Синтез ответа по пунктам.
Симметричное шифрование — принципы:
- Один и тот же секретный ключ используется для шифрования и дешифрования. Ключ: $K$.
- Быстрое шифрование больших объёмов данных (блочные алгоритмы: AES, потоковые: ChaCha20).
- Требование: безопасная доставка и хранение ключа между участниками; масштабируемость проблемна при большом числе участников (нужны $O(n^2)$ ключей для полной пары участников).
- Свойства: конфиденциальность (шифр), целостность и аутентификация достигаются сочетанием с MAC/HMAC или режимами AEAD (например, AES-GCM, ChaCha20-Poly1305).
Асимметричное (публично‑ключевое) шифрование — принципы:
- У каждого участника есть пара ключей: открытый $K_{pub}$ и закрытый $K_{priv}$.
- Открытый ключ можно распространять свободно; сообщение, зашифрованное открытым ключом, может расшифровать только владелец закрытого ключа (RSA, эллиптические схемы — ECIES).
- Также используются для цифровой подписи: подпись, созданная $K_{priv}$, проверяется по $K_{pub}$ (RSA, ECDSA).
- Медленнее симметричного, поэтому часто используется для обмена ключами и аутентификации, а затем для симметричного шифрования сессии.
Схема обмена ключами Diffie–Hellman (классическая):
- Параметры: большое простое число $p$ и примитивный корень (генератор) $g$ (оба публичны).
- Участник A выбирает секрет $a$, вычисляет $A=g^a\mathrm{mod}p$ и отправляет $A$ участнику B.
- Участник B выбирает секрет $b$, вычисляет $B=g^b\mathrm{mod}p$ и отправляет $B$ участнику A.
- A вычисляет общий секрет: $s=B^a\mathrm{mod}p=(g^b{)}^a\mathrm{mod}p=g^{ab}\mathrm{mod}p$.
- B вычисляет общий секрет: $s=A^b\mathrm{mod}p=g^{ab}\mathrm{mod}p$.
- Общий ключ затем обрабатывают KDF и используют как симметричный сессионный ключ.
В компактной форме:
$$A=g^a\mathrm{mod}p,B=g^b\mathrm{mod}p,s=g^{ab}\mathrm{mod}p.$$
Варианты: групповые/множественные, эллиптический DH (ECDH) — то же, но на кривых для меньших параметров и большей эффективности.
Возможные атаки на Diffie–Hellman и ответы:
1) Man‑in‑the‑Middle (MITM)
- Описание: атакующий M перехватывает $A$ и $B$, подставляет свои $A_M=g^{m_1}$, $B_M=g^{m_2}$, устанавливая с A и B разные общие секреты; A и B думают, что общаются друг с другом.
- Защита: обязательная аутентификация сторон — цифровые подписи или сертификаты. Пример: A подписывает $A=g^a$ подписью на $K_{priv,A}$; B проверяет по $K_{pub,A}$. Или использовать протоколы с аутентификацией (SIGMA, TLS с (EC)DHE + сертификат).
2) Подмена/манипуляция параметрами (p, g)
- Описание: атакующий подставляет слабые параметры (малые факторы), чтобы упростить вычисление дискретного логарифма.
- Защита: использовать проверенные безопасные параметры (стандартные группы, безопасные простые/сильные простые), проверять параметры и публичные элементы (A, B) на допустимость (не равны 0,1; находятся в правильной подгруппе).
3) Атаки на дискретный логарифм (криптоанализ)
- Описание: вычисление $a$ или $b$ из $A=g^a\mathrm{mod}p$.
- Защита: выбирать крупные параметры: для классического DH — достаточно большой $p$ (сейчас рекомендуют минимум 2048‑бит для классического DH) или предпочтение ECDH с подходящей кривой (например, Curve25519, P‑256) где безопасность при меньших размерах ключа выше.
4) Атаки повторного воспроизведения (replay)
- Описание: повторная отправка старых сообщений.
- Защита: использование свежести — неповторяемые nonces, метки сессии, временные метки, и подтверждение ключа (key confirmation).
5) Малые подгрупповые и фальшивые элементы
- Описание: A или B может добиться вывода ключа, заставив оппонента работать в маленькой подгруппе.
- Защита: проверка принадлежности публичных значений правильной подгруппе; использование безопасных (strong) простых и соответствующих генераторов; применять cofactor‑checks в эллиптических схемах.
6) Боковые каналы и компрометация ключей
- Описание: утечка через временные задержки, потребление энергии, крошки памяти.
- Защита: защищённая реализация, постоянное время, аппаратные модули безопасности (HSM), регулярная ротация ключей.
Способы защиты: аутентификация и PKI
- Аутентификация:
- Цифровые подписи: стороны подписывают свои DH‑выражения; проверка подписей исключает MITM.
- Пред‑доверенные ключи: предустановленные публичные ключи (static public keys), PSK.
- Каналы контроля (out‑of‑band) для сравнения ключей/хэшей (например, голосом, QR).
- Протоколы с взаимной аутентификацией: TLS (сертификаты), SSH (fingerprint verification), IKE (IPsec).
- PKI (инфраструктура открытых ключей):
- Центры сертификации (CA) выдают сертификаты, связывающие $K_{pub}$ с субъектом.
- Сертификат содержит подпись CA: проверка цепочки доверия до корневого CA.
- PKI обеспечивает масштабируемую централизованную валидацию публичных ключей, поддерживает отзыв сертификатов (CRL, OCSP).
- Риски PKI: компрометация CA, ошибки в проверке цепочки, необходимость управления отзывами — поэтому возможны расширения: OCSP stapling, certificate pinning, децентрализованные решения.
Рекомендации практики безопасности при использовании DH:
- Использовать аутентифицированные вариации: (EC)DHE + сертификаты/подписи (TLS, SSH).
- Предпочитать эпhemerial DH (DHE/ ECDHE) для прямой секретности (PFS) — ключи сессии не зависят от долгосрочных ключей.
- Применять KDF для получения симметричных ключей из $s$: $K_{sess}=\mathrm{KDF}(s||\text{context})$.
- Использовать AEAD для шифрования канала и отдельные механизмы для целостности/аутентификации.
- Валидировать параметры и публичные значения, использовать рекомендованные группы/кривые (например, Curve25519, secp384r1 по требованиям), и контролировать размер параметров (минимум рекомендованные стандарты).
Краткая итоговая формула общего секрета DH:
$$s=g^{ab}\mathrm{mod}p,$$ но эта схема безопасна только при обязательной аутентификации участников и корректной валидации параметров (PKI/подписи, проверка групп, KDF, AEAD).