Системы управления симметричными ключами Протоколы распределения ключей типа Диффи-Хеллмана

Оригинальный протокол Диффи-Хеллмана (Diffie-Hellman)

Diffie-Hellman, первый в истории алгоритм с открытым ключом, был изобретен 1976 году. Его безопасность опирается на трудность вычисления дискретных логарифмов в конечном поле (в сравнении с легкостью возведения в степень в том же самом поле. Diffie-Hellman может быть использован для распределения ключей - Алиса и Боб могут воспользоваться этим алгоритмом для генерации секретного ключа - но его нельзя использовать для шифрования и дешифрирования сообщений.

Математика несложна. Сначала Алиса и Боб вместе выбирают большие простые числа n и g так, чтобы g было примитивом mod n (g принадлежит [1..(n-1)]). Эти два целых числа хранить в секрете необязательно, Алиса и Боб могут договориться об из использовании по несекретному каналу. Эти числа даже могут совместно использоваться группой пользователей. Без разницы. Затем выполняется следующий протокол:

1. Алиса выбирает случайное большое целое число x и посылает Бобу

X = g^x mod n

2. Боб выбирает случайное большое целое число y и посылает Алисе

Y = g^y mod n

3. Алиса вычисляет

k = Y^x mod n

4. Боб вычисляет

k' = X^y mod n

И k, и k' равны g^xy mod n. Никто из подслушивающих этот канал не сможет вычислить это значение, им известно только n, g, X и Y. Пока они не смогут вычислить дискретный логарифм и раскрыть x или y, они не смогут решить проблему. Поэтому, k - это секретный ключ, который Алиса и Боб вычисляют независимо.

Выбор g и n может заметно влиять на безопасность системы. Число (n-1)/2 также должно быть простым. И, самое главное, n должно быть большим: безопасность системы основана на сложности разложения на множители чисел того же размера, что и n. Можно выбирать любое g, которое является примитивом mod n; нет причин, по которым нельзя было бы выбрать наименьшее возможное g - обычно одноразрядное число. (К тому же, на самом деле, g не должно даже быть примитивом, оно только должно генерировать достаточно большую подгруппу мультипликативной группы mod n.)

Diffie-Hellman с тремя и более участниками

Протокол обмена ключами Diffie-Hellman легко можно расширить на случай с тремя и более участниками. В приводимом примере Алиса, Боб и Кэрол вместе генерируют секретный ключ.

1. Алиса выбирает случайное большое целое число x и вычисляет

X = g^x mod n

2. Боб выбирает случайное большое целое число y и посылает Кэрол

Y = g^y mod n

3. Кэрол выбирает случайное большое целое число z и посылает Алисе

Z = g^z mod n

4. Алиса посылает Бобу

Z'=Z^x mod n

5. Боб посылает Кэрол

X'=X^y mod n

6. Кэрол посылает Алисе

Y'=Y^z mod n

7. Алиса вычисляет

k = Y'^x mod n

8. Боб вычисляет

k = Z'^y mod n

9. Кэрол вычисляет

k = X'^z mod n

Секретный ключ k равен g^xyz mod n, и никто из подслушивающих каналы связи не сможет вычислить это значение. Протокол можно легко расширить для четверых и более участников, просто добавляются участники и этапы вычислений.

Hughes

Этот вариант алгоритма Diffie-Hellman позволяет Алисе генерировать ключ и послать его Бобу.

1. Алиса выбирает случайное большое целое число x и генерирует

k = g^x mod n

2. Боб выбирает случайное большое целое число y и посылает Алисе

Y = g^y mod n

3. Алиса посылает Бобу

X = Y^x mod n

4. Боб вычисляет

z = y^-1

k' = X^z mod n

Если все выполнено правильно, k = k'.

Преимуществом этого протокола над Diffie-Hellman состоит в том, что k можно вычислить заранее, до взаимодействия, и Алиса может шифровать сообщения с помощью k задолго до установления соединения с Бобом.

Она может послать сообщение сразу множеству людей, а передать ключ позднее каждому по отдельности.

Обмен ключом без обмена ключом

Если у вас сообщество пользователей, каждый может опубликовать открытый ключ, X = g^x mod n, в общей базе данных. Если Алиса захочет установить связь с Бобом, ей понадобится только получить открытый ключ Боба и генерировать их общий секретный ключ (см. алгоритм Hughes, шаг 2 выполнен заранее всеми пользователями, его результат хранится в БД). Она может зашифровать сообщение этим ключом и послать его Бобу. Боб извлечет открытый ключ Алисы и вычислит общий секретный ключ.

Каждая пара пользователей может использовать уникальный секретный ключ, не требуется никаких предварительных обменов данными между пользователями. Открытые ключи должны пройти сертификацию, чтобы предотвратить мошеннические вскрытия, и должны регулярно меняться, но в любом случае это очень умная идея.

Протокол "точка-точка"

Обмен ключами Diffie-Hellman чувствителен к вскрытию "человек в середине". Одним из способов предотвратить это, является необходимость для Алисы и Боба подписывать сообщения, которые они посылают друг другу.

Этот протокол предполагает, что у Алисы есть сертифицированный открытый ключ Боба, а у Боба есть сертифицированный открытый ключ Алисы. Эти сертификаты подписаны некоторым заслуживающим доверия органом власти, непосредственно не участвующим в протоколе. Вот как Алиса и Боб генерируют секретный ключ k.

1. Алиса генерирует случайное число x и посылает Бобу.

X = g^x mod n

2. Боб генерирует случайное число y. Используя протокол Diffie-Hellman, он вычисляет Y и общий ключ k на базе X и y.

k = X^y mod n

Y = g^y mod n

Он подписывает X и Y и шифрует подпись ключом k. Затем он посылает получившееся вместе с Y Алисе.

Y, E_k(S_B(X,Y))

3. Алиса также вычисляет k.

k = Y^x mod n

Она расшифровывает оставшуюся часть сообщения Боба и проверяет его подпись. Затем она посылает Бобу подписанное сообщение, состоящее из X и Y, зашифрованных общим ключом k.

E_k(S_A(X,Y))

4. Боб расшифровывает сообщение и проверяет подпись Алисы.