Diffie-Hellman-Schlüsselaustausch (exponentieller Schlüsselaustausch)

Diffie-Hellman-Schlüsselaustausch, auch exponentieller Schlüsselaustausch genannt, ist eine Methode der digitalen Verschlüsselung, die Zahlen verwendet, die auf bestimmte Potenzen angehoben werden, um Entschlüsselungsschlüssel auf der Basis von Komponenten zu erzeugen, die niemals direkt übertragen werden, was die Aufgabe eines Möchtegern-Codebrechers mathematisch überwältigend macht.

Um Diffie-Hellman zu implementieren, einigen sich die beiden Endbenutzer Alice und Bob, während sie über einen Kanal kommunizieren, von dem sie wissen, dass er privat ist, gegenseitig auf positive ganze Zahlen p und q , so dass p eine Primzahl und q ein Generator von p . Der Generator q ist eine Zahl, die, wenn sie auf positive ganzzahlige Potenzen kleiner als p erhöht wird, niemals das gleiche Ergebnis für zwei solche ganzen Zahlen liefert. Der Wert von p kann groß sein, aber der Wert von q ist normalerweise klein.

Sobald Alice und Bob sich privat auf p und q geeinigt haben, wählen sie positive ganzzahlige persönliche Schlüssel a und b, beide kleiner als der Primzahlmodul p. Keiner der Benutzer gibt seinen persönlichen Schlüssel an dritte weiter; Idealerweise merken sie sich diese Zahlen und schreiben sie nicht auf oder speichern sie irgendwo. Als nächstes berechnen Alice und Bob öffentliche Schlüssel a* und b* basierend auf ihren persönlichen Schlüsseln gemäß den Formeln

a* = qa mod p

und

b* = qb mod p

Die beiden Benutzer können ihre öffentlichen Schlüssel a * und b * über ein als unsicher angenommenes Kommunikationsmedium wie das Internet oder ein unternehmensweites Netzwerk (WAN) freigeben. Aus diesen öffentlichen Schlüsseln kann von jedem Benutzer auf der Grundlage seiner eigenen persönlichen Schlüssel eine Zahl x generiert werden. Alice berechnet x mit der Formel

x = (b*) a mod p

Bob berechnet x mit der Formel

x = (a*)b mod p

Der Wert von x ist nach einer der beiden obigen Formeln gleich. Die für die Berechnung von x kritischen persönlichen Schlüssel a und b sind jedoch nicht über ein öffentliches Medium übertragen worden. Da es sich um eine große und scheinbar zufällige Zahl handelt, hat ein potenzieller Hacker fast keine Chance, x richtig zu erraten, selbst mit Hilfe eines leistungsstarken Computers, um Millionen von Versuchen durchzuführen. Die beiden Benutzer können daher theoretisch privat über ein öffentliches Medium mit einer Verschlüsselungsmethode ihrer Wahl unter Verwendung des Entschlüsselungsschlüssels x kommunizieren.

Die schwerwiegendste Einschränkung von Diffie-Hellman in seiner grundlegenden oder “reinen” Form ist die fehlende Authentifizierung. Kommunikation mit Diffie-Hellman allein ist anfällig für Man-in-the-Middle-Angriffe. Idealerweise sollte Diffie-Hellman in Verbindung mit einer anerkannten Authentifizierungsmethode wie digitalen Signaturen verwendet werden, um die Identität der Benutzer über das öffentliche Kommunikationsmedium zu überprüfen. Diffie-Hellman eignet sich gut für den Einsatz in der Datenkommunikation, wird jedoch seltener für Daten verwendet, die über lange Zeiträume gespeichert oder archiviert werden.