Diffie-HellmanとそのTLS / SSLの使用

Diffie-Hellman is SSL/TLSで「エフェメラルDiffie-Hellman」（名前に「DHE」が含まれる暗号スイート。 標準 を参照）として使用されます。非常にまれに発生するのは「静的Diffie-Hellman」（名前に「DH」が含まれるが、「DHE」も「DH_anon」も含まれない暗号スイート）です。これらの暗号スイートでは、サーバーがcertificateを所有している必要があります= DH公開鍵が含まれています。これは、さまざまな歴史的および経済的理由でサポートされることはめったにありません。その中で主なものは、RSAの無料標準（ PKCS＃1 ）の可用性です。 Diffie-Hellmanの対応する標準（ x9.42 ）は100ドルかかります。これは多くはありませんが、ほとんどのアマチュア開発者を抑止するには十分です。

Diffie-Hellmanは 鍵合意プロトコル です。つまり、2つのパーティ（たとえば、SSLクライアントとSSLサーバー）がこのプロトコルを実行すると、最終的に共有シークレット[〜＃ 〜] k [〜＃〜]。ただし、クライアントもサーバーもchoose[〜＃〜] k [〜＃〜]の値を取得しません。それらの観点から見ると、[〜＃〜] k [〜＃〜]はランダムに生成されたように見えます。それはsecret（彼らだけが知っている[〜＃〜] k [〜＃〜]であり、回線上の盗聴者は知らない）およびshared（どちらも同じ値[〜＃〜] k [〜＃〜]）を取得しますが、-chosenは取得しません。これは暗号化ではありません。共有シークレット[〜＃〜] k [〜＃〜]は、対称暗号化アルゴリズムでテラバイトのデータを処理するには十分です（同じ[〜＃〜] k [ 〜＃〜]片側で暗号化し、反対側で復号化します）、そしてそれがSSLで起こります。

ただし、RSAと呼ばれるよく知られた非対称暗号化アルゴリズムがあります。 RSAを使用すると、送信者はメッセージを暗号化できます[〜＃〜] m [〜＃〜]受信者の公開鍵を使用し、受信者はそれを復号化して復元できます[〜＃〜] m [〜＃〜]彼の秘密鍵を使用。今回は、送信者can[〜＃〜] m [〜＃〜]の内容を選択します。

だからあなたの質問は次のようになるかもしれません：RSAの世界で、なぜ私たちはAESに悩むのでしょうか？答えは次の点にあります。

• [〜＃〜] m [〜＃〜]には制約があります。受信者の公開鍵のサイズがn（2048ビットのRSA鍵の場合はバイト単位でn = 256など）の場合、最大サイズは[〜 ＃〜] m [〜＃〜]はn-11バイトです。より長いメッセージを暗号化するには、メッセージを十分に小さなブロックに分割し、いくつかの再構成メカニズムを含める必要があります。 安全にする方法を誰も本当に知りません。単一のメッセージに対するRSAは安全であると私たちが信じるに足る正当な理由がありますが、微妙な弱点がどのような分割および再構成システムにも潜んでいる可能性があり、私たちはそれに不快です。 対称暗号 の場合はすでに問題が多く、数学的な状況はより単純です。

• 分割・組立は対応できても、サイズは大きくなります。 2048ビットのRSA鍵では、内部メッセージチャンクのサイズは最大で245バイトですが、暗号化すると256バイトのシーケンスになります。これは私たちの生活エネルギー、つまりネットワーク帯域幅を浪費します。対称暗号化は限られたオーバーヘッドしか発生しません（まあ、SSLはデータサイズに比例してわずかなオーバーヘッドを追加しますが、RSAのみのプロトコルで発生するオーバーヘッドよりもはるかに小さいです）。

• AESと比較して、RSAは地獄のように遅いです、

• RSAの代わりにDHのような鍵合意プロトコルを使用するオプションが本当に欲しいです。昔（2001年より前）、RSAは特許を取得しましたが、DHは特許を取得していなかったため、米国政府はDHを推奨していました。今日では、アルゴリズムが壊れた場合にアルゴリズムを切り替えられるようにしたいと考えています。鍵合意プロトコルをサポートするために、対称暗号化が必要なので、RSAで使用することもできます。実装とプロトコル分析を簡素化します。

SSLがどのように機能するかの詳細な説明については この回答 を参照してください。