Schlüsselaustausch und -etablierung
Schlüsseletablierungsprotokolle ermöglichen es Parteien, sich auf einen neuen gemeinsamen geheimen Schlüssel zu einigen und diesen an authentifizierte Identitäten zu binden, sodass die nachfolgende Kommunikation mit schneller symmetrischer Kryptographie geschützt werden kann.
Definition
Schlüsseletablierung ist ein Protokoll, durch das zwei oder mehr Parteien einen geheimen Schlüssel gemeinsam nutzen; bei der Schlüsselvereinbarung tragen beide Parteien zum Schlüssel bei, während beim Schlüsseltransport eine Partei ihn generiert und sicher sendet.
Scope
Dieses Thema behandelt authentifizierte Schlüsselaustauschprotokolle (AKE): Schlüsselvereinbarung versus Schlüsseltransport, die Bedrohungen, denen sie widerstehen müssen (Man-in-the-Middle, Replay, Key-Compromise Impersonation), Sicherheitseigenschaften wie Vorwärtsgeheimhaltung und beitragsorientierte Schlüsselkontrolle sowie die formalen Modelle (Bellare-Rogaway, Canetti-Krawczyk), die zu ihrer Analyse verwendet werden. Es wird behandelt, wie die Authentifizierung zu einem reinen Diffie-Hellman-Austausch hinzugefügt wird. Die Mathematik der zugrunde liegenden Probleme und die eingesetzten Kanalprotokolle, die separat behandelt werden, sind ausgeschlossen.
Core questions
- Welche Sicherheitseigenschaften muss ein authentifiziertes Schlüsselaustauschprotokoll gewährleisten?
- Wie wird Authentifizierung auf ein reines Schlüsselvereinbarungsprotokoll wie Diffie-Hellman geschichtet?
- Was ist Vorwärtsgeheimhaltung und wie wird sie durch die Wahl ephemerer Schlüssel bereitgestellt?
- Wie erfassen formale Modelle einen aktiven Angreifer, der das Netzwerk kontrolliert?
- Welchen Angriffen (Man-in-the-Middle, Replay, Key-Compromise Impersonation, Unknown-Key-Share) müssen Protokolle widerstehen?
Key concepts
- Schlüsselvereinbarung vs. Schlüsseltransport
- authentifizierter Schlüsselaustausch
- Vorwärtsgeheimhaltung
- ephemere Schlüssel
- Man-in-the-Middle-Angriff
- Key-Compromise Impersonation
- Unknown-Key-Share-Angriff
- Bellare-Rogaway- und Canetti-Krawczyk-Modelle
- Schlüsselableitungsfunktion
Key theories
- Authentifizierter Schlüsselaustausch
- Eine reine Schlüsselvereinbarung liefert ein gemeinsames Geheimnis, aber keine Gewissheit über die Identität des Partners; AKE-Protokolle fügen Authentifizierung hinzu (mittels Signaturen, Zertifikaten oder vorab geteilten Schlüsseln), sodass jede Partei weiß, dass sie den Schlüssel mit dem beabsichtigten Partner und nicht mit einem Betrüger teilt.
- Vorwärtsgeheimhaltung und Sitzungsschlüssel-Frische
- Die Verwendung von frischem, ephemerem Schlüsselmaterial pro Sitzung und dessen Kombination mit langfristigen Authentifizierungsschlüsseln führt zu einem Sitzungsschlüssel, der auch dann geheim bleibt, wenn langfristige Schlüssel später kompromittiert werden, während gleichzeitig das Wiederholen alter Sitzungen verhindert wird.
Mechanisms
Ein typisches AKE kombiniert einen ephemeren Diffie-Hellman-Austausch mit Authentifizierung: Parteien tauschen ephemere öffentliche Werte aus und beweisen ihre Identität durch Signieren von Transkriptdaten oder durch Verwendung eines vorab geteilten oder zertifizierten Langzeitschlüssels. Das resultierende gemeinsame Geheimnis wird durch eine Schlüsselableitungsfunktion mit einem Transkript-Hash geleitet, um es an die Sitzung zu binden, wodurch Replay- und Unknown-Key-Share-Angriffe vereitelt und frische, authentifizierte Sitzungsschlüssel bereitgestellt werden.
Clinical relevance
Die Schlüsseletablierung ist der Eröffnungsakt fast jeder sicheren Sitzung: Der TLS 1.3-Handshake, Signal X3DH und Double Ratchet, IPsec IKEv2, SSH und WireGuard führen alle authentifizierte Schlüsselaustausche durch, bevor Daten fließen. Ihre Korrektheit bestimmt, ob ein Angreifer einen Server imitieren oder stillschweigend zwischen zwei Parteien sitzen kann.
Evidence & guidelines
Schlüsseletablierungsschemata sind in NIST SP 800-56A/B standardisiert und in Modellen wie Bellare-Rogaway und Canetti-Krawczyk analysiert. Moderne Protokolle (TLS 1.3, Noise-Framework) schreiben vorwärtsgeheime ephemere Austausche vor und wurden einer formalen Sicherheitsanalyse unterzogen. Ältere statische Schlüsselaustausche ohne Vorwärtsgeheimhaltung werden nicht empfohlen.
History
Der authentifizierte Schlüsselaustausch entwickelte sich aus dem Diffie-Hellman-Protokoll von 1976 und der Erkenntnis, dass er eine Authentifizierung benötigte, um aktiven Angreifern zu widerstehen. Die 1990er-2000er Jahre brachten rigorose Sicherheitsmodelle (Bellare-Rogaway 1993, Canetti-Krawczyk 2001) und Protokolle im Station-to-Station- und MQV-Stil hervor. Die Lehren wurden im formal analysierten TLS 1.3-Handshake und dem Noise-Protokoll-Framework konsolidiert.
Key figures
- Whitfield Diffie
- Martin Hellman
- Mihir Bellare
- Phillip Rogaway
- Ran Canetti
- Hugo Krawczyk
Related topics
Seminal works
- diffie1976
- katz2020
- menezes1996
Frequently asked questions
- Was ist der Unterschied zwischen Schlüsselvereinbarung und Schlüsseltransport?
- Bei der Schlüsselvereinbarung (wie Diffie-Hellman) tragen beide Parteien Zufälligkeit bei, sodass keine allein den endgültigen Schlüssel bestimmt. Beim Schlüsseltransport generiert eine Partei den Schlüssel und sendet ihn verschlüsselt unter dem öffentlichen Schlüssel der anderen Partei. Die Vereinbarung unterstützt die Vorwärtsgeheimhaltung natürlicher.
- Warum reicht es nicht aus, einen Schlüssel einmal für eine lange Sitzung zu etablieren?
- Langlebige Schlüssel erhöhen das Risiko bei Kompromittierung und können durch Kryptoanalyse oder Beobachtung durch Angreifer abgenutzt werden. Protokolle erneuern oder „ratcheten“ (wie bei Signal) periodisch Schlüssel, sodass die Kompromittierung eines Sitzungsschlüssels keine vergangenen oder zukünftigen Nachrichten preisgibt.