Échange de clés Diffie-Hellman

Definition

L'échange de clés Diffie-Hellman est un protocole dans lequel chaque partie élève un générateur commun à un exposant privé, échange le résultat, et élève la valeur reçue à son propre exposant, les deux parties parvenant ainsi au même secret partagé qu'un espion ne peut pas calculer de manière réalisable.

Scope

Ce sujet couvre le protocole d'échange de clés Diffie-Hellman et le problème du logarithme discret qui sous-tend sa sécurité, les hypothèses de Diffie-Hellman computationnelle et décisionnelle, le chiffrement ElGamal construit sur la même structure, l'échange de clés éphémères pour la confidentialité persistante (forward secrecy), et la menace de l'attaque de l'homme du milieu qui motive l'authentification. Il exclut RSA (basé sur la factorisation) et la réalisation sur courbes elliptiques de Diffie-Hellman, qui est traitée dans la cryptographie sur courbes elliptiques.

Core questions

• Comment deux parties peuvent-elles s'accorder sur un secret partagé alors qu'un espion voit tous les messages ?
• Pourquoi le problème du logarithme discret rend-il le secret échangé difficile à récupérer ?
• Quelle est la différence entre les hypothèses de Diffie-Hellman computationnelle et décisionnelle ?
• Comment le Diffie-Hellman éphémère assure-t-il la confidentialité persistante ?
• Pourquoi le Diffie-Hellman non authentifié est-il vulnérable à une attaque de l'homme du milieu ?

Key concepts

• accord sur un secret partagé
• générateur et groupe cyclique
• exposants privés et publics
• problème du logarithme discret
• Diffie-Hellman computationnel (CDH)
• Diffie-Hellman décisionnel (DDH)
• échange de clés éphémères et confidentialité persistante
• attaque de l'homme du milieu
• chiffrement ElGamal

Key theories

Dureté du logarithme discret

Diffie-Hellman est sécurisé car, bien que l'exponentiation modulaire soit facile, la récupération de l'exposant privé à partir de la valeur publique (le logarithme discret) est considérée comme intraitable dans des groupes appropriés.

Hypothèses de Diffie-Hellman computationnelle et décisionnelle

La sécurité est formalisée via l'hypothèse CDH (le calcul du secret partagé est difficile) et l'hypothèse DDH plus forte (le secret partagé est indiscernable d'un aléatoire), cette dernière étant à la base du chiffrement de type ElGamal prouvablement sûr.

Mechanisms

Dans un groupe cyclique avec un générateur public g, Alice choisit un secret a et envoie g^a, Bob choisit b et envoie g^b ; chacun calcule le secret partagé g^(ab) en élevant la valeur reçue à son propre exposant. Un espion voit g, g^a et g^b mais doit résoudre le problème du logarithme discret ou de Diffie-Hellman pour trouver g^(ab). L'utilisation d'exposants frais (éphémères) par session assure la confidentialité persistante : la compromission ultérieure de clés à long terme ne révèle pas les clés de session passées.

Clinical relevance

Diffie-Hellman est la base de l'établissement de clés dans TLS, IPsec/IKE, SSH, Signal et WireGuard. Les variantes éphémères (DHE et ECDHE sur courbes elliptiques) assurent la confidentialité persistante qui protège le trafic enregistré contre une future compromission de clés. L'authentification de l'échange (avec des certificats ou des signatures) est ce qui permet de contrer l'attaque de l'homme du milieu à laquelle le Diffie-Hellman simple est exposé.

Evidence & guidelines

Les paramètres Diffie-Hellman sur corps finis sont spécifiés dans le RFC 7919 (groupes nommés sûrs) ; le NIST SP 800-56A normalise l'établissement de clés. La bonne pratique consiste à utiliser des clés éphémères pour la confidentialité persistante et des groupes bien vérifiés. L'attaque Logjam (2015) a montré que les groupes faibles de 512 bits de qualité export et les groupes réutilisés de 1024 bits sont exploitables, ce qui a incité à migrer vers des groupes de 2048 bits ou des courbes elliptiques.

History

Diffie et Hellman ont publié le protocole d'échange de clés dans leur article de 1976 qui a lancé la cryptographie à clé publique, en s'appuyant sur l'idée de puzzle antérieure de Merkle. (Malcolm Williamson avait découvert une méthode équivalente au GCHQ en 1974.) ElGamal a généralisé la construction en un schéma de chiffrement et de signature à clé publique en 1985. Le protocole est passé des groupes sur corps finis aux courbes elliptiques et est devenu le moyen standard d'établissement de clés de session sur Internet.

Key figures

• Whitfield Diffie
• Martin Hellman
• Ralph Merkle
• Taher ElGamal
• Malcolm Williamson

Related topics

• RSA et factorisation d'entiers
• Cryptographie sur les courbes elliptiques
• Échange et établissement de clés

Seminal works

• diffie1976
• katz2020
• menezes1996

Frequently asked questions

Le Diffie-Hellman authentifie-t-il les parties par lui-même ?

Non. Le Diffie-Hellman simple établit un secret partagé mais ne vérifie pas l'identité de l'interlocuteur, de sorte qu'un attaquant actif peut exécuter deux échanges et s'interposer. Les protocoles réels authentifient l'échange avec des certificats, des signatures ou une clé pré-partagée.

Qu'est-ce que la confidentialité persistante et comment Diffie-Hellman l'assure-t-il ?

La confidentialité persistante signifie que la compromission ultérieure de clés à long terme n'expose pas les sessions passées. L'utilisation d'exposants Diffie-Hellman frais et éphémères pour chaque session et leur suppression ultérieure garantissent qu'aucune clé stockée ne peut reconstituer le trafic précédemment enregistré.

Methods for this concept

• Diffie-Hellman Key Exchange
• Elliptic Curve Cryptography
• RSA Cryptosystem
• RSA Cryptosystem Analysis
• Quantum Key Distribution (BB84)
• Digital Signature Scheme
• TLS Protocol Analysis
• Post-Quantum Cryptography (Kyber)

Related concepts

• Échange et établissement de clés
• Cryptographie à clé publique
• Cryptographie sur les courbes elliptiques
• RSA et factorisation d'entiers
• Hypothèses de difficulté calculatoire
• TLS et canaux sécurisés