Definition

Schlüsselaustausch nach Diffie-Hellman

Mitarbeiter: Dr. Ron Peterson

Der Diffie-Hellman-Schlüsselaustausch, auch exponentieller Schlüsselaustausch genannt, ist eine digitale Verschlüsselungsmethode. Die dabei verwendeten Entschlüsselungs-Keys werden aus nicht übermittelten Komponenten berechnet, so dass eine Entschlüsselung durch einen Angreifer mathematisch praktisch unmöglich ist.

 

Ein Beispiel: Um Diffie-Hellman einzusetzen, vereinbaren Alice und Bob über einen sicheren Kommunikationskanal zunächst eine Primzahl p sowie eine natürliche Zahl q, die aus positiven und ganzen Zahlen bestehen. Der Generator q ist kleiner als p, so dass sie nie identisch sind. p sollte sehr groß sein, während q also üblicherweise eine kleine Zahl ist.

 

Nachdem Alice und Bob sich im Privaten auf p und q geeinigt haben, wählen sie jeweils eine einen persönlichen Schlüssel a und b, die beide kleiner als p und ganze Zahlen sowie ebenfalls positiv sein sollten. Keiner von beiden gibt seinen persönlichen Schlüssel weiter, auch nicht an seinen Kommunikationspartner. Im Idealfall merken sie sich ihre Nummer und schreiben sie auch nicht auf oder speichern sie auch nicht auf dem PC. Anschließend berechnen Alice und Bob auf Basis ihrer geheimen Zahlen die beiden öffentlichen Schlüssel A und B nach den folgenden Formeln

A = qa mod p

und

B = qb mod p

Die beiden Anwender können ihre öffentlichen Schlüssel A und B danach über ein unsicheres Netz wie das Internet oder in Unternehmen genutzte Wide Area Networks (WAN) austauschen. Von diesen öffentlichen Schlüsseln ausgehend können beide den gemeinsamen Schlüssel K berechnen, der auf ihren eigenen Schlüsseln basiert. Alice nutzt dazu die Formel

K = Ba mod p

Während Bob K mit der folgenden Formel berechnet

K = Ab mod p

Egal, welche der beiden Formeln verwendet wird, K hat immer denselben Wert. Das wichtige dabei ist, dass die beiden persönlichen Schlüssel a und b, die zur Berechnung von K benötigt werden, dabei aber nicht über ein unsicheres Medium übertragen wurden. Weil K eine große und offenkundig zufällige Zahl ist, hat ein potenzieller Hacker praktisch keine Chance, auf den gemeinsamen Schlüssel K zu kommen, selbst nicht mithilfe eines Supercomputers, der innerhalb kürzester Zeit Millionen Versuche durchführen kann. In der Theorie können die beiden Nutzer damit sicher über ein öffentliches Netz kommunizieren und eine Verschlüsselungsmethode ihrer Wahl verwenden, die dabei den gemeinsamen Schlüssel K einsetzt.

Das größte Problem bei Diffie-Hellman in seiner ursprünglichen Form ist der Mangel an Authentifizierung. Verbindungen, die nur mit Diffie-Hellman gesichert werden, sind deswegen anfällig gegen Man-in-the-Middle-Angriffe. Diffie-Hellman sollte aus diesem Grund nur zusammen mit einer allgemein akzeptierten Authentifizierungsmethode wie Digitalen Signaturen eingesetzt werden, um die Identität der Kommunikationspartner über öffentliche Netze überprüfen zu können. Diffie-Hellman eignet sich nichtsdestotrotz gut zur Absicherung von Datenverbindungen, wird aber nur selten für Daten genutzt, die lange Zeit gespeichert und archiviert werden sollen.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Diese Definition wurde zuletzt im Juni 2016 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close