Cryptography Reference
In-Depth Information
Alice berechnet den Schlüssel k aus dem empfangenen und dem eigenen Geheimnis a.
a b a b a
k()m dp g)m dpg m dp
!
(4.3-4)
Bob berechnet den Schlüssel k aus dem empfangenen und dem eigenen Geheimnis b.
b a b a b
k()m dp g)m dpg m dp
(4.3-5)
Die beiden Parteien A und B haben jetzt ein gemeinsames Geheimnis k. Ein Beobachter kann
den Schlüssel k nicht berechnen, er müsste dazu das Geheimnis a aus oder das Geheimnis b
aus berechnen. Dies ist jedoch nicht durchführbar, denn er müsste dazu den diskreten Loga-
rithmus in (4.3-2) oder (4.3-3) lösen.
Anmerkung zu
(4.3-2): In der Arithmetik mod p in (4.3-2) ist mod (p1) auf den Exponenten a
anzuwenden (Kleiner Satz von Fermat, Kap. 4.1.2). Mit der Wahl a
[1, p2] ist der Wert
a=(p1)mod(p1)=0 ausgeschlossen. Aus Gründen der Sicherheit wird es sinnvoll sein, auch
die Werte a=1 und a=(p2)mod(p1)=1 auszuschließen. Bei einem Modul p von z.B. 1024
Bit und zufälliger Wahl von a treten die ausgeschlossenen Werte praktisch nicht auf. Entspre-
chendes gilt für b.
Nach Ablauf des Protokolls haben die Parteien A und B zwar ein gemeinsames Geheimnis k.
Sie haben jedoch keine Sicherheit darüber, wer der Kommunikationspartner war. Keiner der
Partner weist seine Identität nach. Das DH-Protokoll liefert nur den Dienst „geheimer Schlüs-
selaustausch“. Der Dienst der Authentifizierung müsste auf andere Weise erbracht werden.
Alice
Bob
wählt Zufallszahl a
wählt Zufallszahl b
berechnet = g modp
a
b
berechnet = g modp
berechnet
berechnet
k =
k =
a
modp = g modp
ab
b
ab
modp = g modp
Abb. 4-2: Diffie-Hellman, geheimer Schlüsselaustausch.
Vorab bekannt sind der Modul p und ein Generator-Element g
[2, p1]
GF(p).
Aus heutiger Sicht kann a als der private Schlüssel und als der öffentliche Schlüssel von
Alice betrachtet werden, entsprechend b der private Schlüssel und als der öffentliche Schlüs-
sel von Bob. Die Zugehörigkeit von zu Alice und zu Bob wird jedoch nicht vorher durch
ein Zertifikat beglaubigt. Bei einem zu DHP ähnlichen Protokoll, dem Schlüsselaustausch nach
ElGamal (Kap. 4.4.1), werden die Parteien auch authentifiziert.
Das DH-Verfahren kann man mit eigenen Parametern für a, b und g in CrypTool durchführen:
siehe Menü Einzelverfahren \ Protokolle \ Diffie-Hellman-Demo.
