Diffie-Hellman密钥交换协议

1976年，Diffie和Hellman在其题为《密码学的新方向》的论文中首次给出了公钥密码学的定义，并提出了Diffie-Hellman密钥交换算法。该算法解决了对称密码体制中的密钥分发问题，使得通信双方可以通过公开信道安全地交换共享密钥。其安全性建立在离散对数问题的困难性之上。

Diffie-Hellman密钥交换

Alice与Bob使用Diffie-Hellman密钥交换的步骤如下：

• 选取公开的大素数$p$和它的一个生成元$g$，$2\le g\le p-2$。
• Alice选择随机数$a$，$1\le a\le p-2$，并计算$\alpha =g^a(modp)$通过公开信道发送给Bob。$a$是私密的，即只有Alice知道$a$。
• Bob选择随机数$b$，$1\le b\le p-2$，并计算$\beta =g^b(modp)$通过公开信道发送给Alice。$b$是私密的，即只有Bob知道$b$。
• Alice收到$\beta$后计算${\beta }^a(modp)=(g^b{)}^a(modp)=g^{ba}(modp)$。
• Bob收到$\alpha$后计算${\alpha }^b(modp)=(g^a{)}^b(modp)=g^{ab}(modp)$。

现在，Alice与Bob共享了密钥$K_{AB}=g^{ab}(modp)$。当Trudy拦截到$\alpha$和$\beta$，他想要计算出共享密钥$K_{AB}$，就必须知道$a$或$b$，即根据$g^a(modp)$计算出$a$，或根据$g^b(modp)$计算出$b$。因此，D-H密钥交换协议的安全性依赖于离散对数问题的计算复杂度。事实上，给定$y,g,p$，对于一般的$x$，没有已知的有效算法求解$y=g^x(modp)$。

中间人攻击

如果在密钥交换过程中没有验证参与者的身份，则Diffie-Hellman密钥交换将可能受到中间人攻击。

Alice和Bob进行密钥交换时，第三方Trudy进行中间人攻击的步骤如下：

• Trudy选择随机数$t$，计算$\gamma =g^t(modp)$。
• Trudy拦截$\alpha$和$\beta$，把$\gamma$发送给Alice和Bob。
• Trudy计算$K_{AT}={\alpha }^t(modp)=g^{at}(modp)$和$K_{BT}={\beta }^t(modp)=g^{bt}(modp)$。
• Alice计算$K_{AT}={\gamma }^a(modp)=g^{ta}(modp)$。
• Bob计算$K_{BT}={\gamma }^b(modp)=g^{tb}(modp)$。

现在，Alice和Bob以为他们共享了密钥，但事实上是Alice与Trudy共享了密钥$K_{AT}$，Bob与Trudy共享了密钥$K_{BT}$。后续当Alice给Bob发送消息时，会用$K_{AT}$进行加密。Trudy拦截下该消息，用$K_{AT}$解密后可以查看或篡改消息，再用$K_{BT}$加密后发送给Bob。Bob收到消息后用$K_{BT}$解密查看消息，但他并不知道消息已经被Trudy查看或篡改。
想要避免中间人攻击只需对通信双方进行身份认证，比如在密钥交换时对密钥进行数字签名。Trudy无法伪造Alice和Bob的签名，因此无法进行中间人攻击。

离散对数算法

Diffie-Hellman密钥交换依赖于离散对数问题，因此如果能够求解离散对数，那么就可以破解D-H密钥交换协议。
假设Trudy拦截到$\alpha =g^a(modp)$，并已知$g$和$p$。下面给出三种求解$a$的方法。

穷举搜索算法

• 计算$g^1(modp),g^2(modp),g^3(modp),\cdots ,g^{p-2}(modp)$直至找到满足$g^a(modp)=\alpha$的$a$。

该算法中，乘法的期望次数约为$p/2$。

小步大步算法

• 计算$m=┌\sqrt{p-1}┐$。
• 令$a=im+j$， i ∈ { 0 , 1 , ⋯   , m − 1 } i\in\{0,1,\cdots,m-1\} i∈{0,1,⋯,m−1}， j ∈ { 0 , 1 , ⋯   , m − 1 } j\in\{0,1,\cdots,m-1\} j∈{0,1,⋯,m−1}。则$\alpha =g^{im+j}(modp)$，即$g^j=\alpha g^{-im}(modp)$。
• 建立一个条目为$j$和$g^j$的表，取$j$为$0,1,2,\cdots ,m-1$，分别计算并记录$g^j(modp)$值。（小步）
• 取$i$为$0,1,2,\cdots ,m-1$，计算$\alpha g^{-im}(modp)$直到查找到表中有与该值相同的$g^j(modp)$值，记录此时的$i$和$j$。（大步）
• 计算$a=im+j$。

该算法中约需$1.5\sqrt{p}$次乘法，$\sqrt{p}$的存储空间。假设存储要求是可行的，该方案相对于穷搜法有显著提升，但仍然是指数级的工作量。

指数积分算法

• 令 { p 0 , p 1 , ⋯   , p n − 1 } \{p_0,p_1,\cdots,p_{n-1}\} {p0​,p1​,⋯,pn−1​}为因子基中素数的集合。
• 计算离散对数$lo{g}_g{p}_i$，$i=0,1,\cdots ,n-1$。
• 随机选择 k ∈ { 0 , 1 , 2 , ⋯   , p − 2 } k\in\{0,1,2,\cdots,p-2\} k∈{0,1,2,⋯,p−2}，计算$y=\alpha g^k(modp)$，直到找到可以进行因子基分解的$y=\alpha g^k=p_0^{d_0}{p}_1^{d_1}{p}_2^{d_2}\cdots p_{n-1}^{d_{n-1}}(modp)$。
• 对上述等式取对数并化简后得$a=d_{0}lo{g}_g{p}_0+d_{1}lo{g}_g{p}_1+\cdots +d_{n-1}lo{g}_g{p}_{n-1}-k(mod(p-1))$。

该算法为求解一般的离散对数问题提供了最有效的方法。它的计算量是亚指数级的。

参考文献

[1]. Diffie W, Hellman M. New directions in cryptography[J]. IEEE transactions on Information Theory, 1976, 22(6):644-654.
[2]. Stamp Mark, Low Richard (2007). Applied Cryptanalysis: Breaking Ciphers in the Real World. John Wiley & Sons. 289-301+353-356.