Anahtar Değişimi ve Kurulumu

Tanım

Anahtar kurulumu, iki veya daha fazla tarafın gizli bir anahtarı paylaşmaya başladığı bir protokoldür; anahtar anlaşmasında her iki taraf da anahtara katkıda bulunurken, anahtar taşımasında bir taraf anahtarı üretir ve güvenli bir şekilde gönderir.

Kapsam

Bu konu, doğrulanmış anahtar değişimi (AKE) protokollerini kapsamaktadır: anahtar anlaşması ile anahtar taşıması arasındaki fark, direnmeleri gereken tehditler (ortadaki adam saldırısı, tekrar oynatma, anahtar uzlaşmasıyla kimlik taklidi), ileri gizlilik ve katkısal anahtar kontrolü gibi güvenlik özellikleri ve bunları analiz etmek için kullanılan resmi modeller (Bellare-Rogaway, Canetti-Krawczyk). Ham Diffie-Hellman'a kimlik doğrulamanın nasıl eklendiği de ele alınmaktadır. Temel sorunların matematiği ve ayrı ayrı ele alınan dağıtılmış kanal protokolleri bu kapsamın dışındadır.

Temel sorular

• Doğrulanmış bir anahtar değişimi protokolü hangi güvenlik özelliklerini garanti etmelidir?
• Diffie-Hellman gibi ham bir anahtar anlaşması protokolüne kimlik doğrulama nasıl katmanlanır?
• İleri gizlilik nedir ve geçici anahtarların seçimi bunu nasıl sağlar?
• Resmi modeller, ağı kontrol eden aktif bir saldırganı nasıl yakalar?
• Protokoller hangi saldırılara (ortadaki adam, tekrar oynatma, anahtar uzlaşmasıyla kimlik taklidi, bilinmeyen anahtar paylaşımı) direnmek zorundadır?

Anahtar kavramlar

• anahtar anlaşması ve anahtar taşıması
• doğrulanmış anahtar değişimi
• ileri gizlilik
• geçici anahtarlar
• ortadaki adam saldırısı
• anahtar uzlaşmasıyla kimlik taklidi
• bilinmeyen anahtar paylaşımı saldırısı
• Bellare-Rogaway ve Canetti-Krawczyk modelleri
• anahtar türetme fonksiyonu

Temel kuramlar

Doğrulanmış anahtar değişimi

Ham anahtar anlaşması paylaşılan bir gizli anahtar sağlasa da, karşı tarafın kimliğine dair güvence vermez; AKE protokolleri, her tarafın anahtarı amaçlanan eşle paylaştığını ve bir sahtekar ile paylaşmadığını bilmesini sağlamak için kimlik doğrulama (imzalar, sertifikalar veya önceden paylaşılan anahtarlar aracılığıyla) ekler.

İleri gizlilik ve oturum anahtarı tazeliği

Her oturum için yeni geçici anahtar materyali kullanmak ve bunu uzun vadeli kimlik doğrulama anahtarlarıyla birleştirmek, uzun vadeli anahtarlar daha sonra tehlikeye girse bile gizli kalan bir oturum anahtarı üretirken, eski oturumların tekrar oynatılmasına karşı direnç sağlar.

Mekanizmalar

Tipik bir AKE, geçici (ephemeral) bir Diffie-Hellman değişimi ile kimlik doğrulamayı birleştirir: taraflar geçici açık değerleri değiş tokuş eder ve işlem verilerini imzalayarak veya önceden paylaşılan ya da sertifikalı uzun vadeli bir anahtar kullanarak kimliklerini kanıtlarlar. Ortaya çıkan paylaşılan gizli anahtar, bunu oturuma bağlamak, tekrar oynatma ve bilinmeyen anahtar paylaşımı saldırılarını etkisiz hale getirmek ve yeni, doğrulanmış oturum anahtarları sağlamak amacıyla bir işlem özeti ile birlikte bir anahtar türetme fonksiyonundan geçirilir.

Klinik önem

Anahtar kurulumu, neredeyse her güvenli oturumun başlangıç eylemini oluşturmaktadır: TLS 1.3 el sıkışması, Signal X3DH ve Double Ratchet, IPsec IKEv2, SSH ve WireGuard gibi tüm protokoller, herhangi bir veri akışından önce doğrulanmış anahtar değişimlerini gerçekleştirmektedir. Bu protokollerin doğruluğu, bir saldırganın bir sunucunun kimliğine bürünüp bürülemeyeceğini veya iki taraf arasına sessizce girip giremeyeceğini belirlemektedir.

Kanıt ve kılavuzlar

Anahtar kurulum şemaları NIST SP 800-56A/B'de standartlaştırılmakta ve Bellare-Rogaway ve Canetti-Krawczyk gibi modellerde analiz edilmektedir. Modern protokoller (TLS 1.3, Noise çerçevesi), ileri gizliliğe sahip geçici değişimleri zorunlu kılmakta ve resmi güvenlik analizleri almıştır. İleri gizliliği olmayan eski statik anahtar değişimleri ise önerilmemektedir.

Tarihçe

Doğrulanmış anahtar değişimi, 1976 Diffie-Hellman protokolünden ve aktif saldırganlara direnmek için kimlik doğrulamaya ihtiyaç duyduğu anlayışından doğmuştur. 1990'lar-2000'ler, titiz güvenlik modelleri (Bellare-Rogaway 1993, Canetti-Krawczyk 2001) ile istasyondan istasyona ve MQV tarzı protokolleri ortaya çıkarmıştır. Bu dersler, resmi olarak analiz edilen TLS 1.3 el sıkışmasında ve Noise protokol çerçevesinde pekiştirilmiştir.

Öne çıkan isimler

• Whitfield Diffie
• Martin Hellman
• Mihir Bellare
• Phillip Rogaway
• Ran Canetti
• Hugo Krawczyk

İlgili konular

• Diffie-Hellman Anahtar Değişimi
• TLS ve Güvenli Kanallar
• Sıfır Bilgi Kanıtları

Temel eserler

• diffie1976
• katz2020
• menezes1996

Sıkça sorulan sorular

Anahtar anlaşması ile anahtar taşıması arasındaki fark nedir?

Anahtar anlaşmasında (Diffie-Hellman gibi) her iki taraf da rastgelelik katkısında bulunur, böylece hiçbiri tek başına nihai anahtarı belirlemez. Anahtar taşımasında ise bir taraf anahtarı üretir ve diğerinin açık anahtarı altında şifrelenmiş olarak gönderir. Anlaşma, ileri gizliliği daha doğal bir şekilde destekler.

Uzun bir oturum için anahtarı bir kez kurmak neden yeterli değildir?

Uzun ömürlü anahtarlar, tehlikeye atıldığında maruziyeti artırır ve kriptanaliz veya saldırgan gözlemiyle yıpranabilir. Protokoller, bir oturum anahtarının tehlikeye atılmasının geçmiş veya gelecekteki mesajları ifşa etmemesi için periyodik olarak anahtarları yeniler veya 'ratchet' (Signal'da olduğu gibi) yapar.

Bu kavram için yöntemler

• Diffie-Hellman Key Exchange
• TLS Protocol Analysis
• Symmetric Key Cryptanalysis
• Elliptic Curve Cryptography
• Post-Quantum Cryptography (Kyber)
• Quantum Key Distribution (BB84)
• Zero-Knowledge Proof
• Differential Cryptanalysis

İlgili kavramlar

• TLS ve Güvenli Kanallar
• Diffie-Hellman Anahtar Değişimi
• Kriptografik Protokoller
• Ağ Güvenliği (Bilgisayar Ağları)
• Açık Anahtarlı Kriptografi
• Simetrik Kriptografi