Имеется криптосистема ECDH на Curve25519 для обмена ключами AES.
Сервер генерирует свои приват(d) и паблик(Q) ключи, отдает свой паблик ключ(Q) клиенту, от клиента получает паблик ключ клиента(Qp).
На основе (d, Q, Qp) генерирует общий секрет.
Клиент в свою очередь проделывает то же самое, и получает тот же самый секрет.
Этот общий секрет используется клиентом и сервером как ключ AES, для обмена парами ключей, которыми уже будут шифроваться сообщения.
Теперь вопрос, если клиент будет генерировать на каждое сообщения новую пару (d, Q) и передавать свой Q серверу, а сервер в свою очередь не будет генерировать новую пару, а использовать все время один и тот же серверный d и Q (для одного и того же клиента), в таком случае при генерации секрета на сервере будет всегда меняться Qp(паблик ключ клиента), но будет один и тот же Q, который передается клиенту.
Злоумышленник при перехвате будет обладать меняющимся Qp клиента и одинаковым Q сервера.
Ослабнет ли криптосистема, при достаточно большом числе сообщений, передаваемых таким образом ?
Условимся, что классический mitm, когда злоумышленник встраивается посередине на этапе установки соединения, будет неприменим, и взлом будет осуществлятся только анализом передаваемых Q, Qp и самих зашифрованных сообщений.
Сервер генерирует свои приват(d) и паблик(Q) ключи, отдает свой паблик ключ(Q) клиенту, от клиента получает паблик ключ клиента(Qp).
На основе (d, Q, Qp) генерирует общий секрет.
Клиент в свою очередь проделывает то же самое, и получает тот же самый секрет.
Этот общий секрет используется клиентом и сервером как ключ AES, для обмена парами ключей, которыми уже будут шифроваться сообщения.
Теперь вопрос, если клиент будет генерировать на каждое сообщения новую пару (d, Q) и передавать свой Q серверу, а сервер в свою очередь не будет генерировать новую пару, а использовать все время один и тот же серверный d и Q (для одного и того же клиента), в таком случае при генерации секрета на сервере будет всегда меняться Qp(паблик ключ клиента), но будет один и тот же Q, который передается клиенту.
Злоумышленник при перехвате будет обладать меняющимся Qp клиента и одинаковым Q сервера.
Ослабнет ли криптосистема, при достаточно большом числе сообщений, передаваемых таким образом ?
Условимся, что классический mitm, когда злоумышленник встраивается посередине на этапе установки соединения, будет неприменим, и взлом будет осуществлятся только анализом передаваемых Q, Qp и самих зашифрованных сообщений.
Последнее редактирование:
