צופן סימטרי

סכימת הצפנה סימטרית; אליס שולחת את אותו הצפינה עם לבוב. אפשר לראות שכדי שבוב יצליח לפענח את עליו לקבל את באמצעותו הוא יכול לחשב את לפענח את הצופן ולחלץ את . 'איב' המצותתת מסוגלת לראות את תעבורת הרשת בערוץ הפתוח בו מועבר אך אינה יכולה לראות את תעבורת הערוץ הבטוח בו מועבר .

בקריפטוגרפיה, הצפנה סימטרית (symmetric encryption) או צופן סימטרי הוא אלגוריתם הצפנה שבו משתמשים במפתח הצפנה יחיד הן להצפנה של הטקסט הקריא והן לפענוח של הטקסט המוצפן. בפועל המפתח הוא בדרך כלל סוד משותף לשנים או יותר משתתפים ובדרך כלל מתאים לכמות מוגבלת של נתונים. הסיבה שהצופן נקרא סימטרי היא כי נדרש ידע שווה של חומר סודי (מפתח) משני הצדדים.

צופן סימטרי מקבל טקסט קריא ומפתח הצפנה ובעזרתו ממיר את הטקסט הקריא לטקסט מוצפן שאינו מובן לאיש ואותו הוא שולח ליעדו. בצד המקבל אלגוריתם הפענוח מבצע את הפעולה ההפוכה, הוא מקבל את הטקסט המוצפן ואותו מפתח הצפנה שבו השתמש השולח ומשחזר את הטקסט המקורי. כדי שהפענוח יצליח המפענח חייב להחזיק במפתח פענוח מתאים שמאפשר את הפיכת פעולת ההצפנה. לאור זאת על השולח להעביר את מפתח ההצפנה לידיעת המקבל בערוץ בטוח כלשהו כמו במפגש אישי, על ידי שליח מהימן או באמצעות פרוטוקול שיתוף מפתח קריפטוגרפי. מציאת ערוץ בטוח להעברת המפתח היא בעיה בפני עצמה שנדונה רבות והיא נקראת בעיית הפצת מפתחות.

הדרישה שיהיה מפתח אחד משותף לשולח והמקבל היא התכונה העיקרית המבדילה בין הצפנה סימטרית להצפנה אסימטרית שבה מפתח הפענוח שונה ממפתח ההצפנה. שמות אחרים להצפנה סימטרית הם הצפנת מפתח-יחיד (single-key), הצפנת מפתח פרטי (private-key) או הצפנת מפתח סודי (secret key).

דוגמה

אפשר להמחיש הצפנה סימטרית על ידי צופן ההחלפה הבא: יהי האלפבית העברי הכולל 22 אותיות (לא כולל סופיות) "אבגדהוזחטיכלמנסעפצקרשת". אם נבחר מפתח שהוא פרמוטציה כלשהי באורך חמש אותיות מעל , הצפנה תתבצע על ידי חלוקת המסר המיועד להצפנה לקבוצות של חמש אותיות והפעלת התמורה על כל קבוצה באופן מחזורי. כדי לפענח מחשבים את התמורה ההופכית ומפענחים באותו סדר. אם למשל , דהיינו האות הראשונה בכל חמישייה מוחלפת באות השלישית הבאה אחריה בסדר האלפביתי, האות השנייה מוחלפת באות הרביעית הבאה אחריה, האות השלישית מוחלפת באות הראשונה הבאה אחריה וכן הלאה. אפשר להציג את המפתח כטבלת תמורה עם חמישה היסטים שונים, בשורה הראשונה האלפבית ובשורות הבאות ה'היסטים' של האלפבית במרחק שנקבע לפי המפתח, כדלהלן:

א ב ג ד ה ו ז ח ט י כ ל מ נ ס ע פ צ ק ר ש ת מפתח
ד ה ו ז ח ט י כ ל מ נ ס ע פ צ ק ר ש ת א ב ג 3 (ג)
ה ו ז ח ט י כ ל מ נ ס ע פ צ ק ר ש ת א ב ג ד 4 (ד)
ב ג ד ה ו ז ח ט י כ ל מ נ ס ע פ צ ק ר ש ת א 1 (א)
ג ד ה ו ז ח ט י כ ל מ נ ס ע פ צ ק ר ש ת א ב 2 (ב)
ו ז ח ט י כ ל מ נ ס ע פ צ ק ר ש ת א ב ג ד ה 5 (ה)

אם המשפט אותו רוצים להצפין הוא "צופן זה לא בטוח כלל", תחילה מחלקים אותו לקבוצות של חמש אותיות (לצורך הפשטות נתעלם מרווחים) ומתקבל "צופנז הלאבט וחכלל" ואז מצפינים אות אות, 'צ' מוחלפת לפי היסט 3 באות 'ש' בשורה השנייה בטבלה, 'ו' מוחלפת לפי היסט 4 באות 'י' בשורה השלישית וכן הלאה. לאחר הצפנת חמש אותיות חוזרים לתחילת המפתח ומצפינים את חמש האותיות הבאות עד לסיום המשפט. לאחר הצפנה התוצאה תהיה "שיצעל חעבדנ טללנפ". לפענוח מפעילים את התמורה ההפוכה לפי הסדר של המפתח, למשל כדי להחליף את האות 'ש' מתחילים בשורה השנייה בטבלה ומאתרים את האות המקבילה אליה בשורה הראשונה, את האות 'י' מחליפים לפי מיקומה בשורה השלישית וכך מתקדמים עד לפענוח כל המשפט.

הצופן המתואר הוא להמחשה בלבד ואינו ראוי לשימוש כיום מלבד לשעשוע. הסיבות לכך הן, מספר ההיסטים או המפתחות האפשריים מוגבל מאוד במונחים של ימינו ומלבד זאת בצופן מסוג זה התכונות הסטטיסטיות של הטקסט המקורי 'זולגות' לטקסט המוצפן מה שמאפשר ניתוח תדירויות. למעשה השיטה מתוארת היא שיטה עתיקת יומין הקרויה צופן ויז'נר, על כל פנים היא מדגימה היטב את סימטריות הצופן, אפשר לראות שהמפתח חייב להיות סודי וחייב להיות ידוע לשני הצדדים השולח והמקבל במידה שווה. למקבל די בידיעת מפתח ההצפנה כדי לפענח את הטקסט המוצפן בקלות.

היסטוריה

צופן סימטרי קיים בקריפטוגרפיה מראשית ימיה. הצפנים הקלאסיים מוגדרים כצפנים סימטריים. לדוגמה: צופן החלפה, צופן קיסר, צופן ויז'נר, צופן היל ופנקס חד-פעמי, הם צפנים סימטריים כאשר , כלומר ההצפנה והפענוח נעשים באמצעות אותו מפתח לעיתים באותה טרנספורמציה או בטרנספורמציה הופכית. אלגוריתם DES הוא דוגמה לצופן הסימטרי המודרני הראשון שפותח. הפונקציה ליצירת מפתח הפענוח מכינה את בתי המפתח בסדר הפוך. ההצפנה נקראת סימטרית, מאחר שכל שנדרש הוא ידיעת המפתח הסודי. כאשר המפתח הסודי ידוע, תהליך הפקת מפתח הפענוח הוא פונקציה פשוטה.

דוגמאות לצופנים סימטריים מודרניים נוספים: Twofish, MARS, סרפנט, AES, Blowfish, CAST5, RC4, RC6, DES וכן IDEA.

הגדרות ומוסכמות

בהצפנה[1] נהוג בדרך כלל לכנות את הצדדים המשתתפים בהתקשרות מוצפנת אליס ובוב, המתקיפה או הקריפטאנליסטית היא איב (eavesdropper) שמעוניינת לחשוף את המידע המוצפן שעובר בין אליס ובוב. תחילה אליס ובוב מסכימים ביניהם על אלגוריתם הצפנה. באופן פורמלי אלגוריתם ההצפנה מורכב משלושה אלגוריתמים:

  1. אלגוריתם יצירת מפתח הצפנה המסומן בקיצור הוא אלגוריתם דטרמיניסטי או אלגוריתם הסתברותי, המפיק מפתח הצפנה שנבחר כתוצאה מהתפלגות מסוימת שנקבעת על ידי האלגוריתם. כמעט תמיד הכוונה היא שהאלגוריתם בוחר מפתח הצפנה באופן אקראי בהתפלגות אחידה בדידה מתוך טווח כל המפתחות האפשריים כאשר את טווח המפתחות האפשריים מסמנים ב-.
  2. אלגוריתם הצפנה המסומן בקיצור שמקבל טקסט-גלוי מתוך מרחב כל המסרים האפשריים המסומן בקיצור ומפתח ההצפנה ומפיק טקסט-מוצפן בקיצור: . אלגוריתם ההצפנה יכול להיות דטרמיניסטי או הסתברותי. מהיבט תאורטי יש עדיפות לאלגוריתם הסתברותי וזו השיטה הנהוגה בקריפטוגרפיה מודרנית. כדי להבדיל בין השניים יש הנוהגים לסמן את השני: .
  3. אלגוריתם פענוח המסומן בקיצור הוא אלגוריתם דטרמיניסטי שתפקידו לשחזר את התהליך, כלומר הוא מקבל את ואת ומחזיר את . מסמנים זאת: .

אלגוריתם ההצפנה מוגדר בשלמותו על ידי השלישייה: . לצורך ההצפנה מתייחסים לקלט האלגוריתם כאל מחרוזת סיביות המייצגת אלמנט מתוך מרחב כל המסרים האפשריים , לכן צריכה להיות דרך קלה ומוסכמת שאינה סודית, להמרת המסר המיועד להצפנה לאלמנט המתאים לאלגוריתם ובחזרה, אם הטקסט הגלוי הוא מחרוזת תווים בקידוד אסקי אפשר להתייחס לכל תו כאל מחרוזת בינארית באורך שמונה סיביות או לצרף יחדיו כמה מחרוזות למחרוזת ארוכה יותר ולהתייחס אליה כאל מספר שלם. התפלגות הטקסט הגלוי אינה בהכרח אחידה, אם למשל הוא מכיל מלל בשפה האנגלית למתקיף יכול להיות מושג כלשהו לגבי ההסתברות שיופיע טקסט כלשהו לעומת טקסט אחר. האלגוריתם מצפין את ומחזיר את טקסט המוצפן שהוא אלמנט השייך למרחב הטקסטים המוצפנים , אפשר לראות בהצפנה כפונקציה מהצורה:

כאשר התחום מורכב מזוג ערכים והטווח הוא . פונקציית ההצפנה מקבלת את ואת ומחזירה את . באופן דומה הפענוח הוא פונקציה מהצורה:

.

כלומר פונקציית הפענוח מקבלת את ואת ומחזירה את . ברור שלמען התקינות פונקציית ההצפנה חייבת להיות פונקציה הפיכה באופן שהמפענח יוכל לשחזר את הטקסט המקורי שלפני ההצפנה. אחרת לא תהיה בה כל תועלת. בהצגה מתמטית:

עבור כל וכל .

בדרך כלל מקובל - אם כי אין זה חובה - למניעת התנפחות לא רצויה, מרחב הטקסט המוצפן צריך להיות זהה למרחב הטקסט הגלוי שאז ההצפנה היא תמורה מהמרחב לעצמו, בניסוח מתמטי . במילים אחרות רצוי שהטקסט המוצפן המתקבל יהיה זהה באורכו לטקסט המקורי. מזה נובע שעבור כל מפתח הפונקציה חייבת להיות פונקציה חד-חד-ערכית. כי אם לא עלול להיווצר מצב ש:

.

כאשר . פירושו שההצפנה תהיה חסרת תועלת אם המפענח יקבל טקסט קריא אחר מזה שהוצפן.

קידוד

למען הנוחות, מפתח ההצפנה, הטקסט הגלוי והטקסט המוצפן מומרים באמצעות שיטת קידוד מוסכמת ליחידות מידע בסיסיות. בדרך כלל נוח להתייחס אל המידע כאל מספרים, אחרי הכול ההצפנה מבוצעת על מחשב (בדרך כלל). בניגוד להצפנה שיטת קידוד היא דרך להמרת מידע כלשהו מפורמט אחד לאחר באופן גלוי ומוסכם ובאופן שיהיה קל לביצוע על ידי כל אחד. כל הצפנה חייבת להשתמש בשיטת קידוד כלשהי כאשר השיטה הבסיסית ביותר היא השיטה הבינארית. שיטת ההצפנה יכולה להצפין את המידע סיבית אחר סיבית או אם נבחרה שיטת קידוד אחרת (כמו בתים או מילים) יחידת מידע זו אחר זו, בדרך זו השולח מצפין ומעביר באמצעות ערוץ התקשורת יחידות מידע מוצפנות בזו אחר זו ללא תלות אחת בשנייה ומבלי לדעת מה אורך המידע המיועד להצפנה. לעיתים כאשר קיימת כמות גדולה של מידע ואורכו ידוע מראש כמו קובץ במחשב, נוח לחלקו לבלוקים באורך קבוע בהם מטפלים בזה אחר זה. היתרון בשיטה זו שאפשר להתייחס לבלוק בודד כאל מספר שלם בטווח . בדרך זו סיביות הבלוק הן ספרות בבסיס בינארי של מספר שלם כלשהו לפי הכלל:

.

במקרה זה יש להבחין בין סדר בתים גדול לסדר בתים קטן. בסדר בתים גדול יש להפוך את הסדר כך שהספרות המשמעותיות יהיו בהתחלה.

.

ובאופן דומה מרחב המפתח ומרחב טקסט המוצפן מזוהים עם מספרים שלמים בטווח המתאים.

ביטחון

מקובל שאורך המפתח צריך להיות לפחות כאורך הבלוק. השאלה מהו אורך בטוח היא שאלה מורכבת שאין לה תשובה חד משמעית, נכון לימינו מקובל בהנחה שלא תתגלה בזמן הקרוב טכנולוגיה חדשה ומהפכנית, אורך של 128 סיביות מספק מרווח ביטחון מניח את הדעת לכל צורך מעשי. יש לשים לב שאם המפתח קצר מדי הרי שהמתקיף עלול לנסות את כל האפשרויות של המפתח עד שהוא ימצא את המפתח הנכון. להתקפה בסגנון כזה קוראים התקפת כוח גס והשאיפה של מפתח האלגוריתם היא שהתקפת כוח גס לא תהיה יעילה במונחי מחשוב בכלים הקיימים כיום. כאשר מחשבים קוונטיים יהיו מעשיים יהיה צורך להכפיל את אורך המפתח כלומר לפחות 256 סיביות.

ההנחה הבסיסית היא שאיב (האויבת או המתחרה) מכירה את שיטת ההצפנה בה בחרו אליס ובוב לפרטי פרטים. הדבר היחידי שהיא אינה יודעת הוא מהו מפתח ההצפנה . עובדה זו מהווה עיקרון בסיסי בהצפנה מודרנית הנקרא עקרון קרקהופס שאומר בתמצית ש"ביטחון ההצפנה אינו תלוי בסודיות שיטת ההצפנה אלא אך ורק בסודיות המפתח". על מערכת הצפנה סימטרית להכיל את התכונות הבאות:

  1. בהינתן מפתח הצפנה וטקסט גלוי כלשהם, אמור להיות קל לכל אדם לחשב את .
  2. בהינתן מפתח הצפנה וטקסט מוצפן כלשהו אמור להיות קל לכל אדם לחשב את .
  3. בהינתן אחד או יותר טקסטים מוצפנים שהוצפנו עם המפתח , אמור להיות קשה מאוד לחשב את הטקסטים המקוריים המתאימים או אפילו אחד מהם ללא ידיעת המפתח .
  4. בהינתן טקסט מוצפן אחד או יותר וטקסטים מקוריים מתאימים כך שמתקיים יהיה "מאוד קשה" לפענח טקסט מוצפן (שאינו נמנה עם רשימה זו) ללא ידיעת מפתח ההצפנה . תכונה זו נקראת ביטחון נגד התקפת גלוי-ידוע או התקפת גלוי-נבחר.

התכונה הראשונה והשנייה אומרות שבהינתן הפרמטרים הדרושים כולל הפרמטרים הסודיים, מערכת ההצפנה צריכה להיות ברורה וקלה לביצוע בזמן פולינומי. התכונה השלישית היא תכונת הסודיות העיקרית של כל מערכת הצפנה שאומרת שמערכת הצפנה חייבת לספק סודיות במובן שאמור להיות קשה מאוד לגלות מהו הטקסט המקורי לפי הטקסט המוצפן ללא ידיעת המפתח. בביטוי קשה מאוד מתכוונים באופן לא פורמלי שלא קיים אלגוריתם יעיל המאפשר לגלות את הטקסט הגלוי שהוצפן ללא ידיעת המפתח. התכונה הרביעית היא החשובה ביותר והיא מתייחסת למספר מודלים של הערכת ביטחון צופן סימטרי שמביאים בחשבון מצבים בהם למתקיפה, המתחרה (או מנתח הצופן) "יתרון" מסוים. לדוגמה בידי המתקיפה כמות מוגבלת של זוגות טקסטים גלויים וטקסטים מוצפנים המתאימים להם שהושגו באמצעים לא קריפטוגרפיים, למשל ייתכן על ידי חדירה למחשבו של הקורבן המכיל קבצים מוצפנים או הודעות דואר מוצפנות שבחלקם מצוי מידע קבוע שקל לנחשו כמו קובצי כותר. במודל אחר מניחים שלא רק שבידי המתקיפה איב זוגות טקסטים גלויים ומוצפנים, אלא שהיא יכולה לבחור את הטקסטים הגלויים שברצונה לראות את תוצאת הצפנתם, למשל נניח שלפני שפרצה למחשב היא שלחה לקורבן הודעות דואר כלשהן שאותן הקורבן הצפין ואחסן בדיסק הקשיח. המודל המחמיר ביותר נקרא עמידות נגד התקפת מוצפן-נבחר שמניח עוד כי המתקיפה מסוגלת לבחור טקסטים מוצפנים ולקבל בדרך כלשהי את מקורם הגלוי. המודל הזה אינו נפוץ במציאות אך יש לזכור שבדרך כלל התקשורת נעשית בין מחשבים ללא התערבות אנושית. אפשר לחשוב למשל על מכשיר נייד המצפין מסרים כקופסה שחורה המוגנת מפני חדירה ואותה המתקיפה רשאית להפעיל למשך פרק זמן. או שהמתקיפה הצליחה לחדור לשרת קבצים מוגן. הרעיון מאחורי מודלים אילו הוא שיהיה קל לנסח בצורה פורמלית את המושג ביטחון אלגוריתם הצפנה, להגדיר במדויק את היעדים של האלגוריתם בהתאם למידת האיום והסביבה בה הוא פועל.

התכונה הרביעית קשה להשגה והשאיפה בכל צופן סימטרי מודרני היא שיקיים תכונה זו. צופן ההחלפה המתואר לעיל הוא דוגמה קלאסית לצופן סימטרי המקיים את שלוש התכונות הראשונות אך לא את הרביעית. כיוון שאם ידוע למתקיף על זוגות מועטים של טקסטים מוצפנים והטקסטים המקוריים שהוצפנו ביכולתו לשבור את ההצפנה ולגלות את מפתח ההצפנה במאמץ מועט. הצפנה סימטרית הייתה והיא עדיין נושא מחקר חשוב בקריפטוגרפיה ולה היסטוריה עשירה. הצפנים הקלאסיים הם צפנים סימטריים. לדוגמה צופן ויז'נר בדוגמה לעיל הוא סימטרי. כל הצפנים הקלאסיים למעט פנקס חד-פעמי אינם בטוחים לשימוש מעשי כיום לאבטחת תעבורת האינטרנט. הסיבות הן, ההצפנה מבוצעת ברמה של אותיות ומילים לכן המפתח אינו אלא מחרוזת אותיות באורך מוגבל. מספר המפתחות האפשריים בשל כך קטן מאוד במונחים של ימינו, במיוחד לאור העובדה שמחשב ביתי רגיל מסוגל לנתח מיליוני אפשרויות בשנייה. שנית הטקסט המוצפן אינו לגמרי אקראי בגלל יתירות המפתח ויתירות הטקסט המקורי. מה שמאפשר ניתוח תדירויות השפה על מנת לנחש את הטקסט המקורי או את המפתח הסודי בהינתן טקסט מוצפן מועט בלבד.

צפנים מודרניים עוקפים את הבעיה על ידי הצפנה של בלוקים גדולים יותר בבת אחת. למשל צופן AES מצפין בלוק באורך 16 תווים (אליו מתייחסים כאל מספר שלם באורך 128 סיביות). בניגוד לצופן קלאסי כל אות בבלוק הקלט משפיעה על תוצאת ההצפנה של כל האותיות האחרות. כל בלוק קריא מניב בלוק מוצפן אקראי (על פניו) מתוך הטווח המקסימלי של בלוקים אפשריים, לכן כדי שניתוח סטטיסטי של תדירויות הבלוקים יהיה אפקטיבי יש צורך לנתח כמות עצומה של בלוקים ולכן זה לא מעשי.

כדי להבין למה רוב הסיכויים ש"גישה פשטנית" מדי להשגת הצפנה סימטרית בטוחה לא תצלח. נניח שנתון מספר ראשוני באורך 160 סיביות (בערך כחמישים ספרות עשרוניות) ונניח שמרחב הטקסט הקריא, הטקסט המוצפן והמפתח זהה. כלומר מספר שלם בטווח . בטרמינולוגיה אלגברית המספרים הם אלמנטים (איברים הפיכים) של השדה הראשוני . אליס ובוב מסכימים ביניהם מראש על מפתח סודי משותף שהוא אלמנט אקראי כלשהו הנמוך מ- ונניח שהם הסכימו על פונקציית הצפנה פשוטה בתכלית כדלקמן:

.

כאן הכוונה היא ש- הוא שלם ייחודי השקול ל- מודולו (ראו חשבון מודולרי). ופונקציית הפענוח המתאימה היא:

.

כאשר הוא ההופכי הכפלי של (מודולו ) כך שמתקיים . את המפתח ההופכי אפשר לחשב בקלות באמצעות אלגוריתם אוקלידס המורחב.

על פניו נראה שלאיב תהיה בעיה קשה לפענח את הטקסט המוצפן ללא ידיעת המפתח, כיוון שקיימים אפשרויות למפתח ולכן התוצאה תראה כאילו אקראית לעיניה. הניסיון לנחש את מפתח ההצפנה מתוך מפתחות אפשריים בלתי אפשרי בזמן סביר אפילו עם מיליון מחשבי על הפועלים במקביל. אבל מה יקרה אם איב הצליחה להניח ידה על טקסט קריא יחיד ועל טקסט מוצפן המתאים לו (מה שקרוי התקפת גלוי-ידוע או התקפת גלוי נבחר), היות שהפונקציה המתוארת היא פונקציה על העובדה הבאה נכונה:

.

כלומר איב הצליחה לחשב את המפתח הסודי מתוך הצפנה אחת בלבד. צריך לזכור, כשמפתחים אלגוריתם הצפנה תמיד מביאים בחשבון שחלק מהטקסט שהוצפן יתגלה בדרך כלשהי לא בהכרח על ידי שבירת האלגוריתם, אלא על ידי גנבה או ציתות. לכן ההנחה שאיב הצליחה להשיג טקסט גלוי וטקסט מוצפן המתאים לו היא הנחה ריאלית שחובה להתייחס אליה.

קל לראות שהצופן הזה מקיים את שלוש התכונות הראשונות אך לא את הרביעית. אם מסירים את החשבון המודולרי עם וההצפנה הייתה פשוט הכפלה בשלם כלשהו ואילו הפענוח היה פשוט חילוק ב- אז גם התכונה השלישית לא הייתה מתקיימת. בגלל העובדה שנכון שניסיון לפענח טקסט מוצפן אחד ללא ידיעת המפתח זו משימה קשה, אך בהינתן מספר טקסטים מוצפנים המשימה יותר קלה מפני שבסבירות גבוהה המחלק המשותף המקסימלי שלהם עלול להיות המפתח הסודי עצמו או כפולה שלו. זו אינדיקציה טובה למה צמצום מודולרי מניב אפקט "ערבוב" מצוין שמשמיד תכונות מסוימות כמו התחלקות אך לחלוטין לא מספיק כדי להבטיח סודיות טובה בסטנדרטים של ימינו.

גישה אחרת היא להשתמש בחיבור מודולו במקום כפל שהוא פשוט ויעיל יותר במחשב כי הוא דורש פחות פקודות מכונה. למשל:

.
.

אם שזה מספר האותיות באלפבית האנגלי, הביטוי הזה בעצם מתאר צופן הזזה שהוא לא יותר מאשר פונקציית חיבור פשוטה לפי היסט קבוע או משתנה. זו רק דרך אחת להציג את אותו הצופן. אם למשל המפתח קבוע נניח מתקבל צופן קיסר. גם אם משלבים את שתי השיטות חיבור וכפל יחד, למשל אם נתונים שני מפתחות ומבצעים:

.

עדיין הצופן אינו מספק ביטחון ראוי במונחים של ימינו ואינו עונה להגדרה הרביעית של צופן סימטרי בטוח תחת המודלים המתוארים. הסיבות לכך הן, ראשית מספר ההיסטים או ההזזות מוגבל לכמות האותיות באלפבית, מספר זה נמוך מאוד בסטנדרטים של ימינו, למחשב ביתי ייקח מספר מילי שניות לחשב את כל האפשרויות. מלבד זאת, היות שכל אות מוצפנת בנפרד ללא תלות באחרות, שכיחות האותיות לפי אופי השפה שבה נכתב הטקסט הגלוי נשמר בחלקו גם בטקסט המוצפן, מה שמאפשר ניתוח תדירויות על מנת לחשוף את המפתח תוך שימוש בכלים סטטיסטיים.

דרך מהירה יותר מחיבור במחשב היא XOR המסומן כאן באמצעות . לדוגמה:

העדפת אופרטור זה על פני אופרטורים אחרים כמו AND או OR שגם הם יעילים במחשב, נובעת מהעובדה שמלבד היותו יעיל הוא מכיל את התכונה החשובה שהוא משמר את אקראיות התוצאה גם אם רק אחד משני האופרנדים אקראי. שיטה זו נחשבת להצפנה הסימטרית המהירה ביותר והיא בטוחה כל עוד המפתח קשה לניחוש. אם המפתח נבחר באקראי והוא באורך המסר ונוצל רק פעם אחת מתקבל פנקס חד-פעמי.

ביטחון לעומת יעילות

פנקס חד-פעמי נחשב מושלם מהיבט תאורטי אם משתמשים בו נכון, אף על פי שהוא מכיל מספר חסרונות. אבל הבעיה העיקרית שבו היא שהוא אינו פרקטי כיוון שיש להכין פנקס חדש המכיל מספרים אקראיים בכמות מספקת בכל פעם שצריכים להצפין משהו ובימינו שצריך להצפין כמויות עצומות של מידע הדבר פשוט בלתי אפשרי. מצד שני אפשר להתפשר על מחולל פסאודו-אקראי קריפטוגרפי "שמותח" גרעין אקראי אמיתי קצר שהוא המפתח הסודי במקרה זה, למחרוזת פסאודו-אקראית ארוכה לפי הצורך ולהשתמש בה במקום בפנקס החד-פעמי כדי להצפין את המסר. כאן מוותרים על סודיות מושלמת בתמורה ליעילות כיוון שהמחרוזת הזו אינה באמת אקראית כי היא נוצרה באמצעות אלגוריתם דטרמיניסטי.

קיים קשר הדוק בין מחוללים פסאודו-אקראיים לבין צפנים סימטריים. אף על פי שלא ניתנה הוכחה פורמלית לכך שמחולל פסאודו-אקראי קיים (מוכח באופן תאורטי) קיימים כיום מועמדים טובים שחלקם שרדו את מבחן הזמן. קיימות שתי שיטות עיקריות לבניית מחולל פסאודו-אקראי הממחישות היטב את הקונפליקט הקיים בקריפטוגרפיה בין ביטחון ליעילות.

השיטה הראשונה היא שיטת אד הוק המכילה אוסף של פעולות ערבוב מסובכות המותאמות היטב לביצוע יעיל במחשב ואשר נראה על פניו שקשה "להתיר" או "לפרום" אותן. אך דווקא הצפנים המודרניים הנפוצים ביותר בראשם AES הם לא יותר מאשר אוסף פעולות אד הוק שאינן מוכחות תאורטית ובכל זאת דומה שמעשית בשטח הן מספקות את המטרה ולמרות קריפטואנליזה אינטנסיבית במשך שנים רבות לא נמצאו דרכים יעילות לפצח אותן.

השיטה השנייה היא שימוש בפונקציה המבוססת על בעיה מתמטית ידועה היטב כבעיה קשה שאין לה פתרון יעיל (אם כי אין הוכחה שלא קיים פתרון כזה). ישנן כמה שיטות כאלו כמו מחולל BBS המבוסס על בעיית פירוק לגורמים, אך המכנה משותף שלהן הוא שהן אינן מעשיות ולכן לא משתמשים בהן כיום.

יתרונות וחסרונות

ערך מורחב – מפתח_ציבורי#הצפנה_סימטרית_מול_הצפנה_אסימטרית

יתרונותיה של מערכת הצפנה סימטרית הם יעילותה וכוח המחשוב הזעום הדרוש ליישומה. להשגת ביצועים מרביים, מרבית האלגוריתמים הסימטריים ניתנים ליישום בחומרה על גבי שבבים ייעודיים. אחד ההיבטים החשובים בהערכת טיב אלגוריתם סימטרי, היא יכולת היישום בחומרה. על כן שמים דגש על פשטות ושימוש במספר מוגבל של פעולות אריתמטיות בסיסיות כדי לחסוך בזמן עיבוד יקר. בגרסאות ממוטבות, משתמשים בטבלאות איחזור (lookup table) במקום פעולות מתמטיות מורכבות, מה שמאפשר ביצועים טובים יותר. למשל אפשר ליישם את AES באמצעות טבלה אחת בגודל 4 קילובייט. לעומת זאת, מערכת א-סימטרית בדרך כלל מיישמת אריתמטיקה מודולרית במספרים בסדר גודל של אלפי ספרות והיא צורכת זמן עיבוד יקר ועל כן איטית ביותר. אפשר לומר שמערכת סימטרית מהירה יותר ממערכת א-סימטרית בפקטור של 10 לפחות.

החסרון העיקרי בצופן סימטרי היא העובדה שאם פונקציית ההצפנה דטרמיניסטית הרי שמתקבלים בלוקים מוצפנים זהים בכל פעם שמצפינים בלוקים קריאים זהים עם אותו מפתח. עובדה זו כשלעצמה עלולה להוות חיסרון כי מעט מידע נחשף לעיני המתקיף, דבר שרצוי למנוע. ישנן דרכים לעקוף בעיה זו על חשבון יעילות שיטות אילו נקראות מצבי הפעלה.

חיסרון נוסף של הצפנה סימטרית הוא העובדה שהטקסט המוצפן אינו מאומת. כלומר אין דרך למקבל לדעת אם לא נעשה שינוי כלשהו בטקסט המוצפן במהלך ההעברה אם בגלל תקלת תקשורת או בגלל שינוי זדוני שנעשה על ידי המתקיף על מנת לשבור את מערכת ההצפנה. מסיבה זו רצוי להוסיף שיטת אימות שתספק למקבל ערובה שהמידע שהתקבל אותנטי. מערכות הצפנה מודרניות משתמשות בשילוב של כלים האמורים כדי להבטיח סודיות ואותנטיות כאחד.

סוגי הצפנה

ניתן לחלק את הצפנים סימטריים לשני סוגים עיקריים:

צופן בלוקים (Block cipher)
אלגוריתם המכיל פרמוטציה קבועה, ללא זיכרון, שמקבל מחרוזת סמלים מתוך האלפבית וממירם לרצף אחר של סמלים מאותו אלפבית, בדרך שנקבעת לפי מפתח ההצפנה. מייצג את אורך הסמל או רצף הסמלים ונקרא "בלוק". כל מפתח מניב תמורה אחרת מתוך כל התמורות האפשריות באורך . לדוגמה בצופן AES הבלוק באורך 128 סיביות ומפתח באורך לפחות 128 סיביות. משום כך האלפבית שלו מכיל תמורות אפשריות בהתאם למספר המפתחות האפשריים. אף על פי שסך כל התמורות האפשריות הוא כיוון שגודל הבלוק גם הוא 128 סיביות.
צופן זרם (Stream cipher)
אלגוריתם עם זיכרון פנימי (נקרא גם "מצב פנימי"), שמקבל רצף סמלים בזה אחר זה ומצפין אותם באמצעות מפתח הצפנה לרצף סמלים אחר מאותו אלפבית, עם טרנספורמציה המשתנה במהלך ההצפנה בהתאם לתוצאת הצפנה קודמת. בצופן זרם הסמלים יכולים להיות בגודל סיבית אחת, בית אחד או מילה אחת. בחומרה העדיפות היא לסיביות, בתוכנה העדיפות היא למילים בנות 32 או 64 סיביות קרוב ככל האפשר לגבולות המילה של המחשב עליו מתבצעת ההצפנה. בדרך כלל צופן זרם מהיר יותר מצופן בלוקים ומתאים במיוחד בתקשורת אלחוטית או כאשר אורך המידע המיועד להצפנה לא ידוע מראש.

ההצפנה הקלאסית נקראת סימטרית כיוון שמפתח ההצפנה ומפתח הפענוח זהים. אולם מלבד החיסרון שבעובדה שהמפתח הסודי חייב להיות משותף לשולח ולמקבל, ההצפנה בוצעה על בלוקים קטנים והמפתח בדרך כלל היה קצר וקל לניחוש, מה שאיפשר ניתוח סטטיסטי. הצפנה סימטרית מודרנית החלה עם עבודתו של קלוד שאנון שניסח את התאוריה וברעיון של הורסט פייסטל, קריפטוגרף ומתמטיקאי של יבמ שפיתח את לוציפר בראשית 1970. הרעיונות של שאנון מהווים אבני יסוד לכל צופן סימטרי מודרני והם הרכבה של מספר פונקציות הצפנה חלשות כשלעצמן כגון החלפה וטרנספוזיציה במספר סבבים, כדי לקבל פונקציית הצפנה חזקה יותר. שילוב של החלפה מוסיף שיכול או ערבוב (Confusion) לצופן ואילו שילוב טרנספוזיציה (העתקה או הזזה) מוסיף פיזור (Diffusion) לצופן. הערבוב נועד לטשטש את הקשר שבין המפתח והצופן ככל האפשר ואילו פיזור נועד לסדר מחדש את סיביות הצופן כך שיתירות המסר המקורי לא תזלוג לצופן.

צופן בלוקים לעומת צופן זרם

לאור העובדה שאפשר להפעיל צופן בלוקים בכל אחד ממצבי ההפעלה המדמים צופן זרם כמו OFB או CTR, עולה השאלה מה עדיף צופן בלוקים או צופן זרם?[2] היתרונות של צופן זרם הם בפשטות ויעילות. צופן זרם מהיר בערך פי שניים מצופן בלוקים, אך למעט מקרים קיצוניים כמו חומרה מוגבלת משאבים, זה לא מהווה יתרון משמעותי. מאידך צופן זרם מוכר פחות טוב מצופן בלוקים שלו היסטוריה עשירה. בעוד שקיים מבחר של צפני בלוקים הנחשבים לבטוחים ויעילים, צפני זרם נוטים להיות חלשים יותר, נשברים בתדירות גבוהה יותר והאמון בהם חלש. הבדל נוסף נובע מרגישות צפני זרם לשימוש לא ראוי. ידוע ששימוש בזרם פסאודו-אקראי פעמיים להצפנת נתונים שונים מביא לשבירה מוחלטת של הצופן, עובדה שנוצלה לא אחת כדי לשבור מערכות הצפנה. צופן בלוקים אינו רגיש לבעיה זו. אפשר לייצר עם צופן בלוקים רצפים פסאודו-אקראיים בלתי תלויים בכל אורך רצוי.

צפנים מודרניים

עם המצאת תקן ההצפנה הישן ההצפנה הסימטרית עברה מהפך משמעותי משיטות פרימיטיביות המכילות אוסף פעולות אד הוק מסובכות ככל האפשר שמסתמכות בעיקר על גאונות הממציא לשיטות הצפנה מודרניות המסתמכות על תאוריה מוצקה. לאחר המצאת DES המחקר האינטנסיבי הוביל לתאוריה רחבת היקף ונעשו מאמצים להוכיח ביטחון שיטות ההצפנה במונחים תאורטיים באמצעות מודל אסימפטוטי או מודל אורקל אקראי. DES ולוציפר שהיה אב קדמון שלו הכילו כמה רעיונות מהפכניים לאותה עת. לראשונה הומצא צופן סימטרי שהיה מבוסס על תאוריה מסוימת בעיקר על עבודתו של קלוד שאנון אבי תורת האינפורמציה. אחד החידושים בצופן זה היה רשת פייסטל על שם הממציא הורסט פייסטל. הרעיון של רשת פייסטל הוא הפיכת פונקציה פסאודו אקראית גנרית בלתי הפיכה ותלויית מפתח סודי לפרמוטציה כלומר לפונקציה הפיכה שזהו תנאי הכרחי בצופן סימטרי. חלק נכבד מהצפנים המודרניים מיישמים טכניקה זו. היתרון הוא שפעולות ההצפנה והפענוח זהות לגמרי ורק פרוצדורת הרחבת המפתח בסדר הפוך. בדרך זו המקום שתופס קוד הצופן קטן בחצי, שזה משמעותי במיוחד במימוש בחומרה. חידוש נוסף שהוכנס בצופן הוא שילוב של מספר פונקציות חלשות כשלעצמן באופן שמניב פונקציית הצפנה חזקה יותר על ידי מה שנקרא איטרציה, כלומר פונקציית ההצפנה מבוצעת באופן איטרטיבי, בכל קריאה הפלט מהקריאה הקודמת הופך קלט לקריאה הבאה, כך מספר פעמים עד שמגיעים לתוצאה הסופית של הצופן. בדרך זו משיגים את אפקט כדור השלג הרצוי. כל שינוי ולו הקל ביותר בטקסט המקורי מתפזר על פני לפחות מחצית מפלט הצופן לאחר מספר קטן של חזרות. למשל ב-DES פעולות הצופן מבוצעות 16 פעמים.

תקן ההצפנה המתקדם שהומצא בשנת 2000 ונמצא בשימוש נרחב כיום, נחשב לצופן מודרני בטוח ברמה הגבוהה ביותר. הצופן מיישם רשת החלפה-תמורה ומשלב מספר פעולות אריתמטיות בסיסיות בשדה סופי מורחב והוא נחשב ליעיל מאוד בהשוואה לתקן הקודם.

דוגמאות לפעולות שניתן לשלבן כדי להגיע לצופן סימטרי חזק:

  • תיבות תמורה Permutation Box (בקיצור P-box); הן אוסף פונקציות טרנספוזיציה או שיכול, שרק משנות את מיקומן של סיביות הקלט באמצעות פונקציות תמורה קבועה או משתנה. הפונקציות ניתנות לייצוג כטבלת תמורה. הפונקציות טובות להשגת אפקט פיזור (diffusion) ולכן מתאימות רק בשילוב עם תיבות החלפה או פעולות אי-ליניאריות אחרות.
  • תיבות החלפה Substitution Box (בקיצור S-box); הן אוסף פונקציות החלפה לא ליניאריות המיוצגות על ידי טבלאות סטטיות או תלויות מפתח. הוצגו לראשונה בצופן לוציפר של הורסט פייסטל ולמעשה הן הפונקציות האי-ליניאריות היחידות בצופן DES, בלעדיהן הצופן היה קל לשבירה. אם ערכיהן נבחרו בקפידה הן טובות במיוחד לסיכול התקפה דיפרנציאלית.
  • טרנספורמציה ליניארית עם פעולות אריתמטיות בסיסיות על סיביות כמו AND, XOR ושילוב שלהן. פעולת XOR ידועה בכך שהיא משמרת אקראיות (חיבור XOR של הקלט עם ערך אקראי יפיק תוצאה אקראית, ראה פנקס חד פעמי), פעולה זו מכונה לעיתים גם הלבנה.
  • הזזה מעגלית (cyclic shift או rotation); הזזת סיביות ימינה או שמאלה כך שהסיביות הנפלטות מצד אחד מוחזרות מהצד השני.
  • פעולות אלגבריות בפולינומים מעל שדות סופיים כגון . כאשר פעולות כפל מבוצעות מודולו פולינום פרימיטיבי בעל משקל בינארי נמוך. בצופן AES נעשה שימוש נרחב בפעולות מסוג זה.
  • כפל מטריצות, שהן מיפוי ליניארי מעל וקטורים. הכפלה במטריצה בדרך כלל נעשית עם פולינום פרימיטיבי מתאים. למשל מטריצה המתאימה במיוחד להצפנה נקראת MDS קיצור של maximum distance separable בה נעשה שימוש בצופן Twofish.
  • אריתמטיקה מודולרית; פעולות חיבור וכפל בחבורות מודולו .

בטיחות כל צופן תלויה במפתח ההצפנה. ככל שהמפתח ארוך יותר ואקראי יותר כן מושגת בטיחות גבוהה יותר. אולם כיוון שבדרך כלל זה לא מעשי להכין מפתח ארוך, צפנים סימטריים משלבים פונקציית הרחבת מפתח. מטרת הפונקציה היא ליצור מפתח ארוך מתוך גרעין התחלתי קצר וסודי שהוא בעצם מפתח ההצפנה. הפונקציה מתפקדת בעיקרון כמחולל מספרים אקראיים. צפנים סימטריים רבים מתבססים על מחולל מספרים אקראיים כמקור להפקת מפתח באורך הרצוי.

קריפטואנליזה של צופנים סימטריים

בשל ההיסטוריה הארוכה והעשירה של הצפנים הסימטריים הצטבר ידע נרחב וקיימות שיטות קריפטואנליזה או "התקפות" רבות. ההתקפות על צופן סימטרי מתחלקות למספר מודלים שהעיקריים שבהם מהקל אל הכבד הם;

  • התקפת מוצפן-ידוע (known-ciphertext). היא ההתקפה הבסיסית ביותר. ברשות המנתח או מתקיף הצופן טקסט-מוצפן בלבד שהושג באמצעות ציתות פסיבי לערוץ התקשורת, אותו הוא מעוניין לפענח. מלבד זאת אין ברשות המתקיף כל מידע נוסף שעשוי לסייע לו.
  • התקפת גלוי-ידוע (known-plaintext). ברשות המתקיף כמות מסוימת של טקסט מוצפן והטקסט הגלוי המתאים לו. זה אפשרי כאשר המתקיף יודע מראש לגבי מידע מסוים מה הוצפן כמו כותרת של התקשרות שמכילה נתונים קבועים שאינם סודיים. באמצעות מידע זה הוא מנסה לפענח חלק אחר של הטקסט שהוצפן עם אותו מפתח סודי, או לגלות את מפתח ההצפנה עצמו.
  • התקפת גלוי-נבחר (chosen-plaintext). בנוסף, נניח שהמתקיף יכול להערים על מפעיל הצופן ולבקש ממנו הצפנה של טקסט גלוי לפי בחירתו (והטקסט המוצפן המתאים יימסר לו). מהיבט תאורטי מודל זה מיוצג על ידי אורקל וההנחה היא שהאורקל יודע מהו מפתח ההצפנה ואינו חושף אותו לעיני המתקיף אך מוכן להצפין ולמסור לו כל טקסט גלוי שיבקש, המתקיף מנסה להיעזר עם מידע זה כדי לפענח את הטקסט המוצפן אותו הוא מעוניין.
  • התקפת מוצפן-נבחר (chosen-ciphertext). זהו המודל החזק ביותר שבו ביכולתו של המתקיף לבקש פענוח של כל טקסט-מוצפן אחר מלבד הטקסט המוצפן אותו הוא מתקיף ועם מידע זה הוא מנסה לחשוף את הטקסט המותקף. אף על פי שעל פניו נראה שמודל זה תאורטי בלבד, האפשרות שהמתקיף יוכל לבקש זוגות טקסט-גלוי וטקסט-מוצפן כאסטרטגיה לשבירת הצופן אפשרית בעולם האמיתי במקרים מסוימים.
  • התקפת מפתחות קשורים (related-key). ברשות המתקיף טקסטים-מוצפנים שהוצפנו עם מפתחות הצפנה שונים אך קשורים זה לזה בקשר מתמטי כלשהו, כגון מפתח אחד הוא תוצאה של חיבור ערך כלשהו עם מפתח השני. המטרה של המתקיף היא לגלות האם הקשר בין המפתחות משפיע באופן כלשהו על הטקסטים המוצפנים שקיבל.

יכולת הבחנה

באופן כללי בכל המודלים האמורים שבירת הצופן תקרא מוצלחת אם המתקיף מסוגל להבחין בין טקסטים מוצפנים שהוצפנו על ידי האלגוריתם אותו הוא מעוניין לשבור לבין מחרוזות אקראית סתמיות באותו אורך. עובדה זו מצביעה על אקראיות ירודה ובדרך כלל עם מידע זה יש אפשרות לשבור את הצופן ולכן במקרה כזה הוא מוגדר כפרוץ. לסוג כזה של התקפה קוראים התקפת הבחנה, מסיבה זו כל צופן טוב חייב להכיל את התכונה שנקראת "אי יכולת הבחנה" (indistinguishability) והיא מתוארת בצורת משחק המנוהל בין המתקיף לבין האורקל. הגרסאות השונות של המודלים המתוארים נבדלות ביכולת המתקיף או במילים אחרות ברמת הגישה שלו לאורקל. למשל במשחק הבסיסי המתקיף שולח לאורקל מספר מוגבל של בלוקים קריאים של טקסט כלשהו לפי בחירתו. האורקל בוחר מפתח הצפנה סודי ומטיל מטבע, בכל הטלת מטבע הוא בוחר בין אחת משתי אפשרויות, באחת הוא מחזיר למתקיף טקסט מוצפן שהוא תוצאת הצפנה של הבלוק שקיבל ובשנייה הוא מחזיר מחרוזת אקראית אמיתית. אם לאחר קבלת כל הבלוקים "המוצפנים" מהאורקל ביכולתו של המתקיף להכריע לגבי כל בלוק שקיבל האם הוא הצפנה של הבלוק המקורי המתאים ששלח קודם לכן או שהוא ערך אקראי חסר משמעות, בהסתברות גבוהה באופן משמעותי מחצי הרי שההתקפה הצליחה והצופן לא יהיה בטוח לשימוש.

הצפנים הקלאסיים סבלו בעיקר מהתקפות סטטיסטיות המנצלות את יתירות השפה לשבירתן. הצפנה מודרנית אינה סובלת מחסרון זה עקב העובדה שנעשה שימוש ביחידות מידע גדולות (128 סיביות ומעלה) כך שמספר הצירופים האפשרי אסטרונומי, עובדה המאלצת את המתקיף לנתח כמות עצומה של טקסטים. מלבד זאת קיימות שיטות לביטול יתירות הצופן כמו הוספת אקראיות מכוונת. הצפנה סימטרית מודרנית רגישה באופן כללי לקריפטואנליזה דיפרנציאלית וקריפטואנליזה ליניארית, שתיהן שיטות התקפה רבות עוצמה כנגד סוגים רבים של צפנים סימטריים. מלבד פנקס חד-פעמי, לא ידוע על אלגוריתם בלתי שביר. כל אלגוריתם ניתן לשבירה עם די זמן וכוח חישוב. השאיפה העיקרית היא ששבירת הצופן לא תהיה קלה במידה ניכרת מכוח גס דהיינו ניסיון לנחש את המפתח הסודי על ידי ניסוי כל המפתחות האפשריים. להלן פירוט השיטות העיקריות להתקפת צפנים סימטריים:

שיטות קריפטואנליטיות

  • כוח גס (Brute Force): ניסוי של לפחות מחצית מטווח המפתחות האפשריים במקרה הממוצע עד למציאת המפתח שאיתו נעשה שימוש. סיבוכיותה אינה מעשית ברוב המקרים, אולם עם מספיק זמן וכוח חישוב מובטחת בסופו של דבר תוצאה. למעשה ההוכחה שאלגוריתם מסוים ניתן לשבירה אך ורק באמצעות כח גס מהווה הוכחת איכות, כיוון שניתן לשלוט במידת בטיחותו על ידי בחירה מושכלת של גודל המפתח בסיביות. לשם המחשה, כוח גס כנגד צופן DES מצריך סריקה של לפחות מפתחות במקרה הממוצע. עד 1998 שבירת צופן DES הייתה אפשרית רק על ידי חומרה ייעודית שעלותה יקרה ונמשכה בדרך כלל מספר ימים. ב-2008 פרסמה חברת SciEngines שרת ייעודי יחיד עם חומרה מותאמת, בעל תפוקה של 26 מיליארד מפתחות בשנייה, המסוגל לפרוץ את DES בפחות מיום אחד. ניתן ליישם כח גס גם באמצעות חישוב מבוזר, גיוס זמן בטלה של מעבדים על בסיס התנדבותי, הזמין כיום באמצעות רשת האינטרנט. ב-1999 נפרץ DES ב-23 שעות בלבד באמצעות 100,000 מחשבים ביתיים.
  • קריפטאנליזה ליניארית: שיטת שבירת צופן המיוחסת לקריפטוגרף היפני מיצורו מצואי. בשיטה זו ניתן לפצח את DES עם טקסטים מוצפנים שמקורם ידוע. קריפטאנליזה ליניארית היא התקפת גלוי ידוע, המתמקדת בחיפוש אחר קירובים ליניאריים היעילים ביותר המתאימים למספר ספציפי של סבבים בצופן המותקף, עם שיעור הצלחה גבוה מחצי, תוך ניצול חולשות בתיבות ההחלפה (S-box) של האלגוריתם. כל ביטוי כזה מאפשר לחלץ סיבית מפתח אחת באמצעות תהליך הסתברותי של חיפוש התאמות בכמות גדולה של טקסט מוצפן ומקור ידועים ובסופו של תהליך ניחוש המפתח כולו. אף על פי שזהו שיפור משמעותי לעומת כח גס, השיטה אינה יעילה עבור מחשב ממוצע בהתחשב בכמות הטקסט הדרושה.
  • קריפטאנליזה דיפרנציאלית: הומצאה על ידי אלי ביהם ועדי שמיר (מכון ויצמן למדע 1980). שיטה רבת עוצמה לניתוח אלגוריתמים סימטריים מכל סוג כמעט, בה נבחנת מידת ההשפעה של הבדלים בקלט על פלט הצופן. בשיטה זו ניתן לפצח את DES ב- ניסיונות, אף בלא ידיעת מקור הצופן. בשיטה זו נפרצו ב-1989 וב-1991 כל וריאציות צופן FEAL. הוכח גם שגרסאות מתקדמות יותר של האלגוריתם FEAL-N וכן FEAL-NX שפותחו עקב כך ניתנות לשבירה (עד 31 סבבים) בפחות מהזמן הדרוש לכוח גס. ובכך הקיץ הקץ על האלגוריתם.

ממציאי אלגוריתם DES היו מודעים לאנליזה דיפרנציאלית עוד בשנת 1970, אולם שמרו ידיעה זו בסוד מטעמים של ביטחון לאומי. הסברה היא, כי ממציאי האלגוריתם לא פרסמו מלכתחילה את שיקולי העיצוב שהנחו אותם בבניית האלגוריתם, מן הסיבה שלאחר התייעצות עם NSA הוחלט כי פרסום חומר זה עשוי לחשוף את האנליזה הדיפרנציאלית, שלמעשה הקנתה לארצות הברית עליונות על פני מדינות אחרות בתחום ההצפנה באותה עת.

עקרון קרקהופס

בעבר נטו מפתחי אלגוריתמים קריפטוגרפיים לשמור בסוד את פרטי האלגוריתם. אולם כיום מקובל לאמץ את עקרון קרקהופס הקובע ששמירת אלגוריתם הצפנה בסוד אינה מהווה חלופה לביטחונו. באנלוגיה למנעול צירופים, הסתמכות אך ורק על מנגנון נעילה סודי, אינה חכמה כיוון שאם נחשף המנגנון המנעול כולו הופך לחסר תועלת. מאידך אם התגלה צירוף סודי אחד, יש צורך רק להחליפו באחר ואין צורך בקניית מנעול חדש. גם בעת המודרנית הוכרזו מספר אלגוריתמי הצפנה כסודיים. אלגוריתם Skipjack שפותח על ידי NSA נשמר בסוד עד 1998. צופן זרם RC4 היה סוד מסחרי כשהומצא ב-1987 על ידי רונלד ריבסט במעבדות RSA. אולם בדרך כלשהי הצליח מישהו להנדס לאחור את האלגוריתם ופרטיו דלפו באופן אנונימי לרשת האינטרנט והפכו במהרה לנחלת הכלל.

ביקורת ציבורית

בקריפטוגרפיה מודרנית, אלגוריתמים מוצלחים הם כאלו שזכו לביקורת הציבור, במיוחד לעיון מדוקדק של פרטיהם בידי אנליסטים ומומחי הצפנה מסביב לעולם. אלגוריתם AES הוא דוגמה טובה לאלגוריתם שנבחר בקפידה מבין מספר מועמדים טובים, לאחר תחרות פתוחה שאורגנה על ידי NIST שנמשכה כמספר שנים ובה נבחנו מועמדים רבים על ידי מספר מומחים מסביב לעולם. אחת לפרק זמן מפרסמת הקהילה הקריפטוגרפית ממצאים חדשים שהתגלו על ידי אנליסטים, מומחי אבטחת מידע ומתכנני מערכות לגבי טיבם וחוסנם של אלגוריתמים נפוצים ובעיקר כאלו שזכו להיות חלק מתקן רשמי. הביקורת המתמדת מספקת לציבור סוג של ביטחון בכך שהאלגוריתמים הפופולריים שהדיעה הרווחת לגביהם שהם בטוחים ונעשה בהם שימוש מאסיבי, הם אכן כאלה וכן שלא התגלו בהם דלתות סתרים או פרצות.

נוהלי אבטחה

למעשה, הדעה הרווחת היא שמרבית האלגוריתמים הידועים שזכו לביקורת ובדיקה של מומחים והוגדרו כבטוחים, אכן בטוחים. הסיבה שמערכות רבות נפרצו לא נבעה מליקויים באלגוריתמים שעליהם התבססו, אלא בשל כשלים או שגיאות אנוש באופן יישום אותם אלגוריתמים, שנבעו בין היתר מבורות, רשלנות או אי הקפדה על נוהלי בטיחות. יותר קל להשיג מידע באמצעות ציתות, מתן שוחד או גנבת מפתחות מאשר לפרוץ אלגוריתם. במערכת אבטחה, צריך לוודא שהמערכת אינה חדירה או מדליפה מידע עקיף המסכן את בטיחותה. כמו מידע תזמון (timing). בגרסת WAP (פרוטוקול אבטחה סלולרי) המקורית לדוגמה, התגלתה פרצה בטיחותית חמורה שנבעה מאופן יישום אלגוריתם RC4 וגרמה לדליפת מידע שאיפשר לפרוץ את המערכת בקלות.

בעיית הפצת מפתחות

ערך מורחב – בעיית הפצת מפתחות

בכל צופן סימטרי השולח והמקבל חייבים לשתף מפתח הצפנה סודי ביניהם. חשיפת המפתח על ידי גורם זר תאפשר לו לפענח את כל המסרים שהוצפנו עם מפתח זה. הקושי בשמירת המפתח בסוד והעברתו מהשולח למקבל, נקרא בעיית תחזוקת מפתחות או בעיית הפצת מפתחות. הבעיה מחריפה ברשת מרובת משתמשים. אם כל משתמש מעוניין שתהיה לו יכולת להתקשר עם משתמש אחר באופן דיסקרטי, מספר המפתחות הסודיים שיהיה עליו לשתף יהיה גדול מאוד. לדוגמה ברשת של 15 משתתפים, כל אחד יזדקק לשמור בסוד לפחות 14 מפתחות ומספר המפתחות הכולל מגיע ל-210. ברשת של אלפי משתמשים הדבר הופך כמעט לבלתי אפשרי. בנוסף, כל משתמש יצטרך להגן על סודיות המפתחות שברשותו, אם באמצעים קריפטוגרפיים או אחרים.

המפנה העיקרי בפתרון הבעיה החל למעשה עם המצאת ההצפנה האסימטרית. כאשר לראשונה העלו דיפי והלמן רעיון של העברת מפתח-סימטרי בצורה מאובטחת בתשתית גלויה, תוך שימוש בבעיית לוגריתם דיסקרטי, כאמצעי אלגנטי להסתרת תהליך ההעברה. באופן זה המשתמשים אינם זקוקים לשמירת מפתחות הצפנה רבים. כל שעליהם לעשות הוא להקצות מפתח פומבי לכל משתמש, אותו מאחסנים במקום ציבורי. כאשר בוב מעוניין להתקשר עם אליס בסודיות, עליו להשיג את מפתח ההצפנה הפומבי של אליס מתוך הרשימה הציבורית, לייצר מפתח הצפנה סימטרי חד-פעמי ולשולחו לאליס מוצפן במפתח הציבורי שלה. כעת אליס ובוב משתפים מפתח הצפנה סודי באופן שאף אחד אחר לא יכול היה ליירטו כיוון שהיה מוצפן בזמן המשלוח.

במרוצת השנים פותחו שיטות שונות להתמודד עם בעיית הפצת מפתחות. חלקן מבוססות על הצפנה סימטרית כמו פרוטוקול קרברוס, ואחרות על הצפנה א-סימטרית כמו דיפי-הלמן, או כאלו המשלבות את שתי השיטות יחד. הרעיון בחלקן הוא להסתמך על שרת צד-שלישי נאמן. בחלקן השרת מקוון באופן כזה שלפני כל התקשרות נעשית פניה אליו ובחלקן לא. צד-שלישי נאמן פוטר את המשתמשים מהצורך לשמור מפתחות רבים בכך שהוא מייצר ושולח מפתח שיחה חד-פעמי, המתאים להתקשרות יחידה בין משתמש ושרת או בין משתמשים מרוחקים. חתימה דיגיטלית נפוצה גם כן בפרוטוקולי העברת מפתח. ייחודה של חתימה דיגיטלית שהיא יוצרת חיבור מוכח (מתמטית) בין ישות מסוימת לבין מפתח-פומבי שבבעלותה, שיכול לשמש להעברת מפתח שיחה חד-פעמי לצורך הצפנה סימטרית. בנוסף, חתימה דיגיטלית אינה דורשת פנייה לשרת מקוון בכל התקשרות. בדרך כלל נעשית פניה אחת לגורם מאשר המאמת את מפתח החתימה שלאחר מכן יכול לשמש למספר רב של התקשרויות.

שילוב בין השיטות (הצפנה סימטרית וא-סימטרית) נפוץ מעשית ומכונה מערכת היברידית (Hybrid), מערכת המבצעת "הכלאה" של השיטות השונות ומנצלת את יתרונותיהן. שיטת הצפנה אסימטרית כמו RSA טובה להעברת מפתח סודי חד-פעמי בתקשורת גלויה ואילו להצפנה עצמה, אלגוריתם הצפנה סימטרי כמו AES עדיף בשל מהירותו הרבה. דוגמאות למערכת כזו הן PGP ו-SSL.

ראו גם

קישורים חיצוניים

ויקישיתוף מדיה וקבצים בנושא צופן סימטרי בוויקישיתוף

הערות שוליים

  1. ^ An Introduction to Mathematical Cryptography, Hoffstein, Jeffrey, Pipher, Jill, Silverman, J.H., 2008
  2. ^ Introduction to Modern Cryptography (2nd edition), Jonathan Katz and Yehuda Lindell


Read other articles:

Artikel ini bukan mengenai Arena Kota Meksiko. Arena MéxicoLa Catedral de la Lucha LibreKatedral Lucha LibreNama lamaArena Modelo (1910–1950)Lokasi189 Calle Dr. Lavista, Colonia Doctores, Kota Meksiko, 06720Koordinat19°25′29″N 99°9′7″W / 19.42472°N 99.15194°W / 19.42472; -99.15194Koordinat: 19°25′29″N 99°9′7″W / 19.42472°N 99.15194°W / 19.42472; -99.15194PemilikConsejo Mundial de Lucha Libre (CMLL)Kapasitas16,500 (Gula...

 

Eragrostis pectinacea TaksonomiDivisiTracheophytaSubdivisiSpermatophytesKladAngiospermaeKladmonocotsKladcommelinidsOrdoPoalesFamiliPoaceaeSubfamiliChloridoideaeTribusEragrostideaeGenusEragrostisSpesiesEragrostis pectinacea Nees, 1841 Tata namaBasionimPoa pectinacea (en) lbs Eragrostis pectinacea adalah sebuah spesies rumput yang dikenal karena nama umum tufted lovegrass. Tumbuhan tersebut berasal dari benua Amerika, tersebar dari Kanada sampai Argentina. Taksonomi Eragrostis pectinacea mula-m...

 

Governor and Company of the Bank of EnglandKantor pusatThreadneedle StreetLondon, EC2Inggris, Britania RayaDidirikan27 Juli 1694; 329 tahun lalu (1694-07-27)GubernurMark Carney (2013)NegaraBritania RayaMata uangPound sterlingGBP (ISO 4217)Suku bunga pinjaman0,75%[1]Situs webbankofengland.co.uk Bank of England (secara resmi Gubernur dan Perusahaan Bank of England Inggris: Governor and Company of the Bank of Englandcode: en is deprecated ) adalah bank sentral dari seluruh Brit...

Aleisha AllenLahirAleisha LaNaé Allen28 April 1991 (umur 32)Bronx, New York, U.S.PekerjaanActress, singerTahun aktif1996–present Aleisha LaNaé Allen (lahir 28 April 1991) adalah aktris dan penyanyi asal Amerika Serikat. Filmografi Film The Best Man (1999) Elmo's Magic Cookbook (2001) School of Rock (2003) Are We There Yet? (2005) Lindsey Kingston Are We Done Yet? (2007) Like That! (2009) Televisi Blue's Clues (1996) Out of the Box (1998) Jarian Mitchell (2000–2006) Pranala lu...

 

Pour les articles homonymes, voir Royaume de Pologne. Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus. Cet article ne cite pas suffisamment ses sources (février 2023). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références » En ...

 

Halaman ini berisi artikel tentang penulis lagu dan naskah Amerika. Untuk tokoh lain bernama Robert Sherman, lihat Robert Sherman (disambiguasi). Robert B. ShermanSherman pada 2002LahirRobert Bernard Sherman(1925-12-19)19 Desember 1925New York, New York, ASMeninggal6 Maret 2012(2012-03-06) (umur 86)London, InggrisMakamHillside Memorial Park Cemetery, Culver City, CaliforniaKebangsaanAmerikaNama lainRobert ShermanBob ShermanBobMoosePekerjaanPenulis lagu, penulis naskah, penerbitTahun...

Phenylethylpyrrolidine Names Preferred IUPAC name 1-(2-Phenylethyl)pyrrolidine Identifiers CAS Number 6273-83-2 3D model (JSmol) Interactive image ChemSpider 364511 PubChem CID 411735 InChI InChI=1S/C12H17N/c1-2-6-12(7-3-1)8-11-13-9-4-5-10-13/h1-3,6-7H,4-5,8-11H2 SMILES c1c(cccc1)CCN2CCCC2 Properties Chemical formula C12H17N Molar mass 175.275 g·mol−1 Except where otherwise noted, data are given for materials in their standard state (at 25 °C [77 °F], 100 kPa)...

 

German Nazi, SS and police leader, SS-Obergruppenführer Wilhelm Koppe Karl Heinrich Wilhelm Koppe (15 June 1896 – 2 July 1975) was a German Nazi commander (Höhere SS und Polizeiführer (HSSPF), SS-Obergruppenführer). He was responsible for numerous atrocities against Poles and Jews in Reichsgau Wartheland and the General Government during the German occupation of Poland in World War II. Biography Koppe was born in Hildesheim near Hanover. He fought in the First World War. During the inte...

 

Israeli company Media ForestIndustryMusicFounded2005; 19 years ago (2005)HeadquartersIsraelWebsitemediaforest.biz/WeeklyCharts/ Media Forest is an Israeli service provider of Monitoring and Media Research for Music and AdvertiIndustries,[1] founded in 2005[2] in Netanya, Israel.[3] The company monitors broadcasting tracks and channels such as radio stations and TV channels, and accordingly, provides added-value content and information services.[4&...

Commune in Luxembourg, LuxembourgSteinsel SteeselCommune Coat of armsMap of Luxembourg with Steinsel highlighted in orange, and the canton in dark redCoordinates: 49°40′35″N 6°07′25″E / 49.6764°N 6.1236°E / 49.6764; 6.1236Country LuxembourgCantonLuxembourgArea • Total21.81 km2 (8.42 sq mi) • Rank47th of 100Highest elevation373 m (1,224 ft) • Rank71st of 100Lowest elevation241 m...

 

Disambiguazione – Se stai cercando altri significati, vedi Rage Against the Machine (disambigua). Rage Against the MachineI Rage Against the Machine in concerto nel 2007. Da sinistra: Tim Commerford, Zack de la Rocha, Brad Wilk e Tom Morello. Paese d'origine Stati Uniti GenereRap metal[1]Funk metal[1]Alternative metal[1] Periodo di attività musicale1991 – 20002007 – 20112019 – 2024 Album pubblicati6 Studio4 Live1 Ra...

 

Voce principale: Associazione Calcio Savoia 1908. Associazione Calcio Savoia 1908Stagione 1980-1981 Sport calcio Squadra Savoia Allenatore Comunardo Niccolai poi Mario Zurlini dalla 6^ Direttore sportivo Riccardo Franceschini Presidente Franco Immobile Serie C210º posto Coppa Italia SemiprofessionistiSedicesimi di finale Maggiori presenzeCampionato: Pierini (33)Totale: Pierini (33) Miglior marcatoreCampionato: Bacchiocchi (8)Totale: Bacchiocchi (8) StadioComunale 1979-1980 1981-1982 Si...

2020年夏季奥林匹克运动会波兰代表團波兰国旗IOC編碼POLNOC波蘭奧林匹克委員會網站olimpijski.pl(英文)(波兰文)2020年夏季奥林匹克运动会(東京)2021年7月23日至8月8日(受2019冠状病毒病疫情影响推迟,但仍保留原定名称)運動員206參賽項目24个大项旗手开幕式:帕维尔·科热尼奥夫斯基(游泳)和马娅·沃什乔夫斯卡(自行车)[1]闭幕式:卡罗利娜·纳亚(皮划艇)&#...

 

2022 single by Doja CatVegasSingle by Doja Catfrom the album Elvis: Original Motion Picture Soundtrack ReleasedMay 6, 2022 (2022-05-06)GenreHip hopLength3:02Label Kemosabe RCA Songwriter(s) Amala Dlamini Rogét Chahayed David Sprecher Jerry Leiber Mike Stoller Producer(s) Chahayed Yeti Beats Doja Cat singles chronology Get Into It (Yuh) (2022) Vegas (2022) I Like You (A Happier Song) (2022) Music videoVegas on YouTube Vegas is a song by American rapper and singer Doja Cat. It ...

 

العلاقات الإستونية البنمية إستونيا بنما   إستونيا   بنما تعديل مصدري - تعديل   العلاقات الإستونية البنمية هي العلاقات الثنائية التي تجمع بين إستونيا وبنما.[1][2][3][4][5] مقارنة بين البلدين هذه مقارنة عامة ومرجعية للدولتين: وجه المقارنة إستوني�...

581st Formula 1 Championship Grand Prix 1995 Australian Grand Prix Race 17 of 17 in the 1995 Formula One World Championship← Previous raceNext race → Race detailsDate 12 November 1995Official name LX EDS Australian Grand Prix[1]Location Adelaide Street Circuit, Adelaide, AustraliaCourse Temporary street circuitCourse length 3.780 km (2.362 miles)Distance 81 laps, 306.180[2] km (191.362 miles)Weather Sunny[2]Attendance 520,000[3]Pole posi...

 

مخزن حبوبمعلومات عامةصنف فرعي من مبنى تخزين حبوببنية زراعيةهيكل معماري الاستعمال مخزن تاريخ البدء 9 ألفية ق.م[1] تعديل - تعديل مصدري - تعديل ويكي بياناتمخزن غلال من ثقافة الدوغون في مالي. مخزن حبوب بسيط. نموذج لفن هندسي من الآثار اليونانية القديمة متمثلاً في صندوق على شك�...

 

American baseball manager and owner (1862–1956) For other people named Connie Mack, see Connie Mack (disambiguation). Baseball player Connie MackMack in 1916Catcher / Manager / OwnerBorn: (1862-12-22)December 22, 1862East Brookfield, Massachusetts, U.S.Died: February 8, 1956(1956-02-08) (aged 93)Philadelphia, Pennsylvania, U.S.Batted: RightThrew: RightMLB debutSeptember 11, 1886, for the Washington NationalsLast MLB appearanceAugust 29, 1896, for the Pitts...

Southeast Asian fermented fish seasoning Pla ra at the old market of Don Wai, Nakhon Pathom The pot of pla ra in a som tam vendor's cart, Bangkok Baskets and mounds of Thai shrimp paste (kapi) at Warorot market, Chiang Mai, Thailand Pla ra (Thai: ปลาร้า, pronounced [plāː ráː]), similar to padaek in Laos, is a traditional Thai[1] seasoning produced by fermenting fish with rice bran or roasted rice flour and salt fermented in a closed container for at least six ...

 

Questa voce o sezione sull'argomento centri abitati del Veneto non cita le fonti necessarie o quelle presenti sono insufficienti. Puoi migliorare questa voce aggiungendo citazioni da fonti attendibili secondo le linee guida sull'uso delle fonti. San Zeno di Montagnacomune San Zeno di Montagna – VedutaIl campanile della chiesa parrocchiale LocalizzazioneStato Italia Regione Veneto Provincia Verona AmministrazioneSindacoMaurizio Castellani (lista civica) dal 28-...