Diffie-Hellman key agreement protocol(exponential key agreement라고도 불림)은 1976 년 Diffie와 Hellman에 의해 개발되었으며 "암호법의 새로운 방향(New Direction in Cryptograph)"라는 ground-breaking paper에 발표되었다. Protocol(통신규약)은 두사용자 가 어떤 우선하는 비밀없이 보안성이 없는 매체를 통해 비밀키를 교환할 수 있도록 한다.
Protocol은 p와 g 두 개의 시스템 매개변수(system prameter)를 갖는다.
p와 g 모두 공개 되며 시스템 내에서 모든 사용자에 의해 사용된다. 매개변수 p는 소수이며 매개변수 g(보통 생성자라고 부름)는 p 보다는 작은 정수로서 어떤 횟수만큼 자기자신을 곱할 때 1부터 p-1까지의 모든 원소를 생성할 수 있다.
Alice와 Bob이 Diffie-Hellman key agreement protocol을 사용하여 비밀키를 공유하는데 동의하기를 원한다고 하자.
그들은 다음과 같은 작업을 하게 된다.
첫째 Alice는 임의의 개인값 a를 생성하고 Bob은 임의의 개인값 b를 생성한다. 그리고 그들은 매개변수 p와 g, 그들의 개인값을 이용하여 그들의 공용값을 유도해 낸다.
Alice의 공용값은 ga mod p이고 Bob의 공용값은 gb mod p이다. 그리고 Alice와Bob은 그들의 공용값을 교환한다.
마지막으로 Alice는 kab=(gb)a mod p를 Bob은 kba=(ga)b mod p를 계산한다.
kab=kba=k 라고하면 Alice와 Bob은 지금 공유된 비밀키 k를 가지고 있게 된다. ( ga에서 a는 첨자로 g 의 a제곱을 의미하며 k다음의 ab는 아래첨자이다)
Protocol은 자체보안을 위해 분산대수문제(discrete logarithm problem)에 의존한다.
소수 p가 충분히 클 경우 공유된 비밀키k= gab mod p, 주어진 두 공용값 ga mod p와 gbmod p를 컴퓨터를 통해 계산할 가능성이 있음을 짐작할 수 있다. Maurer[Mau94]는 Diffie-Hellman protocol을 깨뜨리는 것이 어떤 가정하에서 분산대수를 계산하는 것과 같다는 것을 설명하여 왔다.(g다음의 a,b는 첨자로 g의 a,b제곱을 의미한다)
Diffie-Hellman key교환은 중간자공격(middleperson attack)에 취약하다.
이 공격에서 적대적인 Carol은 Alice의 공개값을 탈취하여 그녀의 공개값을 Bob에게 보낸다.
Bob이 그의 공개값을 전송할 때 Carol은 이를 그녀 자신의 것으로 대체하여 Alice에게 보낸다.
이렇게 되면 Carol과 Alice는 하나의 공유된 키에 동의한 것이 되며 Carol과 Bob은 다른 공유된 키에 동의한 것이 된다.
이 교환 이후 Carol은 간단히 Alice 또는 Bob에 의해 보내지는 어떤 메시지를 해독할 수 있고 메시지를 읽고 적합한 키로 재암호화하며 올바른 상대에게 전송하기 전에 메시지를 수정할 수 있다. 이러한 취약성은 Diffie-Hellman key교환 이 참여자를 인증하지 않는 다는 사실에서 기인한다.
전자서명과 또 다른 protocol변종을 사용하는 것이 가능한 해결책이 될 수 있다.
그 해결책으로 인증된 Diffie-Hellman Protocol 또는 Station-to-Station(STS) Protocol은 Diffie-Hellman Protocol에 대한 중간단계접속자의 파괴행위(middle person attack)를 막기 위해 1992년 Diffie, Van Oorschot, Wiener[DVW92]에 의해 개발되었다. 무결성은 전자서 명과 공용키 증명을 통해 서로 그들을 인증함으로써 확보할 수 있다.
개략적으로 말하면 기초 아이디어는 다음과 같다 : Protocol전에 Alice와 Bob은 한 쌍의 공용/개인키와 공용키에 대한 증명서를 각각 소유한다. Protocol 동안 Alice는 어떤 메시지에 서명을 하여 Bob에게 그녀의 서명과 공용키 증명을 공용값 ga mod p와 함께 보낸다.
Bob은 또한 유사한 방법을 이용하게 된다. 비록 Carol이 Alice와 Bob 사이의 메시지를 탈취할 수 있다고 하더라도 그녀는Alice와 Bob의 개인키가 없으면 서명을 변조할 수 없다. 그렇기 때문에 확장된 Diffie-Hellman Protocol은 중간단계접속자의 파괴행위·공격을 물리칠 수 있다.(g다음 의 a는 첨자로 g의 a제곱을 의미한다)