نظام التشفير الهجين
هذه مقالة غير مراجعة.(يوليو 2024) |
في علم التشفير ، نظام التشفير الهجين هو النظام الذي يجمع بين نظام التشفير بالمفتاح العام وكفاءة نظام التشفير بالمفتاح المتماثل . [1] تعتبر أنظمة التشفير بالمفتاح العام ملائمة لأنها لا تتطلب من المرسل والمتلقي مشاركة سر مشترك بينهما من أجل التواصل بشكل آمن. [2] ومع ذلك، فهي غالبًا ما تعتمد على حسابات رياضية معقدة، وبالتالي فهي عمومًا أقل كفاءة من أنظمة التشفير ذات المفتاح المتماثل المماثلة. في العديد من التطبيقات، يمكن أن تكون التكلفة العالية لتشفير الرسائل الطويلة في نظام تشفير المفتاح العام مكلفه. تتم معالجة هذه المشكلة من خلال الأنظمة الهجينة باستخدام مزيج من الاثنين معًا. [3]
يمكن إنشاء نظام التشفير المختلط باستخدام أي نظامين تشفير منفصلين و هما كالاتي :
- آلية تغليف المفتاح ، وهو نظام تشفير المفتاح العام
- نظام تغليف البيانات ، وهو نظام تشفير ذو مفتاح متماثل
نظام التشفير المختلط هو ذاته نظام مفتاح عام، مفاتيحه العامة والخاصة هي نفسها الموجودة في نظام تغليف المفتاح. [4]
لاحظ أنه بالنسبة للرسائل الطويلة جدًا، فإن الجزء الأكبر من العمل في التشفير و فك التشفير يتم من خلال نظام المفتاح المتماثل الأكثر كفاءة، في حين يتم استخدام نظام المفتاح العام غير الفعال فقط لتشفير/فك تشفير قيمة مفتاح قصير. [5]
تستخدم جميع التطبيقات العملية لتشفير المفتاح العام هذه الايام استخدام نظام هجين و تتضمن الأمثلة بروتوكول TLS [6] وبروتوكول SSH ، [7] اللذين يستخدمان آلية المفتاح العام لتبادل المفاتيح (مثل Diffie-Hellman ) وآلية المفتاح المتماثل لتغليف البيانات (مثل AES ). يعد تنسيق الملف OpenPGP [8] وتنسيق الملف PKCS#7 [9] من الأمثلة الأخرى.
يعد تشفير المفتاح العام المختلط (HPKE، المنشور باسم RFC 9180 ) معيارًا حديثًا للتشفير المختلط العام. حيث يتم استخدام HPKE ضمن بروتوكولات IETF المتعددة، بما في ذلك MLS وTLS Encrypted Hello.
يعد نظام التشفير المغلف مثالاً هاما على استخدام أنظمة التشفير الهجينة في الحوسبة السحابية . في سياق السحابة، تعمل أنظمة التشفير الهجينة أيضًا على تمكين الإدارة المركزية للمفاتيح . [10] [11]
مثال
[عدل]لتشفير رسالة موجهة إلى Alice في نظام التشفير المختلط، يقوم بوب بما يلي:
- يحصل على مفتاح Alice العام.
- ينشئ مفتاحًا متماثلًا جديدًا لنظام تغليف البيانات.
- يقوم بتشفير الرسالة ضمن نظام تغليف البيانات، باستخدام المفتاح المتماثل الذي تم إنشاؤه للتو.
- يقوم بتشفير المفتاح المتماثل ضمن نظام تغليف المفتاح، باستخدام مفتاح Alice العام.
- يرسل كلا هذين النصين المشفرين إلى Alice.
من اجل فك تشفير هذا النص المشفر المختلط، تقوم Alice بما يلي:
- تستخدم مفتاحها الخاص لفك تشفير المفتاح المتماثل الموجود في المقطع الخاص بتغليف المفتاح.
- يستخدم هذا المفتاح المتماثل لفك تشفير الرسالة الموجودة في مقطع تغليف البيانات. [12] [13]
الحماية
[عدل]إذا كان كل من مخططات تغليف المفاتيح وتغليف البيانات في نظام تشفير هجين آمنًا ضد هجمات النص المشفر التكيفي المختار ، فإن المخطط المختلط يرث تلك الخاصية أيضًا. [14] ومع ذلك، فمن الممكن إنشاء مخطط هجين آمن ضد هجمات النص المشفر التكيفي الذي تم اختياره حتى لو كان لتغليف المفتاح تعريف أمان ضعيف قليلاً (على الرغم من أن أمان تغليف البيانات يجب أن يكون أقوى قليلاً). [15]
التشفير المغلف
[عدل]التشفير المغلف هو مصطلح يستخدم للتشفير باستخدام نظام تشفير هجين يستخدمه جميع مقدمي الخدمات السحابية الرئيسيين، [16] و غالبًا كجزء من نظام إدارة المفاتيح المركزي في الحوسبة السحابية. [17]
يعطي التشفير المغلف أسماء للمفاتيح المستخدمة في التشفير المختلط و منها : مفاتيح تشفير البيانات (يُشار إليها ايضا اختصارًا بـ DEK، وتُستخدم لتشفير البيانات) ومفاتيح تشفير المفاتيح (يُشار إليها اختصارًا بـ KEK، وتُستخدم لتشفير DEK). في البيئة السحابية، يتضمن التشفير باستخدام تشفير المغلف إنشاء DEK محليًا، وتشفير بيانات الشخص باستخدام DEK، ثم إصدار طلب لتغليف (تشفير) DEK باستخدام مفتاح KEK المخزن في خدمة يحتمل أن تكون أكثر أمانًا. بعد ذلك، تشكل رسالة DEK الملتفة والرسالة المشفرة نصًا مشفرًا للمخطط. لفك تشفير نص مشفر، يتم فك تغليف DEK (فك تشفيره) عبر استدعاء خدمة، ثم يتم استخدام DEK غير المغلف لفك تشفير الرسالة المشفرة. [18] بالإضافة إلى المزايا العادية لنظام التشفير المختلط، فإن استخدام التشفير غير المتماثل لـ KEK في سياق سحابي يوفر إدارة مفاتيح أسهل وفصل الأدوار، ولكن يمكن أن يكون أبطأ. [19]
انه في الأنظمة السحابية، مثل Google Cloud Platform وAmazon Web Services ، يمكن أن يتوفر نظام إدارة المفاتيح (KMS) كخدمة. [19] [18] [20] في بعض الحالات ايضا، يقوم نظام إدارة المفاتيح بتخزين المفاتيح في وحدات أمن الأجهزة ، وهي أنظمة أجهزة تحمي المفاتيح بميزات الأجهزة مثل مقاومة التطفل. [21] وهذا يعني أن مفاتيح KEK يمكن أيضًا أن تكون أكثر أمانًا لأنها مخزنة على أجهزة متخصصة آمنة. [17] يجعل تشفير المغلف إدارة المفاتيح المركزية أسهل لأن نظام إدارة المفاتيح المركزي يحتاج فقط إلى تخزين مفاتيح المفاتيح المفاتيح (KEKs)، التي تشغل مساحة أقل، والطلبات المقدمة إلى KMS تتضمن فقط إرسال مفاتيح DEK المغلفة وغير المغلفة، والتي تستخدم نطاقًا تردديًا أقل من إرسال الرسائل بأكملها. نظرًا لأنه يمكن استخدام مفتاح KEK واحد لتشفير العديد من مجموعات DEK، فإن هذا يسمح أيضًا باستخدام مساحة تخزين أقل في نظام إدارة المفاتيح (KMS). وهذا يسمح أيضًا بالتدقيق المركزي والتحكم في الوصول عند نقطة وصول واحدة. [11]
أنظر أيضا
[عدل]- أمن طبقة النقل
- صدفه آمنه
- آلية التغليف الرئيسية
مراجع
[عدل]- ^ Shoukat, Ijaz Ali (2013). "A Generic Hybrid Encryption System (HES)" (بالإنجليزية). Archived from the original on 2024-04-02.
- ^ Paar، Christof؛ Pelzl، Jan؛ Preneel، Bart (2010). "Chapter 6: Introduction to Public-Key Cryptography". Understanding Cryptography: A Textbook for Students and Practitioners (PDF). Springer. ISBN:978-3-642-04100-6. مؤرشف من الأصل (PDF) في 2024-04-26.
- ^ Deng، Juan؛ Brooks، Richard (2012). "Chapter 26 - Cyber-Physical Security of Automotive Information Technology". Handbook on Securing Cyber-Physical Critical Infrastructure. Elsevier. ص. 655–676. ISBN:978-0-12-415815-3. مؤرشف من الأصل في 2022-07-22.
- ^ Cramer، Ronald؛ Shoup, Victor (2019). "Design and Analysis of Practical Public-Key Encryption Schemes Secure against Adaptive Chosen Ciphertext Attack" (PDF). SIAM Journal on Computing. ج. 33 ع. 1: 167–226. CiteSeerX:10.1.1.76.8924. DOI:10.1137/S0097539702403773. مؤرشف من الأصل (PDF) في 2024-04-30.
- ^ Deng، Juan؛ Brooks، Richard (2012). "Chapter 26 - Cyber-Physical Security of Automotive Information Technology". Handbook on Securing Cyber-Physical Critical Infrastructure. Elsevier. ص. 655–676. ISBN:978-0-12-415815-3. مؤرشف من الأصل في 2022-07-22.Deng, Juan; Brooks, Richard (2012). "Chapter 26 - Cyber-Physical Security of Automotive Information Technology". Handbook on Securing Cyber-Physical Critical Infrastructure. Elsevier. pp. 655–676. ISBN 978-0-12-415815-3.
- ^ Fox, Pamela. "Transport Layer Security (TLS) (article)". Khan Academy (بالإنجليزية). Archived from the original on 2024-04-06. Retrieved 2022-02-06.
- ^ Ellingwood, Justin. "Understanding the SSH Encryption and Connection Process | DigitalOcean". www.digitalocean.com (بالإنجليزية). Archived from the original on 2024-05-07. Retrieved 2022-02-06.
- ^ "RFC 4880 - OpenPGP Message Format". datatracker.ietf.org. مؤرشف من الأصل في 2023-02-03. اطلع عليه بتاريخ 2022-02-06.
- ^ "RFC 2315 - PKCS #7: Cryptographic Message Syntax Version 1.5". datatracker.ietf.org. مؤرشف من الأصل في 2024-06-23. اطلع عليه بتاريخ 2022-02-06.
- ^ Albertini، Ange؛ Duong، Thai؛ Gueron، Shay؛ Kölbl، Stefan؛ Luykx، Atul؛ Schmieg، Sophie (17 نوفمبر 2020). "How to Abuse and Fix Authenticated Encryption Without Key Commitment". USENIX Security 2022. مؤرشف من الأصل في 2024-03-02 – عبر Cryptology ePrint Archive.
- ^ ا ب "Envelope encryption | Cloud KMS Documentation". Google Cloud (بالإنجليزية). Archived from the original on 2024-05-21. Retrieved 2021-12-30.
- ^ St Denis، Tom؛ Johnson، Simon (2006). "9". Cryptography for Developers. Elsevier. ISBN:978-1-59749-104-4. مؤرشف من الأصل في 2022-07-22.
- ^ Shoukat, Ijaz Ali (2013). "A Generic Hybrid Encryption System (HES)" (بالإنجليزية). Archived from the original on 2024-04-02.Shoukat, Ijaz Ali (2013). "A Generic Hybrid Encryption System (HES)".
- ^ Cramer، Ronald؛ Shoup, Victor (2019). "Design and Analysis of Practical Public-Key Encryption Schemes Secure against Adaptive Chosen Ciphertext Attack" (PDF). SIAM Journal on Computing. ج. 33 ع. 1: 167–226. CiteSeerX:10.1.1.76.8924. DOI:10.1137/S0097539702403773. مؤرشف من الأصل (PDF) في 2024-04-30.Cramer, Ronald; Shoup, Victor (2019). "Design and Analysis of Practical Public-Key Encryption Schemes Secure against Adaptive Chosen Ciphertext Attack" (PDF). SIAM Journal on Computing. 33 (1): 167–226. CiteSeerX 10.1.1.76.8924. doi:10.1137/S0097539702403773.
- ^ Hofheinz، Dennis؛ Kiltz, Eike (2019). Secure Hybrid Encryption from Weakened Key Encapsulation (PDF). Springer. ص. 553–571. مؤرشف من الأصل (PDF) في 2022-12-12.
- ^ Albertini، Ange؛ Duong، Thai؛ Gueron، Shay؛ Kölbl، Stefan؛ Luykx، Atul؛ Schmieg، Sophie (17 نوفمبر 2020). "How to Abuse and Fix Authenticated Encryption Without Key Commitment". USENIX Security 2022. مؤرشف من الأصل في 2024-03-02 – عبر Cryptology ePrint Archive.Albertini, Ange; Duong, Thai; Gueron, Shay; Kölbl, Stefan; Luykx, Atul; Schmieg, Sophie (November 17, 2020). "How to Abuse and Fix Authenticated Encryption Without Key Commitment". USENIX Security 2022 – via Cryptology ePrint Archive.
- ^ ا ب "AWS KMS concepts - AWS Key Management Service". docs.aws.amazon.com. مؤرشف من الأصل في 2024-06-29. اطلع عليه بتاريخ 2021-12-30.
- ^ ا ب "Envelope encryption | Cloud KMS Documentation". Google Cloud (بالإنجليزية). Archived from the original on 2024-05-21. Retrieved 2021-12-30."Envelope encryption | Cloud KMS Documentation". Google Cloud. Retrieved 2021-12-30.
- ^ ا ب "AWS KMS concepts - AWS Key Management Service". docs.aws.amazon.com. مؤرشف من الأصل في 2024-06-29. اطلع عليه بتاريخ 2021-12-30."AWS KMS concepts - AWS Key Management Service". docs.aws.amazon.com. Retrieved 2021-12-30.
- ^ "What is envelope encryption? - FAQ| Alibaba Cloud Documentation Center". www.alibabacloud.com. مؤرشف من الأصل في 2022-07-06. اطلع عليه بتاريخ 2021-12-30.
- ^ "Hardware Security Module (HSM) - Glossary | CSRC". csrc.nist.gov (بالإنجليزية الأمريكية). Archived from the original on 2024-05-06. Retrieved 2022-01-23.