Intercambio De Claves De Diffie-Hellman: Protocolo criptográfico

Se emplea generalmente como medio para acordar claves simétricas que serán empleadas para el cifrado de una sesión (establecer clave de sesión). Siendo no autenticado, sin embargo, provee las bases para varios protocolos autenticados.​ Su seguridad radica en la extrema dificultad (conjeturada, no demostrada) de calcular logaritmos discretos en un cuerpo finito.​

El método fue lleva el nombre de los criptógrafos Whitfield Diffie y Martin Hellman, quienes lo desarrollaron y publicaron en 1976​ y recibieron el prestigioso premio A.M. Turing de 2015 por este trabajo "que revolucionó la seguridad informática".​

El sistema se basa en la idea de que dos interlocutores pueden generar conjuntamente una clave compartida sin que un intruso, que esté escuchando las comunicaciones, pueda llegar a obtenerla.

Para ello se eligen dos números públicos y, cada interlocutor, un número secreto. Usando una fórmula matemática, que incluye la exponenciación, cada interlocutor hace una serie de operaciones con los dos números públicos y su número secreto. A continuación los interlocutores se intercambian los resultados de forma pública. En teoría, revertir esta función es tan difícil como calcular un logaritmo discreto (un sextillón de veces más costosa que la exponenciación usada para transformar los números). Por tanto, se dice que este número es el resultado de aplicar una función unidireccional al número secreto.

A continuación, ambos interlocutores utilizan por separado una fórmula matemática que combina los dos números transformados con su número secreto y al final los dos llegan al mismo número resultado, que será la clave compartida.

Descripción detallada

 

Para dos partes Alice y Bob, que intentan establecer una clave secreta, y un adversario Mallory, la versión básica es como sigue:

• Se establecen un primo ${\displaystyle p}$  y un generador ${\displaystyle g\in \mathbf {Z} _{p}^{*}}$  (​). Estos son públicos, conocidos no solo por las partes. Alice y Bob sino también por el adversario Mallory.
• Alice escoge ${\displaystyle a\in \mathbf {Z} _{p-1}}$  al azar, calcula ${\displaystyle A=g^{a}\;{\bmod {\;}}p}$ , y envía ${\displaystyle A}$  a Bob.
• Bob escoge ${\displaystyle b\in \mathbf {Z} _{p-1}}$  al azar, calcula ${\displaystyle B=g^{b}\;{\bmod {\;}}p}$ , y envía ${\displaystyle B}$  a Alice.

Nótese que tanto ${\displaystyle A}$  como ${\displaystyle B}$  pueden calcular el valor ${\displaystyle K=g^{a\cdot b}\;{\bmod {\;}}p}$ . En efecto, lo podemos demostrar usando las propiedades del grupo ${\displaystyle \mathbf {Z} _{p}^{*}}$ :

Para Alice: ${\displaystyle B^{a}\;\;{\bmod {\;}}\;p=(g^{b}\;{\bmod {\;}}p)^{a}\;{\bmod {\;}}p=(\overbrace {(g^{b}\;{\bmod {\;}}p)(g^{b}\;{\bmod {\;}}p)\cdots (g^{b}\;{\bmod {\;}}p)} ^{a})\;{\bmod {\;}}p=g^{b\cdot a}\;{\bmod {\;}}p=g^{a\cdot b}\;{\bmod {\;}}p=K}$ 

Para Bob: ${\displaystyle A^{b}\;{\bmod {\;}}p=(g^{a}\;{\bmod {\;}}p)^{b}\;{\bmod {\;}}p=(\overbrace {(g^{a}\;{\bmod {\;}}p)(g^{a}\;{\bmod {\;}}p)\cdots (g^{a}\;{\bmod {\;}}p)} ^{b})\;{\bmod {\;}}p=g^{a\cdot b}\;{\bmod {\;}}p=K}$ 

Como ambas partes pueden calcular ${\displaystyle K}$ , entonces la podemos usar como clave compartida.

Ataques

Ataques pasivos

Un adversario Mallory, que poseyera ${\displaystyle (p,g,A,B)}$ , podría calcular el secreto compartido si tuviera también uno de los valores privados (${\displaystyle a}$  o ${\displaystyle b}$ ). Obtener ${\displaystyle a}$  o ${\displaystyle b}$  a partir de ${\displaystyle A}$  o ${\displaystyle B}$  invirtiendo la función ( ${\displaystyle a=\operatorname {log\;disc} _{p}(A)}$  y ${\displaystyle b=\operatorname {log\;disc} _{p}(B)}$ ) es el problema del logaritmo discreto en ${\displaystyle \mathbf {Z} _{p}^{*}}$ , un problema que se cree intratable computacionalmente siempre que ${\displaystyle p}$  sea un número primo grande de 200 o más dígitos y que no cumplan ciertas características debilitantes.​

Ataques activos

El protocolo es sensible a ataques activos del tipo Man-in-the-middle. Si la comunicación es interceptada por un tercero, éste se puede hacer pasar por el emisor cara al destinatario y viceversa, ya que no se dispone de ningún mecanismo para validar la identidad de los participantes en la comunicación. Así, el "hombre en el medio" podría acordar una clave con cada participante y retransmitir los datos entre ellos, escuchando la conversación en ambos sentidos. Una vez establecida la comunicación simétrica, el atacante tiene que seguir en medio interceptando y modificando el tráfico para que no se den cuenta. Observar que para que el ataque sea operativo, el atacante tiene que conocer el método de cifrado simétrico que será utilizado. Basarse en la ocultación de algoritmo simétrico de cifrado no cumple con los principios de Kerckhoffs (la efectividad del sistema no debe depender de que su diseño permanezca en secreto).

 

Para evitar este tipo de ataque, se suele usar una o más de las siguientes técnicas:

• Control de tiempos.
• Autenticación previa de las partes. Por ejemplo, usar en protocolo de capa subyacente autenticación. Podríamos primero establecer una conexión TLS y sobre esa capa aplicar el algoritmo de Diffie-Hellman.
• Autenticación del contenido. Por ejemplo, podríamos usar MAC sobre el contenido de los mensajes.
• Cifrando las claves públicas con un algoritmo de clave pública (asimétrico), evitando el problema de Man-in-the-middle, y a su vez comprobando que la clave pública sea distinta de 0 y 1.
• Usar un tercero (Carol) con el que o bien Alice o bien Bob mantienen un canal seguro. Este tercero puede detectar el man-in-the-middle

si Alice o Bob están siendo escuchados/modificados, simplemente desafiando a ambos a una prueba implicando en dicha prueba la clave pública del otro. Si Mallory tergiversa la comunicación Alice-Bob, y también la Alice-Carol, no puede tergiversar el canal seguro Bob-Carol y será detectado. Y si tergiversa la Alice-Bob y la Bob-Carol, no puede tergiversar la Alice-Carol (por definición debe haber algún canal seguro entre dos de los tres, aunque los otros dos canales sean tergiversados por Mallory). Esto significa que el método Diffie-Hellman puede crear redes de múltiples nodos 100% seguras, a partir de tan solo dos nodos previamente seguros. Este método también sirve para testear canales que se sospecha que puedan ser inseguros.

Ejemplo

Alice Sec Calc p, g a ga mod p … (gb mod p)a mod p

${\displaystyle \rightarrow }$  ${\displaystyle \leftarrow }$  =

Bob Calc Sec p, g b … gb mod p (ga mod p)b mod p

Alice y Bob acuerdan usar el número primo p=23 y la base g=5. Alice elige un número secreto a=6, luego envía a Bob (ga mod p) 56 mod 23 = 8. Bob elige un número secreto b=15, luego envía a Alice (gb mod p) 515 mod 23 = 19. Alice calcula (gb mod p)a mod p 196 mod 23 = 2. Bob calcula (ga mod p)b mod p 815 mod 23 = 2.

Ejemplo con implementación de cifrado

La necesidad para este ejemplo es: Bob necesita enviarle un texto cifrado a Alice pero sin compartir la clave de cifrado. ¿Cómo lo hace?

1. Alice elige un número secreto a=6, el número primo p=23 y la base g=5. Luego envía a Bob la llave pública de Alice (g^a mod p), p y g:
   • 5⁶ mod 23 = 8.
   • 23
   • 5
2. Bob elige un número secreto b=15, luego Bob calcula la llave de cifrado común (g^a mod p)^b mod p
   • 8¹⁵ mod 23 = 2.
3. Bob cifra, con un cifrador simétrico como AES, el texto claro usando la llave de cifrado generada.
4. TextoCifrado = CifradorSimetrico ( TextoClaro, 2 )
5. Bob envía a Alice el texto cifrado y la llave pública de Bob (g^b mod p)
   • 5¹⁵ mod 23 = 19.
   • TextoCifrado
6. Alice calcula (g^b mod p)^a mod p
   • 19⁶ mod 23 = 2.
7. Alice usa esa clave de cifrado generada para descifrar los datos enviados por Bob
8. TextoClaro = DescifradorSimetrico ( TextoCifrado, 2 )

Valores mucho más grandes de a,b y p se necesitarían para hacer este ejemplo seguro. Dado que es muy sencillo probar todos los valores posibles de g^ab mod 23 (habrá, como máximo, 22 valores, inclusive si a y b son números grandes).

Obviamente la necesidad de Alice de enviarle a Bob la información cifrada también la cubre la implementación.

Aumentando el número de partes

La idea del algoritmo podemos generalizarla a la negociación de claves entre más de dos entidades. Veamos un ejemplo para tres entidades y a partir de ahí podemos aumentar el número de partes de forma fácil:

1. Las partes (Alice, Bob y Carol) se ponen de acuerdo en los parámetros del algoritmo ${\displaystyle p}$  y ${\displaystyle g}$ .
2. Las partes generan sus propias claves privadas llamadas ${\displaystyle a}$ , ${\displaystyle b}$ , y ${\displaystyle c}$  respectivamente.
3. Alice calcula ${\displaystyle g^{a}\;{\bmod {\;}}p}$  y lo envía a Bob.
4. Bob calcula ${\displaystyle (g^{a})^{b}\;{\bmod {\;}}p=g^{ab}\;{\bmod {\;}}p}$  y lo envía a Carol.
5. Carol calcula ${\displaystyle (g^{ab})^{c}\;{\bmod {\;}}p=g^{abc}\;{\bmod {\;}}p}$  y la usa como su clave secreta.
6. Bob calcula ${\displaystyle g^{b}\;{\bmod {\;}}p}$  y lo envía a Carol.
7. Carol calcula ${\displaystyle (g^{b})^{c}\;{\bmod {\;}}p=g^{bc}\;{\bmod {\;}}p}$  y lo envía a Alice.
8. Alice calcula ${\displaystyle (g^{bc})^{a}\;{\bmod {\;}}p=g^{bca}\;{\bmod {\;}}p=g^{abc}\;{\bmod {\;}}p}$  y lo usa como su clave secreta.
9. Carol calcula ${\displaystyle g^{c}\;{\bmod {\;}}p}$  y lo envía a Alice.
10. Alice calcula ${\displaystyle (g^{c})^{a}\;{\bmod {\;}}p=g^{ca}\;{\bmod {\;}}p}$  y lo envía a Bob.
11. Bob calcula ${\displaystyle (g^{ca})^{b}\;{\bmod {\;}}p=g^{cab}\;{\bmod {\;}}p=g^{abc}\;{\bmod {\;}}p}$  y lo usa como su clave secreta.

Cambiando de grupo

Podemos generalizar el protocolo y sus derivados si en lugar de basarnos en el grupo ${\displaystyle \mathbf {Z} _{p}^{*}}$  nos basamos en otros grupos que cumplan las condiciones necesarias para poder aplicar el algoritmo (GDHP<-Generalized Diffie-Hellman Problem)

Formalización

1. Los usuarios A y B seleccionan públicamente un grupo multiplicativo finito G de orden n y generador ${\displaystyle g\in G}$  cuya operación multiplicación es una operación de una vía (no tiene inversa o difícilmente invertible)
2. El usuario A genera un número aleatorio a,${\displaystyle 1\leq a\leq n-1}$ , calcula ${\displaystyle g^{a}\in G}$  y transmite este elemento a B, manteniendo secreto a
3. El usuario B genera un número aleatorio b,${\displaystyle 1\leq b\leq n-1}$ , calcula ${\displaystyle g^{b}\in G}$  y transmite este elemento a A, manteniendo secreto b
4. El usuario A recibe ${\displaystyle g^{b}}$  y calcula ${\displaystyle (g^{b})^{a}\in G}$ 
5. El usuario B recibe ${\displaystyle g^{a}}$  y calcula ${\displaystyle (g^{a})^{b}\in G}$ 
6. A y B poseen un elemento común secreto del grupo ${\displaystyle g^{a\cdot b}}$ 

Ejemplos

Ejemplos de grupos que podríamos usar: El grupo multiplicativo análogo de los campos de Galois ${\displaystyle \mathbb {F} _{2^{n}}}$ , el grupo de puntos definidos por una curva elíptica sobre un cuerpo finito.

• La red para anonimato Tor usa el protocolo Diffie Hellman, sobre una conexión TLS de una capa inferior previamente establecida, para procurarse claves de sesión entre el cliente y los nodos de enrutamiento de la red. Esas claves son usadas para cifrar las capas de cebolla de los paquetes que transitan por la red.
• El protocolo Off-the-Record Messaging (OTR) para comunicación de mensajería instantánea se apoya​ en el protocolo Diffie-Hellman para ir cambiando de clave de cifrado según se van intercambiando los mensajes.

• Menezes, A.J., P.C. van Oorschot y S.A. Vanstone. Handbook of Applied Cryptography. Boca Raton, Fl.: CRC Press, 1997.
• Diffie-Hellman Key Agreement Method, doi:10.17487/RFC2631, RFC 2631 .