Diffie-Hellman-Schlüsselaustausch
Das Diffie-Hellman-Protokoll ermöglicht es zwei Parteien, einen gemeinsamen geheimen Schlüssel über einen unsicheren Kanal zu etablieren, ohne dass ein vorheriger gemeinsamer Schlüssel vorhanden ist, indem sie öffentliche Werte austauschen, die von privaten Exponenten abgeleitet sind.
Definition
Der Diffie-Hellman-Schlüsselaustausch ist ein Protokoll, bei dem jede Partei einen gemeinsamen Generator zu einem privaten Exponenten erhebt, das Ergebnis austauscht und den empfangenen Wert zu ihrem eigenen Exponenten erhebt, wobei beide zum selben gemeinsamen Geheimnis gelangen, das ein Lauscher nicht praktikabel berechnen kann.
Scope
Dieses Thema behandelt das Diffie-Hellman-Schlüsselaustauschprotokoll und das diskrete Logarithmusproblem, das seiner Sicherheit zugrunde liegt, die Computational und Decisional Diffie-Hellman-Annahmen, die ElGamal-Verschlüsselung, die auf derselben Struktur aufbaut, den ephemeren Schlüsselaustausch für Vorwärtsgeheimhaltung und die Man-in-the-Middle-Bedrohung, die zur Authentifizierung motiviert. Es schließt RSA (faktorisierungsbasiert) und die elliptische Kurvenrealisierung von Diffie-Hellman aus, die unter elliptischer Kurvenkryptographie behandelt wird.
Core questions
- Wie können zwei Parteien ein gemeinsames Geheimnis vereinbaren, während ein Lauscher alle Nachrichten sieht?
- Warum erschwert das diskrete Logarithmusproblem die Wiederherstellung des ausgetauschten Geheimnisses?
- Was ist der Unterschied zwischen den Computational und Decisional Diffie-Hellman-Annahmen?
- Wie bietet das ephemere Diffie-Hellman Vorwärtsgeheimhaltung?
- Warum ist ein nicht authentifiziertes Diffie-Hellman anfällig für einen Man-in-the-Middle-Angriff?
Key concepts
- Vereinbarung eines gemeinsamen Geheimnisses
- Generator und zyklische Gruppe
- private und öffentliche Exponenten
- diskretes Logarithmusproblem
- Computational Diffie-Hellman (CDH)
- Decisional Diffie-Hellman (DDH)
- ephemerer Schlüsselaustausch und Vorwärtsgeheimhaltung
- Man-in-the-Middle-Angriff
- ElGamal-Verschlüsselung
Key theories
- Härte des diskreten Logarithmus
- Diffie-Hellman ist sicher, weil die modulare Exponentiation einfach ist, aber die Wiederherstellung des privaten Exponenten aus dem öffentlichen Wert (der diskrete Logarithmus) in geeigneten Gruppen als undurchführbar gilt.
- Computational und Decisional Diffie-Hellman-Annahmen
- Die Sicherheit wird durch die CDH-Annahme (die Berechnung des gemeinsamen Geheimnisses ist schwer) und die stärkere DDH-Annahme (das gemeinsame Geheimnis ist von Zufall nicht zu unterscheiden) formalisiert, wobei letztere die Grundlage für nachweislich sichere ElGamal-ähnliche Verschlüsselung bildet.
Mechanisms
Über einer zyklischen Gruppe mit öffentlichem Generator g wählt Alice ein Geheimnis a und sendet g^a, Bob wählt b und sendet g^b; jeder berechnet das gemeinsame Geheimnis g^(ab), indem er den empfangenen Wert zu seinem eigenen Exponenten erhebt. Ein Lauscher sieht g, g^a und g^b, muss aber das diskrete Logarithmusproblem oder das Diffie-Hellman-Problem lösen, um g^(ab) zu finden. Die Verwendung frischer (ephemerer) Exponenten pro Sitzung führt zu Vorwärtsgeheimhaltung: Eine spätere Kompromittierung langfristiger Schlüssel offenbart keine früheren Sitzungsschlüssel.
Clinical relevance
Diffie-Hellman ist die Grundlage der Schlüsselgenerierung in TLS, IPsec/IKE, SSH, Signal und WireGuard. Die ephemeren Varianten (DHE und die elliptische Kurven-Variante ECDHE) bieten die Vorwärtsgeheimhaltung, die aufgezeichneten Datenverkehr vor zukünftiger Schlüsselkompromittierung schützt. Die Authentifizierung des Austauschs (mit Zertifikaten oder Signaturen) ist das, was den Man-in-the-Middle-Angriff, dem das einfache Diffie-Hellman ausgesetzt ist, abwehrt.
Evidence & guidelines
Diffie-Hellman-Parameter für endliche Körper sind in RFC 7919 (sichere benannte Gruppen) spezifiziert; NIST SP 800-56A standardisiert die Schlüsselgenerierung. Best Practice verwendet ephemere Schlüssel für Vorwärtsgeheimhaltung und gut geprüfte Gruppen. Der Logjam-Angriff (2015) zeigte, dass schwache 512-Bit-Export-Grade- und wiederverwendete 1024-Bit-Gruppen ausnutzbar sind, was zur Migration zu 2048-Bit-Gruppen oder elliptischen Kurven führte.
History
Diffie und Hellman veröffentlichten das Schlüsselaustauschprotokoll 1976 in ihrem Papier, das die Public-Key-Kryptographie einführte, aufbauend auf Merkles früherer Puzzle-Idee. (Malcolm Williamson hatte 1974 eine äquivalente Methode bei GCHQ entdeckt.) ElGamal verallgemeinerte die Konstruktion 1985 zu einem Public-Key-Verschlüsselungs- und Signaturschema. Das Protokoll wechselte von endlichen Körpergruppen zu elliptischen Kurven und wurde zum Standardmittel für die Sitzungsschlüsselgenerierung im Internet.
Key figures
- Whitfield Diffie
- Martin Hellman
- Ralph Merkle
- Taher ElGamal
- Malcolm Williamson
Related topics
Seminal works
- diffie1976
- katz2020
- menezes1996
Frequently asked questions
- Authentifiziert Diffie-Hellman die Parteien von selbst?
- Nein. Das einfache Diffie-Hellman etabliert ein gemeinsames Geheimnis, überprüft aber nicht, wer sich am anderen Ende befindet, sodass ein aktiver Angreifer zwei Austausche durchführen und sich in die Mitte setzen kann. Echte Protokolle authentifizieren den Austausch mit Zertifikaten, Signaturen oder einem vorab geteilten Schlüssel.
- Was ist Vorwärtsgeheimhaltung und wie wird sie durch Diffie-Hellman bereitgestellt?
- Vorwärtsgeheimhaltung bedeutet, dass eine spätere Kompromittierung langfristiger Schlüssel keine früheren Sitzungen preisgibt. Die Verwendung frischer, ephemerer Diffie-Hellman-Exponenten für jede Sitzung und deren anschließende Verwerfung stellt sicher, dass kein gespeicherter Schlüssel zuvor aufgezeichneten Datenverkehr rekonstruieren kann.