Каков правильный (приемлемый) способ получения, позволяет сказать 128-битный ключ AES из секретности, полученной в результате переговоров DH?Вывод ключа AES
Как бы вы получить набор ключей в «правильной «способ?
Например, в TLS используется псевдослучайная функция, основанная на хеш SHA1 и MD5 по общей секретности (например, значение обмена ключами DH), строковая метка (для различения различных случаев, для которых генерируется ключ, HMAC, шифр и т. д.) и общий случайный параметр (как клиент, так и сервер генерируют свою половину случайного параметра).
Итак, я бы рекомендовал добавить некоторые случайные данные, сгенерированные как клиентом, так и сервером, и использовать его вместе с обменным значением ключа DH.
Я бы использовал стандарт. Один из таких стандартов - NIST Special Pub 800-56A. См., В частности, раздел 5.8.
Итак, sha256 (DH secret || строка использования || случайный A || random B), первый 128 бит был бы подходящим для ключа AES? Почему мы должны добавить дополнительную поездку в оба конца для нового случайного? – mtraut
Да, этого было бы достаточно. Случайным данным не требуется другое путешествие в оба конца, так как оно может быть отправлено вместе с другими данными, связанными с обменом ключами. Это для защиты от какого-то короля нападений, я точно не помню, с каких из них. –