对D-H 密匙交换方式的 主动攻击方法

对D-H 密匙交换方式的 主动攻击方法。

D-H基于离散对数难题。
在哪里看到过类似的讨论，当时没看懂。

不知哪位对这种攻击方法比较熟悉？

谢谢。

好像还没有多少人知道D_H密匙交换方式的样子呀。

我发表一点自己的看法,我觉得DH不能防止Man-In-The-Middle攻击
A: X=g^x MOD n
B: Y=g^y MOD n
Ka=Kb=X^y MOD n=Y^x MOD n
如果第三方C 产生 Z=g^z MOD n
并代替B给A发,代替A给B发,
那么A,C得到Ka=Kc1=X^z MOD n=Z^x MOD n
而B,C得到Kb=Kc2=Y^z MOD n=Z^y MOD n
这样,中间人C就可以骗过A,B而窃取他们的会话,而A,B不会发现C得存在

兄弟们有什么意见提出来,我们一起讨论

wxl_50685330
在说的详细一些好吗？没有完全理解你所说的攻击流程

是这样
C(第三者)拦截A发给B的X,将X换成Z发给B(当然,B认为收到的是X),当B把Y发给A时,C再次拦截它,再把Z发给A,A也会认为他收到的是Y,这样,C拥有X,Y,Z,A有Z,X,B有Z,Y
这时候A产生的密钥是Ka=Z^x MOD n=Kc1=X^z MOD n
这个Ka和Kc1就是A和C之间使用的共享密钥,并且A发现不了他通讯的对方是C,而不是B,同样的有Kb=Z^y MOD n=Kc2=Y^z MOD n,C又骗过了B,而不会被发现.

    我觉得解决它的办法是用数字签名保护它,但是我看IKE的RFC,好像保护D-H的交换值是可选的???这怎么回事?不保护不行的啊!!!
    各位兄弟对我的看法有什么意见?我们讨论讨论

D-H算法是不能保证man in the middle 的攻击方法， 所以IKE协议中需要对身份进行认证，只不过认证的方法是可选的“预共享密钥”，RSA, Rivise RSA, 证书等等，只要是在协议的框架内就可以了，认证是必须

不好意思,上次说的IKE的DH交换可选弄错了.我仔细看了,两种模式的四种认证都在第三组交换的报文对DH交换的值认证了的,上次把Authenticated With Public Key Encryption
和 Authenticated With a Revised Mode of Public Key Encryption认证的第二组报文里面的[ HASH(1), ]
弄成认证可选了,第三组的才是认证.
我的错,各位,对不住了.