타원 곡선 디피 -헬먼

타원 곡선 디피 -Hellman(ECDH)은 각각 타원-곡선 공개-비밀 키 쌍을 가진 두 당사자가 안전하지 않은 ^[1][2][3]채널에서 공유 비밀을 확립할 수 있도록 하는 키 어그리먼트 프로토콜입니다.이 공유 비밀 정보는 직접 키로 사용하거나 다른 키를 파생하기 위해 사용할 수 있습니다.다음으로 키 또는 파생 키를 사용하여 대칭 키 암호를 사용하여 후속 통신을 암호화할 수 있습니다.Diffie의 변형입니다.타원 곡선 암호화를 사용하는 Hellman 프로토콜입니다.

키 설정 프로토콜

다음으로 공유키의 확립 예를 나타냅니다.Alice가 Bob과 공유 키를 확립하려고 하는데, 사용할 수 있는 채널이 제3자에 의해 도청되었을 가능성이 있다고 가정합니다.처음에 도메인 파라미터(즉$,{\displaystyle }$ (${\displaystyle p,}$ ${\displaystyle a,}$ ${\displaystyle b,}$ ${\displaystyle G,}$ ${\displaystyle n,}$ $)$ ($p,$a, $b, g,$ n, h) (p, a, g, $n, h)$ (${\displaystyle p},{\displaystyle }$ ${\displaystyle f}$ (${\displaystyle x}$), ${\displaystyle a,}$ ${\displaystyle b,}$ ${\displaystyle g,}$ ${\displaystyle n,}$ $)$ (2진수에서는 $display$ style $(m, f$ a, $a, a, g$, n$,$ n, n, h)))가$$$$ 일치해야 합니다.또한 각 당사자는 $개인키{\displaystyle }$ d$\$${\displaystyle \mathrm{displaystyle}}$ d$\$$displaystyle$ [$1,$ n-1$])$와 포인트 $\displaystyle Q\$dot$($서 Q ${\displaystyle =}$ d $= G\displaystyle$ Q\$$$dot$로 이루어진 타원곡선 암호화에 적합한 키쌍을 보유해야 한다.즉, G$(displaystyle$ G$)$를 d$(displaystyle$ d$)$번$$ $더한{\displaystyle }$ 결과입니다.Alice의 ${\displaystyle {}_{}}$은 ( ${\displaystyle {dA}_{}}$, ${\displaystyle {QA}_{}}$) { $displaystyle$($d_{$ \$$$text$ { ) $。{\displaystyle }$$A}}, Q_{\text{$$A}}}}})$ 및$$ Bob의 키쌍은${\displaystyle }$(${\displaystyle {dB}_{}}$ $)\displaystyle(d_{\text{\$text})$B}}}, Q_{\text{B$ 프로토콜을 실행하기 전에 각 당사자가 상대방의 공용 키를 알아야 합니다.

Alice는 포인트$({\displaystyle }$ ${\displaystyle {}_{}{k}_{}}$ , ${\displaystyle {}_{}{k}_{}}$ ) $=$ ${\displaystyle {}_{}}$ ${\displaystyle A_{}{}_{}}$ Q ${\displaystyle B_{}}$( $x _ {$ k , $y _$ { k } )=$d_{$ \ text {$A}}\cdot Q_{\text{$$B$ Bob은 포인트$({\displaystyle {}_{}}$ k${\displaystyle {}_{}}$ ${\displaystyle y_{}}$k ) $=$ ${\displaystyle {}_{}}$ ${\displaystyle {}_{}}$ ${\displaystyle Q_{}}$ A$($})= $d_{\text{})$를 계산합니다.$B}}\cdot Q_{\text{$$A$ 공유 ${\displaystyle {비밀}_{}}$은 x k$(포인트$의 x좌표$)$입니다.ECDH에 기반한 대부분의 표준화된 프로토콜은 해시 기반 키 파생 함수를 사용하여 x $(\$에서 대칭 키를 파생합니다.

d ${\displaystyle A_{}}$ ${\displaystyle {}_{}}$ ${\displaystyle Q_{}}$ B ${\displaystyle {}_{}}$ ${\displaystyle {}_{}}$ ${\displaystyle A_{}{d}_{}}$ G ${\displaystyle =}$ d B ${\displaystyle d}$ ${\displaystyle d_{}}$ A${\displaystyle {}_{}}$d ${\displaystyle G_{}}$ = d B ${\displaystyle {}_{}}$ d A${\displaystyle {}_{}{}_{}}$ ${\displaystyle G_{}}$ ${\displaystyle {}_{}}$ d B$$ ${\displaystyle Q_{}}$ A \ display $style d_{\$text }에 $의해{\displaystyle {}_{}}$ 계산된 공유 비밀은 동일합니다.$A}}\cdot Q_{\text{$$B}}=d_{\text{$$A}}\cdot d_{\text{$$B}}\cdot G=d_{\text{$$B}}\cdot d_{\text{$$A}}\cdot G=d_{\text{$$B}}\cdot Q_{\text{$$A$

앨리스가 처음에 공개하는 열쇠에 대한 유일한 정보는 공개 키입니다.따라서 Alice를 제외한 어떤 파티도 Elice의 개인 키를 결정할 수 없습니다(당연히 Alice는 Alice를 선택하면 알 수 있습니다). Elice가 타원곡선 이산 로그 문제를 해결할 수 없는 경우입니다.밥의 개인 키도 마찬가지로 안전합니다.앨리스나 밥 이외의 상대는 타원곡선 Diffie-를 풀 수 없는 한 공유비밀을 계산할 수 없다.헬먼 문제.

공개 키는 정적(증명서를 통해 신뢰됨) 또는 사용 후 삭제(ECDHE라고도 하며 최종 'E'는 'Ephemeral'을 나타냅니다.ephemeral 키는 일시적이며 반드시 인증될 필요는 없습니다.따라서 인증이 필요한 경우 다른 방법으로 인증확인을 얻어야 합니다.man-in-the-middle 공격을 피하기 위해서는 인증이 필요합니다.Alice 또는 Bob의 공용 키 중 하나가 정적일 경우 man-in-the-middle 공격이 차단됩니다.정적 공용 키는 다른 고급 보안 속성 중에서 전송 비밀도 키 타협도 없는 가장 복원력을 제공하지 않습니다.정적 개인 키 보유자는 다른 공용 키를 검증하고 보안 키 파생 기능을 원시 Diffie에 적용해야 합니다.Hellman은 정적 개인 키에 대한 정보가 유출되지 않도록 비밀을 공유했습니다.다른 보안 속성이 있는 스키마는 MQV를 참조하십시오.

앨리스가 자신의 키에 대해 잘못된 곡선 점을 악의적으로 선택하고 Bob이 Alice의 점이 선택한 그룹의 일부인지 확인하지 않은 경우, 그녀는 Bob의 키의 잔량을 수집하여 그의 개인 키를 도출할 수 있습니다.여러 ^[4]TLS 라이브러리가 이 공격에 취약한 것으로 확인되었습니다.

공유 비밀키를 키로 직접 사용할 수도 있지만, Diffie에 의한 약한 비트를 제거하기 위해 비밀키를 해시하는 것이 바람직할 수 있습니다.헬만 교환.

소프트웨어

• Curve25519는 C의 Daniel J. Bernstein에 의해 널리 사용되는 타원 곡선 매개변수 및 참조 구현 세트입니다.바인딩 및 대체 구현도 사용할 수 있습니다.
• LINE 메신저 앱은 2015년 ^[5]10월부터 해당 앱을 통해 전송되는 모든 메시지에 대한 "레터 씰링" 엔드 투 엔드 암호화를 위해 ECDH 프로토콜을 사용하고 있습니다.
• Signal Protocol은 ECDH를 사용하여 타협 후 보안을 얻습니다.이 프로토콜의 구현은 Signal, WhatsApp, Facebook Messenger 및 Skype에서 확인할 수 있습니다.

「 」를 참조해 주세요.

• Diffie-Hellman 키 교환
• 전송 비밀

레퍼런스