Diffie-Hellman 鍵共有とは何ですか？

Diffie-Hellman 鍵共有は、1976 年に提案された公開鍵暗号の基礎となる手法です。Alice と Bob は公開された素数 p と原始根 g を共有し、それぞれの秘密鍵 a、b から公開値 A=g^a mod p、B=g^b mod p を計算して交換します。互いに相手の公開値を自分の秘密鍵で再びべき乗すれば、K=g^(ab) mod p という同じ共通鍵に到達できます。盗聴者は p、g、A、B を知っても、a や b を求めるには離散対数問題を解かねばならず、大きな p では計算量的に困難です。

なぜ Alice と Bob が同じ鍵にたどり着くのですか？

指数の交換則 (g^a)^b = (g^b)^a = g^(ab) が、有限体上のべき乗 mod p でも成り立つからです。Alice は B=g^b mod p に自分の秘密 a を掛けて B^a mod p を計算し、Bob は A=g^a mod p に自分の秘密 b を掛けて A^b mod p を計算します。どちらも g^(ab) mod p に等しくなります。シミュレーターの「Alice の共通鍵」と「Bob の共通鍵」が常に同じ値を示すのはこのためです。

このデモの安全性は実用レベルですか？

いいえ。このシミュレーターは原理を学ぶための教育用で、p は最大でも 997 という非常に小さな素数を使います。実運用では p を 2048 ビット以上にするか、より効率的な楕円曲線版（ECDH）を用いるのが標準です。小さな p では離散対数を総当たりで解けてしまい、秘密鍵がすぐに復元されます。

Diffie-Hellman は中間者攻撃に強いですか？

素の Diffie-Hellman は中間者攻撃に弱いです。攻撃者が Alice と Bob の通信路の途中に入り込み、両者と別々に鍵共有してしまうと、両者は気づかないまま攻撃者を経由して通信することになります。実用システムでは公開値に署名を付ける（認証付き DH）、サーバ証明書と組み合わせる（TLS の ECDHE）など、相手を確かに認証する仕組みと併用します。

Diffie-Hellman 鍵共有シミュレーター — 無料オンライン教材

パラメータ設定

素数 p（公開）

—

原始根 g（公開）

—

Alice の秘密 a

—

Bob の秘密 b

—

非素数を入力した場合は自動的に最も近い素数に丸めます。教育用デモなので、実運用では p ≥ 2048 ビット、または ECDH を使ってください。

計算結果

—

Alice の公開値 A=g^a mod p

—

Bob の公開値 B=g^b mod p

—

Alice の共通鍵 K=B^a mod p

—

Bob の共通鍵 K=A^b mod p

鍵交換の流れ

左 Alice、中央 Public Channel (p, g)、右 Bob。矢印は公開値の送受信を示します。

理論・主要公式

Diffie-Hellman 鍵共有は、公開された素数 p と原始根 g を用いて、二者が安全でない通信路上で共通鍵に到達する仕組みです。

Alice と Bob はそれぞれ秘密鍵 a, b を選び、公開値を計算して交換します：

$$A = g^{a} \bmod p, \qquad B = g^{b} \bmod p$$

受け取った相手の公開値を自分の秘密鍵でべき乗すると、同じ共通鍵 K に到達します：

$$K_{\text{Alice}} = B^{a} \bmod p = A^{b} \bmod p = K_{\text{Bob}}$$

これは指数の交換則 $(g^a)^b = (g^b)^a = g^{ab}$ が有限体上のべき乗 mod p でも成立することによります：

$$K = g^{ab} \bmod p$$

盗聴者は p, g, A, B のみから秘密鍵 a, b を求めるには離散対数問題を解く必要があり、大きな p では計算量的に困難です。

Diffie-Hellman 鍵共有シミュレーターとは

🙋

「公開鍵暗号」って言葉は聞いたことあるけど、相手に鍵を渡さずにどうやって暗号通信できるんですか？盗聴されてる回線で鍵を送ったら意味ないですよね？

🎓

鋭い疑問だ。それを最初に解いたのが 1976 年の Diffie-Hellman 鍵共有なんだ。ざっくり言うと、二人で共通の素数 p と原始根 g を公開で決めておく。Alice は秘密の数 a を決めて A = g^a mod p を相手に送る。Bob も同じく b から B = g^b mod p を送る。すると二人とも g^(ab) mod p という同じ値に到達できるんだよ。上のシミュレーターで p=23, g=5, a=6, b=15 にすると、A=8, B=19、共通鍵 K=2 が出てくる。

🙋

え、A も B も公開で送るんですか？それを盗聴された人は鍵を計算できないんですか？

🎓

そこが鍵共有のミソだ。盗聴者は p, g, A, B を全部知っていても、A から a を逆算するには「離散対数問題」を解かなきゃならない。これが大きな p ではめちゃくちゃ難しいんだ。シミュレーターは p ≤ 997 の小さな素数しか扱わないから、現実には a を総当たりで見つけられてしまう。実運用では p を 2048 ビット以上にする。それで初めて計算量的に「事実上不可能」と言えるんだよ。

🙋

なるほど。でも Alice の K_A と Bob の K_B が同じ値になるのって、なんでですか？

🎓

単に指数法則だよ。$(g^a)^b = (g^b)^a = g^{ab}$ ——これは普通の数学でも成り立つけど、mod p のべき乗でも同じことが言える。Alice は B = g^b に自分の a をべき乗するから (g^b)^a = g^(ab)、Bob は A = g^a に自分の b をべき乗するから (g^a)^b = g^(ab)、結果は同じだ。シミュレーターで a, b をいろいろ変えても、必ず K_A = K_B になるのが見えるはず。

🙋

じゃあ Diffie-Hellman さえあれば暗号通信は完璧なんですか？

🎓

残念ながら、素の DH は「中間者攻撃」に弱いんだ。攻撃者が Alice にも Bob にもなりすまして、二人と別々に鍵共有を成立させちゃう。だから実用システムでは公開値に署名を付ける、サーバ証明書と組み合わせるなど、相手を確実に認証する仕組みと一緒に使う。TLS の ECDHE はその典型例だね。

よくある質問

p が素数だと、g のべき乗 g^1, g^2, … g^(p-1) mod p が p 未満の全ての非ゼロ値を一度ずつ取る性質を持ちます（g が原始根の場合）。これにより秘密鍵 a の取りうる値の空間が最大化され、攻撃者の総当たりが厳しくなります。p が合成数だったり g の位数が小さいと、共通鍵の取りうる値が少なくなり安全性が低下します。

実運用では a, b は 256 ビット以上のランダム整数を使います。教育用のこのシミュレーターでは 1〜100 の小さな範囲にしていますが、現実にはこの大きさだと総当たりで一瞬で解読されます。重要なのは秘密鍵を毎回ランダムに生成すること。固定値だと過去の通信が将来漏れる可能性があります（前方秘匿性の喪失）。

ECDH は同じ DH の原理を、整数の mod p 演算ではなく楕円曲線上の点の加算で実現します。同じ安全性を、より小さな鍵サイズで達成できるのが利点です。例えば従来の DH で 2048 ビット必要なところを、ECDH なら 256 ビットで同等以上の安全性が得られます。スマホや IoT 機器など計算資源が限られる環境では ECDH が標準的に使われます。

直接そのまま使うのは推奨されません。実用では K を「鍵導出関数（KDF、HKDF など）」に通して、目的別に複数の鍵（暗号化用、認証用、初期化ベクトル用など）を派生させます。これにより、もし一部の鍵が漏れても他の用途に影響しにくくなり、また K の偏りを取り除いて疑似ランダム性を高めることができます。

実世界での応用

HTTPS と TLS：ブラウザが Web サイトに安全に接続する TLS プロトコルでは、鍵共有として ECDHE（楕円曲線 Diffie-Hellman 一時鍵）が標準的に使われています。サーバ証明書で相手を認証しつつ、各セッションで使い捨ての鍵を共有することで、サーバの長期秘密鍵が将来漏れても過去の通信が解読されない「前方秘匿性」を実現しています。

VPN（IPsec、WireGuard）：企業ネットワークのリモートアクセス VPN や、近年人気の WireGuard は、内部で Diffie-Hellman 鍵共有を用いてトンネル鍵を毎回生成します。WireGuard は ECDH（Curve25519）を使い、わずか数往復で安全な暗号通信路を確立できる軽量さが特長です。

Signal や WhatsApp のエンドツーエンド暗号化：メッセンジャーアプリの E2E 暗号化では、Signal Protocol が「Double Ratchet」と呼ばれる仕組みで、メッセージ毎に新しい DH 鍵共有を行います。これにより一つの鍵が漏れても、それ以前と以後のメッセージが芋づる式に解読されないようになっています。

SSH と暗号化通信全般：SSH のセッション確立時にも DH 鍵共有が使われます。クライアントとサーバが事前共有秘密を持たなくても、毎回安全な共通鍵を確立できる点が、リモートサーバ管理の標準ツールとして広く採用される理由の一つです。

よくある誤解と注意点

最も多い誤解は、「Diffie-Hellman で交換した鍵があれば、それだけで安全な暗号通信ができる」と考えてしまうことです。素の DH は中間者攻撃（MITM）に対して無防備で、攻撃者が Alice と Bob の間に割り込めば、両者と別々に鍵共有を成立させて全ての通信を解読できます。実用システムでは必ず「相手が本当に Bob か」を確かめる認証を組み合わせます。TLS ではサーバ証明書、SSH では既知ホストキー、Signal では識別キーフィンガープリントが、その認証の役割を果たします。

次に多いのが、「教育用デモの小さな p でも安全だろう」という油断です。このシミュレーターのように p ≤ 997 の小さな素数では、攻撃者が a の値を 1 から順に試して g^a mod p が公開値 A と一致するものを見つけるだけで、瞬時に秘密鍵が復元されます。実運用では p を最低 2048 ビット（10 進で 600 桁以上）にするか、ECDH なら 256 ビット以上の楕円曲線パラメータを使います。安全性は p の大きさに指数的に依存するため、サイズの妥協は致命的です。

最後に、「秘密鍵 a, b を使い回しても問題ない」と考える誤解に注意してください。同じ秘密鍵を複数のセッションで使うと、過去のいずれかのセッション鍵が漏れた瞬間、その秘密鍵に基づく全てのセッションが復号されてしまいます。実用システムでは「各セッションごとに新しい a, b を生成して即座に破棄する」一時鍵方式（DHE / ECDHE の "E" は ephemeral の頭文字）を採用し、前方秘匿性を確保しています。

Diffie-Hellman 鍵共有シミュレーター — 公開鍵交換の数論

Diffie-Hellman 鍵共有シミュレーターとは

よくある質問

実世界での応用

よくある誤解と注意点

関連ツール