# Diffie-Hellman & RSA Key Exchange 정리 및 실습

공무원 시험 및 보안기사 필기 대비 실무자용 Python 실습 노트북입니다.

## Diffie-Hellman Key Exchange

1. 공개소수 `p`, 원시근 `g`를 공유한다.
2. Alice는 비밀키 `a`, Bob은 비밀키 `b`를 고른다.
3. Alice는 공개키 `A = g^a mod p`, Bob은 `B = g^b mod p` 계산 후 교환
4. 공유 비밀키: `K = B^a mod p = A^b mod p`


In [4]:
# Diffie-Hellman 구현 예제
def diffie_hellman(p, g, a, b):
    A = pow(g, a, p)
    B = pow(g, b, p)
    shared_key_alice = pow(B, a, p)
    shared_key_bob = pow(A, b, p)
    return A, B, shared_key_alice, shared_key_bob

# 예시
p = 23  # 소수
g = 7   # 원시근
a = 3   # Alice의 비밀키
b = 2  # Bob의 비밀키

A, B, key_alice, key_bob = diffie_hellman(p, g, a, b)
print("Alice의 공개키 A:", A)
print("Bob의 공개키 B:", B)
print("Alice가 계산한 공유키:", key_alice)
print("Bob이 계산한 공유키:", key_bob)

Alice의 공개키 A: 21
Bob의 공개키 B: 3
Alice가 계산한 공유키: 4
Bob이 계산한 공유키: 4


## ✅ Diffie-Hellman 구조 요약 (시험 대비용 실전 정리)

### 1. 개념 흐름

> 공개된 값 p(소수), g(원시근)는 모두 공유
>

| 주체 | 비밀키 | 공개키 | 공유 비밀 |
| --- | --- | --- | --- |
| Alice | a | A = g^a mod p | K = B^a mod p |
| Bob | b | B = g^b mod p | K = A^b mod p |

→ 결국 공유 비밀 K는 동일함: `K = g^(ab) mod p`

> 💡 이 공유 비밀은 **대칭키(세션키)**로 사용됨. 암호화는 이걸로.
>

---

### 2. 실제 시험형 예제

> p=23, g=5, a=6, b=15 이면?
>
- Alice: A = 5^6 mod 23 = 15625 mod 23 = 8
- Bob: B = 5^15 mod 23 = ... = 2
- 공유 키: K = B^a mod 23 = 2^6 mod 23 = 64 mod 23 = **18**

(혹은 K = A^b mod 23도 동일)

---

### 3. 공무원 필기에서 나올 수 있는 문제 패턴

- `p`, `g`, `a`, `b` 중 3개 주고 공유 비밀 키 구하라
- `g`, `a`, `p` 주고 공개키 A를 구하라 (`g^a mod p`)
- 지수연산 반복적으로 쓰는 연산자 의미 묻기 (`modular exponentiation`)
- RSA와 비교 구조 물어보기: **DH는 키 합의**, **RSA는 직접 암복호화**

---

## 📘 실전용 공식 요약 카드

```
# Diffie-Hellman 요약 카드

[공개] 소수 p, 원시근 g
[개인] Alice: a, Bob: b
[공개키] A = g^a mod p, B = g^b mod p
[공유키] K = A^b mod p = B^a mod p = g^(ab) mod p
[사용처] 공유된 비밀키로 대칭키(세션키) 생성

```

## 🔐 Diffie-Hellman 핵심 개념 정리 (공무원 시험용 용어 구분)

| 항목 | 설명 | 예시 변수 | 생성 방법 | 용도 |
| --- | --- | --- | --- | --- |
| ✅ **개인키** | 각자만 알고 있는 **난수** | `a`, `b` | 무작위 난수 | 공유 비밀키 생성에 사용 |
| ✅ **공개키** | 상대에게 전달되는 값 | `A = g^a mod p`, `B = g^b mod p` | 개인키로 계산 | 상대가 이걸로 공유키 계산 |
| ✅ **공유 비밀키** | Alice와 Bob이 **각자 계산하지만 동일한 값** | `K = B^a mod p = A^b mod p = g^(ab) mod p` | 서로의 공개키와 자신의 개인키로 계산 | **세션키의 재료** |
| ✅ **세션키** | 공유 비밀키 `K`를 바탕으로 만든 대칭키 | 예: `AES_key = SHA256(K)` | 공유키에 대해 해시함수 등으로 파생 | 암호화 실제 사용 키 |

---

### 🔁 흐름 정리

1. **서로 다른 난수 `a`, `b` 생성** → 개인키
2. `A = g^a mod p`, `B = g^b mod p` → 공개키 서로 교환
3. 각자 **`K = g^(ab) mod p` 계산** → 공유 비밀키
4. `K`로부터 SHA256 등 해시 → 실제로 쓰는 **세션키**

---

### 📌 핵심 요약 카드

```
- 개인키: 난수 (a, b)
- 공개키: g^a mod p, g^b mod p
- 공유 비밀키: g^(ab) mod p (같은 값)
- 세션키: 공유 비밀키로부터 파생된 대칭키 (AES에 사용)

```

---

### 💡 시험 대비 포인트

| 문제 유형 | 요점 |
| --- | --- |
| `p, g, a, b` 주고 공유키 구하라 | `g^(ab) mod p` 계산 |
| 공개키만 보고 `K` 구하라 | 상대 공개키 ^ 내 개인키 |
| 세션키 관련 보기 | **K는 암호화에 직접 사용되지 않고, 세션키의 재료**라는 점 강조 |

## 🔥 원시근(primitive root)이란?

간단히 말해:

> 어떤 소수 p에 대해, 그 원시근 g는
>
>
> **g^1, g^2, ..., g^(p-1)** mod p 를 계산했을 때,
>
> **1부터 p−1까지의 모든 수가 전부 나오는 g**
>

---

### ✅ 예시로 이해

### 소수 `p = 7`일 때,

`g = 3`을 기준으로:

```
3^1 mod 7 = 3
3^2 mod 7 = 2
3^3 mod 7 = 6
3^4 mod 7 = 4
3^5 mod 7 = 5
3^6 mod 7 = 1
```

→ 나온 결과: `{1, 2, 3, 4, 5, 6}`

→ **1부터 6까지 전부 다 나왔죠?**

➡️ **그래서 3은 7의 원시근입니다.**

---

### 📘 정의 요약

```
소수 p에 대해,
g^k mod p (1 ≤ k ≤ p−1) 이 p의 모든 잔여 클래스를 만들어내면,
g를 p의 원시근이라 한다.
```

---

## ❓ 왜 필요한가요?

Diffie-Hellman은 공유 비밀키 `g^(ab) mod p` 를 생성하죠.

- 이때 `g`가 원시근이면, `g^x mod p`의 결과가 **무작위처럼 잘 퍼집니다**
- 그래서 `g^a mod p`, `g^b mod p`가 진짜 난수처럼 보이고 **보안성↑**
- 반면, `g`가 원시근이 아니면 일부 값만 나오기 때문에 **공격자에게 예측 가능성↑**

➡️ **원시근은 Diffie-Hellman 보안성을 보장하는 수학적 뿌리**

---

## 🧪 원시근 찾는 Python 코드 예시

In [2]:
def is_primitive_root(g, p):
    required_set = set(range(1, p))
    actual_set = set(pow(g, power, p) for power in range(1, p))
    return required_set == actual_set

# 예시
p = 7
for g in range(2, p):
    if is_primitive_root(g, p):
        print(f"{g}는 {p}의 원시근")


3는 7의 원시근
5는 7의 원시근


## ✅ 시험 대비 핵심 요약

| 항목 | 설명 |
| --- | --- |
| 정의 | `g^k mod p`가 1~p−1 모두 만들면 원시근 |
| 이유 | 공유 비밀키가 모든 값을 가질 수 있게 하는 근거 |
| 확인 | 원시근이면 `g^1 ~ g^(p−1)`이 전부 다 나옴 |
| 시험 팁 | p 작으면 직접 계산 가능 (`p = 7` 정도) |

## RSA Key Generation & Encryption/Decryption

1. 소수 `p`, `q` 선택
2. `n = p * q`, `phi = (p-1)*(q-1)` 계산
3. `1 < e < phi` 이면서 서로소인 `e` 선택
4. `d ≡ e⁻¹ mod phi` (e의 모듈러 역원) 계산
5. 공개키 `(e, n)`, 개인키 `(d, n)`
6. 암호화: `C = M^e mod n`, 복호화: `M = C^d mod n`


In [2]:
# RSA 구현 예제
from sympy import mod_inverse, isprime, gcd

def rsa_keygen(p, q, e):
    assert isprime(p) and isprime(q), "p, q는 소수여야 함"
    n = p * q
    phi = (p - 1) * (q - 1)
    assert gcd(e, phi) == 1, "e와 phi는 서로소여야 함"
    d = mod_inverse(e, phi)
    return (e, n), (d, n)

def rsa_encrypt(m, pubkey):
    e, n = pubkey
    return pow(m, e, n)

def rsa_decrypt(c, privkey):
    d, n = privkey
    return pow(c, d, n)

# 예시
p, q = 61, 53
e = 17
pubkey, privkey = rsa_keygen(p, q, e)
message = 65

cipher = rsa_encrypt(message, pubkey)
print("암호문:", cipher)
plain = rsa_decrypt(cipher, privkey)
print("복호화된 평문:", plain)

암호문: 2790
복호화된 평문: 65


## ECC (Elliptic Curve Cryptography) 개념 및 실습

- 타원곡선 위의 덧셈/곱셈 연산 사용
- E: y² = x³ + ax + b (mod p) 형태의 곡선 위의 점들을 이용
- 개인키: 정수 `k`, 공개키: `R = kP` (P는 공개된 곡선 위 점)
- 문제: `P`, `R`가 주어졌을 때 `k`를 찾는 것 → 이산로그 문제

👉 공무원/보안기사 시험에서 나오는 유형: `R = kP` 만족하는 `k`를 그래프 보고 찾기 (시각적 순환 구조)


In [3]:
# ECC 곡선 상의 점 덧셈 구현 (단순한 예시, 실제는 더 복잡함)
# y^2 = x^3 + ax + b over finite field mod p
def inverse_mod(k, p):
    return pow(k, -1, p)

def ecc_add(P, Q, a, p):
    if P == Q:
        l = (3 * P[0]**2 + a) * inverse_mod(2 * P[1], p)
    else:
        l = (Q[1] - P[1]) * inverse_mod(Q[0] - P[0], p)
    l %= p
    x_r = (l**2 - P[0] - Q[0]) % p
    y_r = (l * (P[0] - x_r) - P[1]) % p
    return (x_r, y_r)

def ecc_mul(P, k, a, p):
    R = P
    for _ in range(k - 1):
        R = ecc_add(R, P, a, p)
    return R

# 예시: E: y^2 = x^3 + 2x + 2 mod 17
a, b, p = 2, 2, 17
P = (5, 1)
k = 7
R = ecc_mul(P, k, a, p)
print(f"k = {k}일 때 R = kP = {R}")

k = 7일 때 R = kP = (0, 6)


## ElGamal 암호 (이산대수 문제 기반)

- 공개키: `(p, a, y)` (소수 p, 원시근 a, y = a^x mod p)
- 개인키: `x`
- 시험문제: `y = a^x mod p` 만족하는 x는? → 이산로그 문제
- p 작을 때는 bruteforce로 `x` 찾기 가능


In [4]:
# ElGamal 이산로그 문제
def discrete_log_brute(a, y, p):
    for x in range(1, p):
        if pow(a, x, p) == y:
            return x
    return None

# 예시
p = 23
a = 5
y = 4
x = discrete_log_brute(a, y, p)
print(f"a = {a}, y = {y}, p = {p}일 때, a^x ≡ y mod p 를 만족하는 x = {x}")

a = 5, y = 4, p = 23일 때, a^x ≡ y mod p 를 만족하는 x = 4
