一、概述

Diffie-Hellman密钥协商算法主要解决秘钥配送问题,本身并非用来加密用的;该算法其背后有对应数学理论做支撑,简单来讲就是构造一个复杂的计算难题,使得对该问题的求解在现实的时间内无法快速有效的求解(computationally infeasible )。

理解Diffie-Hellman密钥协商的原理并不困难,只需要一点数论方面的知识既可以理解,主要会用到简单的模算术运算、本原根、费马小定理、离散对数等基础数论的知识。在现代密码学中的基础数论知识梳理中已经对这些知识做了必要的总结。

二、从何而来

DH密钥协商算法在1976年在Whitfield Diffie和Martin Hellman两人合著的论文New Directions in Cryptography(Section Ⅲ PUBLIC KEY CRYPTOGRAPHY)中被作为一种公开秘钥分发系统(public key distribution system)被提出来。原文的叙述过程比较简单,但基本阐述了算法的原理以及其可行性。

在该论文中实际上提出了一些在当时很有创新性的思想。原论文重点讨论两个话题:

(1)在公网通道上如何进行安全的秘钥分派。

(2)认证(可以细分为消息认证和用户认证)。

为了解决第一个问题,原文提出两种方法:公钥加密系统(public key cryptosystem)和秘钥分发系统(public key distribution system)。对于公钥加密系统,原文只是勾画了一种比较抽象的公钥加密系统的概念模型,重点是加解密采用不同的秘钥,并总结了该系统应该满足的一些特性,相当于是一种思想实验,并没有给出具体的算法实现途径,但这在当时应该来说已经足够吸引人。后来RSA三人组(Ron Rivest、Adi Shamir 和 Leonard Adleman)受此启发,经过许多轮失败的尝试后,于第二年在论文A Method for Obtaining Digital Signatures and Public-Key Cryptosystems中提出了切实可行且很具体的公钥加密算法--RSA公钥加密算法。而对于秘钥分发系统,就是本文的DH秘钥协商算法。

为了解决第二个问题,原文通过单向函数(one-way function)来解决,这就是单向认证的问题。另外作者还讨论了这些密码学问题之间的关联性以及如何相互转化。比如一个安全的密码系统(可以防御明文攻击)可以用来生成一个的单向函数、公钥加密系统可以用来作为单向认证、陷门密码系统可以用来生成一个公钥加密系统。数学难题的计算复杂度被当成一种保障密码学安全问题的有效工具被利用起来,这一重要思想贯穿现代密码学的许多加密算法。

三、算法流程及原理

按照惯例,以Alice和Bob这两个密码学中的网红为角色,述阐DH算法的流程。

假设Alice需要与Bob协商一个秘钥(秘钥本质上就是一个比特序列,从计算的角度看就是一个大数)。

1)首先Alice与Bob共享一个素数$p$以及该素数$p$的本原根$g$(geneator),当然这里有$2\leqslant g\leqslant p-1$。这两个数是可以不经过加密地由一方发送到另一方,至于谁发送给并不重要,其结果只要保证双方都得知$p$和$g$即可。

2)然后Alice产生一个私有的随机数$A$,满足$1 \leqslant A\leqslant p-1$,然后计算$g^{A}\;mod\;p=Y_{a}$,将结果$Y_{a}$通过公网发送给Bob;与此同时,Bob也产生一个私有的随机数$B$,满足$1 \leqslant B\leqslant p-1$,计算$g^{B}\;mod\;p=Y_{b}$,将结果$Y_{b}$通过公网发送给Alice。

3)此时Alice知道的信息有$p,g,A,Y_{a}$,其中数字$A$是Alice私有的,只有她自己知道,别人不可能知道,其他三个信息都是别人有可能知道的;Bob知道的信息有$p,g,A,Y_{A}$,其中数字$B$是Bob私有的,只有他自己知道,别人不可能知道,其他都是别人有可能知道的。

到目前为止,Alice和Bob之间的秘钥协商结束。

Alice通过计算$K_{a}=(Y_{b})^A\;mod\;p$得到秘钥$K_{a}$,同理,Bob通过计算$K_{b}=(Y_{a})^B\;mod\;p$得到秘钥$K_{b}$,此时可以证明,必然满足$K_{a}=K_{b}$。因此双方经过协商后得到了相同的秘钥,达成秘钥协商的目的。

证明:

对于Alice有:

$K_{a}=(Y_{b})^A\;mod\;p=(g^B\;mod\;p)^{A}\;mod\;p=g^{B\times A}\;mod\;p$

对于Bob有:

$K_{b}=(Y_{a})^B\;mod\;p=(g^{A}\;mod\;p)^{B}\;mod\;p=g^{A\times B}\;mod\;p$

可见,Alice和Bob生成秘钥时其实是进行相同的运算过程,因此必然有$K_{a}=K_{b}$。"相同的运算过程"是双方能够进行秘钥协商的本质原因,类似的利用椭圆曲线进行秘钥协商也是与之相同的原理。

更严密地考虑,$A$和$B$不应该选择$p-1$,也就是说只能在集合$\left \{ 1,2,3,...,p-2 \right \}$中选择。这是因为如果选择$p-1$,那么由费马小定理可知,情况就退化成了$g^{p-1}\equiv1\;(mod\;p)$的情况,对秘钥协商的机密性构成威胁。

所以总结起来,整个流程串起来大概就是这样:

那么窃听者Eve能否破解秘钥呢?首先要知道Eve能够得知哪些信息,显然Eve能够窃听到的信息只能有$p,g,Y_{a},Y_{b}$,现在的问题是Eve能够通过以上信息计算出$K_{a}$或者$K_{b}$吗?要计算$K_{a}$或者$K_{b}$需要知道$A$或者$B$。

以计算$A$为例,Eve能根据条件$g^{A}\;mod\;p=Y_{a}$计算出$A$吗?实际上当$p$是大质数的时候,这是相当困难的,这就是离散对数问题。实际上在论文发表的当时,计算该问题的最有效的算法的时间复杂度大约是$O(\sqrt{p})$。也正是求解该问题在计算上的困难程度保证了DH算法的安全性。如果能够找到对数时间复杂度的算法,那么该算法即容易被攻破。

四、一个实例

1)假设Alice和Bob共享的$p$和$g$分别是$p=17,g=3$,显然这里$g=3$是$p=17$的一个本原根,实际上$3,5,6,7,10,11,12,14$都是17的本原根。

2)然后Alice选定一个私有数字,假设$A=15$,计算$Y_{a}=3^{15}\;mod\;17=14348907\;mod\;17=6$,将6发送给Bob;同时Bob也选定一个私有的数字,假设$B=13$,计算$Y_{a}=3^{13}\;mod\;17=1594323\;mod\;17=12$,将12发送给Alice。

3)Alice计算秘钥$K_{a}=12^{15}\;mod\;17=2147483647\;mod\;17=8$,Bob计算秘钥$K_{b}=6^{13}\;mod\;17=2147483647\;mod\;17=8$。双方经过协商后,8最终成为双方的协商的秘钥。

实际上,当指数和模数的位数都比较大的时候,存在一种快速计算幂取模的算法叫做“反复平方算法”,实现取来也比较简单,在算法导论中第三十一章有相应的解释。

五、存在的问题

是否DH秘钥协商算法就一定安全呢?应该说也不是,因为存在一种伪装者攻击(或者称为中间人攻击)能够对这种秘钥协商算法构成威胁。

假设秘钥协商过程中,在Alice和Bob中间有一个称为Mallory的主动攻击者,他能够截获Alice和Bob的消息并伪造假消息,考虑如下情况。

1)Alice和Bob已经共享一个素数$p$及其该素数$p$的本原根$g$,当然Mallory监听到报文也得知了这两个消息。

2)此时Alice计算$Y_{a}=g^{A}\;mod\;p$,然而在将$Y_{a}$发送给Bob的过程中被Mallory拦截,Mallory自己选定一个随机数$S$,计算$Y_{sb}=g^{S}\;mod\;p$,然后将$Y_{sb}$发送给了Bob。

3)同时Bob计算$Y_{b}=g^{B}\;mod\;p$,然而在将$Y_{b}$发送给Alice的过程中被Mallory拦截,Mallory自己选定一个随机数$T$,计算$Y_{ta}=g^{T}\;mod\;p$,然后将$Y_{ta}$发送给了Alice。

由于通讯消息被替换,Alice计算出的秘钥实际上是Alice和Mallory之间协商秘钥:$K_{am}=g^{A \times T}\;mod\;p$;Bob计算出的秘钥实际上是Bob与Mallory之间协商的秘钥:$K_{bm}=g^{B \times S}\;mod\;p$。如果之后Alice和Bob用他们计算出的秘钥加密任何信息,Mallory截获之后都能够解密得到明文,而且Mallory完全可以伪装成Alice或者Bob给对方发消息。

六、References

1、New Directions in Cryptography

2、密码编码学与网络安全原理与实践

3、图解密码技术

Diffie-Hellman密钥协商算法的更多相关文章

  1. HTTPS 和 SSL/TLS 协议:密钥交换(密钥协商)算法及其原理

    转自:https://blog.csdn.net/andylau00j/article/details/54583769 本系列的前一篇,咱们聊了“密钥交换的难点”以及“证书体系”的必要性.今天这篇来 ...

  2. 深入浅出Diffie–Hellman

    一.作者 这个密钥交换方法,由惠特菲尔德·迪菲(Bailey Whitfield Diffie).马丁·赫尔曼(Martin Edward Hellman)于1976年发表. 二.说明 它是一种安全协 ...

  3. 浅析Diffie–Hellman

    一.作者 这个密钥交换方法,由惠特菲尔德·迪菲(Bailey Whitfield Diffie).马丁·赫尔曼(Martin Edward Hellman)于1976年发表. 二.说明 它是一种安全协 ...

  4. SSL/TLS/WTLS原理(密钥协商的形象化比喻:验证服务器的身份,用服务器的公钥协商加密格式,然后再加密具体的消息,TCP传递SSL处理后的数据)good

    一 前言 首先要澄清一下名字的混淆: 1 SSL(Secure Socket Layer)是netscape公司设计的主要用于web的安全传输协议.这种协议在WEB上获得了广泛的应用. 2 IETF( ...

  5. DTLS协议中client/server的认证过程和密钥协商过程

    我的总结:DTLS的握手就是协商出一个对称加密的秘钥(每个客户端的秘钥都会不一样),之后的通信就要这个秘钥进行加密通信.协商的过程要么使用非对称加密算法进行签名校验身份,要么通过客户端和服务器各自存对 ...

  6. SSL密钥协商过程分析

    一.说明 尽管做过证书生成.双向认证.SSL通信编程等事情,但一直不清楚SSL如何完成密钥交换.看网上的资料则众说纷纭,最近和朋友学习时聊到了这个问题,然后正巧上周处理客户反馈SSL版本过低时领导也想 ...

  7. Diffie–Hellman key exchange

    General overview[edit]   Illustration of the idea behind Diffie–Hellman key exchange Diffie–Hellman ...

  8. Libreswan软件的密钥协商协议IKEv1主模式实现分析

    Libreswan软件的密钥协商协议IKEv1主模式实现分析 1 协商过程 IKEv1(互联网密钥交换协议第一版)是IPsec VPN隧道协商使用的标准密钥协商协议,其协商过程如下图所示. 总共来回交 ...

  9. 第三十个知识点:大致简述密钥协商中的BR安全定义。

    第三十个知识点:大致简述密钥协商中的BR安全定义. 在两方之间建密钥共享是一件密码学中古老的问题.就算只考虑定义也比标准加密困难的多.尽管古典的Diffie-Hellman协议在1976年思路解决了这 ...

随机推荐

  1. Xp输入法不见了

    早上打开电脑忽然发现以前的输入法(包括搜狗,智能ABC输入法)都不见了,光剩下微软拼音,而且添加输入法的按键是灰色的,不能使用 解决的办法: 打开记事本,输入以下内容:    ___________ ...

  2. Binder和SurfaceFlinger以及SystemServer介绍-android学习之旅(79)

    由于binder机制的存在,使得进程A可以访问进程B中的对象. Android系统Binder机制中的四个组件Client.Server.Service Manager和Binder驱动程序: 1. ...

  3. libevent之event

    就如libevent官网上所写的“libevent - an event notification library”,libevent就是一个基于事件通知机制的库,可以看出event是整个库的核心.e ...

  4. php 运行linux命令 与 linux下命令行执行php

    1.php运行linux命令 exec函数:string exec(string command, string [array], int [return_var]);  执行函数后不输出结果,返回最 ...

  5. Volley网络框架完全解析(缓存篇)

    在上一篇中讲完了Volley框架怎么使用,那么这篇就来讲讲Volley框架的缓存机制 我们看Volley内部源码发现: Volley框架内部自己处理了DiskBasedCache硬盘缓存,但是没有处理 ...

  6. linux的link命令

    sudo ln -s 源文件 目标文件 sudo ln -s /usr/local/mysql/bin/mysqladmin /sbin/mysqladmin 建立软连接 ln -d existfil ...

  7. The 2nd tip of DB Query Analyzer

    The 2nd tip of DB Query Analyzer                               Ma Genfeng   (Guangdong Unitoll Servi ...

  8. Java内部类与外部类

    错误提示: 没有任何类型 TestThread 的外层实例可访问.必须用类型 TestThread 的外层实例(例如,x.new A(),其中 x 是 TestThread 的实例)来限定分配. pu ...

  9. javaScript(7)---函数

    学习要点: 1.函数声明 2.return返回值 3.arguments对象 函数是定义一次但却可以调用或执行任意多次的一段JS代码.函数有时会有参数,即函数被调用时指定了值的局部变量.函数常常使用这 ...

  10. 有关Java 5.0+ 并发包的探讨-2 section

    有关Java 5.0+ 并发包的探讨-2 section 博客分类: Core Java JavathreadAccessF#  前面文章用直接使用Thread类的start方法来新启动一个线程,看起 ...