Diffie-Hellman Key Exchange and Security Study Notes

关于 Diffie-Hellman (DH) 密钥交换协议、FFDH 与 ECDH 的对比、前向安全性 (PFS)、常见安全攻击（如 Logjam、小子群攻击、Raccoon）以及 WPA3 中的 SAE/Dragonfly 握手及其漏洞 (Dragonblood) 的复习闪卡。

描述 Diffie-Hellman (DH) 密钥交换的流程及其依赖的数学难题。

协议使用公开参数大素数 $p$ 和 $Z_p^*$ 的生成元 $g$。1. Alice 选择私钥 $a ext{ ∈ [1, q-1]}$并发送 $A = g^a ext{ mod } p$。2. Bob 选择私钥 $b ext{ ∈ [1, q-1]}$并发送 $B = g^b ext{ mod } p$。3. 共享密钥 $K = B^a = A^b = g^{ab} ext{ mod } p$。其安全性依赖于：DLP (离散对数问题)、CDH (计算 Diffie-Hellman) 和 DDH (判定 Diffie-Hellman)。

为什么基础的 Diffie-Hellman 容易受到中间人攻击 (MITM)？有哪些缓解措施？

原因：DH 本身是未经身份验证的。Mallory 可以拦截 Alice 和 Bob 的通信，分别与双方协商密钥 $K_1 = g^{a imes m_1}$ 和 $K_2 = g^{b imes m_2}$，从而解密并重加密流量。防御措施：1. 签名 DH (Signed DH)，使用长期密钥对私钥进行签名（TLS 或 IKEv2）；2. PKI 证书；3. PAKE (如 WPA3 中的 SAE/Dragonfly)；4. 带外验证 (如 SSH TOFU 或 ZRTP SAS)。

比较 FFDH (有限域 DH) 与 ECDH (椭圆曲线 DH) 的差异，并解释前向安全性 (PFS)。

FFDH 运行在 $Z_p^*$ 域中，易受索引筛选法 (GNFS) 攻击，需要素数 $p ext{ ≥ 2048}$ 位才能达到 $112$ 位安全性。ECDH 运行在椭圆曲线群上，仅受通用攻击 Pollard's rho 影响，$256$ 位曲线即可提供约 $128$ 位安全性，速度更快且带宽更低。DHE/ECDHE (Ephemeral) 为每个会话创建临时密钥对，即便长期身份验证密钥泄露，攻击者也无法解密过去的会话流量，这种特性称为完全前向安全性 (PFS)。

什么是 Logjam 攻击？其原理是什么？

Logjam (2015) 是一种针对 TLS 握手的中间人攻击。攻击者通过将握手降级为 $512$ 位的 DHE_EXPORT，利用针对特定硬编码素数组预计算的离散对数表，实现实时破解。此攻击揭示了长时间使用同一组 $1024$ 位 MODP 参数的风险。修复方法包括禁用导出密码套件、使用 $ext{≥ 2048}$ 位群模型及优先使用 ECDHE。

简述小子群攻击 (Small-subgroup attack) 与无效曲线攻击 (Invalid-curve attack) 的机制。

小子群攻击：攻击者发送阶数极小的元素 $Y$，使受害者在非常小的子群中计算密钥 $K = Y^a ext{ mod } p$，随后通过暴力破解和中国剩余定理 (CRT) 恢复私钥 $a$。无效曲线攻击：ECDH 的类似手法，攻击者发送不在合法曲线上的点，使受害者的标量乘法在具有平滑阶的弱曲线上运行，从而逐位恢复私钥。修复方法包括验证接收点是否在曲线上，或使用 X25519 等扭曲安全曲线。

什么是 Raccoon 攻击 (Raccoon attack)？

这是 2020 年发现的一种针对 TLS-DH 的定时侧信道攻击。其原理是预主密钥 (premaster secret) 中领先的零字节会通过 KDF 的执行时间泄露。该攻击主要影响使用了静态 DH 配置的 TLS 部署。

解释 WPA3 SAE (Dragonfly) 握手的过程及其相对于 WPA2-PSK 的优势。

SAE 使用 PAKE 替换了 WPA2 的 4 路握手。流程：1. 导出 PWE (密码元素)，将密码映射到曲线点。2. Commit 阶段：交换标量 $scalar = (r+m) ext{ mod } q$ 和元素 $element = -m imes PWE$。3. Confirm 阶段：基于协议转录内容交换 HMAC 以完成相互验证。优势：由于每次猜测都需要与接入点进行新的在线交互，捕获的握手包无法进行离线字典攻击，且基于 ECDH 的设计提供了前向安全性。

什么是 Dragonblood 漏洞，其包含哪些主要风险？

Dragonblood (2019) 指针对 WPA3 SAE 的一系列安全漏洞。主要风险包括：1. 定时和缓存侧信道攻击（源自 hunt-and-peck 推导 PWE）；2. 降级攻击（强制 WPA3 转换模式设备退回 WPA2）；3. 弱群攻击（接受不安全的 MODP 群）。其防御措施包括强制使用 RFC 9380 定义的 hash-to-curve PWE 推导方法。