为什么在Diffie-Hellman密钥交换中重复使用素数？

Question

读到关于Logjam攻击Logjam攻击的文章，我了解到Diffie-Hellman的交易经常依赖于相同的1024位密钥。我知道在DH发明的时候，即使是512位的密钥也被认为是未来几十年的安全。但是，设计人员和多年来从事DH实现工作的许多程序员从来没有想到重用相同的素数会导致最终的(灾难性)漏洞吗？

我是不是错过了计算困难的东西？一旦在服务的初始配置中生成您自己的p和g，就应该足够了，并且应该保证不受标准化引物的任何缺陷的影响。

*：与过去一样，目前全世界三分之二的实施情况经常如此。

Answer 1

您可以查看以下有关生成您自己的DH键exhcange参数以及使用标准DH组参数的困难的问题：生成自己的Diffie-Hellman素数还是使用RFC 3526中定义的素数更安全？和哪里可以得到迪夫-赫尔曼的素数？我能用两次吗？

对于普通的Diffie-Hellman，您需要的是p、q和g，这样：

• P是一个足够大的素数(2048位现在已经足够了)；
• Q是较小的，但仍然足够大(例如256位)，素数除以p-1；
• G是具有q的倍数的子群模p的生成元。

在大多数情况下，在实际密钥交换发生之前创建DH密钥交换组并不容易，也不适用。注意，logjam利用DH组中使用的小素数(512位)。我认为，如果使用p为2048位的DH组，即使该组也被其他人使用，也应该是安全的。

Answer 2

您所指的三分之二的数字是特定于使用IPsec的VPN服务器的。我敢打赌，这是因为Sys管理员和Security没有花时间修改服务器中的任何默认设置，而不是在配置过程中绝对需要修改这些设置。

或者，IPsec的具体实现很可能是一个问题，因为它涉及到特定的VPN服务器子集，例如，如果这三分之二是思科如何将其实现到VPN或ASA设备中(因为它们很可能是硬件实现VPN的世界领先企业)，或者某些版本Linux如何将其实现到服务器构建或Windows中，等等……无论如何，这似乎更像是一个实现问题，而不是DH或IPsec本身的实际问题，因为这两个问题多年来都得到了安全和密码专家的广泛检查。DH只是算法，只要它有一个X位的素数，算法就会执行它的工作。IPsec是一个用于实现安全性的框架。实现是通过框架实际选择并为算法提供素数的。