ディフィー・ヘルマン鍵かぎ共有きょうゆう

ディフィー・ヘルマン鍵かぎ共有きょうゆう（ディフィー・ヘルマンかぎきょうゆう、Diffie–Hellman key exchange、DH）、あるいはディフィー・ヘルマン鍵かぎ交換こうかん（かぎこうかん）とは、事前じぜんの秘密ひみつの共有きょうゆう無なしに、盗聴とうちょうの可能かのう性せいのある通信つうしん路ろを使つかって、暗号あんごう鍵かぎの共有きょうゆうを可能かのうにする、公開こうかい鍵かぎ暗号あんごう方式ほうしきの暗号あんごうプロトコルである。この鍵かぎは、共通きょうつう鍵かぎ暗号あんごうの鍵かぎとして使用しよう可能かのうである。

1976年ねんにスタンフォード大学だいがくの2名めいの研究けんきゅう員いんホイットフィールド・ディフィーとマーティン・ヘルマンは、公開こうかい鍵かぎ暗号あんごうの概念がいねんを提案ていあんし、その具体ぐたい的てきな方式ほうしきの一ひとつとして、ディフィー・ヘルマン鍵かぎ共有きょうゆう（DH鍵かぎ共有きょうゆう）プロトコルを提案ていあんした。この鍵かぎ共有きょうゆう方式ほうしきは共通きょうつう鍵かぎ暗号あんごう方式ほうしきにおける鍵かぎの受うけ渡わたしを安全あんぜんに行おこなうために提案ていあんされた方式ほうしきである。

このプロトコルは、通信つうしんを行おこないたい2者しゃが各々おのおの公開こうかい鍵かぎと秘密ひみつ鍵かぎ（私有しゆう鍵かぎともいう）を用意よういし、公開こうかい鍵かぎのみを相手あいてに送信そうしんし、各自かくじ、自分じぶんの秘密ひみつ鍵かぎと受信じゅしんした公開こうかい鍵かぎから共通きょうつう鍵かぎを作成さくせいできる方法ほうほうである。たとえ送受信そうじゅしんされるデータ（すなわち、二人ふたりの公開こうかい鍵かぎ）を第三者だいさんしゃがすべて盗聴とうちょうしていてもそれからでは（計算けいさん量的りょうてきに）私有しゆう鍵かぎも共通きょうつう鍵かぎも生成せいせいすることができない所ところに特徴とくちょうがある。

アメリカ合衆国あめりかがっしゅうこくとカナダで特許とっきょが取得しゅとくされた。両国りょうこくでのアルゴリズムの特許とっきょ期限きげんは既すでに1997年ねん4月がつ29日にちに切きれたので、現在げんざいでは誰だれでも自由じゆうに利用りようができる。

この方式ほうしきは以下いかのように行おこなわれる。まず大おおきな素数そすう ${\displaystyle p}$ と、 ${\displaystyle p-1}$ を割わり切きる大おおきな素数そすう ${\displaystyle q}$ を用意よういする。また、 ${\displaystyle g}$ を ${\displaystyle ({\mathbb {Z} }/p{\mathbb {Z} })^{\ast }}$ の元もとであり、位い数すうが ${\displaystyle q}$ である値ねとする。この ${\displaystyle p,q,g}$ の値ねは公開こうかいされているものとする^[1]。

いまアリスとボブが通信つうしんを行おこなうとする。このときアリスとボブはお互たがい自分じぶんだけの知しる秘密ひみつの値ね a, b を選択せんたくする、この値ねは 0 以上いじょう q−1 以下いかの中なかからランダムに選えらぶ。（ここで、ゼロや小ちいさな値ね（g^a < p となる a 等ひとし）を選択せんたくすると安全あんぜん性せいが損そこなわれるが、そのような確かく率りつは無視むしできるほど小ちいさい。）

アリスは以下いかの値ね A を計算けいさんしてそれをボブに送信そうしんする。

${\displaystyle A=g^{a}{\bmod {p}}}$

ボブも同様どうように以下いかの値ね B を計算けいさんしてそれをアリスに送信そうしんする。

${\displaystyle B=g^{b}{\bmod {p}}}$

アリスは自分じぶんだけの知しる秘密ひみつの値ね a とボブから送おくられてきて受信じゅしんした値ね B から以下いかの値ねを計算けいさんする。

${\displaystyle K_{A}=B^{a}{\bmod {p}}}$

ボブも自分じぶんだけの知しる秘密ひみつの値ね b とアリスから送おくられてきて受信じゅしんした値ね A から以下いかの値ねを計算けいさんする。

${\displaystyle K_{B}=A^{b}{\bmod {p}}}$

このときアリスとボブが計算けいさんした ${\displaystyle K_{A}}$と${\displaystyle K_{B}}$は

${\displaystyle K_{A}=K_{B}=g^{ab}{\bmod {p}}}$

となっていて一致いっちするので、以後いごこの値ねを共通きょうつう鍵かぎ暗号あんごう方式ほうしきの鍵かぎ${\displaystyle K}$として使用しようする。

ここで第三者だいさんしゃイブがこの二人ふたりの通信つうしんを傍受ぼうじゅしていて A と B の値ねを入手にゅうしゅできたとしても、${\displaystyle A=g^{a}{\bmod {p}}}$ と ${\displaystyle B=g^{b}{\bmod {p}}}$ から ${\displaystyle K=g^{ab}{\bmod {p}}}$ を多項式たこうしき時間じかんで計算けいさんできる方法ほうほうはいまのところ知しられていないので、第三者だいさんしゃイブが秘密ひみつの共通きょうつう鍵かぎ${\displaystyle K}$を生成せいせいすることは困難こんなんである。このためアリスとボブが安全あんぜんに通信つうしんを行おこなうことが可能かのうになる。

しかしながらたとえば、イブがボブになりすましをしていて、そうとは知しらずに上記じょうきの手順てじゅんでアリスが（相手あいてがボブだと思おもってだまされて）相互そうごに通信つうしんをして共通きょうつう鍵かぎ${\displaystyle K}$を作つくったとすると、それ以降いこうのアリスからボブを相手あいてとして想定そうていして送おくった${\displaystyle K}$を共通きょうつう鍵かぎとして暗号あんごう化かされた通信つうしんの内容ないようすべては，イブによって容易よういに内容ないようが解読かいどくされてしまうことに注意ちゅういが必要ひつようである。

なお、ディフィーとヘルマンによる最初さいしょの論文ろんぶんにおいては、 ${\displaystyle g}$ として${\displaystyle ({\mathbb {Z} }/p{\mathbb {Z} })^{\ast }}$の生成せいせい元もとを用もちいることが提案ていあんされているが、この場合ばあい、アリスが送おくった ${\displaystyle A}$ のルジャンドル記号きごうを計算けいさんすることによって、アリスの秘密ひみつ情報じょうほう ${\displaystyle a}$ の最下位さいかいビットが漏洩ろうえいしてしまう^[2]。

ディフィー・ヘルマン鍵かぎ共有きょうゆう自体じたいは認証にんしょう手段しゅだんを提供ていきょうするものではないため、単独たんどくでは中ちゅう間あいだ者しゃ攻撃こうげきに対たいして脆弱ぜいじゃくである。

ここではディフィー・ヘルマン鍵かぎ共有きょうゆうにおける中ちゅう間あいだ者しゃ攻撃こうげきの具体ぐたい的てきな手順てじゅんについて示しめす。

DNS偽装ぎそう・ARPスプーフィング・その他たの手段しゅだんにより攻撃こうげき者しゃイブがこの二人ふたりの通信つうしんを中継ちゅうけいして A と B の値ねを（本来ほんらいの宛先あてさきには送おくらずに）盗ぬすみ取とったとする。

このとき攻撃こうげき者しゃイブはそれらに対たいして秘密ひみつの値ね c と d を選択せんたくする。この値ねは a や b と同おなじ基準きじゅんで選択せんたくされる。

攻撃こうげき者しゃイブは c を用もちいて次つぎの値ねを計算けいさんして(アリスになりすまして)ボブに送信そうしんする。

${\displaystyle A_{E}=g^{c}{\bmod {p}}}$

また d を用もちいて次つぎの値ねを計算けいさんして（ボブになりすまして）アリスに送信そうしんする。

${\displaystyle B_{E}=g^{d}{\bmod {p}}}$

ボブは自身じしんの秘密ひみつの値ね b と（アリスからだと思おもって，実際じっさいには攻撃こうげき者しゃイブから）受信じゅしんした値ね${\displaystyle A_{E}}$から以下いかの値ねを計算けいさんする。

${\displaystyle K_{BE}=A_{E}^{b}{\bmod {p}}}$

アリスは自身じしんの秘密ひみつの値ね a と（ボブからだと思おもって，実際じっさいには攻撃こうげき者しゃイブから）受信じゅしんした値ね${\displaystyle B_{E}}$から以下いかの値ねを計算けいさんする。

${\displaystyle K_{AE}=B_{E}^{a}{\bmod {p}}}$

攻撃こうげき者しゃイブは自身じしんの秘密ひみつの値ね c と d と（中継ちゅうけいせずに抜ぬき取とった）アリスからの値ね A とボブからの値ね B の値ねから以下いかの値ねをそれぞれ計算けいさんする。

${\displaystyle K_{EAE}=A^{d}{\bmod {p}}}$

${\displaystyle K_{EBE}=B^{c}{\bmod {p}}}$

このときアリスと（ボブになりすました）攻撃こうげき者しゃイブの計算けいさんした${\displaystyle K_{AE}}$と${\displaystyle K_{EAE}}$の値ね，およびボブと（アリスになりすました）攻撃こうげき者しゃイブの計算けいさんした${\displaystyle K_{BE}}$と${\displaystyle K_{EBE}}$の値ねは

${\displaystyle K_{AE}=K_{EAE}=g^{ad}{\bmod {p}}}$

${\displaystyle K_{BE}=K_{EBE}=g^{bc}{\bmod {p}}}$

になってそれぞれが一致いっちする。

そうしてそれ以降いこうの通信つうしんにおいて攻撃こうげき者しゃイブは，これら2つの値ねをそれぞれアリスおよびボブに対たいする共通きょうつう鍵かぎ暗号あんごう方式ほうしきの鍵かぎとして使用しようしてアリスとボブの通信つうしんを中継ちゅうけいし続つづけて、盗聴とうちょうや改かいざんを行おこなうことができる。

公開こうかい鍵かぎは（何なにかしらの証明しょうめいを付つけた）静的せいてきなものであっても、一時いちじ的てきなもの（ephemeral、この場合ばあい特とくにDHEと略記りゃっきされる）であってもかまわない。一時いちじ的てきな鍵かぎを使用しようした場合ばあい、鍵かぎそのものには認証にんしょうがないため、別べつな方法ほうほうで認証にんしょうを行おこなうこととなる。もし認証にんしょうがなければ、上述じょうじゅつの通とおり中ちゅう間あいだ者しゃ攻撃こうげきに対たいして脆弱ぜいじゃくとなる。どちらか一方いっぽうの鍵かぎが静的せいてきなものであった場合ばあい、中間なかま者しゃ攻撃こうげきを受うけることはなくなるが、forward secrecyのような、その他たの高度こうどなセキュリティに与あずかることはできなくなる。静的せいてきな鍵かぎを持もつ側がわでは、自身じしんの秘密ひみつ鍵かぎ漏洩ろうえいを防ふせぐため、相手あいての公開こうかい鍵かぎを確認かくにんして、安全あんぜんな共通きょうつう鍵かぎ生成せいせい関数かんすうを利用りようする必要ひつようがある。

共有きょうゆうした秘密ひみつをそのまま鍵かぎとして使つかうこともできなくはないが、ディフィー・ヘルマン鍵かぎ共有きょうゆうで生成せいせいしたことによってできる弱よわいビットの影響えいきょうを除去じょきょするため、秘密ひみつをハッシュに通とおすことが推奨すいしょうされる^[3]。

ディフィー・ヘルマン鍵かぎ共有きょうゆうは負荷ふかのかかる処理しょりであり、SSL/TLSに適用てきようした場合ばあいでは、通常つうじょうのRSA暗号あんごうによる鍵かぎ交換こうかんの場合ばあいと比較ひかくして、サーバのスループットが6分ぶんの1程度ていどまで落おち込こむという実験じっけん結果けっかも存在そんざいする^[4]。

これはディフィー・ヘルマン鍵かぎ共有きょうゆうのシステム自体じたいに存在そんざいする問題もんだいではないが、2013年ねんの調査ちょうさでは、SSL/TLSでディフィー・ヘルマン鍵かぎ共有きょうゆうを有効ゆうこうとしているサーバのうち、電子でんし署名しょめいのビット数すうよりDHのビット数すうのほうが小ちいさく、総そう当あたり攻撃こうげきに対たいして弱よわくなってしまっているサーバが、実じつに80%以上いじょうの割合わりあいで存在そんざいしていた^[5]。

原理げんり上じょうは解読かいどくがきわめて困難こんなんではあるが、実装じっそう上じょうの問題もんだいが存在そんざいする場合ばあいには解読かいどくが可能かのうとなる場合ばあいがある。

また原理げんり上じょう、使つかわれている素数そすうに対たいして十分じゅうぶんな量りょうの事前じぜん計算けいさんを行おこなえば、その素数そすうに対たいしては比較的ひかくてき短みじかい時間じかんで鍵かぎを解読かいどくすることができる (い換いかえれば、その素数そすうを弱じゃく鍵かぎにすることができる)^[6]。2015年ねん、このことを元もとにした論文ろんぶんが発表はっぴょうされた^[7]。

この論文ろんぶんにおいて、Alexaによるトップ100万まんHTTPSドメインの中なかで512ビット輸出ゆしゅつ版ばんDHEを許可きょかしている 8.4% のうち 82% が、1024ビット非ひ輸出ゆしゅつ版ばんDHEでもトップドメイン全体ぜんたいの 17.9% がそれぞれ単一たんいつの素数そすうを使つかい回まわしており、これらの素数そすうに対たいして事前じぜん計算けいさん (ある種しゅの線形せんけい代数だいすう計算けいさんを含ふくむ) を行おこなうことで多おおくのサーバーの通信つうしんに対たいして解読かいどくが行おこなえることを指摘してきした。特とくに512ビットの素数そすうに対たいして解読かいどくを実証じっしょうし、数すう千せんコアと約やく8日にちの事前じぜん計算けいさんにより、およそ70秒びょうで解読かいどくができることを示しめした^[7]。

さらに、サーバーが用もちいる素数そすうについての離散りさん対数たいすう問題もんだいをリアルタイムで解とける攻撃こうげき者しゃが存在そんざいした場合ばあいには、たとえクライアント側がわが弱よわいDHEを許可きょかしていなくても偽にせのサーバーに接続せつぞくさせる中ちゅう間あいだ者しゃ攻撃こうげきが成立せいりつし、例たとえばサーバー側がわが512ビットの輸出ゆしゅつ版ばんDHEを許ゆるしている場合ばあいには、輸出ゆしゅつ版ばんDHEを許可きょかしていない新あたらしいクライアントであっても通信つうしんをダウングレードさせることが可能かのうであることを示しめした (Logjam 攻撃こうげき)^[7]。

同どう論文ろんぶんは1024ビットの非ひ輸出ゆしゅつ版ばんDHEについても、数すう億おくドルのコストをかけて専用せんようハードウェアを構築こうちくした場合ばあいには、1つの素数そすうに対たいして十分じゅうぶんな線形せんけい代数だいすう計算けいさんを1年間ねんかんで実行じっこうできる可能かのう性せいがあることを示唆しさしている^[7]。

1. ^ RFC 5114（Additional Diffie-Hellman Groups for Use with IETF Standards、2008年ねん8月がつ）や RFC 7919（Negotiated Finite Field Diffie-Hellman Ephemeral Parameters for Transport Layer Security (TLS)、2016年ねん8月がつ）のように、広ひろく公開こうかいされて用もちいられる (p,q,g) の組くみも存在そんざいする。
2. ^ Dan, Boneh (1998), “The Decision Diflie-Hellman Problem”, Algorithmic Number Theory. ANTS 1998, LNCS 1423, https://doi.org/10.1007/BFb0054851 2021年ねん12月24日にち閲覧えつらん。 
3. ^ Law, Laurie; Menezes, Alfred; Qu, Minghua; Solinas, Jerry; Vanstone, Scott (August 28, 1998). An Efficient Protocol for Authenticated Key Agreement. Certicom. http://download.certicom.com/pdfs/corr98-05.pdf 2012年ねん1月がつ19日にち閲覧えつらん。. 
4. ^ Symantec (2013)、pp.13-14。
5. ^ Symantec (2013)、p.9。
6. ^ Diffie, Whitfield; Oorschot, Paul C. Van; Wiener, Michael J. (1992-03-06), “Authentication and Authenticated Key Exchanges”, Designs, Codes and Cryptography, http://people.scs.carleton.ca/~paulv/papers/sts-final.pdf 2017年ねん12月24日にち閲覧えつらん。 
7. ^ ^{a b c d} Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia; Springall, Drew et al. (2015-10), Imperfect Forward Secrecy:How Diffie-Hellman Fails in Practice, https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf 2017年ねん12月24日にち閲覧えつらん。 

• W. Diffie and M. E. Hellman, "New Directions in Cryptography", IEEE Transactions on Information Theory, vol.IT-22, No.6, pp.644-654, Nov, 1976.
• カナダの特許とっきょ1,121,480
• TLSにおけるForward Secrecyの利用りように関かんする実証じっしょう的てき研究けんきゅう調査ちょうさ (PDF) シマンテック、2013年ねん（2014年ねん6月がつ12日にち閲覧えつらん）。

• 暗号あんごう理論りろん
• 楕円だえん曲線きょくせんディフィー・ヘルマン鍵かぎ共有きょうゆう

• RFC 2631: Diffie-Hellman Key Agreement Method
  • Diffie-Hellman 鍵かぎ共有きょうゆう法ほう（DH 法ほう）