====== KeyDerivationExtensions ======
**Namespace:** ''WvdS.System.Security.Cryptography.KeyDerivation''
Statische Klasse für Schlüsselableitung (Key Derivation Functions) mit Post-Quantum Support. Unterstützt HKDF, PBKDF2 und Argon2id.
===== Übersicht =====
Unterstützte KDF-Algorithmen:
^ KDF ^ Standard ^ Verwendung ^
| HKDF | RFC 5869 | Session-Keys aus Shared Secrets |
| PBKDF2 | RFC 8018 | Passwort-basierte Schlüssel |
| Argon2id | RFC 9106 | Memory-hard KDF (Passwörter) |
===== HKDF - Hash-based Key Derivation =====
==== DeriveKey ====
Leitet Schlüssel aus einem Shared Secret ab (HKDF-Extract-then-Expand).
// ML-KEM Shared Secret aus Key Exchange
byte[] sharedSecret = session.SharedSecret;
// Standard-Ableitung (SHA-256)
byte[] aesKey = KeyDerivationExtensions.DeriveKey(
sharedSecret,
outputLength: 32); // 256 Bit
// Mit Salt und Context-Info
byte[] salt = RandomNumberGenerator.GetBytes(32);
byte[] info = Encoding.UTF8.GetBytes("MyApp-Session-Key");
byte[] sessionKey = KeyDerivationExtensions.DeriveKey(
sharedSecret,
outputLength: 32,
salt: salt,
info: info,
hashAlgorithm: HashAlgorithmName.SHA384); // Optional
==== HkdfExtract ====
Extrahiert PRK (Pseudorandom Key) aus Input Key Material.
byte[] inputKeyMaterial = GetSharedSecret();
byte[] salt = RandomNumberGenerator.GetBytes(32);
byte[] prk = KeyDerivationExtensions.HkdfExtract(
inputKeyMaterial,
salt: salt,
hashAlgorithm: HashAlgorithmName.SHA256);
// PRK hat gleiche Länge wie Hash-Output (32 Bytes bei SHA-256)
==== HkdfExpand ====
Expandiert PRK zu Output Key Material.
byte[] prk = GetPrk();
// Encryption Key
byte[] encKey = KeyDerivationExtensions.HkdfExpand(
prk,
outputLength: 32,
info: Encoding.UTF8.GetBytes("encryption"));
// MAC Key
byte[] macKey = KeyDerivationExtensions.HkdfExpand(
prk,
outputLength: 32,
info: Encoding.UTF8.GetBytes("mac"));
===== Hybrid Key Derivation =====
Kombiniert klassische (ECDH/DH) und PQ (ML-KEM) Shared Secrets.
==== DeriveHybridKey ====
byte[] ecdhSecret = GetEcdhSharedSecret();
byte[] mlKemSecret = GetMlKemSharedSecret();
// Hybrid-Modus: Beide Secrets werden kombiniert
byte[] hybridKey = KeyDerivationExtensions.DeriveHybridKey(
classicSecret: ecdhSecret,
pqSecret: mlKemSecret,
outputLength: 32,
mode: CryptoMode.Hybrid);
// Nur klassisch
byte[] classicKey = KeyDerivationExtensions.DeriveHybridKey(
classicSecret: ecdhSecret,
pqSecret: null,
outputLength: 32,
mode: CryptoMode.Classic);
// Nur Post-Quantum
byte[] pqKey = KeyDerivationExtensions.DeriveHybridKey(
classicSecret: null,
pqSecret: mlKemSecret,
outputLength: 32,
mode: CryptoMode.PostQuantum);
// Custom Info
byte[] customKey = KeyDerivationExtensions.DeriveHybridKey(
classicSecret: ecdhSecret,
pqSecret: mlKemSecret,
outputLength: 64,
mode: CryptoMode.Hybrid,
info: Encoding.UTF8.GetBytes("MyProtocol-v1"));
**Schlüssel-Kombination:**
Hybrid Mode:
IKM = classicSecret || pqSecret
Key = HKDF-SHA256(IKM, info="WvdS-Hybrid-Key")
==== DeriveHybridKeyMaterial ====
Leitet mehrere Schlüssel für verschiedene Zwecke ab.
using HybridKeyMaterial keyMaterial = KeyDerivationExtensions.DeriveHybridKeyMaterial(
classicSecret: ecdhSecret,
pqSecret: mlKemSecret,
mode: CryptoMode.Hybrid);
// Verwendung
byte[] encKey = keyMaterial.EncryptionKey; // 32 Bytes
byte[] macKey = keyMaterial.MacKey; // 32 Bytes
byte[] iv = keyMaterial.Iv; // 16 Bytes
byte[] authKey = keyMaterial.AuthKey; // 32 Bytes
// IDisposable: Schlüssel werden sicher gelöscht
===== PBKDF2 - Passwort-basierte Ableitung =====
==== Pbkdf2 ====
string password = "SecurePassword123!";
byte[] salt = RandomNumberGenerator.GetBytes(32);
// Standard PBKDF2
byte[] key = KeyDerivationExtensions.Pbkdf2(
password,
salt,
iterations: 100000,
outputLength: 32);
// Mit PQ-Entropy (zusätzlicher Schutz)
byte[] pqEntropy = GetPqEntropy();
byte[] enhancedKey = KeyDerivationExtensions.Pbkdf2(
password,
salt,
iterations: 100000,
outputLength: 32,
pqEntropy: pqEntropy, // Wird mit Salt kombiniert
hashAlgorithm: HashAlgorithmName.SHA512);
==== Pbkdf2WithPqSalt ====
PBKDF2 mit PQ-verstärktem Salt (Public Key wird in Salt-Berechnung einbezogen).
string password = "UserPassword";
byte[] baseSalt = RandomNumberGenerator.GetBytes(16);
byte[] mlKemPublicKey = GetRecipientPublicKey();
// Salt = SHA256(baseSalt || pqPublicKey)
byte[] key = KeyDerivationExtensions.Pbkdf2WithPqSalt(
password,
baseSalt,
mlKemPublicKey,
iterations: 100000,
outputLength: 32);
**Vorteil:** Selbst bei identischem Passwort und Base-Salt ergibt sich für jeden Empfänger (unterschiedlicher PQ Public Key) ein anderer Schlüssel.
===== Argon2id - Memory-Hard KDF =====
Argon2id via OpenSSL 3.6 - widerstandsfähig gegen GPU/ASIC-Angriffe.
==== Argon2id (Byte-Array) ====
byte[] password = Encoding.UTF8.GetBytes("SecurePassword");
byte[] salt = RandomNumberGenerator.GetBytes(16); // Mindestens 16 Bytes
byte[] key = KeyDerivationExtensions.Argon2id(
password,
salt,
outputLength: 32, // Key-Länge
iterations: 3, // Zeit-Kosten (t)
memoryKiB: 65536, // Speicher: 64 MB
parallelism: 4); // Threads (p)
==== Argon2id (String) ====
string password = "UserPassword123";
byte[] salt = RandomNumberGenerator.GetBytes(16);
byte[] key = KeyDerivationExtensions.Argon2id(
password,
salt,
outputLength: 32,
iterations: 3,
memoryKiB: 65536,
parallelism: 4);
**Empfohlene Parameter:**
^ Anwendung ^ Iterations (t) ^ Memory (m) ^ Parallelism (p) ^
| Passwort-Hashing | 3 | 64 MB | 4 |
| Hohe Sicherheit | 4 | 256 MB | 4 |
| Low-Memory | 4 | 16 MB | 4 |
===== TLS Key Derivation =====
==== DeriveTlsKeys (TLS 1.2 Style) ====
byte[] preMasterSecret = GetPreMasterSecret();
byte[] clientRandom = GetClientRandom();
byte[] serverRandom = GetServerRandom();
using TlsKeyMaterial keys = KeyDerivationExtensions.DeriveTlsKeys(
preMasterSecret,
clientRandom,
serverRandom,
mode: CryptoMode.Hybrid);
// Verwendung
var clientKey = keys.ClientWriteKey; // 32 Bytes
var serverKey = keys.ServerWriteKey; // 32 Bytes
var clientIv = keys.ClientWriteIv; // 12 Bytes
var serverIv = keys.ServerWriteIv; // 12 Bytes
==== DeriveTls13Keys ====
TLS 1.3 kompatible Key Schedule.
byte[]? pskSecret = null; // Pre-Shared Key (optional)
byte[] ecdhSecret = GetEcdhSecret();
byte[] pqSecret = GetMlKemSecret();
byte[] clientHello = GetClientHelloBytes();
byte[] serverHello = GetServerHelloBytes();
using Tls13KeySchedule schedule = KeyDerivationExtensions.DeriveTls13Keys(
pskSecret,
ecdhSecret,
pqSecret,
clientHello,
serverHello,
mode: CryptoMode.Hybrid);
// Handshake Traffic Secrets
var clientHsSecret = schedule.ClientHandshakeTrafficSecret;
var serverHsSecret = schedule.ServerHandshakeTrafficSecret;
// Application Traffic Secrets
var clientAppSecret = schedule.ClientApplicationTrafficSecret;
var serverAppSecret = schedule.ServerApplicationTrafficSecret;
// Resumption Secret
var resumptionSecret = schedule.ResumptionMasterSecret;
===== Datenklassen =====
==== HybridKeyMaterial ====
Container für abgeleitete Schlüssel mit sicherer Speicherbereinigung.
^ Eigenschaft ^ Typ ^ Länge ^ Beschreibung ^
| ''EncryptionKey'' | byte[] | 32 | AES-Schlüssel |
| ''MacKey'' | byte[] | 32 | HMAC-Schlüssel |
| ''Iv'' | byte[] | 16 | Initialisierungsvektor |
| ''AuthKey'' | byte[] | 32 | Authentifizierungsschlüssel |
using HybridKeyMaterial keys = DeriveKeys();
// Keys werden bei Dispose() sicher gelöscht
// (CryptographicOperations.ZeroMemory)
==== TlsKeyMaterial ====
TLS 1.2 Style Schlüsselmaterial.
^ Eigenschaft ^ Typ ^ Beschreibung ^
| ''MasterSecret'' | byte[] | 48 Bytes Master Secret |
| ''ClientWriteKey'' | byte[] | Client-seitiger Verschlüsselungsschlüssel |
| ''ServerWriteKey'' | byte[] | Server-seitiger Verschlüsselungsschlüssel |
| ''ClientWriteIv'' | byte[] | Client-seitiger IV |
| ''ServerWriteIv'' | byte[] | Server-seitiger IV |
| ''ClientWriteMacKey'' | byte[] | Client MAC Key (leer bei GCM) |
| ''ServerWriteMacKey'' | byte[] | Server MAC Key (leer bei GCM) |
==== Tls13KeySchedule ====
TLS 1.3 Key Schedule.
^ Eigenschaft ^ Typ ^ Beschreibung ^
| ''ClientHandshakeTrafficSecret'' | byte[]? | Client Handshake Traffic Secret |
| ''ServerHandshakeTrafficSecret'' | byte[]? | Server Handshake Traffic Secret |
| ''ClientApplicationTrafficSecret'' | byte[]? | Client Application Traffic Secret |
| ''ServerApplicationTrafficSecret'' | byte[]? | Server Application Traffic Secret |
| ''ResumptionMasterSecret'' | byte[]? | Session Resumption Secret |
===== Methoden-Übersicht =====
==== HKDF ====
^ Methode ^ Parameter ^ Rückgabe ^
| ''DeriveKey'' | byte[] sharedSecret, int outputLength, byte[]? salt, byte[]? info, HashAlgorithmName? | byte[] |
| ''HkdfExtract'' | byte[] ikm, byte[]? salt, HashAlgorithmName? | byte[] |
| ''HkdfExpand'' | byte[] prk, int outputLength, byte[]? info, HashAlgorithmName? | byte[] |
==== Hybrid ====
^ Methode ^ Parameter ^ Rückgabe ^
| ''DeriveHybridKey'' | byte[]? classicSecret, byte[]? pqSecret, int outputLength, CryptoMode, byte[]? info | byte[] |
| ''DeriveHybridKeyMaterial'' | byte[]? classicSecret, byte[]? pqSecret, CryptoMode | HybridKeyMaterial |
==== PBKDF2 ====
^ Methode ^ Parameter ^ Rückgabe ^
| ''Pbkdf2'' | string password, byte[] salt, int iterations, int outputLength, byte[]? pqEntropy, HashAlgorithmName? | byte[] |
| ''Pbkdf2WithPqSalt'' | string password, byte[] baseSalt, byte[] pqPublicKey, int iterations, int outputLength | byte[] |
==== Argon2id ====
^ Methode ^ Parameter ^ Rückgabe ^
| ''Argon2id'' | byte[] password, byte[] salt, int outputLength, int iterations, int memoryKiB, int parallelism | byte[] |
| ''Argon2id'' | string password, byte[] salt, int outputLength, int iterations, int memoryKiB, int parallelism | byte[] |
==== TLS ====
^ Methode ^ Parameter ^ Rückgabe ^
| ''DeriveTlsKeys'' | byte[] preMasterSecret, byte[] clientRandom, byte[] serverRandom, CryptoMode | TlsKeyMaterial |
| ''DeriveTls13Keys'' | byte[]? psk, byte[]? ecdh, byte[]? pq, byte[] clientHello, byte[] serverHello, CryptoMode | Tls13KeySchedule |
===== Vollständiges Beispiel =====
using WvdS.System.Security.Cryptography;
using WvdS.System.Security.Cryptography.KeyDerivation;
using WvdS.System.Security.Cryptography.KeyExchange;
// 1. Key Exchange durchführen
using var session = new KeyExchangeService();
await session.InitiateKeyExchangeAsync(recipientPublicKey, CryptoMode.Hybrid);
// 2. Hybrid Key Material ableiten
using HybridKeyMaterial keys = KeyDerivationExtensions.DeriveHybridKeyMaterial(
classicSecret: session.ClassicSharedSecret,
pqSecret: session.PqSharedSecret,
mode: CryptoMode.Hybrid);
// 3. Schlüssel verwenden
using var aes = Aes.Create();
aes.Key = keys.EncryptionKey;
using var hmac = new HMACSHA256(keys.MacKey);
// 4. Verschlüsselung durchführen
// ...
// 5. Schlüssel werden automatisch sicher gelöscht
===== Sicherheitshinweise =====
* Alle ''IDisposable'' Klassen implementieren ''CryptographicOperations.ZeroMemory''
* Argon2id benötigt OpenSSL 3.6 (nicht in .NET BCL verfügbar)
* PBKDF2 mit weniger als 100.000 Iterationen wird nicht empfohlen
* Salt muss bei PBKDF2/Argon2id immer zufällig und ausreichend lang sein (min. 16 Bytes)
**Hybrid-Modus Sicherheit:**
Im Hybrid-Modus wird der endgültige Schlüssel nur kompromittiert, wenn BEIDE Secrets (klassisch UND PQ) gebrochen werden. Dies bietet Schutz sowohl gegen klassische als auch gegen Quantenangriffe.
===== Siehe auch =====
* [[.:start|KeyDerivation Namespace]]
* [[.:hybridkeymaterial|HybridKeyMaterial]]
* [[.:tlskeymaterial|TlsKeyMaterial]]
* [[.:tls13keyschedule|Tls13KeySchedule]]
* [[..:keyexchange:start|KeyExchange Namespace]]
* [[..:encryption:start|Encryption Namespace]]
* [[de:int:pqcrypt:konzepte:algorithmen:ml-kem|ML-KEM Algorithmus]]
----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//