הצפנה מרובה

הצפנה מרובה (Multiple encryption) היא דרך להצפין מידע פעמים מרובות באמצעות מפתחות הצפנה שונים. קַסְקָדָת (Cascade) הצפנה היא הצפנה מרובה באמצעות אלגוריתמים שונים (ומפתחות שונים). הבחנה זו לא תמיד נעשית, לרוב מתייחסים להצפנה מרובה באופן כללי כאל קסקדה. מקובל שהצפנה מרובה עם מפתח זהה לא רק שאינה מניבה ביטחון רב יותר אלא אף מחלישה אותו ברוב המקרים, משום שההצפנה השנייה עלולה לבטל את הראשונה חלקית או באופן מלא. במיוחד בצפנים בהם ההצפנה והפענוח נעשים בפונקציה זהה. בפנקס חד-פעמי למשל, הצפנה חוזרת עם אותו מפתח שקולה לפענוח וכן בכל צופן זרם. יתרה מזו, סיבוכיות ההתקפה כנגד המערכת אינה עולה באופן ניכר, כיוון שהתוקף יודע שנעשה שימוש במפתח זהה (ההנחה היא תמיד שמספר ההצפנות, האלגוריתמים ששימשו להצפנה וכן סדר ההצפנה, ידועים לתוקף). המסקנה היא שמפתחות ההצפנה צריכים להיבחר באופן שיהיו בלתי תלויים סטטיסטית. כלומר לא תהיה דרך קלה להסיק מהו מפתח אחד בהינתן השני.

אחת הסיבות להצפנה מרובה היא הגברת ביטחון ללא צורך בפיתוח אלגוריתם חדש. הטכניקה הזו נוצלה ב-DES משולש בשל העובדה שמפתח ההצפנה קצר מאד (רק 56 סיביות). אך יש להזהר שהצירוף אינו גורם לאפקט הפוך מהמצופה. צריך לוודא שביטחון הצופן אכן השתפר וכי לא נוספו חולשות. יש לציין כי הצפנים הסימטריים המודרניים כמו AES, מציעים ביטחון רב עם מפתח 256 סיביות לכן מהיבט של ביטחון, רק במקרים קיצוניים השקעה בהצפנה מרובה כדאית.

בהגדרה כללית כאשר מציינים 'צפנים' בלשון רבים, מתכוונים בעיקר להצפנה סימטרית או א-סימטרית חוזרת עם מפתחות הצפנה שונים, לא בהכרח עם אלגוריתמים שונים (ראה בהמשך לגבי אלגוריתמים שונים). ישנן כמה תצורות עיקריות של הצפנה מרובה:

הצפנה עוקבת: בשיטה זו שנקראת גם קסקדה, פלט הצופן הראשון מהווה קלט לצופן השני והשני לשלישי וכן הלאה. כאמור חובה על המפתחות להיות בלתי תלויים סטיסטית זה בזה. המודל הזה אומץ על ידי הרשת החברתית האנונימית Tor, קיצור של The Onion Routing. האנלוגיה ברורה, תהליך הפענוח דומה לקילוף בצל, כל שכבה מייצגת הצפנה אחת. במקרה של TOR, המטרה אינה הגברת הביטחון אלא הסתרת זהות המשתמש על ידי הצפנת חבילת המידע ומקורה מספר פעמים באמצעות מפתחות הפומביים של השרתים האנונימיים. תהליך הניתוב של חבילה עובר דרכם, כאשר כל אחד מהם מסיר שכבת הצפנה אחת בהתאם למפתח הפרטי שברשותו.
הצפנה מרוכבת (product cipher): הוצעה לראשונה על ידי שאנון והיא בעצם הבסיס התאורטי לצפני בלוקים מודרניים. הרעיון הוא שילוב לא לינארי כלשהו של מספר טרנספורמציות לחיזוק הביטחון. בשיטה זו אין מגבלה שמפתחות ההצפנה בין כל טרנספורמציה יהיו בלתי תלויים. מעשית המפתחות שבשימוש כל טרנספורמציה, הן פונקציה, לפעמים פשוטה של מפתח אחר, בדרך כלל קטן.
הצפנה מקבילית: היא הצפנה של טקסט-המקור עם כל מפתח בנפרד ושילוב ביניהם באופן שיבטיח כי פענוח יצליח רק אם מפענחים את כל החלקים, כמו עם טרנספורמציית הכול או לא כלום, אפשר להשיג זאת עם חיבור ב-XOR כמו בפנקס חד-פעמי או על ידי סכמת חלוקת סוד.
הצפנה מרובה היברידית: אם משלבים בין השיטות השונות מתקבלת מערכת היברידית. דרך אחת לבנות מודל כזה היא באמצעות עץ הצפנות. שורש העץ הוא השכבה הראשונה של ההצפנה, הוספת שכבה מקבילית מרחיבה את העץ לרוחב, כלומר מוסיפה צמתים. ואילו הוספת שכבה רציפה או עוקבת מעמיקה את העץ בפקטור שהוא פונקציה של מספר הצופנים המרכיבים את סדרה. תוצאת הצפנת העץ היא פלט כל הצמתים שאין להם בנים.

הצפנה כפולה

התצורה הפשוטה ליישום הצפנה כפולה עוקבת היא להצפין את בלוק המידע פעמיים בזה אחר זה, עם מפתחות הצפנה שונים, כאשר פלט הצופן הראשון מהווה קלט לצופן השני, כדלהלן:

C=E_{K_{2}}(E_{K_{1}}(P))

P=D_{K_{1}}(D_{K_{2}}(C))

על פניו נראה כאילו הושג ביטחון כפול, אם גודל כל מפתח הוא $n$ סיביות, התקפת כוח גס על הצופן, כלומר ניסיון לנחש את המפתחות $K_{1},K_{2}$ על ידי ניסוי כל המפתחות האפשריים, אמורה להיות מסדר גודל של $2^{2n}$ . אולם התקפת נפגש באמצע (Meet in the middle) שהועלתה לראשונה ב-1977 על ידי דיפי והלמן וכן מרקל מראה שניתן לשבור וריאציה זו ב- $2^{n+1}$ ניסיונות הצפנה במחיר של סיבוכיות מקום בסדר גודל של $2^{n}$ , בשל הזהות הבאה: $M=E_{K_{1}}(P)=E_{K_{2}}^{-1}(C)$ (כאן $E_{K_{2}}^{-1}=D_{K_{2}}$ ), כלומר אם מצפינים את $P$ בכל $2^{n}$ האפשרויות של $K_{1}$ ומפענחים את $C$ בכל $2^{n}$ האפשרויות של $K_{2}$ אזי רק הזוגות $K_{1},K_{2}$ שמניבים זהות אמצעית $M$ זהה, הם פתרונות אפשריים. לאור זאת אפשר לבצע התקפת גלוי-ידוע כדלהלן: תחילה משיג התוקף טקסט-מוצפן כלשהו $C$ אשר הוצפן על ידי זוג המפתחות $K_{1},K_{2}$ (שאותם התוקף מנסה לחשוף) ואשר המקור שלו $P$ ידוע (סוג ההתקפה מניח שאפשר להשיג טקסטים-מוצפנים שמקורם ידוע). לאחר מכן בונה טבלה שבה שומר את כל ההצפנות האפשריות של $P$ , דהיינו $E_{K}(P)$ כאשר $K$ מייצג את כל $2^{n}$ המפתחות האפשריים. גודל הטבלה בסיביות יהיה $2^{n}\cdot m$ כאשר $m$ מייצג את גודל הבלוק של הצופן בסיביות (זו אמנם טבלה ענקית, ואף בלתי מעשית אם המפתח גדול, בכל אופן קיימות טכניקות לצמצום דרישות הזיכרון, ראה להלן). לאחר מכן מנסה את $D_{K}(C)$ עבור כל מפתח אפשרי $K$ ובודק אם התוצאה כבר קיימת בטבלה. אם נמצאה התאמה, בסבירות גבוהה בידיו כעת $K_{1}'$ ו- $K_{2}'$ בהם הוצפן $P$ . תיתכן תוצאה שגויה (false positive) כלומר למרות שהטקסט שהתקבל נכון המפתח אינו נכון דהיינו $K_{1}'\neq K_{1}$ , ההסתברות שהתגלו המפתחות הנכונים היא $2^{2n-2m}$ , במקרה של DES מדובר על הסתברות של $2^{-16}$ . כדי להיות בטוח הוא יכול לנסות את התהליך עם זוג $(P',C')$ אחר, להצפין את $P'$ עם $K_{1}'$ ו- $K_{2}'$ ולבדוק אם התקבל $C'$ . הכנת הטבלה והחיפוש בה אינם עולים על סיבוכיות $2^{n}$ כל אחד, כלומר סיבוכיות ההתקפה היא $2\cdot 2^{n}=2^{n+1}$ . ייתכן שצריך להביא בחשבון גם את הזמן הדרוש למיון, שזה בערך ${\mbox{log}}(2^{n})$ . בכל אופן הושג שיפור קל בלבד.

אם אלגוריתם ההצפנה מקיים תכונות של חבורה, אזי תמיד קיים מפתח שלישי $K_{3}$ המקיים $C=E_{K_{2}}(E_{K_{1}})(P))=E_{K_{3}}(P)$ . הצפנים הקלאסיים כולל צופן ויז'נר מקיימים תכונה זו. במקרה כזה ביטחון ההצפנה לא השתפר כלל, כי מציאת המפתח השלישי בכוח גס היא בסיבוכיות $2^{n}$ , כלומר כאילו התבצעה הצפנה אחת. מצד שני הוכח (במאמר שפורסם על ידי קמפבל וויינר לגבי DES אך ניתן להשליכו גם לאחרים) שבאופן כללי צופן בלוקים סימטרי מודרני שעושה שימוש בטבלת תמורה, בדרך כלל אינו מהווה חבורה ואינו סגור מבחינה פונקציונלית. לולא עובדה זו, התקפת 'נפגש באמצע' של הלמן ומרקל הייתה שוברת כל צופן בלוקים סימטרי בסיבוכיות של $2^{n/2}$ בקירוב שזה כחצי מהזמן הדרוש לכוח גס, במחיר של סיבוכיות מקום נוספת. הדברים נכונים בדרך כלל^[^{דרוש מקור]} גם לגבי אלגוריתמים א-סימטריים שמסתמכים על בעיות חישוביות מתורת המספרים.

תצורה יותר בטוחה של הצפנה-כפולה העמידה בפני ההתקפה האמורה, הומצאה על ידי דויס ופרייס. זוהי וריאציה של מצב הפעלה CBC והיא מעין הצפנה מקבילית. במקרה שמצפינים מספר בלוקים של מידע ברצף, כל בלוק טקסט-מקור מחובר ב-XOR עם תוצאת הצפנה קודמת עם מפתח אחר, לפני שהוא מוצפן. כדלהלן:

C_{i}=E_{K_{1}}(P_{i}\oplus E_{K_{2}}(C_{i-1}))

P_{i}=D_{K_{1}}(C_{i})\oplus E_{K_{2}}(C_{i-1})

הצפנה משולשת

בהצפנה משולשת מצפינים את המידע שלוש פעמים ברציפות עם מפתחות הצפנה שונים כדלהלן: $C=E_{K_{1}}(E_{K_{2}}(E_{K_{3}}(P)))$ . או בקיצור EEE כלומר שלוש הצפנות עוקבות. למעשה DES משולש שהוצע על ידי וולטר טאצ'מן שהיה ממפתחי DES, הוא מעין פשרה לשמירה על פורטביליות תוך הגברת הביטחון. בשיטה זו משתמשים רק בשני מפתחות. מצפינים עם הראשון, מפענחים עם השני וחוזרים ומצפינים עם הראשון, כדלהלן:

C=E_{K_{1}}(D_{K_{2}}(E_{K_{1}}(P)))

P=D_{K_{1}}(E_{K_{2}}(D_{K_{1}}(C)))

הסימון המקוצר של השיטה הוא EDE, כלומר הצפנה/פענוח/הצפנה והיא עמידה קצת יותר כנגד התקפת נפגש באמצע של מרקל והלמן. הבחירה במבנה הייחודי הזה לא מניבה ביטחון משולש (כיוון ששניים מהמפתחות זהים). אך המבנה אומץ על ידי IBM בעיקר בשל שיקולי תאימות וכן אומץ על ידי תקן איזו ISO 8732. הסיבה היא שבדרך זו אפשר להשתמש באותה חומרה לביצוע הצפנה בשיטה הרגילה או המשולשת. כיוון שאם קובעים $K_{1}=K_{2}$ מתקבלת הצפנה יחידה, אילו היו בוחרים בשלוש הצפנות עוקבות (EEE) התוצאה לא הייתה כזו. אך יש לזכור שהצפנת DES משולש איטית פי שלושה בהשוואה להצפנה בודדת עם מפתח אחד ואף פי כמה יותר בהשוואה לאלגוריתמים מודרניים כמו AES.

מרקל והלמן פיתחו התקפת גלוי-נבחר עם $2^{n}$ ניסיונות בקרוב ובאותה סיבוכיות מקום כנגד הצפנה משולשת EDE, אולם הדרישה של $2^{n}$ מקורות ידועים, גבוהה מאוד. התקפת נפגש באמצע שוכללה על ידי רבים, ביניהם הגרסה של פול ואן אורשוט ומיכאל ויינר, שעושה שימוש בטכניקה של חיפוש התנגשויות מקבילי לצמצום משמעותי של צריכת הזיכרון ובעקרון פרדוקס יום הולדת. בהתקפה זו במחיר של $p$ טקסטים ידועים כאשר $p<n$ אפשר לפרוץ את מבנה EDE בתוך $2^{n+m}/p$ , במקרה של DES פירושו $2^{120}/p$ . אם $p>256$ התקפה זו יעילה מכוח גס ובסיבוכיות מקום בסדר גודל של $2^{p}$ שהיא נמוכה בהרבה מ- $n$ . המשמעות היא שבגרסת EDE מתקבל ביטחון של שתי הצפנות בקירוב במחיר של שלוש.

קיימים מספר דרכים ליישם סכמת הצפנה משולשת, במצבי הפעלה שונים. למשל, במצב CBC-פנימי מצפינים גוש מידע אחד עם וקטור אתחול (IV) אחד, הפלט משמש קלט לשלב הבא בו מפענחים עם וקטור אתחול שני ושוב הפלט משמש כקלט להצפנה האחרונה עם וקטור אתחול שלישי וחוזר חלילה. בגרסה אחרת משתמשים עם וקטור אתחול אחד במצב שנקרא CBC-חיצוני. כלומר משתמשים עם וקטור אתחול אחד בלבד ומצפינים את כל הגושים בשיטה המשולשת, שלוש פעמים רצוף. ההבדלים באים לידי ביטוי ביישום בחומרה, כאשר הראשון יעיל יותר.

אם מצפינים עם שלושה מפתחות שונים, התקפת כוח גס הטובה ביותר היא מסדר גודל $2^{2n}$ בקירוב ובסיבוכיות מקום של $2^{n}$ , שזה מה שמצפים באופן נאיבי מהצפנה כפולה. אך יש לזכור שאמנם התקפת נפגש באמצע אינה יעילה במקרה זה, קיימות התקפות אחרות טובות יותר, כמו התקפה דיפרנציאלית של שמיר וביהם. ביהם הראה שנגד התקפה זו הוריאציות המנויות לא יותר בטוחות מהצפנה בודדת. כנגד איום התקפה דיפרנציאלית פותחו וריאציות אחרות של הצפנה משולשת המנצלות טכניקה של הגדלה מלאכותית של גודל הבלוק על ידי ריפוד המידע במחרוזת אקראית כלשהי, הריפוד לא רק משבש את הקשר בין ההצפנות אלא גם גורם לחפיפה של גושים כמו לבנים. או לחלופין אפשר לבצע הלבנה ב-XOR עם מחרוזת פסאודו-אקראית בטוחה ושילוב פרמוטציה ללא מפתח כלשהי. גרסה אחת המשלבת את הרעיונות המנויים נחשבת כעמידה כנגד התקפה דיפרנציאלית. היא כוללת (1) מעבר הלבנה $R$ עם תוצאת מחולל אקראי קריפטוגרפי להסתרת טקסט-המקור. (2) שימוש כפול בפרמוטציה $T$ ללא מפתח. ו(3) הצפנה אמצעית מרובה, המסומנת $nE$ - דהיינו הצפנה מחזורית באמצעות אחד מתוך סדרה של הצפנות. הסכמה נראית כך:

C=E_{K_{3}}(R(T(nE_{K_{2}}(T(E_{K_{1}}(R)))))

אמנם לא ידוע על התקפה מעשית כנגד המבנה הזה. על כל פנים, מומחי הצפנה ממליצים להזהר בשימוש בהצפנה מרובה. ברוב המקרים המחיר עולה על התועלת. ובנוסף יש הטוענים שככל שההצפנה מורכבת ומסובכת יותר 'שטח הפנים של ההצפנה גדל' דהיינו מספקים יותר 'חומר' להתקפה וכן מגבירים את הסיכויים לטעויות וחולשות נסתרות.

קסקדת הצפנה

המונח קסקדה או אשד מתייחס להצפנה עם מספר אלגוריתמים שונים ועם מפתחות הצפנה שונים. הרעיון הגיוני במקרים מסוימים כמו בסיטואציה שבה שני גורמים או ישויות ברשת מעוניינים לשתף ביניהם מידע סודי וכל אחד מהם סומך רק על אלגוריתם ההצפנה שבאמתחתו ואינו סומך על האלגוריתם השני, כי הוא חושש שתמצא דרך קלה לשבירתו בעתיד הקרוב. כדי שהם יוכלו להתקשר בבטחה, טבעי הדבר לחפש דרך שבה יוכלו לשלב את ביטחון שניהם, כך שאם תתגלה התקפה מעשית טובה כנגד אחד מהם, ביטחון המידע יישען על האלגוריתם השני ולהיפך. בהנחה שלא סביר שימצאו בו זמנית דרכים קלות לשבירת כל האלגוריתמים המשתתפים בקסקדה.

במאמר משנת 1993 מצביע יואלי מאורר על חשיבות הצופן הראשון ברצף. למעט פנקס חד-פעמי כל צופן ניתן לשבירה, עובדה זו משליכה כי בהכרח קיימים מאפיינים מסוימים בטקסט המוצפן שייחודיים להצפנה ספציפית. בהצפנה מרובה, מאפיינים אילו עלולים לזלוג מהטקסט המוצפן הראשון לבאים אחריו ובכך להחלישם. או אם קיימת אינטארקציה קלה בין האלגוריתמים כגון במקרים בהם הצופן הראשון מוסיף מחרוזת טקסט קבועה כלשהי לתוצאת ההצפנה. פעולה נפוצה ביישומים מעשיים ונקראת מספר קסם, אזי הצופן השני יהיה פגיע להתקפת גלוי-ידוע. כעת אם האלגוריתם הראשון חלש, משמעות הדבר שנוסף בידי התוקף מידע שמאפשר לפרוץ את הבא אחריו וכן הלאה. כלומר הוכח שהתוצאה הכוללת לא תהיה חזקה יותר מהאלגוריתם הראשון. המסקנה היא שהטענה שהצפנה מרובה תהיה חזקה לפחות כמרכיב החזק ברצף עשויה להיות שגויה.

מאורר הוכיח שקסקדה של אלגוריתמים עם מפתחות שונים ובלתי תלויים זה בזה סטטיסטית, חזקה לפחות כמו האלגוריתם הראשון - בתנאי שהאלגוריתמים המשתתפים בקסקדה קומוטטיביים ביחס זה לזה (כמו בצופני זרם אחדים). כמו כן הוכיח שאפשר להגיע למבנה בטוח של סכמת הצפנה מרובה שבה הביטחון הכולל הוא לפחות כמו האלגוריתם החזק מביניהם. מכאן שבמצב הפעלה OFB שמדמה תכונות צופן זרם אפשר לבנות הצפנה מרובה מצופני גושים באופן שיניב ביטחון לפחות כמו הצופן החזק. למשל על ידי שילוב פנקס חד-פעמי ב-XOR.

ביטחון מערכת הצפנה מרובה תלוי גם בהנחה שכל מפתחות ההצפנה נותרים סודיים. ייתכן שצריך מודל מחמיר יותר, כי צריך לענות על השאלה האם המערכת נותרת חזקה לפחות כהצפנה יחידה, במקרה שאחד המפתחות נחשף. הגדרה זו של התקפת מוצפן נבחר מסומנת ME-CCA, בה נוסף מרכיב שנקרא 'אורקל חשיפת מפתח'. דהיינו לפי המודל יוצאים מהנחה שהתוקף מוסגל לפנות לאורקל היפותטי ולבקש חשיפת מפתח כלשהו (אבל לא את כולם) והשאלה היא כמה יקל בידו הדבר לפרוץ את המערכת כולה.

פרויקט NESSIE פרסם בשנת 2003 המלצות^[1] לאלגוריתמים אסימטריים ובין היתר המליץ להגברת הביטחון, להשתמש בהצפנה מרובה עם אלגוריתמים שונים המבוססים על בעיות שונות מתורת המספרים. למשל הצפנה עם RSA וגרסה כלשהי של דיפי-הלמן כמו ECC.

במאמר משנת 1984 הוכיחו שמעון אבן ועודד גולדרייך שחוזק קסקדה עוקבת (דהיינו פלט הצפנה א' משמש קלט להצפנה ב' וכו') כנגד התקפת גלוי-ידוע שווה לסכום גודל המפתחות, עבור $l$ הצפנות כל אחד עם מפתח בגודל $k$ החוזק הכולל יהיה $2^{lk}$ . הם מסכמים כי קסקדה של צופנים אקראיים אינה מהווה צופן אקראי, למרות זאת הקושי שבשבירת סכמה כזו אינו נופל מהקושי שבשבירת אחת מההצפנות. כמו כן הבעיה של הצבת חסם תחתון לשבירת קסקדה ארוכה היא בעיה קשה, קיומו של חסם כזה מצביע על כך ש- ${\text{P}}\neq {\text{NP}}$ .

דוגמאות

קיימות כמה דרכים בטוחות לשילוב בין אלגוריתמים (גם סימטריים וגם א-סימטריים), תוך התחשבות באיומים המתוארים. הרעיון הוא לערבב את המסר לפני ההצפנה עם פנקס חד-פעמי אחד או יותר באמצעות XOR ולהצפין גם את הפנקסים החד-פעמיים שהופכים להיות חלק מהטקסט המוצפן. המחיר הוא שהטקסט המוצפן 'מתנפח' בפקטור של שנים או יותר תלוי בשיטה. כמו כן ההנחה היא שמחולל המספרים האקראיים בטוח לשימוש מבחינה קריפטוגרפית, אפשר להרחיב את השיטה למספר גדול יותר של אלגוריתמים. להלן סכמת הצפנה מרובה מקבילית עם פנקס חד-פעמי:

תרשים הצפנה מרובה של אסמוט ובלקלי משנת 1981, הסימן

\oplus

מייצג XOR ו-

R_{1},R_{2}

הם שני ערכים אקראיים כלשהם. בהצפנה אסימטרית

E_{K}

ו-

D_{K}

שונים. כמו כן אפשר להרחיב את השיטה להצפנות נוספות

מכינים פנקס חד-פעמי $R$ באורך המסר $P$ המיועד להצפנה.
מכינים שני מפתחות הצפנה $K_{1},K_{2}$ .
מצפינים את $R$ באמצעות האלגוריתם הראשון $C_{1}=E_{K_{1}}(R)$ .
מצפינים את $R\oplus P$ עם האלגוריתם השני $C_{2}=E_{K_{2}}(R\oplus P)$ .
הטקסט המוצפן הוא שתי התוצאות $C_{1},C_{2}$ .
לפענוח מחשבים $P=D_{K_{2}}(C_{2})\oplus D_{K_{1}}(C_{1})$ .

גרסה מקבילית נוספת של אסמוט ובלקלי משנת 1981 שניתן להרחיבה גם להצפנות נוספות וכן לאלגוריתמים שונים (גם א-סימטריים) עושה שימוש בשני פנקסים חד-פעמיים והיא כדלהלן (ראה תרשים):

מייצרים זוג פנקסים חד פעמיים $R_{1},R_{2}$ באורך המסר $P$ המיועד להצפנה.
מכינים שני מפתחות הצפנה $K_{1},K_{2}$
מצפינים את המספר האקראי הראשון: $C_{1}=E_{K_{1}}(R_{1})$
מצפינים את המספר האקראי השני: $C_{2}=E_{K_{2}}(R_{2})$
מערבבים את המסר ב-XOR אם שני המספרים האקראיים: $C_{3}=P\oplus R_{1}\oplus R_{2}$ .
תוצאת ההצפנה היא $C_{1},C_{2},C_{3}$ .
לפענוח מחשבים בסדר הפוך: $P=C_{3}\oplus D_{K_{1}}(C_{1})\oplus D_{K_{2}}(C_{2})$

שים לב להתרחבות הצופן פי שלושה במקרה של הצפנה כפולה.

מבנה גנרי של הצפנה מרובה בשילוב סכמת חלוקת סוד

שיטה נוספת להצפנה מרובה שהוכחה כבטוחה כנגד התקפת מוצפן-נבחר לאלגוריתמים א-סימטריים בשילוב סכמת חלוקת סוד. בהנחה שהאלגוריתמים המשתתפים עמידים בפני התקפת גלוי-נבחר (רוב האלגוריתמים המעשיים עונים להגדרה זו), היא כדלהלן, כאשר $G$ ו- $H$ הן פונקציות פסאודו-ראנדומליות בטוחות (בקיצור PRF):

מבנה בטוח של סכמת הצפנה מרובה מקבילית

מייצרים $k$ זוגות מפתחות הצפנה פומביים/פרטיים $p_{1},...,p_{k}$ וכן $s_{1},...,s_{k}$ . כל זוג $s_{i},p_{i}$ מתאים לאלגוריתמים $E_{i},D_{i}$ בהתאמה.
להצפנה מחלקים את המסר $m$ ל- $k$ חלקים $m_{1},...,m_{k}$ באמצעות סכמת חלוקה המבטיחה All Or Nothing בקיצור AONT. (להלן דרכים ליישום טרנספורמציה כזו).
בוחרים $k$ $k$ מספרים אקראיים $r_{i}{\in }_{R}\{0,1\}$ $r_{i}{\in }_{R}\{0,1\}$ ועבור כל מספר אקראי $r_{i}$ $r_{i}$ כאשר $i=1,...,k$ $i=1,...,k$ מבצעים:
1. $c_{i_{1}}=E_{i}(r_{i},H_{i}(M,r_{1},...,r_{k}))$
2. $c_{i_{2}}=G_{i}(r_{i})\oplus m_{i}$ (התוצאה היא $c_{i}=(c_{i_{1}},c_{i_{2}})$ ).
תוצאת הצופן היא $C=(c_{1},...,c_{k})$
לפענוח מחשבים $D_{i}(c_{i_{1}})$ ואת $m_{i}=G(r_{i})\oplus c_{i_{2}}$ עבור $i=1,...,k$ .
מאחדים בחזרה את התוצאות $m_{1},...,m_{k}$ באמצעות טרנספורמציית AONT ההפוכה לקבלת $M$ .

טרנספורמציית הכול או לא כלום

טרנספורמציית AONT (הכול או לא כלום) ניתנת לביצוע בכמה דרכים. דרך אחת של רונלד ריבסט כדלהלן: עבור $s$ בלוקים $m_{1},...,m_{s}$ בוחרים מפתח אקראי כלשהו $K$ , תחילה מחשבים את $m_{i}'=m_{i}\oplus E_{K}(i)$ עבור $1\leq i\leq s$ , מחשבים את $h_{i}=E_{K_{0}}(m_{i}'\oplus i)$ עבור $1\leq i\leq s$ ואז $m_{s+1}'=K\oplus h_{1}\oplus h_{2}\oplus \cdots \oplus h_{s}$ . הפונקציה $E$ היא אלגוריתם הצפנה כלשהו, המפתחות $K,K_{0}$ אינם סודיים כשהמפתח $K_{0}$ קבוע.

לשחזור מחשבים את $K=m_{s+1}'\oplus h_{1}\oplus h_{2}\oplus \cdots \oplus h_{s}$ ואז $m_{i}=m_{i}'\oplus E_{K}(i)$ .

מבנה בטוח של סכמת הצפנה מרובה עוקבת

מייצרים זוגות מפתחות הצפנה ופענוח א-סימטריים $(p_{i},s_{i})$ כאשר $i=1,...,k$ מייצג את מספר ההצפנות. כל זוג מתאים להצפנה אחת בהתאמה.
מציבים $C_{0}=M$
עבור כל מרכיב $i$ $i$ מייצרים סיבית ראנדומלית $r_{i}$ $r_{i}$ ומחשבים את:
1. $c_{i1}=E_{i}(r_{i},H_{i}(c_{i-1},r_{1},...,r_{k}))$
2. $c_{i2}=G_{1}(r_{i})\oplus c_{0}$ (תוצאת כל שלב היא $c_{i}=(c_{i1},cx_{i2})$ ).
פלט הצופן הוא $C=c_{1},...,c_{k}$ .
לפענוח תחילה מחשבים $c_{k}=C$
עבור כל הרכיבים $i=1,...,k$ מחשבים $c_{k-1}=D_{i}(c_{k})$ .
פלט הפענוח יהיה $M=c_{0}$ בתנאי ש- $c_{i1}=E(r_{i},H_{i}(M,r_{1},...,r_{k}))$ עבור כל $i=1,...,k$ .

לקריאה נוספת

S. Even and O. Goldreich, On the power of cascade ciphers, ACM Transactions on Computer Systems, vol. 3, pp. 108–116, 1985.
M. Maurer and J. L. Massey, Cascade ciphers: The importance of being first, Journal of Cryptology, vol. 6, no. 1, pp. 55–61, 1993.
Applied Cryptography, Second Edition: Protocols, Algorithms, and Source Code in C, §15, by Bruce Schneier. Wiley Computer Publishing, John Wiley & Sons, Inc.

הערות שוליים

^ http://www.cosic.esat.kuleuven.be/nessie/deliverables/decision-final.pdf

[המלצות_NESSIE-1] ttp://www.cosic.esat.kuleuven.be/nessie/deliverables/decision-final.pdf

[1]