# D√©monstration : Diffie-Hellman Key Exchange

**Objectifs** :
- Impl√©menter l'√©change de cl√©s Diffie-Hellman
- Comprendre le probl√®me du logarithme discret
- D√©montrer l'attaque Man-in-the-Middle
- Utiliser des courbes elliptiques (ECDH)

In [None]:
from cryptography.hazmat.primitives.asymmetric import dh, ec
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
from cryptography.hazmat.backends import default_backend
import secrets

## 1. Diffie-Hellman classique (sur $\mathbb{Z}_p^*$)

**Protocole** :
1. Param√®tres publics : groupe $G$ d'ordre $q$, g√©n√©rateur $g$
2. Alice choisit $a \xleftarrow{\$} \mathbb{Z}_q$, envoie $A = g^a$
3. Bob choisit $b \xleftarrow{\$} \mathbb{Z}_q$, envoie $B = g^b$
4. Alice calcule $K = B^a = g^{ab}$
5. Bob calcule $K = A^b = g^{ab}$
6. Cl√© partag√©e : $K = g^{ab}$

In [None]:
# G√©n√©ration des param√®tres DH (groupe)
# En pratique, utiliser des param√®tres standard (RFC 3526, RFC 7919)
print("G√©n√©ration des param√®tres DH (peut prendre quelques secondes)...")
parameters = dh.generate_parameters(generator=2, key_size=2048, backend=default_backend())

# Param√®tres publics (p, g)
p = parameters.parameter_numbers().p
g = parameters.parameter_numbers().g

print(f"\nüìã Param√®tres DH publics :")
print(f"G√©n√©rateur g : {g}")
print(f"Premier p (2048 bits) : {p}")
print(f"\nCes param√®tres sont publics et peuvent √™tre r√©utilis√©s.")

In [None]:
def diffie_hellman_exchange():
    """
    Simulation d'un √©change DH entre Alice et Bob.
    """
    print("=" * 70)
    print("√âCHANGE DE CL√âS DIFFIE-HELLMAN")
    print("=" * 70)
    
    # Alice g√©n√®re sa paire de cl√©s
    alice_private_key = parameters.generate_private_key()
    alice_public_key = alice_private_key.public_key()
    
    # Bob g√©n√®re sa paire de cl√©s
    bob_private_key = parameters.generate_private_key()
    bob_public_key = bob_private_key.public_key()
    
    # Affichage des cl√©s publiques (A = g^a, B = g^b)
    alice_public_bytes = alice_public_key.public_bytes(
        encoding=serialization.Encoding.PEM,
        format=serialization.PublicFormat.SubjectPublicKeyInfo
    )
    bob_public_bytes = bob_public_key.public_bytes(
        encoding=serialization.Encoding.PEM,
        format=serialization.PublicFormat.SubjectPublicKeyInfo
    )
    
    print("\nüë© Alice g√©n√®re :")
    print(f"   Cl√© secr√®te : a (gard√©e secr√®te)")
    print(f"   Cl√© publique : A = g^a (envoy√©e √† Bob)")
    print(f"   Taille : {len(alice_public_bytes)} bytes")
    
    print("\nüë® Bob g√©n√®re :")
    print(f"   Cl√© secr√®te : b (gard√©e secr√®te)")
    print(f"   Cl√© publique : B = g^b (envoy√©e √† Alice)")
    print(f"   Taille : {len(bob_public_bytes)} bytes")
    
    # Alice calcule le secret partag√© : K = B^a
    alice_shared_key = alice_private_key.exchange(bob_public_key)
    
    # Bob calcule le secret partag√© : K = A^b
    bob_shared_key = bob_private_key.exchange(alice_public_key)
    
    print("\nüîë Calcul du secret partag√© :")
    print(f"   Alice calcule : K = B^a = g^(ab)")
    print(f"   Bob calcule   : K = A^b = g^(ab)")
    
    # V√©rification
    assert alice_shared_key == bob_shared_key, "ERREUR : Cl√©s diff√©rentes !"
    
    print(f"\n‚úÖ Secret partag√© identique : {alice_shared_key.hex()[:64]}...")
    print(f"   Taille : {len(alice_shared_key)} bytes")
    
    # D√©rivation de cl√© (bonne pratique)
    kdf = HKDF(
        algorithm=hashes.SHA256(),
        length=32,
        salt=None,
        info=b'handshake data',
        backend=default_backend()
    )
    derived_key = kdf.derive(alice_shared_key)
    
    print(f"\nüîê Cl√© d√©riv√©e (HKDF-SHA256) : {derived_key.hex()}")
    print(f"   Cette cl√© peut √™tre utilis√©e pour AES-GCM")
    
    return alice_shared_key

shared_secret = diffie_hellman_exchange()

## 2. S√©curit√© : Probl√®me du logarithme discret

**Attaquant passif** (Eve √©coute) :
- Observe : $g, p, A = g^a, B = g^b$
- Veut calculer : $K = g^{ab}$

**Probl√®me Computational DH (CDH)** : Calculer $g^{ab}$ depuis $(g, g^a, g^b)$ est difficile si DLP est difficile.

**Meilleure attaque connue** : Algorithmes sous-exponentiels (ex: Number Field Sieve)
- Complexit√© : $\exp(O((\log p)^{1/3}))$
- Pour $p$ de 2048 bits : $\approx 2^{112}$ op√©rations (infaisable)
- Pour $p$ de 3072 bits : $\approx 2^{128}$ op√©rations (recommand√©)

## 3. Attaque Man-in-the-Middle (MITM)

**Probl√®me** : DH seul n'authentifie PAS les participants !

**Sc√©nario** :
1. Alice envoie $A = g^a$ ‚Üí Eve intercepte
2. Eve envoie $E_1 = g^e$ √† Bob (se faisant passer pour Alice)
3. Bob envoie $B = g^b$ ‚Üí Eve intercepte
4. Eve envoie $E_2 = g^{e'}$ √† Alice (se faisant passer pour Bob)
5. Alice partage $K_1 = g^{ae'}$ avec Eve
6. Bob partage $K_2 = g^{eb}$ avec Eve
7. Eve d√©chiffre/rechiffre tous les messages !

In [None]:
def mitm_attack_demo():
    """
    D√©monstration d'attaque MITM sur DH non authentifi√©.
    """
    print("=" * 70)
    print("ATTAQUE MAN-IN-THE-MIDDLE sur DH")
    print("=" * 70)
    
    # Alice et Bob
    alice_private = parameters.generate_private_key()
    bob_private = parameters.generate_private_key()
    
    # Eve (attaquante)
    eve_private_1 = parameters.generate_private_key()
    eve_private_2 = parameters.generate_private_key()
    
    print("\n1Ô∏è‚É£ Alice envoie A = g^a")
    alice_public = alice_private.public_key()
    print("   ‚ùå Eve intercepte !")
    
    print("\n2Ô∏è‚É£ Eve envoie E‚ÇÅ = g^e‚ÇÅ √† Bob (pr√©tend √™tre Alice)")
    eve_public_to_bob = eve_private_1.public_key()
    
    print("\n3Ô∏è‚É£ Bob envoie B = g^b")
    bob_public = bob_private.public_key()
    print("   ‚ùå Eve intercepte !")
    
    print("\n4Ô∏è‚É£ Eve envoie E‚ÇÇ = g^e‚ÇÇ √† Alice (pr√©tend √™tre Bob)")
    eve_public_to_alice = eve_private_2.public_key()
    
    # Calcul des secrets partag√©s
    alice_thinks_shared_with_bob = alice_private.exchange(eve_public_to_alice)
    eve_shared_with_alice = eve_private_2.exchange(alice_public)
    
    bob_thinks_shared_with_alice = bob_private.exchange(eve_public_to_bob)
    eve_shared_with_bob = eve_private_1.exchange(bob_public)
    
    print("\nüîë Secrets partag√©s :")
    print(f"   Alice ‚Üî Eve : {alice_thinks_shared_with_bob.hex()[:32]}...")
    print(f"   Eve ‚Üî Alice : {eve_shared_with_alice.hex()[:32]}... (identique ‚úÖ)")
    print(f"   Bob ‚Üî Eve   : {bob_thinks_shared_with_alice.hex()[:32]}...")
    print(f"   Eve ‚Üî Bob   : {eve_shared_with_bob.hex()[:32]}... (identique ‚úÖ)")
    
    assert alice_thinks_shared_with_bob == eve_shared_with_alice
    assert bob_thinks_shared_with_alice == eve_shared_with_bob
    assert alice_thinks_shared_with_bob != bob_thinks_shared_with_alice
    
    print("\n‚ùå Alice et Bob pensent communiquer ensemble,")
    print("   mais chacun partage une cl√© DIFF√âRENTE avec Eve !")
    print("\n‚ö†Ô∏è  Eve peut d√©chiffrer tous les messages et les rechiffrer.")
    print("\n‚úÖ SOLUTION : Authenticated DH (avec signatures ou certificats)")

mitm_attack_demo()

## 4. Elliptic Curve Diffie-Hellman (ECDH)

**Avantages** :
- Cl√©s plus courtes (256 bits ECC ‚âà 3072 bits DH)
- Calculs plus rapides
- M√™me niveau de s√©curit√©

**Courbes standard** :
- **Curve25519** (X25519) : recommand√©, r√©sistant aux side-channels
- secp256k1 : utilis√© dans Bitcoin
- NIST P-256, P-384, P-521

In [None]:
def ecdh_exchange():
    """
    √âchange ECDH avec Curve25519 (X25519).
    """
    print("=" * 70)
    print("√âCHANGE ECDH avec Curve25519")
    print("=" * 70)
    
    # Alice g√©n√®re sa paire de cl√©s (courbe elliptique)
    alice_private = ec.generate_private_key(ec.SECP256R1(), default_backend())
    alice_public = alice_private.public_key()
    
    # Bob g√©n√®re sa paire de cl√©s
    bob_private = ec.generate_private_key(ec.SECP256R1(), default_backend())
    bob_public = bob_private.public_key()
    
    print("\nüë© Alice g√©n√®re :")
    print(f"   Cl√© priv√©e : a (256 bits, secr√®te)")
    print(f"   Cl√© publique : A = a¬∑G (point sur courbe elliptique)")
    
    print("\nüë® Bob g√©n√®re :")
    print(f"   Cl√© priv√©e : b (256 bits, secr√®te)")
    print(f"   Cl√© publique : B = b¬∑G (point sur courbe elliptique)")
    
    # Calcul du secret partag√©
    alice_shared = alice_private.exchange(ec.ECDH(), bob_public)
    bob_shared = bob_private.exchange(ec.ECDH(), alice_public)
    
    assert alice_shared == bob_shared
    
    print("\nüîë Secret partag√© :")
    print(f"   K = a¬∑B = b¬∑A = (ab)¬∑G")
    print(f"   Valeur : {alice_shared.hex()}")
    print(f"   Taille : {len(alice_shared)} bytes (32 bytes = 256 bits)")
    
    # Comparaison avec DH classique
    print("\nüìä ECDH vs DH classique :")
    print(f"   ECDH (secp256r1)  : Cl√©s publiques ~65 bytes, s√©curit√© ~128 bits")
    print(f"   DH (2048 bits)    : Cl√©s publiques ~256 bytes, s√©curit√© ~112 bits")
    print(f"   ‚úÖ ECDH est plus efficace !")

ecdh_exchange()

## 5. Authenticated Diffie-Hellman

**Solutions** pour pr√©venir MITM :

1. **Station-to-Station (STS)** : Signer les cl√©s publiques
2. **Certificats** : PKI (TLS/SSL)
3. **Pre-shared keys** : Authentifier avec cl√© partag√©e au pr√©alable
4. **Password-Authenticated Key Exchange (PAKE)** : SRP, OPAQUE

In [None]:
# √Ä COMPL√âTER : Exemple d'Authenticated DH avec signatures
# N√©cessite cl√©s de signature (RSA ou ECDSA)

print("Authenticated DH :")
print("1. Alice signe sa cl√© publique DH avec sa cl√© de signature")
print("2. Bob v√©rifie la signature avec la cl√© publique d'Alice (certifi√©e)")
print("3. Bob signe sa cl√© publique DH")
print("4. Alice v√©rifie la signature de Bob")
print("5. √âchange DH s√©curis√© contre MITM ‚úÖ")

## Conclusion

**Points cl√©s** :
- DH permet d'√©tablir un secret partag√© sans canal s√©curis√© pr√©alable
- Bas√© sur la difficult√© du probl√®me du logarithme discret
- ‚ùå Vuln√©rable √† MITM si pas d'authentification
- ‚úÖ ECDH est plus efficace (cl√©s courtes, rapide)
- En pratique : Utiliser Authenticated DH (TLS, SSH, Signal)

**Applications** :
- TLS 1.3 : (EC)DHE pour forward secrecy
- Signal Protocol : X3DH (Extended Triple DH)
- WireGuard VPN : Curve25519
- SSH : ecdh-sha2-nistp256