2.12. Reuse of Diffie-Hellman Exponentials (Diffie-Hellman 指数的复用)

2.12. Reuse of Diffie-Hellman Exponentials (Diffie-Hellman 指数的复用)

IKE 使用 ephemeral (临时) Diffie-Hellman 交换生成密钥材料, 以获得 "perfect forward secrecy" (完美前向保密). 这意味着一旦连接关闭且相应密钥被遗忘, 即便某人记录了连接的全部数据并获得两端全部长期密钥, 也无法在不暴力搜索会话密钥空间的情况下重构用于保护会话的密钥.

要达到完美前向保密, 连接关闭时各端点必须不仅忘记连接所用密钥, 还须忘记任何可用于重新计算那些密钥的信息.

由于计算 Diffie-Hellman 指数开销大, 端点可能发现对多次连接建立复用这些指数是有利的. 有几种合理策略. 端点可以仅周期性选取新指数, 但若某连接持续时间短于指数生存期, 可能导致前向保密性不足. 或者可以跟踪每个连接使用的指数, 仅在对应连接关闭后才删除与该指数关联的信息. 这样可在维持更多状态成本下复用指数而不损失完美前向保密.

是否以及何时复用 Diffie-Hellman 指数是私有决策, 不影响互操作性. 复用指数的实现可以选择记住对端在过去交换中使用的指数, 若被复用则可避免计算的后半部分. 关于该做法的安全分析及复用 ephemeral Diffie-Hellman 密钥的额外安全考虑见 [REUSE] 与 [RFC6989].