Обмен ключами: Как работает обмен ключами в протоколе Диффи-Хеллмана

Я запускаю пример сервера HTTP2 (libevent-server.c) из nghttp2 на Ubuntu 15.04. Я хотел бы обнюхать пакет HTTP2 между клиентом и сервером с помощью Wireshark. Я не использую какой-либо веб-браузер в…

Я новичок в криптопрограммировании ECC. Кто-нибудь объяснит мне разницу между использованием ECDH для обмена общими ключами и использованием ECIES путем шифрования общего ключа с открытым ключом…

У меня есть коробка сборки, которую я использую для создания непрерывных сборок, а также для запуска ночных модульных тестов. Я использую Jenkins для выполнения сценариев сборки/модульного…

Мне нужно иметь возможность использовать Perl для определения версии python, работающей на удаленных серверах, с которыми у меня есть обмен ключами. Чтобы попытаться сделать это, я использую…

Попытка зашифровать текстовое сообщение с помощью алгоритма RSA. Для шифрования сообщения требуется ключ от клиента. Как происходит обмен ключами. Я изучил несколько алгоритмов обмена ключами, но не…

После нескольких дней работы над этим у меня есть работающая система CentOS 6. 3, привязанная к домену AD под управлением Windows 2008R2. Мой метод-pam на основе sssd с использованием аутентификации…

Я задался целью сделать примитивный клиент SSH в C#; вы, возможно, помните меня из таких постов, как примитивное соединение ssh (lowlevel) хе-хе. Во всяком случае, все идет отлично вплоть до того…

Я слышал, как SSH использует RSA и Диффи Хеллман. Я также знаю процесс обмена ключами следующим образом. Клиент инициализации Сервер инициализации Запрос на обмен ключами Ответить Новые ключи Он…

Как запустить и LXD контейнер на другом узле и обменять ssh Ключей с контейнером? То есть как дать Ansible прямой доступ к контейнеру LXD с помощью SSH? Я знаю о модуле authorized_key, однако это…

Поэтому я использую RHEL 7. У меня есть два сервера со следующими учетными записями пользователей корень (очевидный) администратор Я хочу, чтобы установка работала следующим образом. беспарольный…

Перевод %d0%be%d0%b1%d0%bc%d0%b5%d0%bd%20%d0%ba%d0%bb%d1%8e%d1%87%d0%b0%d0%bc%d0%b8 на турецкий

Я знала, как высоко Бог ценит человека и его тело, но даже это не останавливало меня. Дженнифер, 20 лет

Tanrı’nın insan bedenine büyük değer verdiğini biliyordum, ama bu bile beni durdurmadı” (Ceren, 20).

jw2019

Спорим на 20 баксов, что ты не сможешь провести целый день одна.

Yirmi dolara bahse girerim bir gün boyunca yalnız başına kalamazsın.

OpenSubtitles2018.v3

Когда мы помогаем другим, мы и сами в какой-то мере испытываем счастье и удовлетворение, и наше собственное бремя становится легче (Деяния 20:35).

Başkalarına kendimizden verdiğimizde, sadece onlara yardım etmiş olmayız, kendi yüklerimizi daha kolay taşınır kılan bir mutluluk ve doyum da tadarız. —Resullerin İşleri 20:35.

jw2019

Он уехал 20 минут назад.

OpenSubtitles2018.v3

20 Я приведу их в землю, о которой клялся их предкам+, в землю, где течёт молоко и мёд+, и они будут есть+ досыта, разжиреют+ и повернутся к другим богам+.

+ 20 Çünkü atalarına yeminle vaat ettiğim+ süt ve bal akan topraklara+ onları getireceğim, orada yiyip+ doyacaklar, semirecekler+ ve başka tanrılara yönelecekler,+ onlara kulluk edecek, Bana saygısızlık yaparak ahdimi bozacaklar.

jw2019

Я был женат 20 лет.

OpenSubtitles2018.v3

20 Оставлена родителями, но любима Богом

20 Bunları Biliyor Musunuz?

jw2019

20 Даже преследование или заключение в тюрьму не может закрыть уста преданных Свидетелей Иеговы.

20 Zulüm ve hapsedilme bile Yehova’nın sadık Şahitlerini susturamaz.

jw2019

Ты был в отключке минут 20.

Yaklaşık 20 dakikadır buradasın..

OpenSubtitles2018.v3

Есть ещё кое- что в начале 20— го века, что усложняло вещи ещё сильнее.

Şimdi 20. yüzyılın başlarında herşeyi daha da karışık hale getiren başka birşey daha var.

QED

б) Чему мы учимся из слов, записанных в Деяниях 4:18—20 и Деяниях 5:29?

(b) Elçiler 4:18-20 ve 5:29’daki sözlerden ne öğreniyoruz?

jw2019

«К одинадцати Апостолам» был причислен Матфий, чтобы служить с ними (Деяния 1:20, 24—26).

Bunun üzerine, “on bir resuller ile” birlikte hizmet etmek üzere Mattias tayin edildi.—Resullerin İşleri 1:20, 24-26.

jw2019

Большинство местных органов при планировании развития на следующие 5, 10, 15, 20 лет начинают с предпосылки, что можно ожидать больше энергии, больше автомобилей, больше домов, больше рабочих мест, больше роста и т. д.

Gelecekteki 5, 10, 15, 20 yılı hesaplamak için masaya oturduklarında yerel yetkililerin çoğu daha fazla enerji daha fazla araba ve ev daha fazla iş ve daha fazla kalkınma vb. olacağını farzederek işe başlıyorlar.

ted2019

Именно это приводит к счастью, как было сказано царем Соломоном: «Кто надеется на Господа, тот блажен [счастлив, НМ]» (Притчи 16:20).

Kral Süleyman’ın açıkladığı gibi bu, mutluluğa katkıda bulunur: “RABBE güvenen mutlu olur.”—Süleymanın Meselleri 16:20.

jw2019

20 Тогда Ио́в встал, разорвал+ на себе верхнюю одежду, остриг свою голову+, упал на землю+, поклонился+ 21 и сказал:

20 Eyüp kalktı, üstündeki kaftanı yırttı,+ saçını kesti+ ve eğilip+ yere kapanarak+ 21 şunları söyledi:

jw2019

Будьте щедрыми и заботьтесь о благополучии других (Деяния 20:35).

Cömert olmak ve başkalarını mutlu etmek için çaba harcamak (Elçiler 20:35).

jw2019

Два важнейших события 20 века:

20.yy en önemli iki olayı:

OpenSubtitles2018.v3

Это забавно, когда тебе 20 лет.

İnsan 20 yaşındayken ne kadar saf oluyor.

OpenSubtitles2018.v3

Он хочет 20 кусков и Иксбокс

20 bin dolar ve bir Xbox oldu diyor.

OpenSubtitles2018.v3

Исследователи провели эксперимент с учащимися колледжа — юношами и девушками. В течение 20 минут одна группа играла в жестокие видеоигры, а другая — в обычные.

Araştırmacılar rastgele seçilen kız ve erkek öğrencilerden 20 dakika boyunca şiddet içeren ya da içermeyen video oyunları oynamalarını istediler.

jw2019

Он мертв уже 20 лет.

OpenSubtitles2018.v3

В 1300-х годах бубонная чума убила около 20% населения Земли.

1300’lü yıllarda veba salgını dünya nüfusunun% 20‘sini yok etti.

OpenSubtitles2018.v3

Я попросил кофе 20 минут назад.

20 dakika önce kahve istemiştim.

OpenSubtitles2018.v3

Ему всего 20, но он уже живая легенда.

Daha yirmisinde ama yaşayan bir efsane.

OpenSubtitles2018.v3

Хорошо, подумайте об этих 20-25 минутах.

Şimdi o 20-25 dakikayı düşün.

OpenSubtitles2018.v3

keepassxc-browser 🚀 — бесполезная ошибка «Обмен ключами не прошел успешно». когда собственный хост обмена сообщениями не настроен

Просто для записи … давно сходил с ума от этой проблемы и только что нашел время, чтобы отладить и выяснить это … я использую хром , (ungoogle-chromium) + Linux … но Я опубликую решение в соответствии с Firefox и другими системами . .. это может помочь кому-то с аналогичной проблемой …

Прежде всего, это подробная документация (чтение — вот что привело меня к решению …)

Также в Chrome простой способ отладки — открыть режим разработчика в правом верхнем углу, затем щелкнуть Проверить фон представлений … под квадратом расширения KeepassXC … также под кнопкой подробностей вы можете выбрать сбор ошибок …

Прежде чем двигаться дальше, первое, что нужно сделать, это следовать вики-странице по устранению неполадок KeepassXC-браузера и обновить / исправить файл манифеста json, как описано там.

Затем (и здесь моя конфигурация / ошибка меня застряла) в собственной системе и / или ограничивать / запрещать, например, для chromium + linux политика json в манифесте под /etc/chromium/policies/managed/manifest.json которая содержит "NativeMessagingUserLevelHosts": false, полностью заблокирует систему и приведет к выдаче ошибки Key exchange was not successful в этом случае просто измените значение на true или просто удалите эту строку и вуаля 🙂

В понравившейся документации описываются разные места для разных политик, разных браузеров и ОС.

Я, вероятно, обновлю вики, чтобы обеспечить полное устранение неполадок собственной системы сообщений, иногда для некоторой расширенной настройки манифеста в местоположении пользователя недостаточно (как в моем случае)

Также во время отладки вы можете оставить диспетчер задач открытым, чтобы увидеть, запускает ли браузер двоичный файл keepassxc-proxy … также эту функцию необходимо включить в настройках KeepassXC.

Что такое TLS-рукопожатие и как оно устроено

TLS — это один из наиболее часто встречающихся инструментов безопасности, используемых в интернете, — пишет tproger.ru в своем переводе статьи Taking a Closer Look at the SSL/TLS Handshake. Протокол активно работает со многими процессами сетевого взаимодействия: передачей файлов, VPN-подключением (в некоторых реализациях для обмена ключами), службами обмена мгновенными сообщениями или IP-телефонией.

Один из ключевых аспектов протокола — это рукопожатие. Именно о нём мы поговорим в этой статье.

«Рукопожатие SSL/TLS» — это название этапа установки HTTPS-соединения. Большая часть работы, связанной с протоколом SSL/TLS, выполняется именно на этом этапе. В прошлом году IETF доработал TLS 1.3, полностью обновив процесс рукопожатия.
В статье будут освещены два вида рукопожатия — для протоколов TLS 1.2 и TLS 1.3, которые мы рассмотрим, начиная с абстрактного уровня и постепенно углубляясь в особенности:

• согласование криптографических протоколов;
• аутентификация с помощью SSL-сертификата;
• генерация сеансового ключа.

Как происходит TLS-рукопожатие

В HTTPS-соединении участвуют две стороны: клиент (инициатор соединения, обычно веб-браузер) и сервер. Цель рукопожатия SSL/TLS — выполнить всю криптографическую работу для установки безопасного соединения, в том числе проверить подлинность используемого SSL-сертификата и сгенерировать ключ шифрования.

Согласование шифронабора

Каждое программное обеспечение уникально. Поэтому даже самые популярные веб-браузеры имеют различную функциональность. Аналогично и на стороне сервера — Windows Server, Apache и NGINX также отличаются друг от друга. Всё становится ещё сложнее, когда вы добавляете пользовательские конфигурации.

Именно поэтому первый шаг TLS-рукопожатия — обмен информацией о своих возможностях между клиентом и сервером для дальнейшего выбора поддерживаемых криптографических функций.

Как только клиент и сервер согласовывают используемый шифронабор, сервер отправляет клиенту свой SSL-сертификат.

Аутентификация

Получив сертификат, клиент проверяет его на подлинность. Это чрезвычайно важный шаг. Чтобы соединение было безопасным, нужно не только зашифровать данные, нужно ещё убедиться, что они отправляются на правильный веб-сайт. Сертификаты SSL/TLS обеспечивают эту аутентификацию, а то, как они это делают, зависит от используемого шифронабора.

Все доверенные SSL-сертификаты выпускаются центром сертификации (ЦС). ЦС должен следовать строгим правилам выдачи и проверки сертификатов, чтобы ему доверяли. Вы можете считать ЦС кем-то вроде нотариуса — его подпись значит, что данные в сертификате реальны.

Во время аутентификационной части TLS-рукопожатия клиент выполняет несколько криптографически безопасных проверок с целью убедиться, что выданный сервером сертификат подлинный. Процесс включает в себя проверку цифровой подписи и того, выдан ли сертификат доверенным ЦС.

На этом этапе клиент косвенно проверяет, принадлежит ли серверу закрытый ключ, связанный с сертификатом.

В RSA, самой распространённой криптосистеме с открытым ключом, клиент с помощью открытого ключа шифрует случайные данные, которые будут использоваться для генерации сеансового ключа. Сервер сможет расшифровать и использовать эти данные, только если у него есть закрытый ключ, наличие которого обеспечивает подлинность стороны.

Если используется другая криптосистема, алгоритм может измениться, но проверка другой стороны на подлинность всё равно останется.

Обмен ключами

Последняя часть TLS-рукопожатия включает создание «сеансового ключа», который фактически будет использоваться для защищённой связи.

Сеансовые ключи являются «симметричными», то есть один и тот же ключ используется для шифрования и дешифрования.

Симметричное шифрование производительнее, чем асимметричное, что делает его более подходящим для отправки данных по HTTPS-соединению. Точный метод генерации ключа зависит от выбранного шифронабора, два самых распространённых из них — RSA и Диффи-Хеллман.

Чтобы завершить рукопожатие, каждая сторона сообщает другой, что она выполнила всю необходимую работу, а затем проверяет контрольные суммы, чтобы убедиться, что рукопожатие произошло без какого-либо вмешательства или повреждения.

Всё SSL-рукопожатие происходит за несколько сотен миллисекунд. Это первое, что произойдёт при HTTPS-соединении, даже до загрузки веб-страницы. После SSL-рукопожатия начинается зашифрованное и аутентифицированное HTTPS-соединение, и все данные, отправляемые и получаемые клиентом и сервером, защищены.

Вплоть до TLS 1.3 каждый раз, когда вы посещали сайт, рукопожатие происходило заново. Рукопожатие TLS 1.3 поддерживает 0-RTT или нулевое время возобновления приёма-передачи, что значительно увеличивает скорость для вернувшегося посетителя.

Пошаговый процесс рукопожатия в TLS 1.2

Рассмотрим TLS-рукопожатие с использованием RSA подробнее. Использование алгоритма Диффи-Хеллмана будет описано ниже.

1. Первое сообщение называется «Client Hello». В этом сообщении перечислены возможности клиента, чтобы сервер мог выбрать шифронабор, который будет использовать для связи. Также сообщение включает в себя большое случайно выбранное простое число, называемое «случайным числом клиента».
2. Сервер вежливо отвечает сообщением «Server Hello». Там он сообщает клиенту, какие параметры соединения были выбраны, и возвращает своё случайно выбранное простое число, называемое «случайным числом сервера». Если клиент и сервер не имеют общих шифронаборов, то соединение завершается неудачно.
3. В сообщении «Certificate» сервер отправляет клиенту свою цепочку SSL-сертификатов, включающую в себя листовой и промежуточные сертификаты. Получив их, клиент выполняет несколько проверок для верификации сертификата. Клиент также должен убедиться, что сервер обладает закрытым ключом сертификата, что происходит в процессе обмена/генерации ключей.
4. Это необязательное сообщение, необходимое только для определённых методов обмена ключами (например для алгоритма Диффи-Хеллмана), которые требуют от сервера дополнительные данные.
5. Сообщение «Server Hello Done» уведомляет клиента, что сервер закончил передачу данных.
6. Затем клиент участвует в создании сеансового ключа. Особенности этого шага зависят от метода обмена ключами, который был выбран в исходных сообщениях «Hello». Так как мы рассматриваем RSA, клиент сгенерирует случайную строку байтов, называемую секретом (pre-master secret), зашифрует её с помощью открытого ключа сервера и передаст обратно.
7. Сообщение «Change Cipher Spec» позволяет другой стороне узнать, что сеансовый ключ сгенерирован и можно переключиться на зашифрованное соединение.
8. Затем отправляется сообщение «Finished», означающее, что на стороне клиента рукопожатие завершено. С этого момента соединение защищено сессионным ключом. Сообщение содержит данные (MAC), с помощью которых можно убедиться, что рукопожатие не было подделано.
9. Теперь сервер расшифровывает pre-master secret и вычисляет сеансовый ключ. Затем отправляет сообщение «Change Cipher Spec», чтобы уведомить, что он переключается на зашифрованное соединение.
10. Сервер также отправляет сообщение «Finished», используя только что сгенерированный симметричный сеансовый ключ, и проверяет контрольную сумму для проверки целостности всего рукопожатия.

После этих шагов SSL-рукопожатие завершено. У обеих сторон теперь есть сеансовый ключ, и они могут взаимодействовать через зашифрованное и аутентифицированное соединение.

На этом этапе могут быть отправлены первые байты веб-приложения (данные, относящиеся к фактическому сервису, — HTML, Javascript и т. д.).

Пошаговый процесс рукопожатия в TLS 1.

Рукопожатие TLS 1.3 значительно короче, чем его предшественник.

1. Как и в случае TLS 1.2, сообщение «Client Hello» запускает рукопожатие, но на этот раз оно содержит гораздо больше информации. TLS 1.3 сократил число поддерживаемых шифров с 37 до 5. Это значит, что клиент может угадать, какое соглашение о ключах или протокол обмена будет использоваться, поэтому в дополнение к сообщению отправляет свою часть общего ключа из предполагаемого протокола.
2. Сервер ответит сообщением «Server Hello». Как и в рукопожатии 1.2, на этом этапе отправляется сертификат. Если клиент правильно угадал протокол шифрования с присоединёнными данными и сервер на него согласился, последний отправляет свою часть общего ключа, вычисляет сеансовый ключ и завершает передачу сообщением «Server Finished».
3. Теперь, когда у клиента есть вся необходимая информация, он верифицирует SSL-сертификат и использует два общих ключа для вычисления своей копии сеансового ключа. Когда это сделано, он отправляет сообщение «Client Finished».

Издержки TLS-рукопожатия

Исторически одна из претензий к SSL/TLS заключалась в том, что он перегружал серверы дополнительными издержками. Это повлияло на ныне несуществующее представление, что HTTPS медленнее, чем HTTP.

Рукопожатия до TLS 1.2 требовали много ресурсов и в больших масштабах могли серьёзно нагрузить сервер. Даже рукопожатия TLS 1.2 могут замедлить работу, если их происходит много в один момент времени. Аутентификация, шифрование и дешифрование — дорогие процессы.

На небольших веб-сайтах это скорее всего не приведёт к заметному замедлению работы, но для корпоративных систем, куда ежедневно приходят сотни тысяч посетителей, это может стать большой проблемой. Каждая новая версия рукопожатия существенно облегчает процесс: TLS 1.2 совершает две фазы, а TLS 1.3 укладывается всего в одну и поддерживает 0-RTT.

Улучшения рукопожатия TLS 1.3 по сравнению с TLS 1.2

В приведённом выше объяснении рукопожатие разделено на десять отдельных этапов. В действительности же многие из этих вещей происходят одновременно, поэтому их часто объединяют в группы и называют фазами.

У рукопожатия TLS 1.2 можно выделить две фазы. Иногда могут потребоваться дополнительные, но когда речь идёт о количестве, по умолчанию подразумевается оптимальный сценарий.

В отличие от 1.2, рукопожатие TLS 1.3 укладывается в одну фазу, хотя вернее будет сказать в полторы, но это всё равно значительно быстрее, чем TLS 1.2.

Сокращение шифронаборов

Никто никогда не собирался использовать 37 наборов для шифрования данных, так эволюционировал протокол. Каждый раз, когда добавлялся новый алгоритм, добавлялись новые комбинации, и вскоре IANA администрировала 37 различных шифронаборов.

Это плохо по двум причинам:

1. Такая варьируемость приводит к ошибочным конфигурациям, которые делают интернет-пользователей уязвимыми для известных эксплойтов.
2. Это сделало настройку SSL более запутанной.

IETF исключил в TLS 1. 3 поддержку всех алгоритмов, кроме самых безопасных, убирая путаницу за счёт ограничения выбора. В частности, был убран выбор метода обмена ключами. Эфемерная схема Диффи-Хеллмана стала единственным способом, позволяющим клиенту отправить информацию о своём ключе вместе с «Client Hello» в первой части рукопожатия. Шифрование RSA было полностью удалено вместе со всеми другими схемами обмена статическими ключами.

При этом есть одна потенциальная ахиллесова пята в TLS 1.3.

Нулевое время возобновления приёма-передачи — 0-RTT

0-RTT — это то, к чему стремился весь технологический мир, и вот оно здесь с TLS 1.3. Как уже было упомянуто, рукопожатие TLS исторически было не быстрым, так что было важно ускорить его. 0-RTT делает это путём сохранения некоторой секретной информации о клиенте, обычно идентификатора сеанса или сеансовых тикетов, чтобы использовать их при следующем соединении.

Несмотря на все преимущества 0-RTT, он содержит пару потенциальных подводных камней. Режим делает клиентов восприимчивыми к атакам воспроизведения, когда злоумышленник, которому каким-то образом удаётся получить доступ к зашифрованному сеансу, может получить данные 0-RTT, включая первый запрос клиента, и снова отправить их на сервер.

Тем не менее, использовать эксплойт непросто. Вероятно, такой риск — небольшая цена за чрезвычайно полезную функцию.

Безопасность

С самого начала вызывало опасение количество информации, отправляемой в виде открытого текста во время рукопожатия. Очевидно, что это небезопасно, поэтому чем больше шагов рукопожатия происходит в зашифрованном виде, тем лучше.

В рукопожатии TLS 1.2 этапы согласования не были защищены, вместо этого использовалась простая MAC-функция, чтобы никто не вмешался в передачу. В этап согласования входят сообщения «Client Hello» и «Server Hello».

MAC-функция действует как индикатор, но не даёт никаких гарантий безопасности. Возможно, вы слышали об атаке, которая вынуждает стороны использовать менее безопасные протоколы и функции (downgrade attack). Если и сервер, и клиент поддерживают устаревшие шифронаборы — информацию об этом легко получить, прослушивая соединение, — злоумышленник может изменить шифрование, выбранное сервером, на более слабое. Такие атаки не опасны сами по себе, но открывают дверь для использования других известных эксплойтов тех шифронаборов, на которые был изменён выбранный изначально.

Рукопожатие TLS 1.3 использует цифровую подпись на ранних стадиях соединения, что делает его более безопасным и защищает от атак, меняющих шифронабор. Подпись также позволяет быстрее и эффективнее аутентифицировать сервер.

Теперь посмотрим, как эти обновления для рукопожатия TLS 1.3 будут реализованы во всех трёх основных функциях самого рукопожатия SSL/TLS.

Шифронаборы TLS-рукопожатия

Шифронабор — это набор алгоритмов, определяющих параметры безопасного соединения.

В начале любого соединения самое первое взаимодействие, «Client Hello», представляет собой список поддерживаемых шифронаборов. Сервер выбирает лучший, наиболее безопасный вариант, который поддерживается им и отвечает его требованиям. Вы можете посмотреть на шифронабор и выяснить все параметры рукопожатия и соединения.

Шифронаборы TLS 1.2

• TLS — протокол.
• ECDHE — алгоритм обмена ключами.
• ECDSA — алгоритм аутентификации.
• AES 128 GCM — алгоритм симметричного шифрования.
• SHA256 — алгоритм хеширования.

В приведённом выше примере используется эфемерная система Диффи-Хеллмана (DH) с эллиптической кривой для обмена ключами и алгоритм цифровой подписи эллиптической кривой для аутентификации. DH также может быть соединен с RSA (функционирующим как алгоритм цифровой подписи) для выполнения аутентификации.

Вот список наиболее широко поддерживаемых шифронаборов TLS 1.2: Шифронаборы

Шифронаборы TLS 1.3

• TLS — протокол.
• AES 256 GCM — алгоритм аутентифицированного шифрования с присоединёнными данными (AEAD).
• SHA384 — алгоритм функции формирования хешированного ключа (HKFD).

Мы уже знаем, что будем использовать какую-то версию обмена эфемерными ключами Диффи-Хеллмана, но не знаем параметров, так что первые два алгоритма в шифронаборе TLS 1.2 больше не нужны. Эти функции всё ещё выполняются, их просто больше не нужно согласовывать во время рукопожатия.

Из приведённого выше примера видно, что используется AES (Advanced Encryption Standard) для шифрования большого объёма данных. Он работает в режиме счётчика Галуа с использованием 256-битных ключей.

Вот пять шифронаборов, которые поддерживаются в TLS 1.3:

• TLS_AES_256_GCM_SHA384;
• TLS_CHACHA20_POLY1305_SHA256;
• TLS_AES_128_GCM_SHA256;
• TLS_AES_128_CCM_8_SHA256;
• TLS_AES_128_CCM_SHA256.

Что изменилось в TLS 1.3 по сравнению с TLS 1.2?

Важно помнить, что при создании версии 1.3 главным было повышение безопасности и производительности. Для этого в TLS 1. 3 был переработан алгоритм генерация ключей и исправлены известные уязвимости.

В рукопожатии TLS 1.3 также стали лучше некоторые процессы, например аутентификация сообщений и цифровые подписи.

Наконец, в дополнение к постепенному отказу от старых алгоритмов генерации ключей или обмена ими, TLS 1.3 устраняет старые симметричные шифры. В TLS 1.3 полностью исключили блочные шифры. Единственный разрешённый в TLS 1.3 тип симметричных шифров называется шифрованием с проверкой подлинности с использованием дополнительных данных (AEAD). Он объединяет шифрование и проверку подлинности сообщений (MAC) в одну функцию.

Аутентификация в TLS-рукопожатии

Исторически двумя основными вариантами обмена ключами являются RSA и Диффи-Хеллман (DH), в наши дни DH часто ассоциируется с эллиптическими кривыми (ECDH). Несмотря на некоторые основные сходства, между этими двумя подходами к обмену ключами есть фундаментальные различия.

Иными словами, TLS-рукопожатие RSA отличается от TLS-рукопожатия ECDH. Краткая история RSA и DH/ECC

Аутентификация в рукопожатии TLS 1.2

Как было только что сказано, дополнительная функциональность RSA для аутентификации с помощью цифровых подписей требует больших ключей, устойчивых к атакам перебором. Размер этих ключей сильно увеличивает затраты на их вычисление, шифрование и дешифрование во время рукопожатия.

С другой стороны, если Диффи-Хеллман не выполняет аутентификацию, то что он делает? Как было сказано выше, DH часто используют совместно с криптографией на основе эллиптических кривых, чтобы обеспечить аутентификацию и обмен ключами.

Эллиптическая криптография (ECC) имеет гораздо меньшие размеры ключей, которые соответствуют эллиптической кривой, на которой они основаны. Для этого контекста есть пять подходящих кривых:

• 192 бит;
• 224 бита;
• 256 бит;
• 384 бит;
• 521 бит.

Но это не единственное различие между открытыми/закрытыми ключами ECC и ключами RSA. Они используются для двух совершенно разных целей во время рукопожатия TLS.

В RSA пара открытый/закрытый ключ используется как для проверки подлинности сервера, так и для обмена симметричным ключом сеанса. Фактически, именно успешное использование секретного ключа для расшифровки секрета (pre-master secret) аутентифицирует сервер.

С Диффи-Хеллманом пара открытый/закрытый ключ НЕ используется для обмена симметричным сеансовым ключом. Когда задействован Диффи-Хеллман, закрытый ключ фактически связан с прилагаемым алгоритмом подписи (ECDSA или RSA).

RSA-аутентификация

Процесс RSA-аутентификации связан с процессом обмена ключами. Точнее обмен ключами является частью процесса аутентификации.

Когда клиенту предоставляется SSL-сертификат сервера, он проверяет несколько показателей:

• цифровую подпись с использованием открытого ключа;
• цепочку сертификатов, чтобы убедиться, что сертификат происходит от одного из корневых сертификатов в хранилище доверенных сертификатов;
• срок действия, чтобы убедиться, что он не истёк;
• статус отзыва сертификата.

Если все эти проверки прошли, то проводится последний тест — клиент шифрует pre-master secret с помощью открытого ключа сервера и отправляет его. Любой сервер может попытаться выдать любой SSL/TLS-сертификат за свой. В конце концов, это общедоступные сертификаты. А так клиент может провести аутентификацию сервера, увидев закрытый ключ «в действии».

Таким образом, если сервер может расшифровать pre-master secret и использовать его для вычисления сессионного ключа, он получает доступ. Это подтверждает, что сервер является владельцем используемой пары из открытого и закрытого ключа.

DH-аутентификация

Когда используются Диффи-Хеллман и ECDSA/RSA, аутентификация и обмен ключами разворачиваются бок о бок. И это возвращает нас к ключам и вариантам их использования. Открытый/закрытый ключ RSA используется как для обмена ключами, так и для аутентификации. В DH + ECDSA/RSA асимметричная пара ключей используется только для этапа цифровой подписи или аутентификации.

Когда клиент получает сертификат, он всё ещё проводит стандартные проверки:

• проверяет подпись на сертификате,
• цепочку сертификатов,
• срок действия,
• статус отзыва.

Но владение закрытым ключом подтверждается по-другому. Во время обмена ключами TLS-рукопожатия (шаг 4) сервер использует свой закрытый ключ для шифрования случайного числа клиента и сервера, а также свой DH-параметр. Он действует как цифровая подпись сервера, и клиент может использовать связанный открытый ключ для проверки, что сервер является законным владельцем пары ключей.

Аутентификация в рукопожатии TLS 1.3

В TLS 1.3 аутентификация и цифровые подписи всё ещё играют важную роль, но они были исключены из шифронаборов для упрощения согласования. Они реализованы на стороне сервера и используют несколько алгоритмов, поддерживаемых сервером, из-за их безопасности и повсеместного распространения. В TLS 1.3 разрешены три основных алгоритма подписи:

• RSA (только подпись),
• алгоритм цифровой подписи эллиптической кривой (ECDSA),
• алгоритм цифровой подписи Эдвардса (EdDSA).

В отличие от рукопожатия TLS 1.2, аутентификационная часть рукопожатия TLS 1.3 не связана с самим обменом ключами. Скорее она обрабатывается параллельно с обменом ключами и аутентификацией сообщений.

Вместо запуска симметричной схемы MAC для проверки целостности рукопожатия, сервер подписывает весь хеш расшифровки, когда возвращает «Server Hello» со своей частью общего ключа.

Клиент получает всю информацию, передающуюся с «Server Hello», и выполняет стандартную серию проверок подлинности сертификата SSL/TLS. Она включает в себя проверку подписи на сертификате, а затем проверку на соответствие подписи, которая была добавлена в хеш расшифровки.

Совпадение подтверждает, что сервер владеет секретным ключом.

Обмен ключами в TLS-рукопожатии

Если выделить главную мысль этого раздела, она будет звучать так:

RSA облегчает обмен ключами, позволяя клиенту шифровать общий секрет и отправлять его на сервер, где он используется для вычисления соответствующего сеансового ключа. Обмен ключами DH на самом деле вообще не требует обмена открытым ключом, скорее обе стороны создают ключ вместе.

Если сейчас это звучит немного абстрактно, к концу этого раздела всё должно проясниться.

Обмен ключами RSA

Называть это обменом ключами RSA на самом деле неправильно. На самом деле это RSA-шифрование. RSA использует асимметричное шифрование для создания ключа сеанса. В отличие от DH, пара открытого/закрытого ключей играет большую роль.

Вот как это происходит:

1. Клиент и сервер обмениваются двумя простыми числами (x и y), которые называют случайными числами.
2. Клиент генерирует pre-master secret (a), а затем использует открытый ключ сервера для его шифрования и отправки на сервер.
3. Сервер расшифровывает pre-master secret с помощью соответствующего закрытого ключа. Теперь обе стороны имеют все три входных переменных и смешивают их с некоторыми псевдослучайными функциями (PRF) для создания мастер-ключа.
4. Обе стороны смешивают мастер-ключ с ещё большим количеством PRF и получают совпадающие сеансовые ключи.

Обмен ключами DH

Вот как работает ECDH:

1. Клиент и сервер обмениваются двумя простыми числами (x и y), которые называют случайными числами.
2. Одна сторона выбирает секретный номер, называемый pre-master secret (a), и вычисляет: x^a mod y. Затем отправляет результат (A) другому участнику.
3. Другая сторона делает то же самое, выбирая свой собственный pre-master secret (b) и вычисляет x^b mod y, а затем отправляет обратно своё значение (B).
4. Обе стороны заканчивают эту часть, принимая заданные значения и повторяя операцию. Один вычисляет b^a mod y, другой вычисляет a^b mod y.

Существует свойство показателей по модулю, которое говорит, что каждая сторона получит одно и то же значение, которое будет ключом, используемым для симметричного шифрования во время соединения.

Рукопожатие TLS 1.2 для DH

Теперь, когда мы узнали, чем DH отличается от RSA, посмотрим, как выглядит рукопожатие TLS 1.2 на основе DH.

Опять же, между этими двумя подходами существует множество сходств. Мы будем использовать ECDHE для обмена ключами и ECDSA для аутентификации.

1. Как и в случае с RSA, клиент начинает с сообщения «Client Hello», которое включает в себя список шифронаборов, а также случайное число клиента.
2. Сервер отвечает своим сообщением «Server Hello», которое включает в себя выбранный шифронабор и случайное число сервера.
3. Сервер отправляет свой SSL-сертификат. Как и при TLS-рукопожатии RSA клиент выполнит серию проверок подлинности сертификата, но, поскольку сам DH не может аутентифицировать сервер, необходим дополнительный механизм.
4. Чтобы провести аутентификацию, сервер берёт случайные числа клиента и сервера, а также параметр DH, который будет использоваться для вычисления сеансового ключа, и шифрует их с помощью своего закрытого ключа. Результат будет выполнять роль цифровой подписи: клиент использует открытый ключ для проверки подписи и того, что сервер является законным владельцем пары ключей, и ответит своим собственным параметром DH.
5. Сервер завершает эту фазу сообщением «Server Hello Done».
6. В отличие от RSA, клиенту не нужно отправлять pre-master secret на сервер с использованием асимметричного шифрования, вместо этого клиент и сервер используют параметры DH, которыми они обменялись ранее, чтобы получить pre-master secret. Затем каждый использует pre-master secret, который он только что рассчитал, для получения одинакового сеансового ключа.
7. Клиент отправляет сообщение «Change Cipher Spec», чтобы сообщить другой стороне о своём переходе на шифрование.
8. Клиент отправляет финальное сообщение «Finished», чтобы сообщить, что он завершил свою часть рукопожатия.
9. Аналогично, сервер отправляет сообщение «Change Cipher Spec».
10. Рукопожатие завершается сообщением «Finished» от сервера.

Преимущества DHE перед RSA

Существует две основные причины, по которым сообщество криптографов предпочитает использовать DHE, а не RSA: совершенная прямая секретность и известные уязвимости.

Совершенная прямая секретность

Ранее вы, возможно, задавались вопросом, что означает слово «эфемерный» в конце DHE и ECDHE. Эфемерный буквально означает «недолговечный». И это может помочь понять совершенную прямую секретность (Perfect Forward Secrecy, PFS), которая является особенностью некоторых протоколов обмена ключами. PFS гарантирует, что сессионные ключи, которыми обмениваются стороны, не могут быть скомпрометированы, даже если скомпрометирован закрытый ключ сертификата. Другими словами, он защищает предыдущие сессии от извлечения и дешифрования. PFS получила высший приоритет после обнаружения ошибки Heartbleed. Это основной компонент TLS 1.3.

Уязвимость обмена ключами RSA

Существуют уязвимости, которые могут использовать заполнение (padding), используемое во время обмена ключами в старых версиях RSA (PKCS #1 1.5). Это один из аспектов шифрования. С RSA pre-master secret должен быть зашифрован открытым ключом и расшифрован закрытым ключом. Но когда этот меньший по длине pre-master secret помещается в больший открытый ключ, он должен быть дополнен. В большинстве случаев попытавшись угадать заполнение и отправив поддельный запрос на сервер, вы ошибётесь, и он распознает несоответствие и отфильтрует его. Но есть немалая вероятность, что вы сможете отправить на сервер достаточное количество запросов, чтобы угадать правильное заполнение. Тогда сервер отправит ошибочное законченное сообщение, что, в свою очередь, сузит возможное значение pre-master secret. Это позволит злоумышленнику рассчитать и скомпрометировать ключ.

Вот почему RSA был удалён в пользу DHE в TLS 1.3.

Обмен ключами в рукопожатии TLS 1.3

В рукопожатии TLS 1.3 из-за ограниченного выбора схем обмена ключами клиент может успешно угадать схему и отправить свою часть общего ключа во время начального этапа (Client Hello) рукопожатия.

RSA была не единственной схемой обмена ключами, которая была удалена в TLS 1.3. Неэфемерные схемы Диффи-Хеллмана тоже были ликвидированы, как и перечень недостаточно безопасных параметров Диффи-Хеллмана.

Что имеется в виду под недостаточно безопасными параметрами? Не углубляясь в математику, сложность Диффи-Хеллмана и большинства криптосистем с открытым ключом — это сложность решения задач дискретного логарифма. Криптосистема должна быть достаточно сложной для вычисления, если неизвестны входные параметры (случайные числа клиента и сервера), иначе вся схема окажется бесполезной. Схемы Диффи-Хеллмана, которые не могли обеспечить достаточно большие параметры, были исключены в TLS 1.3.

1. В начале рукопожатия TLS 1.3, зная, что будет использоваться DHE-схема соглашения о ключах, клиент включает свою часть общего ключа на основе предполагаемой схемы обмена ключами в своё сообщение «Client Hello».
2. Сервер получает эту информацию и, если клиент угадал, возвращает свою часть общего ключа в «Server Hello».
3. Клиент и сервер вычисляют сеансовый ключ.

Это очень похоже на то, что происходит с DH в рукопожатии TLS 1.2, кроме того, что в TLS 1.3 обмен ключами происходит раньше.

Вместо заключения

SSL/TLS-рукопожатие — это увлекательный процесс, который имеет ключевое значение для безопасного интернета, и всё же он происходит так быстро и незаметно, что большинство людей даже никогда не задумывается об этом.

По крайней мере, пока что-то не пойдёт не так, как нужно.

Почему обмен ключами нужно вообще?

Есть много шагов, необходимых для понимания причин и я постараюсь, чтобы направлять вас через каждый.

1) правильно использовать шифрование…

с алгоритмом RSA, Алиса и Боб могут просто обменяться открытыми ключами (public_a, public_b) и держать их закрытыми ключами (private_a, private_b). Алиса может просто послать Бобу сообщения, которые зашифрованы по private_a, и Боб может расшифровать его по public_a. Они еще могут общаться в незащищенной сети, без ключа Диффи–Хелмана В обмен на все.

Это в корне неверные. Что вы делаете в этой части подписи, а не шифрования. Поскольку public_key_a является общедоступным, ваши сообщения не будут зашифрованы все. Вместо этого, нужно, быть шифрования сообщений с public_key_b и тогда б может расшифровать их с private_key_b. Поскольку private_key_b знаю только б, знает, что только б его можно было расшифровать.

Цифровая подпись доказывает, что приходят сообщения от конкретного человека. Шифрование доказывает, что только вы, держатель ключа, и человек, что зашифрованные сообщения, отправитель сообщения, знаю сообщении. Вы должны иметь шифрования и подписи при использовании асимметричного шифрования. Шифрование для обеспечения конфиденциальности сообщений и подписи, чтобы доказать, что ты тот, кто послал это сообщение.

Но, есть еще что-то… например, по-прежнему необходимо для защиты от атак воспроизведения.

2) Боб, как правило, не’т иметь публичный ключ

Позвольте’ы сказать, что Алис (а) это сервер и Боб (Б) клиента. Как правило, клиент не’т иметь открытый ключ. Например, знаете ли вы публичный ключ? Ответ, скорее всего, нет. Таким образом, Вася может получить сообщение от Алиса и убедитесь, что они действительно пришло от Алисы, но Алиса не может быть уверен, что получает действительно от Боба пришло от Боба.

Эта проблема является одной из первопричин, почему мы добавили протокол обмена ключами вроде Диффи-Хеллмана.

3) ОГА только один блок.

Существует метод, используемый, чтобы зашифровать длинное сообщение, которое называется сцепления блоков шифра. К сожалению, этот метод не может быть использован с РСА. Это’s не то, что он’s совершенно невозможно, а то, что никто не знает, если это’ы очень безопасно, если мы делаем это. Следовательно, он ограничивает шифрования RSA в один блок. С другой стороны, симметричные алгоритмы шифрования, такой как AES работает как шарм с блоком сцепления и почему мы их используем.

Для дальнейшего чтения : https://crypto.stackexchange.com/a/126/16369

4) Диффи-Хеллман-это протокол обмена ключами

Диффи-Хеллмана-это просто способ, чтобы «создавать и обмениваться» а ключ, который затем может быть использован для симметричного шифрования. В сила Диффи-Хеллмана заключается в том, что все беседы, чтобы создать этот ключ может произойти в обычный текст и ключ остались бы наедине.

Примечание : Диффи-Хелмана не’т решить проблему MITM атак, поскольку он не может проверить подлинность участники общаются друг с другом. Эта проблема вместо того, чтобы решить с цифровая подпись.

5) эфемерный открытый ключ Диффи-Хеллмана обеспечивает совершенную прямую секретность

Эфемерный открытый ключ Диффи-Хеллмана-это просто красивое название, чтобы сказать, что вы создаете новый ключ Диффи-Хеллмана-пара каждой сессии и вы не’т сохранить их. Поскольку вы никогда не сохранить их, злоумышленник не сможет извлечь их.

Смотреть на это очень хороший ответ для более подробной информации : https://security.stackexchange.com/a/38142/50051

6) эфемерный открытый ключ Диффи-Хеллмана защищает от атаки воспроизведения

Очень хороший побочный эффект использования эфемерный открытый ключ Диффи-Хеллмана заключается в том, что он также защищает от атаки воспроизведения. Поскольку сервер и клиент выбирает новый случайный закрытый ключ Диффи-Хелмана каждой сессии, вы не можете повторить сообщение из другой сессии, чтобы выдать себя за сервер или клиент.

Вывод

Это очень краткий обзор того, как TLS работает и все эти части обязаны обеспечить безопасное соединение. Без симметричного шифрования вы не можете зашифровать длинное сообщение и без асимметричного шифрования вы не сможете использовать ключ шифрования и обеспечивает совершенную прямую секретность.

Что такое обмен ключами Диффи-Хеллмана и как он работает?

Обмен ключами Диффи-Хеллмана был одна из самых важных разработок в криптографии с открытым ключом и он до сих пор часто применяется в ряде современных протоколов безопасности.

Это позволяет двум сторонам, которые ранее не встречались, безопасно установить ключ, который они могут использовать для защиты своих сообщений. В этой статье мы объясним, для чего он используется, как он работает поэтапно, его различные варианты, а также соображения безопасности, которые необходимо учитывать для безопасной реализации..

Обмен ключами Диффи-Хеллмана был первый широко используемый метод безопасной разработки и обмена ключами по небезопасному каналу.

В приведенных выше терминах это может показаться не таким захватывающим или новаторским, поэтому давайте приведем пример, который объясняет, почему обмен ключами Диффи-Хеллмана был такой важной вехой в мире криптографии, и почему он до сих пор так часто используется сегодня.

Допустим, вы совершенно секретный шпион, и вам нужно отправить важную информацию в вашу штаб-квартиру. Как бы вы помешали своим врагам овладеть посланием??

Наиболее распространенным решением было бы зашифровать сообщение с помощью кода. Самый простой способ — заранее подготовить код и ключ, которые вы планируете использовать заранее, или сделать это по безопасному каналу связи..

Допустим, вы особенно плохой шпион, и вы и ваша штаб-квартира решили использовать слабый шифр для шифрования ваших сообщений. В этом коде каждое «a» становится «b», каждое «b» становится «c», каждое «c» становится «d» и так далее, вплоть до «z», становящегося «a».

Под этим шифром смены сообщение «Давай поужинаем» становится «Mfu’t hfu ejoofs». К счастью, в нашей гипотетической ситуации ваши противники так же некомпетентны, как и вы, и не могут взломать такой простой код, который не позволяет им получить доступ к содержанию сообщения..

Но что произойдет, если вы не смогли заранее согласовать код с получателем?

Допустим, вы хотите общаться с шпионом из союзной нации, которого вы никогда не встречали раньше. У вас нет безопасного канала для общения с ними. Если вы не зашифруете свое сообщение, то любой злоумышленник, который его перехватит, сможет прочитать содержимое. Если вы зашифруете его, не сообщив союзнику код, тогда враг не сможет прочитать его, но и союзник не сможет.

Эта проблема была одной из самых больших загадок в криптографии до 1970-х годов:

Как вы можете безопасно обмениваться информацией с кем-то, если у вас не было возможности поделиться ключом заранее?

Обмен ключами Диффи-Хеллмана был первым публично используемым механизмом решения этой проблемы. Алгоритм позволяет тем, кто никогда ранее не встречался, безопасно создавать общий ключ, даже по небезопасному каналу, который могут отслеживать противники..

Обмен ключами Диффи-Хеллмана уходит корнями в 1970-е годы. Хотя область криптографии значительно развивалась в начале двадцатого века, эти достижения были в основном сосредоточены в области криптографии с симметричным ключом..

Лишь в 1976 году в публичной сфере появились алгоритмы с открытым ключом, когда Уитфилд Диффи и Мартин Хеллман опубликовали свою статью., Новые направления в криптографии. В рамках сотрудничества были определены механизмы, лежащие в основе новой системы, которая станет известна как Обмен ключами Диффи-Хеллмана.

Работа была частично вдохновлена ​​более ранними событиями, сделанными Ральфом Мерклом. Так называемой Пазлы Меркля привлекать одну сторону, создавая и отправляя множество криптографических головоломок другой. Эти головоломки потребуют умеренного количества вычислительных ресурсов для решения.

Получатель будет случайным образом выбирать одну головоломку для решения и затем затрачивать необходимые усилия для ее завершения.. После того, как загадка решена, получателю передаются идентификатор и ключ сеанса. Затем получатель передает идентификатор обратно исходному отправителю, что позволяет отправителю узнать, какая головоломка была решена.

Поскольку исходный отправитель создал головоломки, идентификатор сообщает им, какой сеансовый ключ обнаружил получатель, и обе стороны могут использовать этот ключ для более безопасной связи. Если злоумышленник прослушивает взаимодействие, он получит доступ ко всем головоломкам, а также к идентификатору, который получатель передает обратно исходному отправителю..

Идентификатор не сообщает злоумышленнику, какой ключ сеанса используется, поэтому лучший способ расшифровки информации — это решить все головоломки, чтобы найти правильный ключ сессии. Так как злоумышленнику в среднем придется решить половину головоломок, ему будет гораздо сложнее раскрыть ключ, чем получателю..

Такой подход обеспечивает большую безопасность, но это далеко не идеальное решение. Обмен ключами Диффи-Хеллмана взял некоторые из этих идей и сделал их более сложными, чтобы создать безопасный метод криптографии с открытым ключом.

Хотя он стал известен как обмен ключами Диффи-Хеллмана, Мартин Хеллман предложил вместо этого назвать алгоритм обмена ключами Диффи-Хеллмана-Меркля, чтобы отразить работу, которую Ральф Меркл проделал в области криптографии с открытым ключом..

Публично считалось, что Меркл, Хеллман и Диффи были первыми, кто разработал криптографию с открытым ключом до 1997 года, когда британское правительство рассекретило работу, проделанную в начале 1970-х годов Джеймс Эллис, Клиффорд Кокс и Малкольм Уильямсон.

Оказывается, трио разработало первую схему шифрования с открытым ключом между 1969 и 1973 годами, но их работа была засекречена на два десятилетия. Он проводился в правительственном штабе связи (GCHQ), разведывательном агентстве Великобритании.

Их открытие было фактически алгоритмом RSA, поэтому Диффи, Хеллман и Меркл все еще были первыми, кто разработал обмен ключами Диффи-Хеллмана, но уже не были первыми изобретателями криптографии с открытым ключом..

Основной целью обмена ключами Диффи-Хеллмана является надежно разрабатывать общие секреты, которые можно использовать для получения ключей. Эти ключи могут затем использоваться с алгоритмами симметричного ключа для передачи информации защищенным способом.. Симметричные алгоритмы обычно используются для шифрования большей части данных, поскольку они более эффективны, чем алгоритмы с открытым ключом..

Технически обмен ключами Диффи-Хеллмана может использоваться для установления открытых и закрытых ключей. Однако на практике вместо этого обычно используется RSA. Это связано с тем, что алгоритм RSA также способен подписывать сертификаты открытых ключей, в то время как обмен ключами Диффи-Хеллмана не.

Алгоритм Эль-Гамаля, который активно использовался в PGP, основан на обмене ключами Диффи-Хеллмана, поэтому любой протокол, который его использует, эффективно реализует своего рода Диффи-Хеллмана..

Одним из наиболее распространенных методов безопасного распределения ключей является обмен ключами Диффи-Хеллмана. часто применяется в протоколах безопасности, таких как TLS, IPsec, SSH, PGP и многих других. Это делает его неотъемлемой частью нашей безопасной связи.

В рамках этих протоколов обмен ключами Диффи-Хеллмана часто используется для обеспечения безопасности вашего соединения с веб-сайтом, для удаленного доступа к другому компьютеру и для отправки зашифрованных электронных писем.

Обмен ключами Диффи-Хеллмана сложен, и может быть сложно понять, как он работает. Он использует очень большие числа и много математики, то, что многие из нас до сих пор боятся тех долгих и скучных уроков в средней школе.

Чтобы сделать вещи немного проще для понимания, мы начнем с объяснения обмена ключами Диффи-Хеллмана с аналогией. Как только у вас появится общее представление о том, как это работает, мы перейдем к более техническому описанию основных процессов..

Лучшая аналогия для схемы Диффи-Хеллмана — думать о два человека смешивают краску. Давайте использовать стандарт криптографии и скажем, что их зовут Алиса и Боб. Они оба договариваются о случайном цвете, чтобы начать с. Допустим, они отправляют друг другу сообщение и выбрать желтый как их общий цвет, как на схеме ниже:

Сам по себе свой секретный цвет. Они не говорят другой стороне свой выбор. Допустим, Алиса выбирает красный, в то время как Боб выбирает слегка зеленовато-синий.

Следующий шаг для Алисы и Боба — смешать их секретный цвет (красный для Алисы, зеленовато-синий для Боба) с желтым, с которым они взаимно согласились. Согласно диаграмме, Алиса заканчивается Оранжевая смесь, в то время как результат Боба глубокий синий.

Как только они закончили смешивание, они отправляют результат другой стороне.. Алиса получает более глубокий синий, пока Бобу посылают оранжевую краску.

Как только они получили смешанный результат от своего партнера, они затем добавляют свой секретный цвет к нему. Алиса берет более глубокий синий цвет и добавляет свою секретную красную краску, пока Боб добавляет свой секретный зеленовато-синий к апельсиновой смеси, которую он только что получил.

Результат? Они оба выходят с одинаковым цветом, который в этом случае отвратительный коричневый. Это может быть не тот цвет, которым вы хотели бы покрасить свою гостиную, но, тем не менее, это общий цвет. Этот общий цвет называется общий секрет.

Важнейшей частью обмена ключами Диффи-Хеллмана является то, что обе стороны получают один и тот же результат без необходимости передавать весь общий секрет по каналу связи.. Выбор общего цвета, их собственных секретных цветов, обмен миксом, а затем добавление их собственного цвета еще раз, дает обеим сторонам возможность прийти к одному и тому же общему секрету, не прибегая к передаче всей информации..

Если злоумышленник слушает обмен, все, что он может получить, это общий желтый цвет, с которого начинаются Алиса и Боб, а также смешанные цвета, которыми обмениваются. Поскольку это действительно сделано с огромными числами вместо краски, этих кусочков информации недостаточно, чтобы атака могла различить либо исходные секретные цвета, либо общий секрет (технически возможно вычислить общий секрет из этой информации, но в безопасной реализации обмена ключами Диффи-Хеллмана для этого потребуется неоправданное количество времени и вычислительных ресурсов).

Эта структура обмена ключами Диффи-Хеллмана делает его таким полезным. Это позволяет обеим сторонам общаться по потенциально опасному соединению и при этом придумывать общий секрет, который они могут использовать для создания ключей шифрования для своих будущих коммуникаций.. Не имеет значения, прослушивают ли какие-либо злоумышленники, потому что общий секретный секрет никогда не передается по соединению.

Время для математики …

Не волнуйтесь, мы сделаем это медленно и постараемся сделать весь процесс как можно более понятным. Это следует той же предпосылке, что и аналогия, показанная выше, но вместо смешивания и отправки цветов, схема Диффи-Хеллмана на самом деле делает вычисления на основе исключительно больших простых чисел, а затем отправляет их через.

Для обеспечения безопасности рекомендуется, чтобы премьер (п) длиной не менее 2048 бит, который является двоичным эквивалентом десятичного числа примерно такого размера:

415368757628736598425938247569843765827634879128375827365928736 84273684728938572983759283475934875938475928475928739587249587 29873958729835792875982795837529876348273685729843579348795827 93857928739548772397592837592478593867045986792384737826735267 3547623568734869386945673456827659498063849024875809603947902 7945982730187439759284620950293759287049502938058920983945872 0948602984912837502948019371092480193581037995810937501938507913 95710937597019385089103951073058710393701934701938091803984091804 98109380198501398401983509183501983091079180395810395190395180935 8109385019840193580193840198340918093851098309180019

Чтобы никто не взорвал голову, мы объясним это объяснение гораздо меньшими цифрами. Быть в курсе, что обмен ключами Диффи-Хеллмана был бы небезопасным, если бы он использовал такие же маленькие числа, как в нашем примере. Мы используем только такие небольшие числа, чтобы продемонстрировать концепцию более простым способом..

В самой основной форме обмена ключами Диффи-Хеллмана, Алиса и Боб начинают с взаимного выбора двух чисел, чтобы начать с, в отличие от единой общей краски в примере выше. Эти модуль (п) и база (грамм).

В практическом использовании, модуль (р) является очень большим простым числом, пока база (грамм) является относительно небольшим для упрощения расчетов. База (грамм) является производным от циклической группы (грамм) обычно генерируется задолго до того, как будут выполнены другие шаги.

Для нашего примера, скажем, что модуль (п) является 17, пока база (грамм) является 4.

После того, как они взаимно определились с этими числами, Алиса выбирает секретный номер () для себя, а Боб выбирает свой секретный номер (б). Допустим, они выбирают:

а = 3

б = 6

Затем Алиса выполняет следующие вычисления, чтобы дать ей номер, который она отправит Бобу:

A = ga mod p

В приведенном выше расчете, модификация означает операцию по модулю. По сути, это расчеты, чтобы выяснить остаток после деления левой части на правую. В качестве примера:

15 мод 4 = 3

Если вы понимаете, как работают операции по модулю, вы можете выполнить их самостоятельно в следующих расчетах, в противном случае вы можете использовать онлайн-калькулятор..

Итак, давайте введем наши числа в формулу:

А = 43 мод 17

A = 64 мод 17

А = 13

Когда мы делаем то же самое для Боба, мы получаем:

B = 46 мод 17

B = 4096 мод 17

B = 16

Алиса затем отправляет свой результат () Бобу, пока Боб отправляет свою фигуру (ВАлисе. Алиса затем вычисляет общий секрет (s) используя номер, который она получила от Боба (В) и ее секретный номер (), используя следующую формулу:

s = Ба мод п

s = 163 мод 17

s = 4096 мод 17

s = 16

Затем Боб выполняет то же самое, что и вычисление, но с номером, который ему прислала Алиса.), а также его собственный секретный номер (б):

s знак равно б модификация п

s = 136 мод 17

s = 4,826,809 мод 17

с = 16

Как видите, обе стороны получили одинаковый результат для s, 16. Это общий секрет, который знают только Алиса и Боб. Затем они могут использовать это, чтобы установить ключ для симметричного шифрования, позволяя им безопасно передавать информацию между собой таким образом, чтобы только они могли получить к ней доступ.

Обратите внимание, что хотя В и s одинаковы в приведенном выше примере, это просто совпадение, основанное на небольших числах, которые были выбраны для этой иллюстрации. Обычно эти значения не будут одинаковыми в реальной реализации обмена ключами Диффи-Хеллмана.

Несмотря на то, что большая часть вышеуказанных данных передается по каналу в открытом виде (р, г, А и Ви могут быть прочитаны потенциальными злоумышленниками, общий секрет (s) никогда не передается. Для злоумышленника было бы непрактично вычислять общий секрет (s) или любой из секретных номеров ( и б) из информации, которая отправляется в открытом тексте.

Конечно, это предполагает, что обмен ключами Диффи-Хеллмана реализован правильно и используются достаточно большие числа. Пока эти положения соблюдаются, обмен ключами Диффи-Хеллмана считается безопасным способом установления общего секрета, который можно использовать для обеспечения безопасности будущих сообщений..