En criptografía, un protocolo de acuerdo de clave es un protocolo mediante el cual dos o más partes pueden acordar una clave criptográfica de tal manera que ambas influyan en el resultado. Si se hace correctamente, esto impide que terceros no deseados fuercen una elección clave a las partes acordadas. Los protocolos que son útiles en la práctica tampoco revelan a ninguna parte que escuche qué clave se ha acordado.
En muchos sistemas de intercambio de claves, una de las partes genera la clave y simplemente la envía a la [1] otra parte; la otra parte no tiene influencia sobre la clave. El uso de un protocolo de acuerdo de claves evita algunos de los problemas de distribución de claves asociados con dichos sistemas.
Los protocolos en los que ambas partes influyen en la clave derivada final son la única forma de implementar un secreto directo perfecto.
El primer protocolo de acuerdo de clave pública [1] conocido públicamente que cumple con los criterios anteriores fue el intercambio de claves Diffie-Hellman , en el que dos partes exponencian conjuntamente un generador con números aleatorios, de tal manera que un espía no puede determinar de manera factible cuál es el resultado. El valor utilizado para producir una clave compartida es.
El intercambio de claves exponencial en sí mismo no especifica ningún acuerdo previo o autenticación posterior entre los participantes. Por ello se ha descrito como un protocolo de acuerdo de claves anónimo.
El intercambio de claves anónimo, como Diffie-Hellman, no proporciona autenticación de las partes y, por lo tanto, es vulnerable a ataques de intermediario .
Se ha desarrollado una amplia variedad de esquemas y protocolos de autenticación criptográfica para proporcionar un acuerdo de clave autenticado para evitar ataques de intermediario y ataques relacionados. Estos métodos generalmente vinculan matemáticamente la clave acordada con otros datos acordados, como los siguientes:
Un mecanismo ampliamente utilizado para derrotar tales ataques es el uso de claves firmadas digitalmente cuya integridad debe garantizarse: si la clave de Bob está firmada por un tercero de confianza que garantiza su identidad, Alice puede tener una confianza considerable en que una clave firmada que recibe no es un intento de interceptación por parte de Eve. Cuando Alice y Bob tienen una infraestructura de clave pública, pueden firmar digitalmente una clave Diffie-Hellman acordada o intercambiar claves públicas Diffie-Hellman. Estas claves firmadas, a veces firmadas por una autoridad certificadora , son uno de los principales mecanismos utilizados para proteger el tráfico web (incluidos los protocolos HTTPS , SSL o Transport Layer Security ). Otros ejemplos específicos son MQV , YAK y el componente ISAKMP del conjunto de protocolos IPsec para proteger las comunicaciones mediante protocolo de Internet. Sin embargo, estos sistemas requieren cuidado al respaldar la coincidencia entre la información de identidad y las claves públicas por parte de las autoridades certificadoras para que funcionen correctamente.
Los sistemas híbridos utilizan criptografía de clave pública para intercambiar claves secretas, que luego se utilizan en sistemas de criptografía de clave simétrica. La mayoría de las aplicaciones prácticas de criptografía utilizan una combinación de funciones criptográficas para implementar un sistema general que proporciona las cuatro características deseables de las comunicaciones seguras (confidencialidad, integridad, autenticación y no repudio).
Los protocolos de acuerdo de claves autenticados por contraseña requieren el establecimiento por separado de una contraseña (que puede ser más pequeña que una clave) de una manera que sea privada y con integridad garantizada. Estos están diseñados para resistir ataques de tipo intermediario y otros ataques activos a la contraseña y las claves establecidas. Por ejemplo, DH- EKE , SPEKE y SRP son variaciones de Diffie-Hellman autenticadas con contraseña.
Si uno tiene una forma con integridad garantizada para verificar una clave compartida a través de un canal público, puede participar en un intercambio de claves Diffie-Hellman para derivar una clave compartida a corto plazo y luego autenticar que las claves coinciden. Una forma es utilizar una lectura de la clave autenticada por voz, como en PGPfone . Sin embargo, la autenticación de voz supone que no es factible que un intermediario falsifique la voz de un participante a otro en tiempo real, lo que puede ser una suposición indeseable. Estos protocolos pueden diseñarse para funcionar incluso con un valor público pequeño, como una contraseña. Se han propuesto variaciones sobre este tema para los protocolos de emparejamiento de Bluetooth .
En un intento por evitar el uso de factores de autenticación fuera de banda adicionales, Davies y Price propusieron el uso del protocolo de interbloqueo de Ron Rivest y Adi Shamir , que ha sido objeto tanto de ataques como de refinamientos posteriores.
La criptografía de clave secreta (simétrica) requiere el intercambio inicial de una clave compartida de una manera privada y con integridad garantizada. Cuando se hace correctamente, se evita el ataque de intermediario. Sin embargo, sin el uso de criptografía de clave pública, uno puede tener problemas indeseables de administración de claves.