פרוטוקול דיפי-הלמן

פרוטוקול שיתוף המפתח

בקריפטוגרפיה, פרוטוקול דיפי־הלמן (Diffie-Hellman) הוא פרוטוקול שיתוף המפתח הראשון, שהוצע על ידי ויטפילד דיפי ומרטין הלמן ב־1976 כדי לפתור את בעיית הפצת המפתחות. הפרוטוקול מאפשר לשני משתתפים שלא נפגשו מעולם ואינם חולקים ביניהם סוד משותף כלשהו מראש, להעביר אחד לשני מעל גבי ערוץ פתוח (שאינו מאובטח) סוד כלשהו כך שאיש מלבדם אינו יודע מהו. הסוד יכול להיות, בהקשר של פרוטוקול תקשורת מאובטח, מפתח הצפנה.

פרוטוקול דיפי־הלמן מתמודד עם בעיית הפצת המפתחות על ידי פונקציה חד-כיוונית. בעזרת הפונקציה ניתן להכין מפתח שיחה ארעי (באנגלית: ephemeral key) שיהיה משותף גם לצד השני של השיחה, ולאחר מכן התקשורת יכולה להיות מוצפנת באמצעות מפתח זה עם צופן סימטרי לפי בחירה כמו AES. בגמר השימוש בו המפתח מושמד. אם כל המפתחות בפרוטוקול הם חד־פעמיים ולא חוזרים להשתמש בהם שוב, הרי שהפרוטוקול מספק סודיות מושלמת קדימה במובן שמרגע שהמפתח הושמד אין שום דרך לשחזר אותו, אפילו אם בעתיד תתגלה דרך יעילה לפצח את הפרוטוקול.

ביטחון הפרוטוקול מסתמך על הקושי שבפתרון בעיית דיפי־הלמן (להלן) הדומה לבעיית הלוגריתם הבדיד. הגרסה המתוארת מספקת הגנה על סודיות המפתח המשותף כנגד יריבים פסיביים המסוגלים לצותת לערוץ התקשורת בלבד. היא אינה מספקת הגנה מפני יריב אקטיבי המסוגל ליירט, לחסום או ל'הזריק' מסרים כרצונו. למעשה, הפרוטוקול אינו מספק מה שנקרא "אימות זהויות המשתתפים". הם יכולים להיות סמוכים ובטוחים כי מלבדם אין איש יודע מהו המפתח ששיתפו, אך אינם מקבלים כל ערובה לגבי זהות המשתתף האחר. מסיבה זו הפרוטוקול בגרסה הבסיסית פגיע במיוחד להתקפת אדם באמצע. גרסאות מתקדמות של הפרוטוקול כמו MQV נותנות מענה לבעיה זו.

היסטוריה ורקע

עריכה

פרוטוקול דיפי הלמן הוצג ב־1976 על ידי ויטפילד דיפי ומרטין הלמן במאמר "כיוונים חדשים בהצפנה"[*], המהווה ציון דרך בתולדות ההצפנה המודרנית. במאמר הציגו דיפי והלמן רעיון מהפכני לאותה עת - המפתח הפומבי. הם הראו איך אפשר לפתור את בעיית העברת מפתח הידועה מבלי שהמשתתפים ייאלצו להיפגש כלל. כמו כן הראו לראשונה כיצד ניתן ליישם חתימה דיגיטלית בעזרת מפתח פומבי. הרעיונות שהציגו הובילו לאחר מכן להמצאות נוספות בתחום זה, כמו RSA, צופן אל-גמאל, חתימת אל-גמאל וכן DSA. במרץ 2016 הודיעה ACM שדיפי והלמן הם חתני פרס טיורינג לשנת 2015 עבור עבודתם זו.

תיאור הפרוטוקול

עריכה

הכנה חד־פעמית: להלן תיאור הפרוטוקול בשדה ראשוני. המשתתפים בפרוטוקול אליס ובוב מסכמים ביניהם באופן גלוי על מספר ראשוני   גדול כך שפתרון בעיית הלוגריתם הבדיד בחבורה הכפלית   יהיה קשה. ויוצר   של   (דוגמה בהמשך). אם   ראשוני לשדה   יש   יוצרים כאשר   היא פונקציית אוילר. בחירת יוצר יכולה להתבצע תוך דגימה אקראית והסיכויים גבוהים למצוא יוצר תוך מספר ניסיונות קצר. אליס בוחרת ערך אקראי סודי   כאשר   ומחשבת את   אותו היא שולחת לבוב. באופן דומה בוב בוחר ערך אקראי סודי   כאשר   ומחשב את   אותו הוא שולח לאליס. בהינתן   אליס מחשבת את המפתח המשותף   וכן בוב באמצעות הערכים  , מחשב את  . כעת הם משתפים ביניהם את המפתח הסודי   בצורה בטוחה.

אליס ובוב שידרו זה לזה את הערכים   (מודולו  ) בהתאמה. המידע שהשיגה המצותתת איב שהאזינה למהלכי הפרוטוקול (כמתואר בתרשים), כולל את הערכים:  . כאשר הערכים   או   לא שודרו כלל. כדי לחשוף את המפתח המשותף עליה לחשב את  . בעיה זו (חישוב   מתוך   מודולו  ), נקראת בעיית דיפי־הלמן (להלן), אם הערכים נבחרו בקפידה, הדעה הרווחת היא שאין לה פתרון קל.

כמו כן, אם איב מסוגלת לחשב את   מתוך הערך  , היא יכולה לחשוף את ה'סוד' של אליס ובוב. חישוב   מתוך   נקרא בעיית הלוגריתם הבדיד ואף היא נחשבת לבעיה קשה. מי שיכול לפתור את בעיית הלוגריתם הבדיד באופן יעיל, בוודאי יכול לפתור גם את בעיית דיפי־הלמן באופן יעיל. ההפך אינו ידוע, טרם נמצאה הוכחה לכך שהיכולת לפתור את בעיית דיפי־הלמן שקולה ליכולת לפתור את בעיית הלוגריתם הבדיד.

מסרי הפרוטוקול:

  1.  
  2.  

פעולות הפרוטוקול:

  1. אליס בוחרת שלם אקראי סודי   כאשר   ושולחת לבוב את מסר 1 לעיל.
  2. בוב בוחר שלם אקראי סודי   כאשר   ושולח לאליס את מסר 2 לעיל.
  3. בוב מקבל את   ומחשב את המפתח המשותף  .
  4. אליס מקבלת את   ומחשבת את המפתח המשותף  .

כאמור כל הפעולות מבוצעות מודולו המספר הראשוני  . החישוב המודולרי הכרחי לצורך בטיחות הפרוטוקול כיוון שבלעדיו, אליס משדרת את השלם  , כאשר   ידוע לכל. במקרה הזה בעיית הלוגריתם הבדיד קלה מאוד לפתרון, מכיוון שמספר הספרות העשרוניות הדרושות לכתיבת   קרוב למספר הספרות של   כשהוא מוכפל בנעלם  . כדי למצוא את   די לחלק את מספרי הספרות זה בזה. מאידך חישוב   מתוך השארית לאחר חילוק   ב־  אינו קל.

דוגמה במספרים קטנים

עריכה

לצורך הדגמה בלבד, נניח שהוסכם על המספר הראשוני   ויוצר   של החבורה הכפלית  . בחירת יוצר היא מלאכה קלה כפי שיוסבר להלן. מהלכי הפרוטוקול הם:

אליס בוחרת ערך סודי   ומחשבת את  .
בוב בוחר ערך סודי   ומחשב את  .
מסר 1: אליס שולחת לבוב את המספר  .
מסר 2: בוב שולח לאליס את המספר  .
אליס מחשבת את המפתח המשותף:
 ,
בוב מחשב את המפתח המשותף:
 
כעת בידי שניהם מפתח  .

מציאת יוצר של החבורה הציקלית

עריכה

בחירת יוצר קלה ביותר אם ידועים הגורמים הראשוניים של סדר החבורה במקרה של הדוגמה לעיל  . היות ש־  כאשר   ראשוני. לפי תורת החבורות היוצר יכול להיות כל ערך המקיים:   עבור כל הגורמים   של  . כלומר   וכן   מודולו  , על כן   יכול לשמש כיוצר (ההסתברות שמספר אקראי יצור את החבורה היא   (כאשר   פונקציית אוילר). במקרה זה היות שהגורמים הם   מזה נובע כי  , לכן ההסתברות שמספר מסוים הוא יוצר היא  ).

פרוטוקול דיפי־הלמן בעקום אליפטי

עריכה

פרוטוקול דיפי־הלמן בעקום אליפטי נקרא בקיצור ECDH אנלוגי לפרוטוקול דיפי הלמן המתואר לעיל. נתונים פרמטרי התחום של העקום לפי הגדרות התקן:  , העקום האליפטי הוא   כאשר   הסדר של השדה   וכן   מקדמים של משוואת העקום,   היא נקודת הבסיס,   הסדר הראשוני של נקודת הבסיס,   פקטור משלים כך שמתקיים   ו־  מייצג את מספר הנקודות בעקום  .

המשתתפת אליס בוחרת מפתח סודי שהוא שלם אקראי   והמפתח הציבורי שלה יהיה   (תוצאת כפל סקלארי של הנקודה   ב־ ). בוב בוחר מפתח סודי וציבורי   באותה דרך. כעת אם הם רוצים לשתף ביניהם את הסוד   הם פועלים כדלהלן:

  1. אליס שולחת לבוב את הנקודה  .
  2. בוב שולח לאליס את הנקודה  .
  3. אליס מחשבת את המפתח המשותף שהוא הנקודה בעקום  .
  4. בוב מחשב את המפתח המשותף באופן דומה  .

הפרוטוקול נכון כי מתקיים  . לכן הנקודה   בעקום האליפטי היא נקודה סודית המשותפת רק לשניהם, אותה הם יכולים להמיר למפתח הצפנה.

דוגמה במספרים קטנים. נניח שאליס ובוב הסכימו ביניהם על הפרמטרים המשותפים הבאים:

  1. המספר הראשוני  ,
  2. מקדמי משוואת העקום  ,
  3. העקום האליפטי  ,
  4. והנקודה הציבורית   מעל  .

לצורך ההתקשרות ביניהם נניח שאליס בחרה את המפתח הסודי:   ובוב בחר את המפתח הסודי  , כעת לפי כללי האריתמטיקה בעקום האליפטי אליס מחשבת את:

 ,

בוב מחשב את:

 .

אליס שולחת לבוב את   ובוב שולח לאליס את  . לבסוף, אליס מחשבת את:

 ,

בוב מחשב את:

 .

כעת הם משתפים ביניהם את הנקודה הסודית  . מקובל להתעלם מהקואורדינטה   ולקחת רק את   כערך סודי משותף.

בעיית דיפי־הלמן

עריכה

בעיית דיפי־הלמן - Diffie-Hellman problem בקיצור DHP היא בעיה מתמטית קשה שהועלתה לראשונה על ידי ויטפילד דיפי ומרטין הלמן בהקשר של קריפטוגרפיה. הסיבה לאטרקטיביות הבעיה היא העובדה שהיא מהווה על פניה, פונקציה חד-כיוונית. ויש עניין רב בקריפטוגרפיה בפונקציות חד־כיווניות כיוון שהן הבסיס המתמטי למרבית האלגוריתמים האסימטריים. פונקציה חד־כיוונית מאפשרת ביצוע תהליך הצפנה שהוא קל יחסית בכיוון אחד אבל קשה בכיוון ההפוך, דהיינו פענוח. אלא אם כן קיים מידע נסתר בידי המפענח שמקל על מלאכתו. המידע הנסתר קרוי מפתח פענוח או מפתח פרטי.

בעיית דיפי־הלמן היא כדלהלן:

נתונים ראשוני  , יוצר   של החבורה   והערכים   ו־ , מצא את  ?

באופן פורמלי   הוא יוצר של חבורה ציקלית (מעל שדה סופי מסדר ראשוני, שדה בינארי מורחב או מעל עקום אליפטי) והערכים   ו־  שלמים אקראיים כלשהם.

ביטחון

עריכה

ביטחון פרוטוקול דיפי־הלמן מסתמך על ההשערה שקשה לפתור את בעיית דיפי־הלמן או את בעיית הלוגריתם הדיסקרטי בחבורות מסוימות יותר מהעלאה בחזקה. מסיבה זו חשוב לבחור חבורה מתאימה כי בחבורות מסוימות פתרון הבעיות הללו עלול להיות טריוויאלי או קל במידה ניכרת. החבורות העיקריות הידועות כיום כבטוחות לשימוש הן חבורה כפלית המבוססת על:

  • שדה סופי מסדר ראשוני גדול  
  • שדה בינארי מורחב  . כאשר   גדול.
  • עקום אליפטי מעל שדה ראשוני.

הוכח שהקושי בפתרון בעיית הלוגריתם הבדיד תלוי בגורם הראשוני הגדול ביותר של סדר החבורה (אם סדר החבורה ראשוני, הכוונה לסדר החבורה פחות 1). בעיקרון שיטת כוח גס, דהיינו ניסוי כל האפשרויות עד למציאת פתרון אינה יעילה. קיימים אלגוריתמים מהירים שמוצאים פתרון בזמן קצר יותר מכוח גס. ניתן למנות כמה מהם: תחשיב אינדקסים, אלגוריתם רו של פולרד, אלגוריתם צעד-קטן צעד-גדול של דייוויד שנקס, אלגוריתם נפת שדה המספרים ועוד. האחרון נחשב לאלגוריתם הטוב ביותר לפתרון בעיית הלוגריתם הבדיד והוא פועל בזמן ריצה תת־מעריכי, מסדר גודל של  . על כל פנים הממצאים בתחום עדיין לא שלמים.

תקן SP 800-57 של NIST (גרסה 3 - יולי 2012) משווה בין החוזק של אלגוריתמים סימטריים ואלגוריתמים אסימטריים המקבילים להם. המלצות התקן גורסות שהראשוני   צריך להיות בגודל בין 1024 סיביות ל־15,360 סיביות בהתאם לחוזק אלגוריתמים סימטריים המקבילים (בין 80 סיביות ל־256 סיביות). למשל להשגת חוזק זהה לאלגוריתם AES עם מפתח בגודל 128 סיביות יש לבחור ראשוני באורך 3,072 סיביות. מעל קבוצת הנקודות בעקום אליפטי התקן ממליץ על טווח אורכים בין 160 ל־512 סיביות. הסיבה היא שהאלגוריתמים הטובים ביותר הידועים, אינם ישימים בעקום אליפטי.

פרוטוקול דיפי הלמן ניתן לשינוי באופן שיספק גם אימות זהויות, על ידי קביעת הערכים   ו־  מודולו   כמפתחות ציבוריים של כל משתמש ואז על ידי חתימה על המפתחות (באמצעות סרטיפיקט) ניתן להבטיח את שייכותם לכל משתמש בהתאמה. פרוטוקול MQV הוא דוגמה טובה להרחבה של פרוטוקול דיפי הלמן המספקת גם אימות זהויות עקיף.

פרוטוקול דיפי הלמן אינו מבטיח למשתתפים הגנה על אופן בחירת המפתח ואינו מונע שליטה חד צדדית. למעשה אחד הצדדים יכול בקלות להשפיע על אופן בחירת המפתח על ידי בחירת   או   קטנים במכוון. לדוגמה אם המעריך   המפתח הסודי המשותף   יהיה  . באופן דומה הפרוטוקול פגיע במיוחד להתקפה הבאה: אם   (כאשר   קטן כגון   ו־  ראשוני), אזי   הוא מסדר   (ואז  ). תוקף אקטיבי יכול להחליף את המסרים ששלחו המשתתפים בערכים   וכן   בהתאמה, בכך לגרום למפתח המשותף להיות  . וכתוצאה   יהיה בטווח   או  .

בכללות מומלץ לבצע בדיקת תקפות של הערכים כדי להבטיח שהם בטווח המותר וכי שלא שונו בידי גורם זדוני כלשהו או עקב שגיאה, במהלך חילופי המסרים של הפרוטוקול.

התקפת אדם באמצע

עריכה
  ערך מורחב – התקפת אדם באמצע

נניח שהמצותתת איב אינה רק צופה פאסיבית אלא ביכולתה ליירט ולשנות מסרים בעודם בדרכם ליעדם מבלי שהמתקשרים הלגיטימיים יבחינו בכך. מצב כזה אפשרי בכל ערוץ תקשורת שאינו מאומת באופן קריפטוגרפי. במקרה כזה איב יכולה לבצע התקפה הידועה בשם התקפת האדם באמצע באופן הבא: כזכור אליס מעוניינת לשלוח לבוב את המפתח הציבורי שלה   (כאשר   הוא המפתח הפרטי) ובוב מעוניין לשלוח לאליס את המפתח הציבורי שלו  . איב תחילה מכינה מפתחות משלה, נניח  , ואז כאשר הם מתקשרים ביניהם היא מיירטת את המסרים מאליס לבוב ומבוב לאליס ומחליפה אותם ב־ . כעת איב משתפת עם אליס ועם בוב בנפרד את המפתחות   ו־  בהתאמה בעוד שהם מאמינים כי הם שיתפו את המפתחות   ו־  בהתאמה, כמתואר בתרשים.

 
התקפת אדם באמצע על פרוטוקול דיפי־הלמן

כעת אם אליס או בוב ישלחו זה לזה מסר מוצפן כלשהו עם מפתח ההצפנה   או   בהתאמה, איב יכולה ליירטו ולפענחו עם המפתח הפרטי המתאים שברשותה   או   בהתאמה. יתרה מזו, כדי שהמתקשרים הלגיטמיים לא יבחינו במתרחש היא חוזרת ומצפינה את המסר עם המפתח הפרטי שהיא שיתפה עם הצד השני ושולחת אותו ליעדו כאילו כלום לא קרה. כדי לסכל התקפה כזו על המתקשרים לאמת בדרך כלשהי את המסרים העוברים ביניהם, גם כדי להבטיח כי הגיעו מהמקור שהם סבורים וכן שהמסרים לא שונו באופן זדוני בדרכם ליעדם. מסיבה זו אימות והבטחת שלמות הם נושאים קריטיים באבטחת מידע. פרוטוקול MQV מספק מענה חלקי לבעיה. אפשר כמובן לחתום על כל המסרים עם החתימה הדיגיטלית המתאימה של כל צד.

הכללות

עריכה

במקום לעבוד בחבורה הכפלית של המספרים מודולו הראשוני   (שהיא חבורת אוילר של  ), אפשר לעבוד בכל חבורה ציקלית אחרת. השותפים צריכים לפרסם את החבורה   ואת האיבר  , ואז לחזור על התהליך כמתואר לעיל. הבעיות הניצבות בפני המאזין הסמוי נקראות 'בעיית דיפי־הלמן' ו'בעיית הלוגריתם הבדיד' בחבורה  , בהתאמה.

ראו גם

עריכה

קישורים חיצוניים

עריכה