Коротко — разница, протокол, уязвимость и способы защиты.
1) Симметричная vs асимметричная
- Симметричная: одна и та же секретная ключевая строка используется для шифрования и расшифрования; быстро (AES), требуется безопасный канал для распределения ключа; масштабирование проблематично (для $n$ участников нужно $\sim n(n-1)/2$ ключей).
- Асимметричная: каждая сторона имеет пару ключей (открытый $pk$ / закрытый $sk$). Открытый ключ можно свободно публиковать, шифрование/проверка подписи выполняются разными ключами (RSA, ECC); медленнее, решает проблему распределения ключей и позволяет реализовать аутентификацию и подписи.
2) Протокол Диффи–Хеллмана (DH) — базовая схема (в простейшей модульной форме):
- Заданы параметры: простое число $p$ и генератор $g$ группы.
- Алиса выбирает секрет $a$, вычисляет и отправляет $A=g^a(\mathrm{mod}p)$.
- Боб выбирает секрет $b$, вычисляет и отправляет $B=g^b(\mathrm{mod}p)$.
- Алиса вычисляет общий секрет $s=B^a(\mathrm{mod}p)=g^{ab}(\mathrm{mod}p)$.
- Боб вычисляет общий секрет $s=A^b(\mathrm{mod}p)=g^{ab}(\mathrm{mod}p)$.
(Для эллиптических кривых: точки $A=aP,B=bP,s=abP$.)
DH обеспечивает конфиденциальность общего секрета при условии, что вычислить $g^{ab}$ зная только $g^a$ и $g^b$ сложно (задача дискретного логарифма).
3) Атака «человек посередине» (MITM) — принцип и анализ
- Атакующий Мэллори перехватывает и подменяет сообщения между Алиской и Бобом.
- Пример: Алиса отправляет $A=g^a$. Мэллори перехватывает и отправляет Бобу $M=g^m$. Боб отвечает $B=g^b$, Мэллори перехватывает и отправляет Алисе $M$ или $M^{\prime }=g^{m^{\prime }}$.
- В результате Алиса вычисляет секрет с Мэллори $s_{A-M}=M^a=g^{am}$, Боб вычисляет секрет с Мэллори $s_{B-M}=M^b=g^{bm}$. Мэллори знает $m$ и потому может вычислить оба секрета и перехватывать/подменять последующую трафик. То есть стороны думают, что общаются друг с другом, но на деле имеют секреты с атакующим.
- Вывод: базовый DH без аутентификации уязвим к MITM.
4) Методы защиты от MITM
- Аутентификация публичных значений:
- Подписывание обменных значений: Алиса посылает $(g^a,{\text{Sig}}_{s{k}_A}(g^a,{\text{ID}}_A,{\text{ID}}_B))$. Боб проверяет подпись по $p{k}_A$. Аналогично Боб подписывает свой вклад. Это предотвращает подмену, так как атакующий не может подделать подпись.
- Использование сертификатов и PKI: открытые ключи подписаны центром сертификации (TLS с ECDHE).
- Аутентифицированные протоколы обмена ключами:
- Station-to-Station (STS): использует подписи и MAC над значениями DH, чтобы связать ключ и идентичности, даёт подтверждение ключа.
- Протоколы с подтверждением ключа (key confirmation) — стороны подтверждают владение производным ключом с помощью MAC/HMAC по общей секретной матери.
- Предварительно разделённые ключи / пароли:
- PAKE (Password‑Authenticated Key Exchange) предотвращает MITM, даже при слабом пароле, без PKI.
- Использование статических и эпемерных ключей:
- Эпемерный DH (Ephemeral DH, ECDHE) + аутентификация (сертификаты/подписи) даёт аутентификацию и свойства «perfect forward secrecy» (PFS).
- Практические меры:
- Проверка отпечатков ключей (fingerprint) вручную/по безопасному каналу.
- Pinning публичных ключей, DANE, TOFU (в SSH) — разные модели доверия.
- Привязка идентичностей к ключам в подписи/MAC: включать ID сторон и параметры протокола в то, что подписывается/хэшируется.
Кратко: сам по себе DH безопасен против пассивного прослушивания, но открыт к MITM. Надёжная защита требует аутентификации обменных значений — цифровые подписи/сертификаты, PAKE или другие аутентифицированные протоколы (STS, TLS/ECDHE) — тогда MITM не сможет подделать значения без знания приватных ключей/паролей.