[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/wiki.edu.vn\/wiki25\/2021\/10\/30\/diffie-hellman-schlusselaustausch-wikipedia\/#BlogPosting","mainEntityOfPage":"https:\/\/wiki.edu.vn\/wiki25\/2021\/10\/30\/diffie-hellman-schlusselaustausch-wikipedia\/","headline":"Diffie-Hellman-Schl\u00fcsselaustausch \u2013 Wikipedia","name":"Diffie-Hellman-Schl\u00fcsselaustausch \u2013 Wikipedia","description":"before-content-x4 Verfahren zum Austausch von kryptografischen Schl\u00fcsseln Beim Diffie-Hellman-Schl\u00fcsselaustauschschema erzeugt jede Partei ein \u00f6ffentliches\/privates Schl\u00fcsselpaar und verteilt den \u00f6ffentlichen Schl\u00fcssel.","datePublished":"2021-10-30","dateModified":"2021-10-30","author":{"@type":"Person","@id":"https:\/\/wiki.edu.vn\/wiki25\/author\/lordneo\/#Person","name":"lordneo","url":"https:\/\/wiki.edu.vn\/wiki25\/author\/lordneo\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/44a4cee54c4c053e967fe3e7d054edd4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/44a4cee54c4c053e967fe3e7d054edd4?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"Enzyklop\u00e4die","logo":{"@type":"ImageObject","@id":"https:\/\/wiki.edu.vn\/wiki4\/wp-content\/uploads\/2023\/08\/download.jpg","url":"https:\/\/wiki.edu.vn\/wiki4\/wp-content\/uploads\/2023\/08\/download.jpg","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/upload.wikimedia.org\/wikipedia\/commons\/thumb\/4\/4c\/Public_key_shared_secret.svg\/250px-Public_key_shared_secret.svg.png","url":"https:\/\/upload.wikimedia.org\/wikipedia\/commons\/thumb\/4\/4c\/Public_key_shared_secret.svg\/250px-Public_key_shared_secret.svg.png","height":"280","width":"250"},"url":"https:\/\/wiki.edu.vn\/wiki25\/2021\/10\/30\/diffie-hellman-schlusselaustausch-wikipedia\/","wordCount":10302,"articleBody":" (adsbygoogle = window.adsbygoogle || []).push({});before-content-x4Verfahren zum Austausch von kryptografischen Schl\u00fcsseln Beim Diffie-Hellman-Schl\u00fcsselaustauschschema erzeugt jede Partei ein \u00f6ffentliches\/privates Schl\u00fcsselpaar und verteilt den \u00f6ffentlichen Schl\u00fcssel. Nachdem Alice und Bob eine authentische Kopie der \u00f6ffentlichen Schl\u00fcssel des anderen erhalten haben, k\u00f6nnen sie offline ein gemeinsames Geheimnis berechnen. Das Shared Secret kann beispielsweise als Schl\u00fcssel f\u00fcr eine symmetrische Chiffre verwendet werden. Diffie-Hellman-Schl\u00fcsselaustausch[nb 1] ist eine Methode zum sicheren Austausch von kryptografischen Schl\u00fcsseln \u00fcber einen \u00f6ffentlichen Kanal und war eines der ersten Public-Key-Protokolle, wie es von Ralph Merkle konzipiert und nach Whitfield Diffie und Martin Hellman benannt wurde.[1][2] DH ist eines der fr\u00fchesten praktischen Beispiele f\u00fcr den Austausch \u00f6ffentlicher Schl\u00fcssel, der im Bereich der Kryptographie implementiert wurde. 1976 von Diffie und Hellman ver\u00f6ffentlicht, ist dies die fr\u00fcheste \u00f6ffentlich bekannte Arbeit, die die Idee eines privaten Schl\u00fcssels und eines entsprechenden \u00f6ffentlichen Schl\u00fcssels vorschlug.Herk\u00f6mmlicherweise erforderte eine sichere verschl\u00fcsselte Kommunikation zwischen zwei Parteien, dass sie zuerst Schl\u00fcssel auf einem sicheren physischen Weg austauschen, wie z. B. Schl\u00fcssellisten auf Papier, die von einem vertrauensw\u00fcrdigen Kurier transportiert werden. Das Diffie-Hellman-Schl\u00fcsselaustauschverfahren erm\u00f6glicht es zwei Parteien, die keine Vorkenntnisse voneinander haben, gemeinsam einen gemeinsamen geheimen Schl\u00fcssel \u00fcber einen unsicheren Kanal zu erstellen. Dieser Schl\u00fcssel kann dann verwendet werden, um nachfolgende Kommunikationen unter Verwendung einer symmetrischen Schl\u00fcsselchiffre zu verschl\u00fcsseln. Diffie-Hellman wird verwendet, um eine Vielzahl von Internetdiensten abzusichern. Untersuchungen, die im Oktober 2015 ver\u00f6ffentlicht wurden, legen jedoch nahe, dass die Parameter, die zu dieser Zeit f\u00fcr viele DH-Internetanwendungen verwendet werden, nicht stark genug sind, um eine Kompromittierung durch sehr gut finanzierte Angreifer, wie etwa die Sicherheitsdienste einiger L\u00e4nder, zu verhindern.[3]Das Schema wurde 1976 von Whitfield Diffie und Martin Hellman ver\u00f6ffentlicht.[2] 1997 wurde jedoch bekannt, dass James H. Ellis,[4]Clifford Cocks und Malcolm J. Williamson vom britischen Nachrichtendienst GCHQ hatten bereits 1969 gezeigt[5] wie eine Kryptografie mit \u00f6ffentlichem Schl\u00fcssel erreicht werden k\u00f6nnte.[6]Obwohl die Diffie-Hellman-Schl\u00fcsselvereinbarung selbst ein nicht authentifiziertes Schl\u00fcsselvereinbarungsprotokoll ist, bietet sie die Grundlage f\u00fcr eine Vielzahl von authentifizierten Protokollen und wird verwendet, um in den kurzlebigen Modi von Transport Layer Security (je nach die Verschl\u00fcsselungssammlung).Der Methode folgte kurz darauf RSA, eine Implementierung der Public-Key-Kryptographie mit asymmetrischen Algorithmen. Abgelaufen US-Patent 4.200.770 von 1977 beschreibt den mittlerweile gemeinfreien Algorithmus. Es schreibt Hellman, Diffie und Merkle als Erfinder zu.Im Jahr 2002 schlug Hellman vor, den Algorithmus zu nennen Diffie\u2013Hellman\u2013Merkle-Schl\u00fcsselaustausch in Anerkennung des Beitrags von Ralph Merkle zur Erfindung der Public-Key-Kryptographie (Hellman, 2002), schreibend:Das System … ist seither als Diffie-Hellman-Schl\u00fcsselaustausch bekannt. Dieses System wurde zwar zum ersten Mal in einem Aufsatz von Diffie und mir beschrieben, es ist jedoch ein \u00f6ffentliches Schl\u00fcsselverteilungssystem, ein von Merkle entwickeltes Konzept, und sollte daher “Diffie-Hellman-Merkle-Schl\u00fcsselaustausch” hei\u00dfen, wenn Namen damit in Verbindung gebracht werden sollen . Ich hoffe, dass diese kleine Kanzel dabei helfen kann, Merkles gleichberechtigten Beitrag zur Erfindung der Kryptographie mit \u00f6ffentlichen Schl\u00fcsseln anzuerkennen.[7]Table of ContentsBeschreibung[edit]Gesamt\u00fcbersicht[edit]Kryptografische Erkl\u00e4rung[edit]Geheimhaltungstabelle[edit]Verallgemeinerung auf endliche zyklische Gruppen[edit]Betrieb mit mehr als zwei Parteien[edit]Sicherheit[edit]Praktische Angriffe auf den Internetverkehr[edit]Andere Verwendungen[edit]Verschl\u00fcsselung[edit]Weiterleitungsgeheimnis[edit]Passwort-authentifizierte Schl\u00fcsselvereinbarung[edit]\u00d6ffentlicher Schl\u00fcssel[edit]Siehe auch[edit]Verweise[edit]Allgemeine Referenzen[edit]Externe Links[edit]Beschreibung[edit]Gesamt\u00fcbersicht[edit] Veranschaulichung des Konzepts hinter dem Diffie-Hellman-Schl\u00fcsselaustauschDer Diffie-Hellman-Schl\u00fcsselaustausch erstellt ein gemeinsames Geheimnis zwischen zwei Parteien, das f\u00fcr die geheime Kommunikation zum Austausch von Daten \u00fcber ein \u00f6ffentliches Netzwerk verwendet werden kann. Eine Analogie veranschaulicht das Konzept des Austauschs \u00f6ffentlicher Schl\u00fcssel durch die Verwendung von Farben anstelle von sehr gro\u00dfen Zahlen:Der Prozess beginnt damit, dass sich die beiden Parteien, Alice und Bob, \u00f6ffentlich auf eine willk\u00fcrliche Startfarbe einigen, die nicht geheim gehalten werden muss (aber jedes Mal anders sein sollte .)[3]). In diesem Beispiel ist die Farbe gelb. Au\u00dferdem w\u00e4hlt jeder eine geheime Farbe aus, die er f\u00fcr sich beh\u00e4lt \u2013 in diesem Fall Rot und Blaugr\u00fcn. Der entscheidende Teil des Prozesses besteht darin, dass Alice und Bob jeweils ihre eigene geheime Farbe mit ihrer gemeinsamen Farbe mischen, was zu orange-braunen bzw. hellblauen Mischungen f\u00fchrt, und dann die beiden gemischten Farben \u00f6ffentlich austauschen. Schlie\u00dflich mischt jeder von ihnen die Farbe, die er vom Partner erhalten hat, mit seiner eigenen privaten Farbe. Das Ergebnis ist eine endg\u00fcltige Farbmischung (in diesem Fall gelb-braun), die mit der endg\u00fcltigen Farbmischung des Partners identisch ist.Wenn ein Dritter dem Austausch zuh\u00f6rte, w\u00fcrde er nur die gemeinsame Farbe (Gelb) und die ersten Mischfarben (Orange-Tan und Hellblau) kennen, aber f\u00fcr diesen w\u00e4re es schwierig, die endg\u00fcltige geheime Farbe (Gelb -Braun). Wenn man die Analogie auf einen realen Austausch zur\u00fcckbringt, der gro\u00dfe Zahlen anstelle von Farben verwendet, ist diese Bestimmung rechenintensiv. Selbst f\u00fcr moderne Supercomputer ist eine Berechnung in praktischer Zeit nicht m\u00f6glich.Kryptografische Erkl\u00e4rung[edit]Die einfachste und originellste Implementierung[2] des Protokolls verwendet die multiplikative Gruppe von ganzen Zahlen modulo P, wo P ist prim, und g ist eine primitive Wurzel modulo P. Diese beiden Werte werden auf diese Weise gew\u00e4hlt, um sicherzustellen, dass das resultierende gemeinsame Geheimnis jeden Wert von 1 bis annehmen kann P\u20131. Hier ist ein Beispiel f\u00fcr das Protokoll mit nicht geheimen Werten in Blau, und geheime Werte in rot.Alice und Bob stimmen \u00f6ffentlich zu, einen Modul zu verwenden P = 23 und Basis g = 5 (was eine primitive Wurzel modulo 23 ist).Alice w\u00e4hlt eine geheime ganze Zahl ein = 4, dann sendet Bob EIN = gein mod PBob w\u00e4hlt eine geheime ganze Zahl B = 3, dann sendet Alice B = gB mod PAlice berechnet S = Bein mod PBob rechnet S = EINB mod PAlice und Bob teilen nun ein Geheimnis (die Zahl 18).Sowohl Alice als auch Bob haben die gleichen Werte erreicht, da unter mod p,EINBmodP=geinBmodP=gBeinmodP=BeinmodP{displaystyle {color {Blau}A}^{color {Red}b}{bmod {color {Blau}p}}={color {Blau}g}^{color {Red}ab} {bmod {color {Blau}p}}={color {Blau}g}^{color {Rot}ba}{bmod {color {Blau}p}}={color {Blau}B }^{color {Rot}a}{bmod {color {Blau}p}}}Genauer,(geinmodP)BmodP=(gBmodP)einmodP{displaystyle ({color {Blau}g}^{color {Rot}a}{bmod {color {Blau}p}})^{color {Rot}b}{bmod {color { Blau}p}}=({color {Blau}g}^{color {Rot}b}{bmod {color {Blau}p}})^{color {Rot}a}{bmod { color {Blau}p}}}Nur ein und B werden geheim gehalten. Alle anderen Werte \u2013 P, g, gein mod P, und gB mod P \u2013 werden im Klartext gesendet. Die St\u00e4rke des Schemas liegt darin, dass gab mod P = gba mod P dauert extrem lange, um von jedem bekannten Algorithmus zu berechnen, nur aufgrund der Kenntnis von P, g, gein mod P, und gB mod P. Sobald Alice und Bob das gemeinsame Geheimnis berechnet haben, k\u00f6nnen sie es als Verschl\u00fcsselungsschl\u00fcssel verwenden, der nur ihnen bekannt ist, um Nachrichten \u00fcber denselben offenen Kommunikationskanal zu senden.Nat\u00fcrlich viel gr\u00f6\u00dfere Werte von ein, B, und P w\u00e4re notwendig, um dieses Beispiel sicher zu machen, da es nur 23 m\u00f6gliche Ergebnisse von n mod 23. Wenn jedoch P eine Primzahl von mindestens 600 Ziffern ist, k\u00f6nnen selbst die schnellsten modernen Computer mit dem schnellsten bekannten Algorithmus nicht finden ein nur gegeben g, P und gein mod P. Ein solches Problem wird als diskretes Logarithmusproblem bezeichnet.[3] Die Berechnung von gein mod P ist als modulare Exponentiation bekannt und kann auch f\u00fcr gro\u00dfe Zahlen effizient durchgef\u00fchrt werden. Beachten Sie, dass g muss \u00fcberhaupt nicht gro\u00df sein und ist in der Praxis normalerweise eine kleine ganze Zahl (wie 2, 3, …).Geheimhaltungstabelle[edit]Die folgende Tabelle zeigt wer wei\u00df was, wieder mit nicht geheimen Werten in Blau, und geheime Werte in rot. Hier ist Eve eine Lauscherin \u2013 sie beobachtet, was zwischen Alice und Bob gesendet wird, aber sie \u00e4ndert den Inhalt ihrer Kommunikation nicht.g = \u00f6ffentliche (prime) Basis, die Alice, Bob und Eve bekannt ist. g = 5P = \u00f6ffentlicher (Prime-)Modul, Alice, Bob und Eve bekannt. P = 23ein = Alices privater Schl\u00fcssel, der nur Alice bekannt ist. ein = 6B = Bobs privater Schl\u00fcssel, der nur Bob bekannt ist. B = f\u00fcnfzehnEIN = Alices \u00f6ffentlicher Schl\u00fcssel, Alice, Bob und Eve bekannt. EIN = gein mod P = 8B = Bobs \u00f6ffentlicher Schl\u00fcssel, der Alice, Bob und Eve bekannt ist. B = gB mod P = 19AliceBekanntUnbekanntP = 23g = 5ein = 6BEIN = 5ein mod 23EIN = 56 mod 23 = 8B = 19S = Bein mod 23S = 196 mod 23 = 2BobBekanntUnbekanntP = 23g = 5B = f\u00fcnfzehneinB = 5B mod 23B = 5f\u00fcnfzehn mod 23 = 19EIN = 8S = EINB mod 23S = 8f\u00fcnfzehn mod 23 = 2VorabendBekanntUnbekanntP = 23g = 5ein, BEIN = 8, B = 19SJetzt S ist der gemeinsame geheime Schl\u00fcssel und ist sowohl Alice als auch Bob bekannt, aber nicht zu Eva. Beachten Sie, dass es f\u00fcr Eve nicht hilfreich ist, zu berechnen AB, was gleich ist gein + B mod P.Hinweis: Es sollte f\u00fcr Alice schwierig sein, nach Bobs privatem Schl\u00fcssel oder f\u00fcr Bob nach Alices privatem Schl\u00fcssel zu suchen. Wenn es f\u00fcr Alice nicht schwierig ist, nach Bobs privatem Schl\u00fcssel zu suchen (oder umgekehrt), kann Eve einfach ihr eigenes privates \/ \u00f6ffentliches Schl\u00fcsselpaar ersetzen, Bobs \u00f6ffentlichen Schl\u00fcssel in ihren privaten Schl\u00fcssel stecken, einen gef\u00e4lschten gemeinsamen geheimen Schl\u00fcssel erzeugen und nach aufl\u00f6sen Bobs privater Schl\u00fcssel (und verwenden Sie diesen, um nach dem gemeinsamen geheimen Schl\u00fcssel zu suchen. Eve kann versuchen, ein \u00f6ffentliches \/ privates Schl\u00fcsselpaar zu w\u00e4hlen, das es ihr leicht macht, nach Bobs privatem Schl\u00fcssel zu suchen).Eine weitere Demonstration von Diffie-Hellman (auch mit Zahlen, die f\u00fcr den praktischen Gebrauch zu klein sind) wird gegeben Hier.[8]Verallgemeinerung auf endliche zyklische Gruppen[edit]Hier ist eine allgemeinere Beschreibung des Protokolls:[9]Alice und Bob einigen sich auf eine endliche zyklische Gruppe g der Ordnung n und ein erzeugendes Element g in g. (Dies geschieht normalerweise lange vor dem Rest des Protokolls; g wird davon ausgegangen, dass alle Angreifer bekannt sind.) Die Gruppe g wird multiplikativ geschrieben.Alice w\u00e4hlt eine zuf\u00e4llige nat\u00fcrliche Zahl ein, wobei 1 ein < n, und sendet gein mod n zu Bob.Bob w\u00e4hlt eine zuf\u00e4llige nat\u00fcrliche Zahl B, was auch 1 . ist B < n, und sendet gB mod n zu Alice.Alice berechnet (gB mod n)ein mod n.Bob berechnet (gein mod n)B mod n.Sowohl Alice als auch Bob besitzen jetzt das Gruppenelement gab, der als gemeinsamer geheimer Schl\u00fcssel dienen kann. Die Gruppe g die Voraussetzung f\u00fcr eine sichere Kommunikation erf\u00fcllt, wenn kein effizienter Algorithmus zur Bestimmung von gab gegeben g, gein, und gB.Das Diffie-Hellman-Protokoll mit elliptischen Kurven ist beispielsweise eine Variante, die elliptische Kurven anstelle der multiplikativen Gruppe von ganzen Zahlen modulo n verwendet. Es wurden auch Varianten vorgeschlagen, die hyperelliptische Kurven verwenden. Der supersingul\u00e4re Isogenie-Schl\u00fcsselaustausch ist eine Diffie-Hellman-Variante, die gegen Quantencomputer sicher ist.Betrieb mit mehr als zwei Parteien[edit]Die Diffie-Hellman-Schl\u00fcsselvereinbarung ist nicht darauf beschr\u00e4nkt, einen Schl\u00fcssel auszuhandeln, der nur von zwei Teilnehmern geteilt wird. Beliebig viele Benutzer k\u00f6nnen an einer Vereinbarung teilnehmen, indem sie Iterationen des Vereinbarungsprotokolls durchf\u00fchren und Zwischendaten austauschen (die selbst nicht geheim gehalten werden m\u00fcssen). Alice, Bob und Carol k\u00f6nnten beispielsweise wie folgt an einer Diffie-Hellman-Vereinbarung teilnehmen, wobei alle Operationen als modulo . angenommen werden P:Die Parteien einigen sich auf die Algorithmusparameter P und g.Die Parteien generieren ihre privaten Schl\u00fcssel, genannt ein, B, und C.Alice berechnet gein und schickt es an Bob.Bob berechnet (gein)B = gab und schickt es an Carol.Carol berechnet (gab)C = gABC und benutzt es als ihr Geheimnis.Bob rechnet gB und schickt es an Carol.Carol berechnet (gB)C = gbc und schickt es an Alice.Alice berechnet (gbc)ein = gbca = gABC und benutzt es als ihr Geheimnis.Carol berechnet gC und schickt es an Alice.Alice berechnet (gC)ein = gca und schickt es an Bob.Bob berechnet (gca)B = gTaxi = gABC und benutzt es als sein Geheimnis.Ein Lauscher konnte sehen gein, gB, gC, gab, gac, und gbc, kann jedoch keine Kombination davon verwenden, um effizient zu reproduzieren gABC.Um diesen Mechanismus auf gr\u00f6\u00dfere Gruppen auszudehnen, m\u00fcssen zwei Grundprinzipien befolgt werden:Beginnend mit einem “leeren” Schl\u00fcssel bestehend nur aus g, wird das Geheimnis gemacht, indem der aktuelle Wert einmal in beliebiger Reihenfolge auf den privaten Exponenten jedes Teilnehmers erh\u00f6ht wird (die erste solche Potenzierung ergibt den eigenen \u00f6ffentlichen Schl\u00fcssel des Teilnehmers).Jeder Zwischenwert (bis zu n-1 angewendete Exponenten, wobei n ist die Anzahl der Teilnehmer in der Gruppe) kann \u00f6ffentlich bekannt gegeben werden, aber der endg\u00fcltige Wert (alles hatte) n Exponenten angewendet) stellt das gemeinsame Geheimnis dar und darf daher niemals \u00f6ffentlich bekannt gegeben werden. Daher muss jeder Benutzer seine Kopie des Geheimnisses erhalten, indem er zuletzt seinen eigenen privaten Schl\u00fcssel anwendet (andernfalls h\u00e4tte der letzte Mitwirkende keine M\u00f6glichkeit, seinem Empf\u00e4nger den endg\u00fcltigen Schl\u00fcssel zu \u00fcbermitteln, da dieser letzte Mitwirkende den Schl\u00fcssel in den eigentlichen Schl\u00fcssel verwandelt h\u00e4tte geheim, das die Gruppe sch\u00fctzen wollte).Diese Prinzipien lassen verschiedene Optionen offen, um zu w\u00e4hlen, in welcher Reihenfolge die Teilnehmer zu den Schl\u00fcsseln beitragen. Die einfachste und naheliegendste L\u00f6sung ist die Anordnung der n Teilnehmer im Kreis und haben n Schl\u00fcssel rotieren im Kreis, bis schlie\u00dflich jeder Schl\u00fcssel von allen beigesteuert wurde n Teilnehmer (Endung mit seinem Besitzer) und jeder Teilnehmer hat dazu beigetragen n Schl\u00fcssel (mit eigenen enden). Dies setzt jedoch voraus, dass jeder Teilnehmer n modulare Potenzen.Durch die Wahl einer optimaleren Reihenfolge und die Tatsache, dass Schl\u00fcssel dupliziert werden k\u00f6nnen, ist es m\u00f6glich, die Anzahl der von jedem Teilnehmer durchgef\u00fchrten modularen Potenzierungen auf zu reduzieren Protokoll2(n) + 1 mit einem Divide-and-Conquer-Ansatz, hier f\u00fcr acht Teilnehmer:Die Teilnehmer A, B, C und D f\u00fchren jeweils eine Potenzierung durch, was gA B C D; dieser Wert wird an E, F, G und H gesendet. Im Gegenzug erhalten die Teilnehmer A, B, C und D gE f G H.Die Teilnehmer A und B f\u00fchren jeweils eine Potenzierung durch, was gefghab, die sie an C und D senden, w\u00e4hrend C und D dasselbe tun, was gefghcd, die sie an A und B senden.Teilnehmer A f\u00fchrt eine Potenzierung durch und ergibt gefghcda, die es an B sendet; ebenso sendet B gefghcdb zu A. C und D verfahren \u00e4hnlich.Teilnehmer A f\u00fchrt eine letzte Potenzierung durch, die das Geheimnis ergibt gefghcdba = gA B C D E F G H, w\u00e4hrend B dasselbe tut, um zu erhalten gefghcdab = gA B C D E F G H; C und D verhalten sich wieder \u00e4hnlich.Die Teilnehmer E bis H f\u00fchren gleichzeitig die gleichen Operationen durch, indem sie gA B C D als ihren Ausgangspunkt.Sobald dieser Vorgang abgeschlossen ist, besitzen alle Teilnehmer das Geheimnis gA B C D E F G H, aber jeder Teilnehmer hat nur vier modulare Exponentiationen durchgef\u00fchrt, anstatt der acht, die durch eine einfache kreisf\u00f6rmige Anordnung impliziert werden.Sicherheit[edit]Das Protokoll gilt als abh\u00f6rsicher, wenn g und g richtig gew\u00e4hlt sind. Insbesondere muss die Ordnung der Gruppe G gro\u00df sein, insbesondere wenn dieselbe Gruppe f\u00fcr gro\u00dfe Verkehrsmengen verwendet wird. Der Lauscher muss das Diffie-Hellman-Problem l\u00f6sen, um zu erhalten gab. Dies gilt derzeit als schwierig f\u00fcr Gruppen, deren Auftrag gro\u00df genug ist. Ein effizienter Algorithmus zur L\u00f6sung des Problems des diskreten Logarithmus w\u00fcrde die Berechnung vereinfachen ein oder B und l\u00f6sen das Diffie-Hellman-Problem, wodurch dieses und viele andere Kryptosysteme mit \u00f6ffentlichen Schl\u00fcsseln unsicher werden. Felder mit kleinen Eigenschaften k\u00f6nnen weniger sicher sein.[10]Die Reihenfolge von g sollte einen gro\u00dfen Primfaktor haben, um zu verhindern, dass der Pohlig-Hellman-Algorithmus verwendet wird, um ein oder B. Aus diesem Grund eine Sophie Germain prime Q wird manchmal verwendet, um zu berechnen P = 2Q + 1, eine sichere Primzahl genannt, da die Ordnung g ist dann nur durch 2 teilbar und Q. g wird dann manchmal ausgew\u00e4hlt, um die Bestellung zu generieren Q Untergruppe von g, eher, als g, damit das Legendre-Symbol von gein enth\u00fcllt nie das niederwertige Bit von ein. Ein Protokoll, das eine solche Auswahl verwendet, ist beispielsweise IKEv2.[11]g ist oft eine kleine ganze Zahl wie 2. Wegen der zuf\u00e4lligen Selbstreduzierbarkeit des Problems des diskreten Logarithmus ist ein kleines g ist genauso sicher wie jeder andere Generator derselben Gruppe.Wenn Alice und Bob Zufallszahlengeneratoren verwenden, deren Ausgaben nicht vollst\u00e4ndig zuf\u00e4llig sind und in gewissem Ma\u00dfe vorhergesagt werden k\u00f6nnen, ist es viel einfacher, zuzuh\u00f6ren.In der urspr\u00fcnglichen Beschreibung bietet der Diffie-Hellman-Austausch selbst keine Authentifizierung der kommunizierenden Parteien und ist daher anf\u00e4llig f\u00fcr einen Man-in-the-Middle-Angriff. Mallory (ein aktiver Angreifer, der den Man-in-the-Middle-Angriff ausf\u00fchrt) kann zwei verschiedene Schl\u00fcsselaustausche einrichten, einen mit Alice und den anderen mit Bob, wodurch er sich effektiv als Alice zu Bob ausgibt und umgekehrt, sodass sie entschl\u00fcsseln und dann wieder zur\u00fcckgeben kann -encrypt, die zwischen ihnen ausgetauschten Nachrichten. Beachten Sie, dass Mallory weiterhin in der Mitte sein muss und Nachrichten bei jeder Kommunikation zwischen Alice und Bob aktiv entschl\u00fcsselt und neu verschl\u00fcsselt. Wenn sie jemals abwesend ist, wird ihre vorherige Anwesenheit Alice und Bob offenbart. Sie werden wissen, dass alle ihre privaten Gespr\u00e4che von jemandem im Kanal abgefangen und entschl\u00fcsselt wurden. In den meisten F\u00e4llen wird es ihnen nicht helfen, Mallorys privaten Schl\u00fcssel zu erhalten, selbst wenn sie denselben Schl\u00fcssel f\u00fcr beide B\u00f6rsen verwendet hat.Um diese Art von Angriff zu verhindern, wird im Allgemeinen ein Verfahren ben\u00f6tigt, um die kommunizierenden Parteien untereinander zu authentifizieren. Stattdessen k\u00f6nnen Varianten von Diffie-Hellman, wie das STS-Protokoll, verwendet werden, um diese Arten von Angriffen zu vermeiden.Praktische Angriffe auf den Internetverkehr[edit]Der Zahlenfeldsiebalgorithmus, der im Allgemeinen der effektivste bei der L\u00f6sung des Problems des diskreten Logarithmus ist, besteht aus vier Rechenschritten. Die ersten drei Schritte h\u00e4ngen nur von der Ordnung der Gruppe G ab, nicht von der konkreten Zahl, deren endlicher Logarithmus gew\u00fcnscht wird.[12] Es stellt sich heraus, dass ein Gro\u00dfteil des Internetverkehrs eine von einer Handvoll Gruppen verwendet, die eine Gr\u00f6\u00dfenordnung von 1024 Bit oder weniger haben.[3] Durch die Vorberechnung der ersten drei Schritte des Zahlenfeldsiebs f\u00fcr die g\u00e4ngigsten Gruppen muss ein Angreifer nur den letzten Schritt ausf\u00fchren, der viel weniger rechenintensiv als die ersten drei Schritte ist, um einen bestimmten Logarithmus zu erhalten. Der Logjam-Angriff nutzte diese Schwachstelle, um eine Vielzahl von Internetdiensten zu kompromittieren, die die Verwendung von Gruppen erm\u00f6glichten, deren Reihenfolge eine 512-Bit-Primzahl war, sogenannte Export-Grade. Die Autoren ben\u00f6tigten mehrere tausend CPU-Kerne f\u00fcr eine Woche, um Daten f\u00fcr einen einzelnen 512-Bit-Prime vorzurechnen. Danach konnten einzelne Logarithmen mit zwei 18-Kern Intel Xeon CPUs in etwa einer Minute gel\u00f6st werden.[3]Wie von den Autoren des Logjam-Angriffs gesch\u00e4tzt, w\u00fcrde die viel schwierigere Vorberechnung, die zur L\u00f6sung des diskreten Log-Problems f\u00fcr eine 1024-Bit-Primzahl erforderlich ist, in der Gr\u00f6\u00dfenordnung von 100 Millionen US-Dollar kosten, was weit im Budget eines gro\u00dfen nationalen Geheimdienstes wie der US-amerikanische National Security Agency (NSA). Die Autoren von Logjam spekulieren, dass Vorberechnungen gegen weit verbreitete 1024-Bit-DH-Primzahlen hinter den Behauptungen in durchgesickerten NSA-Dokumenten stehen, dass die NSA in der Lage ist, einen Gro\u00dfteil der aktuellen Kryptographie zu knacken.[3]Um diese Schwachstellen zu vermeiden, empfehlen die Logjam-Autoren die Verwendung der elliptischen Kurvenkryptographie, f\u00fcr die kein \u00e4hnlicher Angriff bekannt ist. Andernfalls empfehlen sie, dass die Bestellung, P, der Diffie-Hellman-Gruppe sollte mindestens 2048 Bit betragen. Sie sch\u00e4tzen, dass die f\u00fcr eine 2048-Bit-Primzahl erforderliche Vorberechnung 10 . betr\u00e4gt9 Mal schwieriger als bei 1024-Bit-Primzahlen.[3]Andere Verwendungen[edit]Verschl\u00fcsselung[edit]Verschl\u00fcsselungsschemata mit \u00f6ffentlichem Schl\u00fcssel basierend auf dem Diffie-Hellman-Schl\u00fcsselaustausch wurden vorgeschlagen. Das erste derartige Schema ist die ElGamal-Verschl\u00fcsselung. Eine modernere Variante ist das Integrated Encryption Scheme.Weiterleitungsgeheimnis[edit]Protokolle, die Forward Secrecy erreichen, generieren f\u00fcr jede Sitzung neue Schl\u00fcsselpaare und verwerfen sie am Ende der Sitzung. Der Diffie-Hellman-Schl\u00fcsselaustausch ist aufgrund seiner schnellen Schl\u00fcsselgenerierung eine h\u00e4ufige Wahl f\u00fcr solche Protokolle.Passwort-authentifizierte Schl\u00fcsselvereinbarung[edit]Wenn Alice und Bob ein Passwort teilen, k\u00f6nnen sie eine Form von Diffie-Hellman (Passwortauthentifizierte Schl\u00fcsselvereinbarung) verwenden, um Man-in-the-Middle-Angriffe zu verhindern. Ein einfaches Schema besteht darin, den Hash von zu vergleichen S mit dem unabh\u00e4ngig berechneten Passwort an beiden Enden des Kanals verkettet. Ein Merkmal dieser Schemata besteht darin, dass ein Angreifer bei jeder Iteration mit der anderen Partei nur ein bestimmtes Passwort testen kann, sodass das System mit relativ schwachen Passw\u00f6rtern eine gute Sicherheit bietet. Dieser Ansatz ist in der ITU-T-Empfehlung X.1035 beschrieben, die vom G.hn-Heimnetzwerkstandard verwendet wird.Ein Beispiel f\u00fcr ein solches Protokoll ist das Secure Remote Password-Protokoll.\u00d6ffentlicher Schl\u00fcssel[edit]Es ist auch m\u00f6glich, Diffie-Hellman als Teil einer Infrastruktur mit \u00f6ffentlichem Schl\u00fcssel zu verwenden, sodass Bob eine Nachricht so verschl\u00fcsseln kann, dass nur Alice sie entschl\u00fcsseln kann, ohne dass zuvor eine Kommunikation zwischen ihnen besteht, au\u00dfer dass Bob vertrauensw\u00fcrdige Kenntnis von Alices \u00f6ffentlichem Schl\u00fcssel hat . Alices \u00f6ffentlicher Schl\u00fcssel ist (geinmodP,g,P){displaystyle (g^{a}{bmod {p}},g,p)}. Um ihr eine Nachricht zu senden, w\u00e4hlt Bob eine zuf\u00e4llige B und schickt dann Alice gBmodP{displaystyle g^{b}{bmod {p}}} (unverschl\u00fcsselt) zusammen mit der mit symmetrischem Schl\u00fcssel verschl\u00fcsselten Nachricht (gein)BmodP{displaystyle (g^{a})^{b}{bmod {p}}}. Nur Alice kann den symmetrischen Schl\u00fcssel ermitteln und damit die Nachricht entschl\u00fcsseln, da nur sie ein (der private Schl\u00fcssel). Ein Pre-Shared Public Key verhindert zudem Man-in-the-Middle-Angriffe.In der Praxis wird Diffie-Hellman auf diese Weise nicht verwendet, da RSA der dominierende Public-Key-Algorithmus ist. Dies hat haupts\u00e4chlich historische und kommerzielle Gr\u00fcnde,[citation needed] n\u00e4mlich, dass RSA Security eine Zertifizierungsstelle f\u00fcr die Schl\u00fcsselsignierung erstellt hat, die zu Verisign wurde. Diffie-Hellman kann, wie oben ausgef\u00fchrt, nicht direkt zum Signieren von Zertifikaten verwendet werden. Die Signaturalgorithmen ElGamal und DSA sind jedoch mathematisch damit verwandt, ebenso wie MQV, STS und die IKE-Komponente der IPsec-Protokollsuite zur Absicherung der Internetprotokoll-Kommunikation.Siehe auch[edit]^ Synonyme f\u00fcr den Diffie-Hellman-Schl\u00fcsselaustausch sind:Diffie\u2013Hellman\u2013Merkle-Schl\u00fcsselaustauschDiffie-Hellman-Schl\u00fcsselvereinbarungDiffie\u2013Hellman-Schl\u00fcsseleinrichtungDiffie-Hellman-Schl\u00fcsselverhandlungExponentieller Schl\u00fcsselaustauschDiffie-Hellman-ProtokollDiffie-Hellman-H\u00e4ndedruckVerweise[edit]^ Merkle, Ralph C. (April 1978). \u201eSichere Kommunikation \u00fcber unsichere Kan\u00e4le\u201c. Mitteilungen des ACM. 21 (4): 294\u2013299. CiteSeerX 10.1.1.364.5157. mach:10.1145\/359460.359473. S2CID 6967714. Erhalten im August 1975; \u00fcberarbeitet September 1977^ ein B C Diffie, Whitfield; Hellman, Martin E. (November 1976). “Neue Wege in der Kryptographie” (PDF). IEEE-Transaktionen zur Informationstheorie. 22 (6): 644\u2013654. CiteSeerX 10.1.1.37.9720. mach:10.1109\/TIT.1976.1055638. Archiviert (PDF) vom Original vom 29.11.2014.^ ein B C D e F g Adrian, David; et al. (Oktober 2015). \u201eUnvollkommene Vorw\u00e4rtsgeheimhaltung: Wie Diffie-Hellman in der Praxis versagt\u201c (PDF).^ Ellis, JH (Januar 1970). “Die M\u00f6glichkeit der nicht geheimen digitalen Verschl\u00fcsselung” (PDF). CESG-Forschungsbericht. Archiviert von das Original (PDF) am 30.10.2014. Abgerufen 2015-08-28.^ “Die M\u00f6glichkeit einer sicheren, nicht geheimen digitalen Verschl\u00fcsselung” (PDF). Archiviert (PDF) vom Original am 16.02.2017. Abgerufen 2017-07-08.^ “GCHQ-Trio als Schl\u00fcssel f\u00fcr sicheres Online-Shopping anerkannt”. BBC News. 5. Oktober 2010. Archiviert vom Original am 10. August 2014. Abgerufen 5. August 2014.^ Hellman, Martin E. (Mai 2002), “Ein \u00dcberblick \u00fcber die Kryptographie mit \u00f6ffentlichen Schl\u00fcsseln” (PDF), IEEE-Kommunikationsmagazin, 40 (5): 42\u201349, CiteSeerX 10.1.1.127.2652, doi:10.1109\/MCOM.2002.1006971, S2CID 9504647, archiviert (PDF) vom Original am 02.04.2016^ Buchanan, Bill, “Diffie-Hellman-Beispiel in ASP.NET”, Bills Sicherheitstipps, archiviert aus dem Original am 27.08.2011, abgerufen 2015-08-27^ Buchmann, Johannes A. (2013). Einf\u00fchrung in die Kryptographie (Zweite Aufl.). Springer Wissenschaft+Wirtschaftsmedien. S. 190\u2013191. ISBN 978-1-4419-9003-7.^ Barbulescu, Razvan; Gaudry, Pierrick; Joux, Antoine; Thom\u00e9, Emmanuel (2014). “Ein heuristischer quasi-polynomialer Algorithmus f\u00fcr diskreten Logarithmus in endlichen Feldern kleiner Charakteristik” (PDF). Fortschritte in der Kryptologie \u2013 EUROCRYPT 2014. Proceedings 33. Annual International Conference on the Theory and Applications of Cryptographic Techniques. Skript zur Vorlesung Informatik. 8441. Kopenhagen, D\u00e4nemark. S. 1\u201316. mach:10.1007\/978-3-642-55220-5_1. ISBN 978-3-642-55220-5.^ “RFC 4306 Internet Key Exchange (IKEv2)-Protokoll”. Internet Engineering\/web\/20150107073645\/http:\/\/www.ietf.org\/rfc\/rfc4306.txt.^ Whitfield Diffie, Paul C. Van Oorschot und Michael J. Wiener “Authentication and Authenticated Key Exchanges”, in Designs, Codes and Cryptography, 2, 107\u2013125 (1992), Abschnitt 5.2, verf\u00fcgbar als Anhang B zu US-Patent 5,724,425Allgemeine Referenzen[edit]Gollmann, Dieter (2011). Computersicherheit (2. Aufl.). West Sussex, England: John Wiley & Sons, Ltd. ISBN 978-0470741153.Williamson, Malcolm J. (21. Januar 1974). Nicht geheime Verschl\u00fcsselung mit einem endlichen Feld (PDF) (Technischer Bericht). Sicherheitsgruppe f\u00fcr Kommunikationselektronik. Abgerufen 2017-03-22.Williamson, Malcolm J. (10. August 1976). Gedanken zur billigeren, nicht geheimen Verschl\u00fcsselung (PDF) (Technischer Bericht). Sicherheitsgruppe f\u00fcr Kommunikationselektronik. Abgerufen 2015-08-25.Die Geschichte der nicht geheimen Verschl\u00fcsselung JH Ellis 1987 (28K PDF-Datei) (HTML-Version)Die ersten zehn Jahre der Public-Key-Kryptografie Whitfield Diffie, Proceedings of the IEEE, vol. 76, Nr. 5, Mai 1988, S.: 560\u2013577 (1,9 MB PDF-Datei)Menez, Alfred; van Oorschot, Paul; Vanstone, Scott (1997). Handbuch der Angewandten Kryptographie Boca Raton, Florida: CRC-Presse. ISBN 0-8493-8523-7. (Online verf\u00fcgbar)Singh, Simon (1999) Das Codebuch: die Evolution der Geheimhaltung von Mary Queen of Scots zur Quantenkryptographie New York: Doppeltag ISBN 0-385-49531-5Ein \u00dcberblick \u00fcber die Kryptografie mit \u00f6ffentlichen Schl\u00fcsseln Martin E. Hellman, IEEE Communications Magazine, Mai 2002, S. 42\u201349. (123kB PDF-Datei)Externe Links[edit] (adsbygoogle = window.adsbygoogle || []).push({});after-content-x4"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/wiki.edu.vn\/wiki25\/#breadcrumbitem","name":"Enzyklop\u00e4die"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/wiki.edu.vn\/wiki25\/2021\/10\/30\/diffie-hellman-schlusselaustausch-wikipedia\/#breadcrumbitem","name":"Diffie-Hellman-Schl\u00fcsselaustausch \u2013 Wikipedia"}}]}]