Diffie-Hellman 密鑰交換點工作？深入拆解 VPN 加密核心機制，一次睇明私隱保護原理

Diffie-Hellman 密鑰交換點工作？本文以港人及海外華人最關注嘅網絡私隱角度，拆解 DH 密鑰交換嘅數學原理、安全性、VPN 應用及常見攻擊，附 FAQ 同專家立場，幫你掌握加密通訊底層邏輯。

喺 VPN 同加密通訊嘅世界入面，有一個名詞經常出現，就係 Diffie-Hellman 密鑰交換點工作。無論你係用緊邊款 VPN 服務，只要裝置同伺服器之間建立加密隧道，背後幾乎一定會用到 Diffie-Hellman（簡稱 DH）嘅機制。但到底 Diffie-Hellman 密鑰交換點工作？點解佢可以被稱為現代網絡私隱嘅基石？本文會由歷史背景、數學原理、實際步驟、安全特性一路講到 VPN 實戰應用，而且唔會迴避風險同漏洞，等港人同海外華人讀者真正掌握呢套機制點樣保護你嘅通訊內容，而唔係只係背幾個名詞。

目前全球超過 80% 嘅 HTTPS 網站同主流 VPN 協議（例如 IKEv2、OpenVPN、WireGuard）都依賴 Diffie-Hellman 密鑰交換嘅某種變體去建立安全連線。根據 Let’s Encrypt 統計，截至 2024 年底，已經有超過 4.5 億個網域使用自動化證書，而佢地嘅 TLS 握手過程幾乎必然涉及 DH 或 ECDHE（橢圓曲線 DH 短暫版）。呢個數字清楚顯示，Diffie-Hellman 密鑰交換點工作唔單止係理論，而係每日保護緊數以十億計嘅網上活動。對於重視私隱嘅香港人同海外華人，理解 DH，等於理解自己嘅數據點樣喺公眾網絡上保持秘密。

咩係 Diffie-Hellman 密鑰交換？從冷戰時期講起

1976 年，Whitfield Diffie 同 Martin Hellman 發表咗一篇革命性論文《New Directions in Cryptography》，正式提出非對稱加密同密鑰交換嘅概念。喺呢個之前，加密通訊必須依賴事先分享嘅對稱密鑰，即係雙方要先見面或者用另一條安全渠道交換一條秘密鎖匙。呢個限制令到互聯網時代嘅開放通訊好難普及。

Diffie-Hellman 密鑰交換點工作嘅突破在於：容許兩個從未見過面嘅人，喺完全被監聽嘅公開渠道上，協商出一條只有佢哋兩個知道嘅共享密鑰。想像下，你同一個 VPN 伺服器位於地球兩端，中間經過十幾個 ISP 同路由器，任何人都可以截取數據包，但透過 DH，你哋仍然可以產生一條臨時加密鎖匙，而竊聽者就算記錄晒所有通訊，都冇辦法還原出呢條鎖匙。呢個就係 DH 最核心嘅價值，亦係 VPN 加密嘅邏輯起點。

主流嘅 DH 變體包括：

• 傳統 DH（Finite Field Diffie-Hellman）：使用模冪運算同大質數。
• 橢圓曲線 Diffie-Hellman（ECDH）：用橢圓曲線點乘運算，密鑰長度更短、效能更快，係現代 VPN 同即時通訊軟件嘅首選。
• DHE 同 ECDHE：短暫版 DH，每次連線都產生新嘅密鑰對，實現前向保密（Perfect Forward Secrecy, PFS），係 VPN 安全嘅必要條件。

Diffie-Hellman 密鑰交換點工作嘅數學原理：模冪運算同離散對數

要明 Diffie-Hellman 密鑰交換點工作，唔需要成為數學博士，但掌握兩個核心概念可以幫你分辨真假安全方案。

第一個概念係模冪運算。DH 會選用一個大質數 (p) 同一個生成元 (g)（通常係一個細質數，例如 2 或 5）。參與雙方各自生成私密數字（例如 Alice 嘅 (a)、Bob 嘅 (b)），然後計算：

• Alice 嘅公開值 (A = g^a \bmod p)
• Bob 嘅公開值 (B = g^b \bmod p)

呢兩個公開值可以喺網絡上明文傳送，竊聽者睇得到。之後 Alice 計 (s = B^a \bmod p)，Bob 計 (s = A^b \bmod p)。由於 ((g^b)^a = (g^a)^b = g^{ab} \bmod p)，雙方最終得出同一個共享密鑰 (s)。

第二個概念係離散對數問題。攻擊者如果想由 (A) 同 (g, p) 反推 (a)，就要解決離散對數問題——喺模運算下搵出指數，至今冇有效率嘅解法。當 (p) 達到 2048 位元甚至 3072 位元時，就算用超級電腦都要數十億年先計得完。呢個數學難度假設就係 DH 安全性嘅根基。

根據 NIST（美國國家標準技術研究所）建議，傳統 DH 最少要用 2048 位元質數，短期內應遷移到 3072 位元；而 ECDH 用 256 位元曲線（例如 Curve25519）就可以達到相約強度，而且握手速度快 10 倍以上。呢啲數字唔係隨口講，而係基於對大規模離散對數攻擊成本嘅估算。例如 2015 年嘅 Logjam 漏洞就證實，512 位元嘅「出口級」DH 參數可以喺一星期內被破解，所以現今任何負責任嘅 VPN 服務都唔會再容許使用少過 2048 位元嘅 DH 群。

實際步驟拆解：Alice 同 Bob 點樣建立共享密鑰

假設你（Alice）想連接 VPN 伺服器（Bob），Diffie-Hellman 密鑰交換點工作嘅流程可以拆成以下階段，每一階段都喺唔安全嘅網絡上進行：

1. 參數協商：你嘅裝置同伺服器會先同意一組 DH 參數，包括 (p)（大質數）同 (g)（生成元），或者選用預定義嘅標準群（例如 RFC 7919 定義嘅 2048 位元群）。喺 ECDH 情況下，則同意使用某一條橢圓曲線（例如 X25519）。
2. 私密值生成：你嘅裝置隨機產生一個超大整數 (a)（一般 256 位元或以上），伺服器隨機產生 (b)。私密值永遠唔會離開本機，呢個係 DH 嘅關鍵。
3. 公開值交換：裝置計出 (A = g^a \bmod p) 傳送俾伺服器，伺服器計出 (B = g^b \bmod p) 傳送返俾你。
4. 共享密鑰計算：你收到 (B) 後計 (s = B^a \bmod p)，伺服器用 (A) 計 (s = A^b \bmod p)，雙方得出相同嘅 (s)。
5. 衍生工作密鑰：共享密鑰 (s) 通常唔會直接用嚟加密，而係會再經過一個密鑰派生函數（例如 HKDF）生成對稱加密鎖匙同 HMAC 驗證鎖匙，呢啲先係真正加密數據包嘅密鑰。

整個過程喺 VPN 嘅 IKE（互聯網密鑰交換）協議入面，會同身份驗證（例如證書或預共享密鑰）結合，確保你唔會同冒牌伺服器做 DH，防止中間人攻擊。就係呢個結合，令 Diffie-Hellman 密鑰交換點工作由「防竊聽」升級到「防竄改」，真正保護通訊私隱。

Diffie-Hellman 密鑰交換點樣防範竊聽？前向保密與安全性分析

單純嘅靜態 DH（永遠用同一對私鑰）有一個致命弱點：如果私鑰將來洩漏，過去所有嘅通訊記錄都可以被解密。呢個風險喺情報收集同數據保留法例盛行嘅時代尤其重要。因此，現代 VPN 同安全通訊協議必須採用 **DHE（短暫 Diffie-Hellman）**或 ECDHE。

短暫 DH 嘅概念係：每一次連線、甚至每隔一段時間（例如每小時），雙方都會重新產生一對全新嘅私密值（(a, b)），用完即棄。即使某次嘅私密值俾人破解，其他連線嘅密鑰完全唔受影響，呢個特性就叫做 前向保密（Perfect Forward Secrecy）。

前向保密對於身處敏感環境嘅香港用戶同海外華人極之重要。假設你今日透過 VPN 傳送咗一啲私隱資訊，十年後有人透過某種方式得到 VPN 伺服器嘅長期私鑰（例如法院命令或黑客入侵），如果協議冇用 DHE/ECDHE，十年後佢哋仍然可以解密你今日嘅通訊。但若果用到 ECDHE，因為每次連線嘅密鑰都獨一無二同即棄，歷史記錄就永遠安全。

根據 Cloudflare 嘅統計，目前約 98% 嘅 TLS 1.3 連線都使用 ECDHE 做密鑰交換，TLS 1.3 甚至完全移除咗靜態 RSA 密鑰交換，強制要求前向保密。任何主流 VPN 協議如 WireGuard 更加係原生只支援 ECDH（Curve25519），完全唔畀你揀弱選項。呢個趨勢代表業界對 DHE/ECDHE 嘅共識——冇前向保密嘅加密，只能算係裝飾。

VPN 點樣運用 Diffie-Hellman 密鑰交換？IKEv2 與 OpenVPN 實例

講咗咁多理論，等我哋睇下幾個常見 VPN 協議點樣實際運用 Diffie-Hellman 密鑰交換點工作。

IKEv2 / IPsec：呢個係現時主流VPN協議之一，特別喺手機平台好受歡迎。IKEv2 嘅握手過程包含一個 IKE_SA_INIT 交換，當中就會用到一組 Diffie-Hellman 密鑰交換，通常採用 ECDH（Curve25519 或 P-256）或者 2048 位元 MODP 群。生成嘅共享密鑰會用嚟保護後續嘅認證交換（IKE_AUTH），然後再衍生出 IPsec SA 嘅加密鎖匙。IKEv2 支援完善嘅前向保密，而且可以動態重新生成 DH，保障長期連線安全。

OpenVPN：OpenVPN 嘅安全性取決於 TLS 層。佢會喺控制通道進行 TLS 握手，當中用到 ECDHE 或 DHE，然後數據通道用協商得出嘅對稱密鑰加密。用戶可以喺配置檔指定 tls-cipher 或 data-ciphers，強制只用 ECDHE 套件，避免降級攻擊。

WireGuard：WireGuard 嘅設計哲學係極簡同安全，佢冇協商階段，直接將靜態公鑰同短暫 DH 結合。每次握手都用 Curve25519 進行 ECDH，產生對稱密鑰，而且內置完美前向保密同防重放保護，手握手過程極快，係現時最受推崇嘅 VPN 協議之一。

以下係一個簡化嘅 WireGuard 握手流程，集中睇 DH 點樣嵌入：

1. 發起方產生短暫私鑰，計算短暫公鑰，並用對等方嘅長期靜態公鑰同自己嘅靜態私鑰進行 DH，得出第一層密鑰。
2. 再用短暫私鑰同對等方靜態公鑰進行第二次 DH，混合得出會話密鑰。
3. 回應方收到後，用自己嘅私鑰重複同樣嘅 DH 計算，得出相同會話密鑰。

雙重 DH 結構確保就算靜態私鑰將來洩漏，都唔能夠還原會話密鑰，除非連短暫私鑰都洩漏。呢個就係「前向保密」嘅極致實踐。

常見風險與攻擊手法：中間人攻擊、Logjam 漏洞及應對方法

雖然 Diffie-Hellman 密鑰交換點工作理論上安全，但現實世界存在唔少攻擊手法，用戶同服務提供者都要小心。

中間人攻擊（MITM）：如果只做 DH 而冇身份驗證，攻擊者可以介入通訊，分別同 Alice 進行 DH 得到共享密鑰 (s_1)，同 Bob 進行 DH 得到 (s_2)，然後轉發加密數據，全程解密並竄改。所以 VPN 必須結合證書、預共享密鑰或公鑰基礎設施（PKI）去驗證對等方身份。Diffie-Hellman 保證嘅係「密鑰保密」，而唔係「身份認證」，兩者缺一不可。

Logjam 攻擊（2015）：研究人員發現，大量 TLS 伺服器支援 512 位元「出口級」DH 參數，而且可以透過降級攻擊強迫客戶端使用弱參數。攻擊者可以預先計算 512 位元離散對數（成本約幾百美元），即時破解連線。Logjam 影響當時超過 8% 嘅 Alexa Top 1M 網站。應對方法係完全停用少於 1024 位元嘅 DH 參數，而且現代瀏覽器同 VPN 客戶端已經強制執行呢個限制。

僵屍 DH 參數：有啲伺服器長期使用同一組 (p, g)，令攻擊者有誘因投資大規模預計算，類似 Logjam 但針對特定目標。為咗對抗呢個風險，應採用 DHE/ECDHE 令每次連線都使用新嘅公鑰值，即使參數相同，因為私鑰變化，共享密鑰仍無法預測。VPN 供應商若果唔支援 ECDHE，基本上可以判定為唔安全。

量子威脅：離散對數同橢圓曲線離散對數喺大規模量子電腦面前會被 Shor 演算法高效破解。雖然現階段實用級量子電腦未面世，但已經有「先收集後解密」嘅威脅（Store-Now-Decrypt-Later）。為此，NIST 正標準化後量子密碼學（PQC），未來 VPN 協議將會加入混合式密鑰交換，例如喺 ECDH 基礎上疊加 Kyber 等後量子算法。長期重視私隱嘅用戶，應該關注 VPN 供應商有冇公佈後量子路線圖。

FAQ：Diffie-Hellman 密鑰交換常見問題

Q1: Diffie-Hellman 密鑰交換點工作同 RSA 有咩分別？ A1: RSA 既可以用作密鑰交換，亦可以做數碼簽章，而 DH 純粹做密鑰交換。RSA 密鑰交換缺乏前向保密，如果私鑰洩漏，歷史數據全數解密。DH 配合短暫模式（DHE/ECDHE）先可以達到前向保密，因此現代系統多數棄用 RSA 密鑰交換，只用 RSA 做身份簽署。

Q2: 一般用戶點樣知道 VPN 用緊安全嘅 DH 參數？ A2: 你可以檢查 VPN 供應商嘅技術文檔，睇下有冇提及 ECDHE 或 Curve25519。部份開源 VPN 客戶端可以喺日誌睇到握手參數，例如 OpenVPN 連線記錄會顯示 “TLS: Initial packet from [server], using ECDHE-RSA-AES256-GCM-SHA384” 之類嘅字樣。如果只見到 “DHE” 而冇 “ECDHE”，都要確認 DH 參數位元長度不少於 2048。

Q3: 手機 VPN 同電腦 VPN 嘅 DH 實作有冇分別？ A3: 基本數學原理一樣，但考慮到手機處理器效能同電池消耗，手機 VPN 客戶端會偏好 ECDH（橢圓曲線），因為計算更輕量。IKEv2 喺 iOS 同 Android 原生支援，預設就用 ECDH。只要平台同協議支援得當，手機同樣享有前向保密。

Q4: Diffie-Hellman 可以防止 ISP 或者政府監控嗎？ A4: DH 只係幫你同 VPN 伺服器之間建立加密通道，防止第三方解讀內容，但無法隱藏你喺用緊 VPN 呢個事實（即流量特徵仍可見）。如果要對抗深度封包檢測（DPI）或 IP 封鎖，需要額外混淆技術（例如 Shadowsocks、V2Ray）。DH 確保嘅係內容保密，而唔係流量隱形。

總結：Diffie-Hellman 密鑰交換點工作為網絡私隱奠下基石

由 1976 年嘅學術論文到今日保護全球逾九成嘅加密流量，Diffie-Hellman 密鑰交換點工作徹底改變咗人類對安全通訊嘅想像。佢嘅核心概念——喺公開監聽環境下安全協商密鑰——唔單止係數學上嘅優雅設計，更係 VPN 同私隱保護不可或決嘅基礎。

對重視私隱嘅港人同海外華人而言，揀 VPN 唔單止睇速度同伺服器數量，更重要嘅係背後嘅密碼學實作品質。永遠選擇強制使用 ECDHE 或 Curve25519 嘅協議（例如 WireGuard、IKEv2 配合強參數），確保每次連線都享有真正嘅前向保密，同時留意供應商有冇計劃應對後量子威脅。只有理解 Diffie-Hellman 密鑰交換點工作嘅真正含義，你先可以喺資訊洪流入面保持清醒，掌握自己數據嘅命運。

記住，安全唔係一個產品，而係一個過程。而 Diffie-Hellman，就係呢個過程嘅第一道光。