Protokół Diffiego-Hellmana

Protokół Diffiego-Hellmana – protokół uzgadniania kluczy szyfrujących, opracowany przez Witfielda Diffiego oraz Martina Hellmana w 1976 roku. Jego siła oparta jest na trudności obliczenia logarytmów dyskretnych w ciałach skończonych. Klucz uzgodniony za pomocą tego algorytmu może zostać wykorzystany do szyfrowania komunikacji^[1]. Algorytm pozwala bezpiecznie uzgodnić klucz, nawet jeżeli istnieje osoba, która podsłuchuje proces uzgadniania klucza, nie chroni jednak przed atakami typu man in the middle. Algorytm nie nadaje się do szyfrowania i deszyfrowania wiadomości.

Opis protokołu

Protokół Diffiego-Hellmana służy do ustalenia wspólnego tajnego klucza przy użyciu publicznych środków komunikacji. Następujący diagram przedstawia ogólną ideę uzgodnienia klucza na przykładzie kolorów zamiast liczb. Kluczowe dla procesu jest to, że Alicja i Bob używają jedynie prostej operacji mieszania kolorów. Operacja ta powinna być możliwie trudna do odwrócenia (być funkcją jednokierunkową). Wygenerowany klucz jest praktycznie niemożliwy do odtworzenia przez osobę podsłuchującą. Kolor żółty jest znany Alicji i Bobowi:

Poniżej znajduje się wyjaśnienie zawierające nieco matematyki:

Najprostsza, oryginalna wersja protokołu wykorzystuje arytmetykę multiplikatywnych grup modulo p, gdzie p jest liczbą pierwszą, a g pierwiastkiem pierwotnym modulo p. Poniżej przykład, gdzie publicznie znane wartości oznaczono kolorem niebieskim, a tajne pogrubionym czerwonym:

Alicja				Bob
Tajne	Publiczne	Obliczane	Wysyłane	Obliczane	Publiczne	Tajne
a	p, g		p,g →			b
a	p, g, A	g^a mod p = A	A →		p, g	b
a	p, g, A		← B	g^b mod p = B	p, g, A, B	b
a, s	p, g, A, B	B^a mod p = s		A^b mod p = s	p, g, A, B	b, s

Alicja i Bob uzgadniają liczbę pierwszą p=23 i podstawę g=5.
Alicja wybiera tajną liczbę całkowitą a=6, i wysyła Bobowi A = g^a mod p
- A = 5⁶ mod 23
- A = 15 625 mod 23
- A = 8
Bob wybiera tajną liczbę całkowitą b=15, i wysyła Alicji B = g^b mod p
- B = 5¹⁵ mod 23
- B = 30 517 578 125 mod 23
- B = 19
Alicja oblicza s = B ^a mod p
- s = 19⁶ mod 23
- s = 47 045 881 mod 23
- s = 2
Bob oblicza s = A ^b mod p
- s = 8¹⁵ mod 23
- s = 35 184 372 088 832 mod 23
- s = 2
Alicja i Bob współdzielą tajną liczbę: s = 2. Jest tak, ponieważ 6⋅15 jest tym samym, co 15⋅6. Więc jeśli ktoś znałby jednocześnie obie tajne wartości, mógłby także obliczyć s:
- s = 5^6⋅15 mod 23
- s = 5^15⋅6 mod 23
- s = 5⁹⁰ mod 23
- s = 807 793 566 946 316 088 741 610 050 849 573 099 185 363 389 551 639 556 884 765 625 mod 23
- s = 2

Zarówno Alicja, jak i Bob posiadają tę samą wartość tajną, ponieważ $(g^{a})^{b}$ oraz $(g^{b})^{a}$ są przystające modulo p. Zauważmy, że jedynie a, b i $g^{ab}=g^{ba}{\bmod {p}}$ są trzymane w sekrecie. Pozostałe wartości – p, g, $g^{a}{\bmod {p}}$ oraz $g^{b}{\bmod {p}}$ – są wysyłane jawnie. Gdy Alicja i Bob obliczą wspólną wartość, mogą użyć jej jako klucza, znanego tylko im, do wysyłania tajnych komunikatów poprzez ten sam otwarty kanał komunikacji. Oczywiście, o wiele większe wartości a, b i p powinny być użyte dla zapewnienia bezpieczeństwa, ponieważ łatwo jest przeprowadzić próbę dla tych kilku możliwych wartości $g^{ab}{\bmod {2}}3$ (są tylko 23 wartości do sprawdzenia). Gdy p jest liczbą pierwszą długości około 300 cyfr dziesiętnych, a a oraz b mają po co najmniej 100 cyfr każda, wtedy nawet najlepszy znany obecnie algorytm nie znajdzie a mając jedynie g, p, $g^{b}{\bmod {p}}$ i $g^{a}{\bmod {p}},$ nawet przy użyciu całej mocy obliczeniowej dostępnej ludzkości. Problem jest znany jako logarytm dyskretny. Zauważmy g nie musi być duże, i w praktyce wybiera się 2 lub 5.

Poniżej bardziej ogólny opis protokołu:

Alicja i Bob uzgadniają skończoną grupę cykliczną G oraz generator g w G (to się zwykle odbywa na długo przed pozostałą częścią protokołu; przyjmuje się, że g jest znane wszystkim napastnikom). Użyjemy dla grupy G notacji multiplikatywnej.
Alicja losuje naturalną liczbę a i wysyła $g^{a}$ Bobowi.
Bob losuje naturalną liczbę b i wysyła $g^{b}$ Alicji.
Alicja oblicza $(g^{b})^{a}.$
Bob oblicza $(g^{a})^{b}.$

Oboje posiadają teraz element $g^{ab},$ który może posłużyć jako tajny klucz.

W celu odszyfrowania wiadomości m z szyfrogramu $mg^{ab},$ Bob (lub Alicja) muszę najpierw obliczyć $(g^{ab})^{-1}{:}$

Bob zna $|G|,b$ i $g^{a}.$ Z wartości konstrukcji grupy G, dla każdego x w G, $x^{|G|}=1.$

Bob oblicza $(g^{a})^{|G|-b}=g^{a(|G|-b)}=g^{a|G|-ab}=g^{a|G|}g^{-ab}=(g^{|G|})^{a}g^{-ab}=1^{a}g^{-ab}=g^{-ab}=(g^{ab})^{-1}.$

Kiedy Alicja wysyła Bobowi szyfrogram $mg^{ab},$ Bob używa $(g^{ab})^{-1}$ i odzyskuje wiadomość $mg^{ab}(g^{ab})^{-1}=m(1)=m.$

„Karta danych”

Poniżej znajduje się tabela przedstawiająca w uproszczeniu, kto co wie. (Ewa podsłuchuje transmisję z nadzieją uzyskania klucza ustalanego przez Alicję i Boba, nie ma jednak możliwości modyfikacji czy podmiany wysyłanych wiadomości).

s = wspólny klucz tajny. s = 2
g = publiczna podstawa. g = 5
p = publiczna (pierwsza) liczba. p = 23
a = tajna wartość Alicji. a = 6
A = publiczna wartość Alicji. A = g^a mod p = 8
b = tajna wartość Boba. b = 15
B = publiczna wartość Boba. B = g^b mod p = 19

Alicja
wie	nie wie
p = 23	b = ?
podstawa g = 5
a = 6
A = 5⁶ mod 23 = 8
B = 5^b mod 23 = 19
s = 19⁶ mod 23 = 2
s = 8^b mod 23 = 2
s = 19⁶ mod 23 = 8^b mod 23
s = 2

Bob
wie	nie wie
p = 23	a = ?
podstawa g = 5
b = 15
B = 5¹⁵ mod 23 = 19
A = 5^a mod 23 = 8
s = 8¹⁵ mod 23 = 2
s = 19^a mod 23 = 2
s = 8¹⁵ mod 23 = 19^a mod 23
s = 2

Ewa
wie	nie wie
p = 23	a = ?
podstawa g = 5	b = ?
	s = ?
A = 5^a mod 23 = 8
B = 5^b mod 23 = 19
s = 19^a mod 23
s = 8^b mod 23
s = 19^a mod 23 = 8^b mod 23

Uwaga: Powinno być trudno Alicji odgadnąć tajną wartość Boba (i vice versa). Ewa mogłaby bowiem podmienić własną parę wartości, kładąc publiczną wartość Boba w miejsce jej prywatnej, generując w ten sposób fałszywy współdzielony klucz tajny. Następnie mogłaby obliczyć tajną wartość Boba (oraz użyć jej do obliczenia tajnego klucza współdzielonego). Ewa może próbować wybrać parę wartości taką, że łatwo jej będzie obliczyć prywatną wartość Boba.

Uogólnienie na więcej niż dwie strony

Protokół Diffiego-Hellmana nie jest ograniczony do negocjowania klucza jedynie przez dwoje uczestników. W ustalaniu klucza może brać dowolna liczba uczestników, wykonując kolejne iteracje protokołu uzgadniania. W poniższym przykładzie Alicja, Bob i Cezary będą ustalać wspólny klucz. Jak poprzednio, wszystkie operacje są wykonywane mod $p{:}$

Uczestnicy uzgadniają parametry algorytmu: p oraz g.
Uczestnicy tworzą prywatne wartości, nazwane odpowiednio a, b oraz c.

Alicja oblicza $g^{a}$ i wysyła Bobowi.
Bob oblicza $(g^{a})^{b}=g^{ab}$ i wysyła Cezaremu.
Cezary oblicza $(g^{ab})^{c}=g^{abc}$ i używa jako klucza tajnego.
Bob oblicza $g^{b}$ i wysyła Cezaremu.
Cezary oblicza $(g^{b})^{c}=g^{bc}$ i wysyła Alicji.
Alicja oblicza $(g^{bc})^{a}=g^{bca}=g^{abc}$ i używa jako klucza tajnego.
Cezary oblicza $g^{c}$ i wysyła Alicji.
Alicja oblicza $(g^{c})^{a}=g^{ca}$ i wysyła Bobowi.
Bob oblicza $(g^{ca})^{b}=g^{cab}=g^{abc}$ i używa jako klucza tajnego.

Metoda ta wymaga jednak dużej liczby potęgowania modulo p.

Dystrybuowanie klucza na więcej uczestników metodą dziel i zwyciężaj

W naszym przykładzie występuje 8 uczestników: A, B, C, D, E, F, G i H. Podzielimy ich na dwie mniejsze grupy:

Uczestnicy A, B, C i D, wyznaczają jedną wspólną wartość, $g^{abcd};$ jest ona następnie wysyłana do drugiej grupy – uczestnicy E, F, G i H. W odpowiedzi otrzymują $g^{efgh}.$
Uczestnicy A oraz B wyznaczają $g^{efghab},$ która zostaje wysłana do C i D, podczas gdy oni robią to samo i wysyłają $g^{efgh(cd)}$ do A i B.
Uczestnik A oblicza $g^{efghcda}$ i wysyła do B. Podobnież czyni B i wysyła do A wartość $g^{efghcdb}.$ C i D czynią podobnie.
Uczestnik A wykonuje ostatnią operację, uzyskując tajny klucz $g^{efghcdba}=g^{abcdefgh};$ B oblicza tak samo. Znowu, C i D czynią podobnie.
Uczestnicy E, F, G i H jednocześnie wykonują analogiczne operacje, używając $g^{abcd}$ jako wyjściowej wartości.

Bezpieczeństwo

Protokół jest uważany za bezpieczny na ataki podsłuchowe, o ile G oraz g są wybrane poprawnie. Napastnik (Ewa) musi rozwiązać problem Diffiego Hellmana, by uzyskać g^ab. Obecnie uważa się to za trudne. Efektywny algorytm rozwiązywania problemu logarytmu dyskretnego uczyniłby łatwym do obliczenia a lub b i rozwiązania problemu Diffiego-Hellmana, czyniąc ten oraz wiele innych schematów klucza publicznego bezużytecznymi.

Rząd grupy G powinien być liczbą pierwszą, lub posiadać duży czynnik pierwszy. Zapobiegnie to użyciu algorytmu Pohlinga-Hellmana do uzyskania a lub b. Z tego powodu liczba pierwsza Sophie Germain q jest czasami używana do obliczenia $p=2q+1,$ nazywanej „bezpieczną liczbą pierwszą”, gdyż rząd G jest wtedy podzielny jedynie przez 2 i przez q. g jest natomiast wybierane spośród generatorów podgrupy G rzędu q, zamiast całej G. To powoduje, że symbol Legendre’a g^a nie mówi nic o parzystości a.

Jeśli Alicja i Bob używają generatora liczb losowych, którego wyjście nie jest całkiem losowe i wyniki mogą być przewidywane w pewnym stopniu, to zadanie Ewy jest dużo łatwiejsze.

Tajne wartości a i b są porzucane po zakończeniu sesji. Stąd algorytm spełnia trywialnie warunek doskonałej tajności.

W oryginalnej koncepcji protokół Diffiego-Hellmana nie zapewnia uwierzytelniania uczestników, stąd jest podatny na atak man-in-the-middle. Osoba w środku ustanawia dwie sesje protokołu, podając się Alicji za Boba, a Bobowi za Alicję. Pozwala to jej odszyfrowywać (a także odczytywać i zapisywać) i reszyfrowywać wiadomości wysyłane między nimi. Do zapobieżenia tego typu atakowi niezbędna jest wykorzystanie innego algorytmu uwierzytelniającego. W tym celu również mogą zostać użyte inne warianty protokołu Diffiego-Hellmana (np. protokół Station-to-Station(inne języki)).

Inne zastosowania

Ustalanie klucza z uwierzytelnianiem

Gdy Alicja i Bob współdzielą hasło, mogą użyć protokołu PAKE(inne języki) (Password-Authentification Key Agreement) – forma protokołu zabezpieczająca przed atakami man-in-the-middle. Prosty schemat polega na wykorzystaniu g jako hasła. Korzyść jest taka, że napastnik może próbować odgadnąć hasło tylko raz dla każdej strony. To sprawia, że system jest dobrze zabezpieczony przy relatywnie słabych hasłach dostępu. To podejście zostało opisane w zaleceniu ITU-T X.1035 i znajduje zastosowanie w zabezpieczeniu sieci domowych w standardzie G.hn.

Klucz publiczny

Jest możliwym użycie protokołu Diffiego-Hellmana jako części infrastruktury klucza publicznego. Klucz publiczny Alicji to $(g^{a}{\bmod {p}},g,p).$ Aby wysłać wiadomość, Bob wybiera losowe b i wysyła Alicji $g^{b}{\bmod {p}}$ (niezaszyfrowane) razem z wiadomością zaszyfrowaną kluczem symetrycznym $(g^{a})^{b}{\bmod {p}}.$ Tylko Alicja jest w stanie odszyfrować wiadomość, ponieważ tylko ona zna a. Wykorzystanie klucza publicznego zapobiega także atakom man-in-the-middle.

W praktyce, protokół Diffiego-Hellmana nie jest używany w ten sposób, z racji wykorzystania algorytmu RSA do podpisywania i weryfikacji certyfikatów. Protokół Diffiego-Hellmana nie może także zostać użyty do podpisywania certyfikatów, pomimo że algorytmy podpisywania ElGamal i DSA są z nim powiązane. Jednakże jest wykorzystywany w algorytmach MQV(inne języki), STS(inne języki) oraz IKE – składowej stosu protokołów IPsec zabezpieczającego komunikację IP.

Zobacz też

Przypisy

↑ Bruce Schneier: Kryptografia dla praktyków: protokoły, algorytmy i programy źródłowe w języku C. Warszawa: Wydawnictwa Naukowo-Techniczne, 2002, s. 629–631. ISBN 83-204-2678-2.

[Schneier1-1] Bruce Schneier: Kryptografia dla praktyków: protokoły, algorytmy i programy źródłowe w języku C. Warszawa: Wydawnictwa Naukowo-Techniczne, 2002, s. 629–631. ISBN 83-204-2678-2.

[1]