Diffie-Hellman key exchange (eksponentiaalinen avainten vaihto)

Diffie-Hellman key exchange, jota kutsutaan myös eksponentiaaliseksi avainten vaihdoksi, on digitaalisen salauksen menetelmä, jossa tiettyihin potensseihin korotetut numerot tuottavat salausavaimia sellaisten komponenttien pohjalta, joita ei koskaan lähetetä suoraan, mikä tekee koodinmurtajan tehtävästä matemaattisesti ylivoimaisen.

Diffie-Hellmanin toteuttamiseksi kaksi loppukäyttäjää, Alice ja Bob, viestivät yksityisiksi tietämänsä kanavan kautta, sopivat keskenään positiivisista kokonaisluvuista p ja q siten, että p on alkuluku ja q on P: n generaattori. generaattori q on luku, joka korotettuna P: tä pienempiin positiivisiin kokonaislukutehoihin ei koskaan tuota samaa tulosta millekään kahdelle tällaiselle kokonaisluvulle. P: n arvo voi olla suuri, mutta q: n arvo on yleensä pieni.

kun Alice ja Bob ovat sopineet P: stä ja q: sta kahden kesken, he valitsevat positiivisen kokolukuavaimen A ja b, molemmat vähemmän kuin alkulukumoduulin p. kumpikaan käyttäjä ei paljasta henkilökohtaista avaintaan kenellekään; mieluiten he opettelevat nämä numerot ulkoa eivätkä kirjoita niitä muistiin tai säilytä niitä missään. Seuraavaksi Alice ja Bob laskevat henkilökohtaiset avaimensa A* ja b* henkilökohtaisten avaimiensa perusteella kaavat

a* = qa mod p

ja

B* = qb mod p

kaksi käyttäjää voivat jakaa julkiset avaimensa A* ja b* turvattomaksi oletetun viestintävälineen, kuten Internetin tai WAN: n (corporate wide area network) kautta. Näistä julkisista avaimista numeron x voi luoda kumpi tahansa käyttäjä omien henkilökohtaisten avaimiensa perusteella. Alice laskee x käyttäen kaavaa

x = (b*)a mod p

Bob laskee x käyttäen kaavaa

x = (a*)b mod p

X: n arvo osoittautuu samaksi jommankumman edellä olevan kaavan mukaan. X: n laskennan kannalta kriittisiä henkilökohtaisia avaimia a ja b ei kuitenkaan ole välitetty julkisella välineellä. Koska kyseessä on suuri ja ilmeisesti satunnainen luku, potentiaalisella hakkerilla ei ole juuri mitään mahdollisuutta arvata x: ää oikein, vaikka tehokkaan tietokoneen avulla tehtäisiin miljoonia kokeita. Nämä kaksi käyttäjää voivat siis teoriassa kommunikoida yksityisesti julkisella välineellä valitsemallaan salausmenetelmällä käyttäen salausavainta X.

Diffie-Hellmanin vakavin rajoitus sen perus – tai “puhtaassa” muodossa on autentikoinnin puute. Diffie-Hellmania yksin käyttävät tietoliikenneyhteydet ovat haavoittuvia ihminen keskellä-hyökkäyksille. Ihannetapauksessa Diffie-Hellmania tulisi käyttää yhdessä tunnustetun todennusmenetelmän, kuten digitaalisten allekirjoitusten, kanssa käyttäjien henkilöllisyyden todentamiseksi julkisella viestintävälineellä. Diffie-Hellman soveltuu hyvin tietoliikennekäyttöön, mutta harvemmin sitä käytetään pitkiä aikoja tallennettuihin tai arkistoituihin tietoihin.