Chaves de Diffie-Hellman

Importante

Este artigo usa a Cryptography API: Next Generation (CNG), que é a API recomendada para novos aplicativos criptográficos Windows. Para a maioria dos novos aplicativos, considere usar o ECDH (Diffie-Hellman de Curva Elíptica) com uma curva nomeada padrão, como P-256 ou P-384, que oferecem segurança equivalente ou superior com chaves mais curtas e menos complexidade na gestão de parâmetros.

As funções herdadas de CryptoAPI (CAPI1) (CryptGenKeye CryptExportKeyCryptAcquireContextassim por diante) são preteridas. Não os use em novos aplicativos.

• gerando chaves de Diffie-Hellman
• Troca de chaves de Diffie-Hellman
• exportar uma chave privada Diffie-Hellman
• Código de Exemplo
• Conteúdo relacionado

Gerando chaves de Diffie-Hellman

Para gerar um par de chaves Diffie-Hellman usando CNG, execute as seguintes etapas:

1. Chame BCryptOpenAlgorithmProvider com BCRYPT_DH_ALGORITHM para obter um identificador de provedor de algoritmo.

2. Chame BCryptGenerateKeyPair para criar o par de chaves, especificando o tamanho da chave em bits. Use pelo menos 2.048 bits para segurança adequada; As chaves de 512 bits (como usadas em exemplos de CAPI1 herdados) são criptograficamente fracas e não devem ser usadas em um novo código.

3. Defina parâmetros DH (o P principal e o gerador G) chamando BCryptSetProperty com a BCRYPT_DH_PARAMETERS propriedade antes de chamar BCryptFinalizeKeyPair. O valor da propriedade deve ser uma estrutura BCRYPT_DH_PARAMETER_HEADER, imediatamente seguida pelo valor P e depois pelo valor G, cada um com cbKeyLength bytes de comprimento na ordem de bytes big-endian.

   Ambas as partes devem usar os mesmos valores P e G . Para um novo código, use um grupo padronizado conhecido em vez de gerar parâmetros personalizados , por exemplo, o MODP Group 14 de 2048 bits do RFC 3526 (usado no exemplo abaixo) fornece um bom equilíbrio de segurança e compatibilidade. O BCRYPT_DH_PUBLIC_BLOB formato de exportação inclui P e G, para que um destinatário possa extraí-los do blob recebido quando as duas partes estiverem em computadores ou processos separados. Em um exemplo autônomo em que ambas as partes compartilham o mesmo processo, o mesmo blob de parâmetros pode ser reutilizado diretamente.

4. Chame BCryptFinalizeKeyPair para concluir a geração de chave. Essa função deve ser chamada antes que a chave possa ser usada ou exportada.

5. Quando a chave não for mais necessária, chame BCryptDestroyKey para liberar o identificador de chave e BCryptCloseAlgorithmProvider para liberar o identificador do provedor.

Troca de chaves de Diffie-Hellman

A finalidade do algoritmo Diffie-Hellman é possibilitar que duas ou mais partes criem e compartilhem um valor secreto idêntico compartilhando informações sobre uma rede que não é segura. As informações que são compartilhadas pela rede são as chaves públicas Diffie-Hellman de cada parte. O processo usado por duas partes de troca de chaves é o seguinte:

• Ambas as partes concordam sobre parâmetros de Diffie-Hellman: um número primo (P) e um número de gerador (G).
• O Partido 1 envia sua chave pública Diffie-Hellman para o Partido 2.
• A Parte 2 calcula o segredo compartilhado usando sua própria chave privada e a chave pública da Parte 1.
• O Partido 2 envia sua chave pública Diffie-Hellman para o Partido 1.
• A Parte 1 calcula o segredo compartilhado usando sua própria chave privada e a chave pública da Parte 2.
• Ambas as partes agora têm o mesmo segredo compartilhado, que pode ser usado para derivar uma chave de criptografia simétrica.

Para preparar uma chave pública Diffie-Hellman para transmissão:

1. Depois de gerar e finalizar o par de chaves, chame BCryptExportKey com BCRYPT_DH_PUBLIC_BLOB como o tipo de blob para obter os bytes de chave pública. O blob inclui os valores P, G e a chave pública Y, todos em ordem de byte big-endian.

2. Transmita esses bytes para a outra parte pela rede.

Observação

O material de chave nos blobs de DH CNG (BCRYPT_DH_PUBLIC_BLOB, BCRYPT_DH_PRIVATE_BLOB) está na ordem de bytes big-endian. Isso é o oposto do formato little-endian usado pelo PRETERido CryptoAPI (CAPI1). Tome cuidado ao interoperar com material de chave codificado em CAPI1.

Para importar uma chave pública Diffie-Hellman e derivar o segredo compartilhado:

1. Chame BCryptImportKeyPair para BCRYPT_DH_PUBLIC_BLOB importar a chave pública da outra parte. Isso requer um identificador de provedor de algoritmo aberto com BCRYPT_DH_ALGORITHM.

2. Chame BCryptSecretAgreement com seu próprio identificador de chave privada e o identificador de chave pública importado. Isso produz um identificador de contrato secreto que representa o valor bruto do segredo compartilhado, (Y^X) mod P.

3. Chame BCryptDeriveKey para derivar material de chave utilizável do segredo compartilhado. Use uma função de derivação de chave (KDF) apropriada para seu cenário; BCRYPT_KDF_HASH com SHA-256 é uma opção de uso geral adequada.

4. Use os bytes de chave derivada para construir uma chave simétrica (por exemplo, chamar BCryptGenerateSymmetricKey com BCRYPT_AES_ALGORITHM) para criptografia ou descriptografia subsequentes.

5. Quando terminar, chame BCryptDestroySecret para liberar o identificador do contrato secreto e BCryptDestroyKey para liberar todos os identificadores de chave.

Exportando uma chave privada Diffie-Hellman

Cuidado

Exportar chaves privadas é uma operação sensível à segurança. Exportar somente material de chave privada quando absolutamente necessário e protegê-lo adequadamente. Para chaves armazenadas em um KSP (provedor de armazenamento de chaves), o provedor pode restringir a exportação com base na política de chave.

Para exportar uma chave privada Diffie-Hellman como um blob de memória, chame BCryptExportKey com BCRYPT_DH_PRIVATE_BLOB. O blob resultante contém um cabeçalho BCRYPT_DH_KEY_BLOB seguido pelos valores P, G, Y público e X privado, cada um na ordem de bytes big-endian.

Para importar posteriormente a chave privada, chame BCryptImportKeyPair com BCRYPT_DH_PRIVATE_BLOB.

Código de exemplo

O exemplo a seguir demonstra uma troca de chaves Diffie-Hellman entre duas partes usando CNG. Ambas as partes derivam o mesmo material de chave do segredo compartilhado e comparam os bytes derivados.

Observação

Este exemplo usa parâmetros Diffie-Hellman explícitos e deriva material de chave do segredo compartilhado usando BCryptDeriveKey com BCRYPT_KDF_HASH. Ao adaptar este exemplo, verifique se o formato de parâmetro, as configurações de derivação de chave e o uso de chave resultante atendem aos requisitos de segurança e interoperabilidade do aplicativo.

#include <windows.h>
#include <bcrypt.h>
#include <stdio.h>
#include <cstring>
#pragma comment(lib, "bcrypt.lib")

#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
#define CHECK(s, fn) if (!NT_SUCCESS(s)) { wprintf(L"Error in %s: 0x%08x\n", fn, s); goto cleanup; }

// 2048-bit MODP Group 14 prime (RFC 3526), big-endian.
// Uses the 2048-bit MODP Group 14 standardized prime.
static const BYTE g_Prime2048[] =
{
    0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xC9,0x0F,0xDA,0xA2,0x21,0x68,0xC2,0x34,
    0xC4,0xC6,0x62,0x8B,0x80,0xDC,0x1C,0xD1,0x29,0x02,0x4E,0x08,0x8A,0x67,0xCC,0x74,
    0x02,0x0B,0xBE,0xA6,0x3B,0x13,0x9B,0x22,0x51,0x4A,0x08,0x79,0x8E,0x34,0x04,0xDD,
    0xEF,0x95,0x19,0xB3,0xCD,0x3A,0x43,0x1B,0x30,0x2B,0x0A,0x6D,0xF2,0x5F,0x14,0x37,
    0x4F,0xE1,0x35,0x6D,0x6D,0x51,0xC2,0x45,0xE4,0x85,0xB5,0x76,0x62,0x5E,0x7E,0xC6,
    0xF4,0x4C,0x42,0xE9,0xA6,0x37,0xED,0x6B,0x0B,0xFF,0x5C,0xB6,0xF4,0x06,0xB7,0xED,
    0xEE,0x38,0x6B,0xFB,0x5A,0x89,0x9F,0xA5,0xAE,0x9F,0x24,0x11,0x7C,0x4B,0x1F,0xE6,
    0x49,0x28,0x66,0x51,0xEC,0xE4,0x5B,0x3D,0xC2,0x00,0x7C,0xB8,0xA1,0x63,0xBF,0x05,
    0x98,0xDA,0x48,0x36,0x1C,0x55,0xD3,0x9A,0x69,0x16,0x3F,0xA8,0xFD,0x24,0xCF,0x5F,
    0x83,0x65,0x5D,0x23,0xDC,0xA3,0xAD,0x96,0x1C,0x62,0xF3,0x56,0x20,0x85,0x52,0xBB,
    0x9E,0xD5,0x29,0x07,0x70,0x96,0x96,0x6D,0x67,0x0C,0x35,0x4E,0x4A,0xBC,0x98,0x04,
    0xF1,0x74,0x6C,0x08,0xCA,0x18,0x21,0x7C,0x32,0x90,0x5E,0x46,0x2E,0x36,0xCE,0x3B,
    0xE3,0x9E,0x77,0x2C,0x18,0x0E,0x86,0x03,0x9B,0x27,0x83,0xA2,0xEC,0x07,0xA2,0x8F,
    0xB5,0xC5,0x5D,0xF0,0x6F,0x4C,0x52,0xC9,0xDE,0x2B,0xCB,0xF6,0x95,0x58,0x17,0x18,
    0x39,0x95,0x49,0x7C,0xEA,0x95,0x6A,0xE5,0x15,0xD2,0x26,0x18,0x98,0xFA,0x05,0x10,
    0x15,0x72,0x8E,0x5A,0x8A,0xAC,0xAA,0x68,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF
};

// Generator for MODP Group 14 (g = 2), big-endian, zero-padded to 256 bytes.
static BYTE g_Generator2048[256] = { 0 };  // initialized to zero; set g_Generator2048[255] = 2 below

#define KEY_SIZE_BITS  2048
#define KEY_SIZE_BYTES (KEY_SIZE_BITS / 8)

int wmain()
{
    int ret = 1;

    // Set generator value (g = 2)
    g_Generator2048[KEY_SIZE_BYTES - 1] = 2;

    NTSTATUS status;
    BCRYPT_ALG_HANDLE hAlg1 = NULL, hAlg2 = NULL;
    BCRYPT_KEY_HANDLE hKey1 = NULL, hKey2 = NULL;
    BCRYPT_KEY_HANDLE hPubKey1 = NULL, hPubKey2 = NULL;
    BCRYPT_SECRET_HANDLE hSecret1 = NULL, hSecret2 = NULL;
    PBYTE pbPubBlob1 = NULL, pbPubBlob2 = NULL;
    PBYTE pbParams = NULL;
    PBYTE pbDerivedKey1 = NULL, pbDerivedKey2 = NULL;
    ULONG cbPubBlob1 = 0, cbPubBlob2 = 0;
    ULONG cbDerivedKey = 0;

    // Build the BCRYPT_DH_PARAMETERS blob: header + P + G (all big-endian).
    ULONG cbParams = sizeof(BCRYPT_DH_PARAMETER_HEADER) + 2 * KEY_SIZE_BYTES;
    pbParams = (PBYTE)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, cbParams);
    if (!pbParams) { wprintf(L"Out of memory\n"); goto cleanup; }

    BCRYPT_DH_PARAMETER_HEADER* pHeader = (BCRYPT_DH_PARAMETER_HEADER*)pbParams;
    pHeader->cbLength    = cbParams;
    pHeader->dwMagic     = BCRYPT_DH_PARAMETERS_MAGIC;
    pHeader->cbKeyLength = KEY_SIZE_BYTES;
    memcpy(pbParams + sizeof(BCRYPT_DH_PARAMETER_HEADER),                   g_Prime2048,     KEY_SIZE_BYTES); // P
    memcpy(pbParams + sizeof(BCRYPT_DH_PARAMETER_HEADER) + KEY_SIZE_BYTES,  g_Generator2048, KEY_SIZE_BYTES); // G

    //
    // --- Party 1: generate key pair ---
    //
    status = BCryptOpenAlgorithmProvider(&hAlg1, BCRYPT_DH_ALGORITHM, NULL, 0);
    CHECK(status, L"BCryptOpenAlgorithmProvider (Party 1)");

    status = BCryptGenerateKeyPair(hAlg1, &hKey1, KEY_SIZE_BITS, 0);
    CHECK(status, L"BCryptGenerateKeyPair (Party 1)");

    status = BCryptSetProperty(hKey1, BCRYPT_DH_PARAMETERS, pbParams, cbParams, 0);
    CHECK(status, L"BCryptSetProperty BCRYPT_DH_PARAMETERS (Party 1)");

    status = BCryptFinalizeKeyPair(hKey1, 0);
    CHECK(status, L"BCryptFinalizeKeyPair (Party 1)");

    // Export Party 1's public key blob (includes P, G, Y).
    status = BCryptExportKey(hKey1, NULL, BCRYPT_DH_PUBLIC_BLOB, NULL, 0, &cbPubBlob1, 0);
    CHECK(status, L"BCryptExportKey size (Party 1)");

    pbPubBlob1 = (PBYTE)HeapAlloc(GetProcessHeap(), 0, cbPubBlob1);
    if (!pbPubBlob1) { wprintf(L"Out of memory\n"); goto cleanup; }

    status = BCryptExportKey(hKey1, NULL, BCRYPT_DH_PUBLIC_BLOB, pbPubBlob1, cbPubBlob1, &cbPubBlob1, 0);
    CHECK(status, L"BCryptExportKey (Party 1)");

    //
    // --- Party 2: generate key pair using same P and G ---
    //
    status = BCryptOpenAlgorithmProvider(&hAlg2, BCRYPT_DH_ALGORITHM, NULL, 0);
    CHECK(status, L"BCryptOpenAlgorithmProvider (Party 2)");

    status = BCryptGenerateKeyPair(hAlg2, &hKey2, KEY_SIZE_BITS, 0);
    CHECK(status, L"BCryptGenerateKeyPair (Party 2)");

    // Party 2 reuses the same DH parameters as Party 1.
    status = BCryptSetProperty(hKey2, BCRYPT_DH_PARAMETERS, pbParams, cbParams, 0);
    CHECK(status, L"BCryptSetProperty BCRYPT_DH_PARAMETERS (Party 2)");

    status = BCryptFinalizeKeyPair(hKey2, 0);
    CHECK(status, L"BCryptFinalizeKeyPair (Party 2)");

    // Export Party 2's public key blob.
    status = BCryptExportKey(hKey2, NULL, BCRYPT_DH_PUBLIC_BLOB, NULL, 0, &cbPubBlob2, 0);
    CHECK(status, L"BCryptExportKey size (Party 2)");

    pbPubBlob2 = (PBYTE)HeapAlloc(GetProcessHeap(), 0, cbPubBlob2);
    if (!pbPubBlob2) { wprintf(L"Out of memory\n"); goto cleanup; }

    status = BCryptExportKey(hKey2, NULL, BCRYPT_DH_PUBLIC_BLOB, pbPubBlob2, cbPubBlob2, &cbPubBlob2, 0);
    CHECK(status, L"BCryptExportKey (Party 2)");

    //
    // --- Party 1: import Party 2's public key, compute shared secret ---
    //
    status = BCryptImportKeyPair(hAlg1, NULL, BCRYPT_DH_PUBLIC_BLOB, &hPubKey2, pbPubBlob2, cbPubBlob2, 0);
    CHECK(status, L"BCryptImportKeyPair Party 2 public key (into Party 1)");

    status = BCryptSecretAgreement(hKey1, hPubKey2, &hSecret1, 0);
    CHECK(status, L"BCryptSecretAgreement (Party 1)");

    // Derive 32 bytes of key material using SHA-256.
    BCryptBufferDesc kdfParams = { 0 };
    BCryptBuffer kdfBuffer = { 0 };
    WCHAR szHashAlg[] = BCRYPT_SHA256_ALGORITHM;
    kdfBuffer.BufferType = KDF_HASH_ALGORITHM;
    kdfBuffer.cbBuffer   = sizeof(szHashAlg);
    kdfBuffer.pvBuffer   = szHashAlg;
    kdfParams.ulVersion  = BCRYPTBUFFER_VERSION;
    kdfParams.cBuffers   = 1;
    kdfParams.pBuffers   = &kdfBuffer;

    status = BCryptDeriveKey(hSecret1, BCRYPT_KDF_HASH, &kdfParams, NULL, 0, &cbDerivedKey, 0);
    CHECK(status, L"BCryptDeriveKey size (Party 1)");

    pbDerivedKey1 = (PBYTE)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, cbDerivedKey);
    if (!pbDerivedKey1) { wprintf(L"Out of memory\n"); goto cleanup; }

    status = BCryptDeriveKey(hSecret1, BCRYPT_KDF_HASH, &kdfParams, pbDerivedKey1, cbDerivedKey, &cbDerivedKey, 0);
    CHECK(status, L"BCryptDeriveKey (Party 1)");

    //
    // --- Party 2: import Party 1's public key, compute shared secret ---
    //
    status = BCryptImportKeyPair(hAlg2, NULL, BCRYPT_DH_PUBLIC_BLOB, &hPubKey1, pbPubBlob1, cbPubBlob1, 0);
    CHECK(status, L"BCryptImportKeyPair Party 1 public key (into Party 2)");

    status = BCryptSecretAgreement(hKey2, hPubKey1, &hSecret2, 0);
    CHECK(status, L"BCryptSecretAgreement (Party 2)");

    pbDerivedKey2 = (PBYTE)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, cbDerivedKey);
    if (!pbDerivedKey2) { wprintf(L"Out of memory\n"); goto cleanup; }

    ULONG cbDerivedKey2 = cbDerivedKey;
    status = BCryptDeriveKey(hSecret2, BCRYPT_KDF_HASH, &kdfParams, pbDerivedKey2, cbDerivedKey2, &cbDerivedKey2, 0);
    CHECK(status, L"BCryptDeriveKey (Party 2)");

    //
    // Verify both parties derived the same key material.
    //
    if (cbDerivedKey == cbDerivedKey2 && memcmp(pbDerivedKey1, pbDerivedKey2, cbDerivedKey) == 0)
    {
        wprintf(L"Success: both parties derived the same %u-byte key material.\n", cbDerivedKey);
        ret = 0;
    }
    else
    {
        wprintf(L"Error: derived keys do not match.\n");
    }

cleanup:
    if (pbDerivedKey2)  { SecureZeroMemory(pbDerivedKey2, cbDerivedKey); HeapFree(GetProcessHeap(), 0, pbDerivedKey2); }
    if (pbDerivedKey1)  { SecureZeroMemory(pbDerivedKey1, cbDerivedKey); HeapFree(GetProcessHeap(), 0, pbDerivedKey1); }
    if (hSecret2)       BCryptDestroySecret(hSecret2);
    if (hSecret1)       BCryptDestroySecret(hSecret1);
    if (hPubKey1)       BCryptDestroyKey(hPubKey1);
    if (hPubKey2)       BCryptDestroyKey(hPubKey2);
    if (pbPubBlob2)     HeapFree(GetProcessHeap(), 0, pbPubBlob2);
    if (pbPubBlob1)     HeapFree(GetProcessHeap(), 0, pbPubBlob1);
    if (hKey2)          BCryptDestroyKey(hKey2);
    if (hKey1)          BCryptDestroyKey(hKey1);
    if (hAlg2)          BCryptCloseAlgorithmProvider(hAlg2, 0);
    if (hAlg1)          BCryptCloseAlgorithmProvider(hAlg1, 0);
    if (pbParams)       HeapFree(GetProcessHeap(), 0, pbParams);

    return ret;
}

Conteúdo relacionado

• API de criptografia: CNG (próxima geração)
• Visão geral da programação CNG típica
• BCryptOpenAlgorithmProvider
• BCryptGenerateKeyPair
• BCryptFinalizeKeyPair
• BCryptSecretAgreement
• BCryptDeriveKey
• BCRYPT_DH_KEY_BLOB
• BCRYPT_DH_PARAMETER_HEADER
• Identificadores de algoritmo CNG