Elliptisk kurve Diffie – Hellman - Elliptic-curve Diffie–Hellman

Elliptisk-kurve Diffie-Hellman ( ECDH ) er en central aftale protokol, der tillader to parter, der hver har en elliptisk-kurve offentlig-privat nøglepar, at etablere en fælles hemmelighed over en usikker kanal . Denne delte hemmelighed kan bruges direkte som en nøgle eller til at udlede en anden nøgle . Nøglen eller den afledte nøgle kan derefter bruges til at kryptere efterfølgende kommunikation ved hjælp af en symmetrisk nøglekryptering . Det er en variant af Diffie – Hellman- protokollen ved hjælp af kryptografi med elliptisk kurve .

Nøgleprotokol

Følgende eksempel illustrerer, hvordan en delt nøgle oprettes. Antag, at Alice vil oprette en delt nøgle med Bob , men den eneste kanal, der er tilgængelig for dem, kan blive aflyttet af en tredjepart. Oprindeligt skal domæneparametrene (dvs. i det primære tilfælde eller i det binære tilfælde) være aftalt. Hver part skal også have et nøglepar, der er egnet til elliptisk kurve-kryptografi, der består af en privat nøgle (et tilfældigt valgt heltal i intervallet ) og en offentlig nøgle repræsenteret af et punkt (hvor det er resultatet af tilføjelse til sig selv gange ). Lad Alice's nøglepar være og Bobs nøglepar være . Hver part skal kende den anden parts offentlige nøgle inden udførelse af protokollen. ${\ displaystyle (p, a, b, G, n, h)}$${\ displaystyle (m, f (x), a, b, G, n, h)}$${\ displaystyle d}$${\ displaystyle [1, n-1]}$${\ displaystyle Q}$${\ displaystyle Q = d \ cdot G}$ ${\ displaystyle G}$${\ displaystyle d}$${\ displaystyle (d _ {\ text {A}}, Q _ {\ text {A}})}$${\ displaystyle (d _ {\ text {B}}, Q _ {\ text {B}})}$

Alice beregner point . Bob beregner point . Den delte hemmelighed er ( punktets x- koordinat). De fleste standardiserede protokoller baseret på ECDH udleder en symmetrisk nøgle ved at bruge en eller anden hash-baseret nøglediveringsfunktion . ${\ displaystyle (x_ {k}, y_ {k}) = d _ {\ text {A}} \ cdot Q _ {\ text {B}}}$${\ displaystyle (x_ {k}, y_ {k}) = d _ {\ text {B}} \ cdot Q _ {\ text {A}}}$${\ displaystyle x_ {k}}$${\ displaystyle x_ {k}}$

Den delte hemmelighed beregnet af begge parter er lige, fordi . ${\ displaystyle d _ {\ text {A}} \ cdot Q _ {\ text {B}} = d _ {\ text {A}} \ cdot d _ {\ text {B}} \ cdot G = d _ {\ text {B }} \ cdot d _ {\ text {A}} \ cdot G = d _ {\ text {B}} \ cdot Q _ {\ text {A}}}$

Den eneste information om hendes nøgle, som Alice oprindeligt afslører, er hendes offentlige nøgle. Så ingen part, inklusive Alice, kan bestemme Alices private nøgle (Alice ved det selvfølgelig ved at have valgt den), medmindre denne part kan løse det diskrete logaritmeproblem med elliptisk kurve . Bobs private nøgle er ligeledes sikker. Ingen anden part end Alice eller Bob kan beregne den delte hemmelighed, medmindre den part kan løse problemet med elliptisk kurve Diffie – Hellman .

De offentlige nøgler er enten statiske (og pålidelige, f.eks. Via et certifikat) eller flygtige (også kendt som ECDHE , hvor endelig 'E' står for "kortvarig"). Flygtige nøgler er midlertidige og ikke nødvendigvis godkendte, så hvis godkendelse ønskes, skal ægthedsgarantier opnås på andre måder. Godkendelse er nødvendig for at undgå mand-i-midten-angreb . Hvis en af ​​Alice eller Bobs offentlige nøgler er statisk, så modvirkes man-i-midten-angreb. Statiske offentlige nøgler giver hverken fremadrettet hemmeligholdelse eller nøglekompromis-imitationsmodstandsdygtighed blandt andre avancerede sikkerhedsegenskaber. Indehavere af statiske private nøgler skal validere den anden offentlige nøgle og skal anvende en sikker nøgleudledningsfunktion på den rå Diffie – Hellman-delte hemmelighed for at undgå at lække information om den statiske private nøgle. For ordninger med andre sikkerhedsegenskaber, se MQV .

Hvis Alice ondsindet vælger ugyldige kurvepunkter for sin nøgle, og Bob ikke validerer, at Alice's point er en del af den valgte gruppe, kan hun samle nok rester af Bobs nøgle til at udlede hans private nøgle. Flere TLS- biblioteker viste sig at være sårbare over for dette angreb.

Mens den delte hemmelighed kan bruges direkte som en nøgle, kan det være ønskeligt at hash hemmeligheden for at fjerne svage bits på grund af Diffie – Hellman-udvekslingen.

Software

• Curve25519 er en populær sæt af elliptiske kurve parametre og reference-implementering af Daniel J. Bernstein i C . Bindinger og alternative implementeringer er også tilgængelige.
• LINE messenger-app har brugt ECDH-protokollen til sin "Letter Sealing" end-til-ende-kryptering af alle meddelelser, der er sendt gennem den nævnte app siden oktober 2015.
• Signalprotokol bruger ECDH til at opnå sikkerhed efter kompromis. Implementeringer af denne protokol findes i Signal , WhatsApp , Facebook Messenger og Skype .

Se også

• Diffie – Hellman nøgleudveksling
• Fremad hemmeligholdelse

Referencer