Diffie-Hellman算法描述目前被许多商业产品交易采用.

1、Diffie-Hellman 算法描述： 目前被许多商业产品交易采用。HD 算法为公开的密钥算法， 发明于 1976 年。该算法 不能用于 加密或解密 ，而是用于密钥的传输和分配。DH 算法的安全性体现在： 在有限域 上计算 离散对数 非常困难。 离散对数 ：定义素数 p 的原始根( primitive root )为这样 一个数，它能生成 1p-1 所有数的一个数。现设 a 为 p 的原始 根，则a mod p, a2mod p, , ,ap-1mod p两两互不相同，构成一个 1p-1 的全体数的一个排列。对于任 意数 b 及素数 p 的原始根 a, 可以找到一个唯一的指数 i ，满足 b

2、=aimod p, 0=i=p-1则称指数 i 为以 a 为底、模 P 的 b 的离散对数。1） HD 算法描述假设 Alice 和 Bob 想在不安全的信道 上交换密钥，则他们可 采取如下步骤：（1）Alice 和 Bob 共同协商一个大素数 p 以及 p 的原始根 a，a 和 p 可以公开。（2） Alice 秘密产生一个随机数 x，计算 X=sfmod p,然 后把X 发给 Bob;（3） Bob 秘密产生一个随机数 y，计算 Y=afmod p,然后 把 Y发给 Alice ;（ 4） Alice 计算 k=Yxmod p;（ 5） Bob 计算 k*=Xymod p;因为k=Yxmo

3、d p= (ay)xmod p=(ax)ymod p=Xymod p= k*所以k= k*。不安全线路上的窃听者只能得到 a、p、 X、Y, 除非能计算 离散对数 x 和 y，否则将无法得到密钥k。因此，k 为 Alice 和 Bob独立计算出的密钥。例：Alice 和 Bob 在不安全网络信道上秘密交换密钥，见下图。Alice图 4-3 Diffie-Hellman 密钥交换(RefC_p57_HD 算法描述)Bob【锻曲I喷;kB_a I. 1I Oh-IIHBJ4 4Hi1p;強安. J础7恥:-:會ynwdp 1片诽猶 J 心一卞Vkgl卜 r _：.-i访匚(1)Alice 和 Bo

4、b 协商后决定采用素数 p=353 及其原始根a=3;（2）Alice 秘密产生一个随机数 x=97,计算X=37mod 353=40,然后把 X=40 发给 Bob;则双方得到共同密钥 k=160缺点： DH 密钥交换算法易受到中间人攻击。中间人攻击 描述 ：（1） Alice 公开发送值 a 和 p 给 Bob,攻击者 Carol 截 获这些值，随即把自己产生的公开值发给Bob。3)4)5)Bob 秘密产生一个随机数 y=233,计算丫=才33mod 353=248,然后把 Y=248 发给 AliceAlice计算 k=Yxmod p=2497mod 353=160;Bob（2） Bob

5、 公开发送值 a 和 p 给 Alice, 又被 Carol 截获， 随即把自己产生的公开值发给 Alice 。（3） Alice 和 Carol 计算出两人之间的共享密钥 k1。（4） Bob 和 Carol 计算出两人之间另一个的共享密钥 k2。受到中间人 Carol 攻击后， Alice 用密钥 k1 给 Bob 发送 消息， Carol 截获后用 k1 解密就可读取消息，然后将获得 的明文消息用 k2 加密（加密前对消息可能做某些修改， 即 主动攻击） ，然后发给 Bob=对 Bob 发给 Alice 的消息，Carol 用同样的手法读取和修改。造成中间人攻击得逞的原因是：DH 密钥交

6、换算法不进行 认证对方 。利用 数字签名 可以解决中间人攻击的缺陷。2 ）经过认证的 DH 密钥交换用于挫败中间人攻击，可用 数字签名 和公钥证书相互认证 方法进行。在密钥交换 之前 ，Alice 和 Bob 双方各自拥有 公 钥 / 私钥对 和 公开密钥证书 。（1） Alice 和 Bob 确定一个公共的 p 和 a,该两数值必须以可靠的 方式公布（例如通过 PKI 公布，后介绍）（注： Carol 可得到 p 和 a。）（2） Alice 产生随机数 x，并发给 Bob。（注：Carol 可得 x, 现已得到 p、 a 和 x, 但仍无法算 出 k 。 ）（3） Bob 产生随机数 y，

7、并根据 DH 协议计算岀共享秘密密 钥k=Y mod p=（aymod p）xmod p= （ay）xmod p, 然后 Bob对 x、y 签名（何谓签名？如何签名？后详述）并 用 k 加密 此签名 ，最后把 加密的签名 和消息， 以及 y一起发给 Alice 。(注： Carol 可得 y, 现已得到 p、a、 x 和 y, 现可同Bob 样算出 k,即 k 现为一公钥，Carol 可以用 k 解密消息，但不可更改，因为消息和签名“捆绑” 在一起，而 Carol 对Bob 的签名无法做手脚。)4)Alice 计算出 k=Xymodp=(axmodp)ymodp= (ax)ymod p,用k解密 Bob 发给她的消息，并对其签名进行验 证(如何验证？后详述 )，确信消息为真。 验证后对 x、 y 签名并用 k 加密此签