu jest to, że Alicja i Bob używają jedynie prostej operacji mieszania kolorów. Operacja ta powinna być możliwie trudna do odwrócenia (być funkcją jednokierunkową). Wygenerowany klucz jest praktycznie niemożliwy do odtworzenia przez osobę podsłuchującą. Kolor żółty jest znany Alicji i Bobowi:

Poniżej znajduje się wyjaśnienie zawierające nieco matematyki:

Najprostsza, oryginalna wersja protokołu wykorzystuje arytmetykę multiplikatywnych grup modulo   gdzie   jest liczbą pierwszą, a   pierwiastkiem pierwotnym modulo  . Poniżej przykład, gdzie publicznie znane wartości oznaczono kolorem niebieskim, a tajne pogrubionym czerwonym:

Alicja Bob
Tajne Publiczne Obliczane Wysyłane Obliczane Publiczne Tajne
a p, g p,g   b
a p, g, A ga mod p = A A   p, g b
a p, g, A   B gb mod p = B p, g, A, B b
a, s p, g, A, B Ba mod p = s Ab mod p = s p, g, A, B b, s
  1. Alicja i Bob uzgadniają liczbę pierwszą p=23 i podstawę g=5.
  2. Alicja wybiera tajną liczbę całkowitą a=6, i wysyła Bobowi A = ga mod p
    • A = 56 mod 23
    • A = 15 625 mod 23
    • A = 8
  3. Bob wybiera tajną liczbę całkowitą b=15, i wysyła Alicji B = gb mod p
    • B = 515 mod 23
    • B = 30 517 578 125 mod 23
    • B = 19
  4. Alicja oblicza s = B a mod p
    • s = 196 mod 23
    • s = 47 045 881 mod 23
    • s = 2
  5. Bob oblicza s = A b mod p
    • s = 815 mod 23
    • s = 35 184 372 088 832 mod 23
    • s = 2
  6. Alicja i Bob współdzielą tajną liczbę: s = 2. Jest tak, ponieważ 6*15 jest tym samym, co 15*6. Więc jeśli ktoś znałby jednoczenie obie tajne wartości, mógłby także obliczyć s:
    • s = 56*15 mod 23
    • s = 515*6 mod 23
    • s = 590 mod 23
    • s = 807 793 566 946 316 088 741 610 050 849 573 099 185 363 389 551 639 556 884 765 625 mod 23
    • s = 2

Zarówno Alicja, jak i Bob posiadają tę samą wartość tajną, ponieważ   oraz   są przystające modulo   Zauważmy że jedynie     i   są trzymane w sekrecie. Pozostałe wartości –       oraz   – są wysyłane jawnie. Gdy Alicja i Bob obliczą wspólną wartość, mogą użyć jej jako klucza, znanego tylko im, do wysyłania tajnych komunikatów poprzez ten sam otwarty kanał komunikacji. Oczywiście, o wiele większe wartości     i   powinny być użyte dla zapewnienia bezpieczeństwa, ponieważ łatwo jest przeprowadzić próbę dla tych kilku możliwych wartości   (są tylko 23 wartości do sprawdzenia). Gdy   jest liczbą pierwszą długości około 300 cyfr dziesiętnych, a   oraz   mają po co najmniej 100 cyfr każda, wtedy nawet najlepszy znany obecnie algorytm nie znajdzie   mając jedynie       i   nawet przy użyciu całej mocy obliczeniowej dostępnej ludzkości. Problem jest znany jako logarytm dyskretny. Zauważmy   nie musi być duże, i w praktyce wybiera się 2 lub 5.

Poniżej bardziej ogólny opis protokołu:

  1. Alicja i Bob uzgadniają skończoną grupę cykliczną   oraz generator   w   (to się zwykle odbywa na długo przed pozostałą częścią protokołu; przyjmuje się, że   jest znane wszystkim napastnikom). Użyjemy dla grupy   notacji multiplikatywnej.
  2. Alicja losuje naturalną liczbę   i wysyła   Bobowi.
  3. Bob losuje naturalną liczbę   i wysyła   Alicji.
  4. Alicja oblicza  
  5. Bob oblicza  

Oboje posiadają teraz element   który może posłużyć jako tajny klucz.

W celu odszyfrowania wiadomości   z szyfrogramu   Bob (lub Alicja) muszę najpierw obliczyć  

Bob zna   i   Z wartości konstrukcji grupy   dla każdego   w    

Bob oblicza  

Kiedy Alicja wysyła Bobowi szyfrogram   Bob używa   i odzyskuje wiadomość  

„Karta danych”Edytuj

Poniżej znajduje się tabela przedstawiająca w uproszczeniu kto co wie. (Ewa podsłuchuje transmisję z nadzieją uzyskania klucza ustalanego przez Alicję i Boba, nie ma jednak możliwości modyfikacji czy podmiany wysyłanych wiadomości).

  • s = wspólny klucz tajny. s = 2
  • g = publiczna podstawa. g = 5
  • p = publiczna (pierwsza) liczba. p = 23
  • a = tajna wartość Alicji. a = 6
  • A = publiczna wartość Alicji. A = ga mod p = 8
  • b = tajna wartość Boba. b = 15
  • B = publiczna wartość Boba. B = gb mod p = 19
Alicja
wie nie wie
p = 23 b = ?
podstawa g = 5
a = 6
A = 56 mod 23 = 8
B = 5b mod 23 = 19
s = 196 mod 23 = 2
s = 8b mod 23 = 2
s = 196 mod 23 = 8b mod 23
s = 2
Bob
wie nie wie
p = 23 a = ?
podstawa g = 5
b = 15
B = 515 mod 23 = 19
A = 5a mod 23 = 8
s = 815 mod 23 = 2
s = 19a mod 23 = 2
s = 815 mod 23 = 19a mod 23
s = 2
Ewa
wie nie wie
p = 23 a = ?
podstawa g = 5 b = ?
s = ?
A = 5a mod 23 = 8
B = 5b mod 23 = 19
s = 19a mod 23
s = 8b mod 23
s = 19a mod 23 = 8b mod 23

Uwaga: Powinno być trudno Alicji odgadnąć tajną wartość Boba (i vice versa). Ewa mogłaby bowiem podmienić własną parę wartości, kładąc publiczną wartość Boba w miejsce jej prywatnej, generując w ten sposób fałszywy współdzielony klucz tajny. Następnie mogłaby obliczyć tajną wartość Boba (oraz użyć jej do obliczenia tajnego klucza współdzielonego). Ewa może próbować wybrać parę wartości taką, że łatwo jej będzie obliczyć prywatną wartość Boba.

Uogólnienie na więcej niż dwie stronyEdytuj

Protokół Diffiego-Hellmana nie jest ograniczony do negocjowania klucza jedynie przez dwoje uczestników. W ustalaniu klucza może brać dowolna liczba uczestników, wykonując kolejne iteracje protokołu uzgadniania. W poniższym przykładzie Alicja, Bob i Cezary będą ustalać wspólny klucz. Jak poprzednio, wszystkie operacje są wykonywane mod  

  1. Uczestnicy uzgadniają parametry algorytmu:   oraz  
  2. Uczestnicy tworzą prywatne wartości, nazwane odpowiednio     oraz  
  1. Alicja oblicza   i wysyła Bobowi.
  2. Bob oblicza   i wysyła Cezaremu.
  3. Cezary oblicza   i używa jako klucza tajnego.
  4. Bob oblicza   i wysyła Cezaremu.
  5. Cezary oblicza   i wysyła Alicji.
  6. Alicja oblicza   i używa jako klucza tajnego.
  7. Cezary oblicza   i wysyła Alicji.
  8. Alicja oblicza   i wysyła Bobowi.
  9. Bob oblicza   i używa jako klucza tajnego.

Metoda ta wymaga jednak dużej liczby potęgowania modulo  

Dystrybuowanie klucza na więcej uczestników metodą dziel i zwyciężajEdytuj

W naszym przykładzie występuje 8 uczestników: A, B, C, D, E, F, G i H. Podzielimy ich na dwie mniejsze grupy:

  1. Uczestnicy A, B, C i D, wyznaczają jedną wspólną wartość,   jest ona następnie wysyłana do drugiej grupy – uczestnicy E, F, G i H. W odpowiedzi otrzymują  
  2. Uczestnicy A oraz B wyznaczają   która zostaje wysłana do C i D, podczas gdy oni robią to samo i wysyłają   do A i B.
  3. Uczestnik A oblicza   i wysyła do B. Podobnież czyni B i wysyła do A wartość   C i D czynią podobnie.
  4. Uczestnik A wykonuje ostatnią operację, uzyskując tajny klucz   B oblicza tak samo. Znowu, C i D czynią podobnie.
  5. Uczestnicy E, F, G i H jednocześnie wykonują analogiczne operacje, używając   jako wyjściowej wartości.

BezpieczeństwoEdytuj

Protokół jest uważany za bezpieczny na ataki podsłuchowe, o ile   oraz   są wybrane poprawnie. Napastnik (Ewa) musi rozwiązać problem Diffiego Hellmana, by uzyskać gab. Obecnie uważa się to za trudne. Efektywny algorytm rozwiązywania problemu logarytmu dyskretnego uczyniłby łatwym do obliczenia   lub   i rozwiązania problemu Diffiego-Hellmana, czyniąc ten oraz wiele innych schematów klucza publicznego bezużytecznymi.

Rząd grupy   powinien być liczbą pierwszą, lub posiadać duży czynnik pierwszy. Zapobiegnie to użyciu algorytmu Pohlinga-Hellmana do uzyskania   lub   Z tego powodu liczba pierwsza Sophie Germain   jest czasami używana do obliczenia   nazywanej „bezpieczną liczbą pierwszą”, gdyż rząd   jest wtedy podzielny jedynie przez 2 i przez     jest natomiast wybierane spośród generatorów podgrupy   rzędu   zamiast całej   To powoduje, że symbol Legendre’a ga nie mówi nic o parzystości  

Jeśli Alicja i Bob używają generatora liczb losowych, którego wyjście nie jest całkiem losowe i wyniki mogą być przewidywane w pewnym stopniu, to zadanie Ewy jest dużo łatwiejsze.

Tajne wartości   i   są porzucane po zakończeniu sesji. Stąd algorytm spełnia trywialnie warunek doskonałej tajności.

W oryginalnej koncepcji protokół Diffiego-Hellmana nie zapewnia uwierzytelniania uczestników, stąd jest podatny na atak man-in-the-middle. Osoba w środku ustanawia dwie sesje protokołu, podając się Alicji za Boba a Bobowi za Alicję. Pozwala to jej odszyfrowywać (a także odczytywać i zapisywać) i reszyfrowywać wiadomości wysyłane między nimi. Do zapobieżenia tego typu atakowi niezbędna jest wykorzystanie innego algorytmu uwierzytelniającego. W tym celu również mogą zostać użyte inne warianty protokołu Diffiego-Hellmana (np. protokół Station-to-Station).

Inne zastosowaniaEdytuj

Ustalanie klucza z uwierzytelnianiemEdytuj

Gdy Alicja i Bob współdzielą hasło, mogą użyć protokołu PAKE (Password-Authentification Key Agreement) – forma protokołu zabezpieczająca przed atakami man-in-the-middle. Prosty schemat polega na wykorzystaniu   jako hasła. Korzyść jest taka, że napastnik może próbować odgadnąć hasło tylko raz dla każdej strony. To sprawia, że system jest dobrze zabezpieczony przy relatywnie słabych hasłach dostępu. To podejście zostało opisane w zaleceniu ITU-T X.1035 i znajduje zastosowanie w zabezpieczeniu sieci domowych w standardzie G.hn.

Klucz publicznyEdytuj

Jest możliwym użycie protokołu Diffiego-Hellmana jako części infrastruktury klucza publicznego. Klucz publiczny Alicji to   Aby wysłać wiadomość, Bob wybiera losowe   i wysyła Alicji   (niezaszyfrowane) razem z wiadomością zaszyfrowaną kluczem symetrycznym   Tylko Alicja jest w stanie odszyfrować wiadomość, ponieważ tylko ona zna   Wykorzystanie klucza publicznego zapobiega także atakom man-in-the-middle.

W praktyce, protokół Diffiego-Hellmana nie jest używany w ten sposób, z racji wykorzystania algorytmu RSA do podpisywania i weryfikacji certyfikatów. Protokół Diffiego-Hellmana nie może także zostać użyty do podpisywania certyfikatów, pomimo że algorytmy podpisywania ElGamal i DSA są z nim powiązane. Jednakże jest wykorzystywany w algorytmach MQV, STS oraz IKE – składowej stosu protokołów IPsec zabezpieczającego komunikację IP.


Zobacz teżEdytuj

PrzypisyEdytuj

  1. Bruce Schneier: Kryptografia dla praktyków: protokoły, algorytmy i programy źródłowe w języku C. Warszawa: Wydawnictwa Naukowo-Techniczne, 2002, s. 629–631. ISBN 83-204-2678-2.