Diffie-Hellman et son utilisation TLS / SSL

Diffie-Hellman est utilisé dans SSL/TLS, comme "Diffie-Hellman éphémère" (les suites de chiffrement avec "DHE" dans leur nom; voir la norme ). Ce qui est très rarement rencontré est "Diffie-Hellman statique" (suites de chiffrement avec "DH" dans leur nom, mais ni "DHE" ni "DH_anon"): ces suites de chiffrement nécessitent que le serveur possède un certificat contenant une clé publique DH, qui est rarement prise en charge pour diverses raisons historiques et économiques, parmi lesquelles la principale est la disponibilité d'une norme gratuite pour RSA ( PKCS # 1 ) tandis que la norme correspondante pour Diffie-Hellman ( x9.42 ) coûte une centaine de dollars, ce qui n'est pas beaucoup, mais suffisant pour dissuader la plupart des développeurs amateurs.

Diffie-Hellman est un protocole d'accord clé , ce qui signifie que si deux parties (par exemple, le client SSL et le serveur SSL) exécutent ce protocole, elles se retrouvent avec un secret partagé [~ # ~] k [~ # ~]. Cependant, ni le client ni le serveur ne parviennent à choisir la valeur de [~ # ~] k [~ # ~]; de leur point de vue, [~ # ~] k [~ # ~] semble généré de façon aléatoire. C'est secret (seuls eux savent [~ # ~] k [~ # ~]; les espions sur la ligne ne le font pas) et partagé (ils obtiennent tous les deux la même valeur [~ # ~] k [~ # ~]), mais pas = choisi. Ce n'est pas du cryptage. Un secret partagé [~ # ~] k [~ # ~] est cependant suffisant pour traiter des téraoctets de données avec un algorithme de cryptage symétrique (même [~ # ~] k [~ # ~] pour chiffrer d'un côté et déchiffrer de l'autre), et c'est ce qui se passe en SSL.

Il existe cependant un algorithme bien connu de chiffrement asymétrique appelé RSA. Avec RSA, l'expéditeur peut crypter un message [~ # ~] m [~ # ~] avec la clé publique du destinataire, et le destinataire peut le décrypter et récupérer [~ # ~] m [~ # ~] en utilisant sa clé privée. Cette fois, l'expéditeur peut choisir le contenu de [~ # ~] m [~ # ~].

Donc, votre question pourrait être: dans un monde RSA, pourquoi nous soucions-nous du AES? La réponse réside dans les points suivants:

• Il existe des contraintes sur [~ # ~] m [~ # ~]. Si la clé publique du destinataire a la taille n (en octets, par exemple n = 256 pour une clé RSA de 2048 bits), alors la taille maximale de [~ # ~] m [~ # ~] est n-11 octets. Afin de crypter un message plus long, nous devons le diviser en blocs suffisamment petits et inclure un mécanisme de réassemblage. Personne ne sait vraiment comment faire cela en toute sécurité. Nous avons de bonnes raisons de croire que RSA sur un seul message est sûr, mais des faiblesses subtiles peuvent se cacher dans tout système de fractionnement et de réassemblage et nous ne sommes pas à l'aise avec cela. C'est déjà assez mauvais avec chiffres symétriques , où la situation mathématique est plus simple,

• Même si nous pouvions gérer le fractionnement et le remontage, il y aurait une expansion de taille. Avec une clé RSA de 2048 bits, un bloc de message interne a la taille d'au plus 245 octets, mais lorsqu'il est chiffré, il donne une séquence de 256 octets. Cela gaspille notre énergie vitale, c'est-à-dire la bande passante du réseau. Le chiffrement symétrique n'entraîne qu'une surcharge limitée (enfin, SSL ajoute une légère surcharge proportionnelle à la taille des données, mais il est beaucoup plus petit que ce qui se produirait avec un protocole RSA uniquement),

• Comparé à AES, RSA est lent comme l'enfer,

• Nous aimons vraiment avoir la possibilité d'utiliser des protocoles d'accord clés comme DH au lieu de RSA. Dans les temps anciens (avant 2001), le RSA était breveté mais pas le DH, donc le gouvernement américain recommandait le DH. De nos jours, nous voulons pouvoir changer d'algorithme en cas de rupture. Afin de prendre en charge les protocoles d'accord clés, nous avons besoin d'un chiffrement symétrique, nous pouvons donc tout aussi bien l'utiliser avec RSA. Il simplifie la mise en œuvre et l'analyse des protocoles.

Voir cette réponse pour une description détaillée du fonctionnement de SSL.