हाइब्रिड क्रिप्टोसिस्टम

क्रिप्टोग्राफी में, एक हाइब्रिड क्रिप्टोसिस्टम वह होता है जो सार्वजनिक-कुंजी क्रिप्टोसिस्टम की सुविधा को सममित-कुंजी क्रिप्टोग्राफी|सिमेट्रिक-कुंजी क्रिप्टोसिस्टम की दक्षता के साथ जोड़ता है। सार्वजनिक-कुंजी क्रिप्टोसिस्टम सुविधाजनक हैं क्योंकि उन्हें सुरक्षित रूप से संचार करने के लिए प्रेषक और रिसीवर को एक साझा रहस्य साझा करने की आवश्यकता नहीं होती है। हालाँकि, वे अक्सर जटिल गणितीय गणनाओं पर भरोसा करते हैं और इस प्रकार आमतौर पर तुलनीय सममित-कुंजी क्रिप्टोसिस्टम की तुलना में बहुत अधिक अक्षम होते हैं। कई अनुप्रयोगों में, सार्वजनिक-कुंजी क्रिप्टोसिस्टम में लंबे संदेशों को एन्क्रिप्ट करने की उच्च लागत निषेधात्मक हो सकती है। इसे दोनों के संयोजन का उपयोग करके हाइब्रिड सिस्टम द्वारा संबोधित किया जाता है। किसी भी दो अलग क्रिप्टोसिस्टम का उपयोग करके एक हाइब्रिड क्रिप्टोसिस्टम का निर्माण किया जा सकता है:
 * एक कुंजी एनकैप्सुलेशन तंत्र, जो एक सार्वजनिक-कुंजी क्रिप्टोसिस्टम है, और
 * एक एनकैप्सुलेशन (नेटवर्किंग), जो एक सममित-कुंजी क्रिप्टोसिस्टम है।

हाइब्रिड क्रिप्टोसिस्टम स्वयं एक सार्वजनिक-कुंजी प्रणाली है, जिसकी सार्वजनिक और निजी कुंजी कुंजी एनकैप्सुलेशन योजना के समान ही हैं।

ध्यान दें कि बहुत लंबे संदेशों के लिए एन्क्रिप्शन/डिक्रिप्शन में अधिकांश काम अधिक कुशल सममित-कुंजी योजना द्वारा किया जाता है, जबकि अक्षम सार्वजनिक-कुंजी योजना का उपयोग केवल लघु कुंजी मान को एन्क्रिप्ट/डिक्रिप्ट करने के लिए किया जाता है।

सार्वजनिक कुंजी क्रिप्टोग्राफी के सभी व्यावहारिक कार्यान्वयन आज एक हाइब्रिड प्रणाली का उपयोग करते हैं। उदाहरणों में परिवहन परत सुरक्षा  प्रोटोकॉल शामिल है और सुरक्षित शैल प्रोटोकॉल, जो कुंजी विनिमय के लिए एक सार्वजनिक-कुंजी तंत्र (जैसे  Diffie-Hellman ) और डेटा एनकैप्सुलेशन (जैसे उन्नत एन्क्रिप्शन मानक) के लिए एक सममित-कुंजी तंत्र का उपयोग करते हैं।  ओपन-पीजीपी  फ़ाइल स्वरूप और PKCS#7 फ़ाइल स्वरूप अन्य उदाहरण हैं.

हाइब्रिड सार्वजनिक कुंजी एन्क्रिप्शन (HPKE, RFC 9180 के रूप में प्रकाशित) जेनेरिक हाइब्रिड एन्क्रिप्शन के लिए एक आधुनिक मानक है। HPKE का उपयोग कई IETF प्रोटोकॉल में किया जाता है, जिसमें मैसेजिंग परत सुरक्षा  और TLS एन्क्रिप्टेड हैलो शामिल हैं।

एनवेलप एन्क्रिप्शन क्लाउड कम्प्यूटिंग  में हाइब्रिड क्रिप्टोसिस्टम के उपयोग का एक उदाहरण है। क्लाउड संदर्भ में, हाइब्रिड क्रिप्टोसिस्टम केंद्रीकृत कुंजी प्रबंधन को भी सक्षम करते हैं।

उदाहरण
हाइब्रिड क्रिप्टोसिस्टम में ऐलिस को संबोधित संदेश को एन्क्रिप्ट करने के लिए, बॉब निम्नलिखित कार्य करता है:
 * 1) ऐलिस की सार्वजनिक कुंजी प्राप्त करता है।
 * 2) डेटा एनकैप्सुलेशन योजना के लिए एक ताज़ा सममित कुंजी उत्पन्न करता है।
 * 3) अभी उत्पन्न सममित कुंजी का उपयोग करके, डेटा एनकैप्सुलेशन योजना के तहत संदेश को एन्क्रिप्ट करता है।
 * 4) ऐलिस की सार्वजनिक कुंजी का उपयोग करके कुंजी एनकैप्सुलेशन योजना के तहत सममित कुंजी को एन्क्रिप्ट करता है।
 * 5) इन दोनों सिफरटेक्स्ट को ऐलिस को भेजता है।

इस हाइब्रिड सिफरटेक्स्ट को डिक्रिप्ट करने के लिए, ऐलिस निम्नलिखित कार्य करती है:
 * 1) कुंजी एनकैप्सुलेशन खंड में निहित सममित कुंजी को डिक्रिप्ट करने के लिए अपनी निजी कुंजी का उपयोग करती है।
 * 2) डेटा एनकैप्सुलेशन सेगमेंट में मौजूद संदेश को डिक्रिप्ट करने के लिए इस सममित कुंजी का उपयोग करता है।

सुरक्षा
यदि हाइब्रिड क्रिप्टोसिस्टम में दोनों प्रमुख एनकैप्सुलेशन और डेटा एनकैप्सुलेशन योजनाएं अनुकूली चुने गए सिफरटेक्स्ट हमलों के खिलाफ सुरक्षित हैं, तो हाइब्रिड स्कीम को वह संपत्ति भी विरासत में मिलती है। हालाँकि, अनुकूली चुने गए सिफरटेक्स्ट हमलों के खिलाफ सुरक्षित हाइब्रिड योजना का निर्माण करना संभव है, भले ही कुंजी एनकैप्सुलेशन की सुरक्षा परिभाषा थोड़ी कमजोर हो (हालाँकि डेटा एनकैप्सुलेशन की सुरक्षा थोड़ी मजबूत होनी चाहिए)।

लिफ़ाफ़ा एन्क्रिप्शन
लिफ़ाफ़ा एन्क्रिप्शन शब्द का उपयोग सभी प्रमुख क्लाउड सेवा प्रदाताओं द्वारा उपयोग किए जाने वाले हाइब्रिड क्रिप्टोसिस्टम के साथ एन्क्रिप्ट करने के लिए किया जाता है, अक्सर क्लाउड कंप्यूटिंग में एक केंद्रीकृत कुंजी प्रबंधन प्रणाली के भाग के रूप में। लिफ़ाफ़ा एन्क्रिप्शन हाइब्रिड एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को नाम देता है: डेटा एन्क्रिप्शन कुंजी (संक्षिप्त रूप में DEK, और डेटा एन्क्रिप्ट करने के लिए उपयोग किया जाता है) और कुंजी एन्क्रिप्शन कुंजी (संक्षिप्त रूप में KEK, और DEK को एन्क्रिप्ट करने के लिए उपयोग किया जाता है)। क्लाउड वातावरण में, लिफ़ाफ़ा एन्क्रिप्शन के साथ एन्क्रिप्शन में स्थानीय रूप से एक DEK उत्पन्न करना, DEK का उपयोग करके किसी के डेटा को एन्क्रिप्ट करना और फिर संभावित रूप से अधिक सुरक्षित सेवा (कंप्यूटर विज्ञान) में संग्रहीत KEK के साथ DEK को लपेटने (एन्क्रिप्ट करने) के लिए अनुरोध जारी करना शामिल है। फिर, यह लपेटा हुआ DEK और एन्क्रिप्टेड संदेश योजना के लिए एक सिफरटेक्स्ट बनता है। एक सिफरटेक्स्ट को डिक्रिप्ट करने के लिए, लपेटे गए DEK को एक सेवा के लिए कॉल के माध्यम से अनरैप (डिक्रिप्ट) किया जाता है, और फिर एन्क्रिप्टेड संदेश को डिक्रिप्ट करने के लिए अनरैप किए गए DEK का उपयोग किया जाता है। हाइब्रिड क्रिप्टोसिस्टम के सामान्य लाभों के अलावा, क्लाउड संदर्भ में केईके के लिए असममित एन्क्रिप्शन का उपयोग करना आसान कुंजी प्रबंधन और भूमिकाओं को अलग करना प्रदान करता है, लेकिन धीमा हो सकता है।

क्लाउड सिस्टम में, जैसे कि Google गूगल क्लाउड प्लेटफार्म अमेज़न वेब सेवाएँ, एक कुंजी प्रबंधन प्रणाली (KMS) एक सेवा के रूप में उपलब्ध हो सकती है। कुछ मामलों में, कुंजी प्रबंधन प्रणाली हार्डवेयर सुरक्षा मॉड्यूल में कुंजी संग्रहीत करेगी, जो हार्डवेयर सिस्टम हैं जो घुसपैठ प्रतिरोध जैसी हार्डवेयर सुविधाओं के साथ कुंजी की रक्षा करती हैं। इसका मतलब यह है कि केईके अधिक सुरक्षित भी हो सकते हैं क्योंकि वे सुरक्षित विशेष हार्डवेयर पर संग्रहीत होते हैं। लिफ़ाफ़ा एन्क्रिप्शन केंद्रीकृत कुंजी प्रबंधन को आसान बनाता है क्योंकि एक केंद्रीकृत कुंजी प्रबंधन प्रणाली को केवल KEK को संग्रहीत करने की आवश्यकता होती है, जो कम जगह घेरते हैं, और KMS के अनुरोधों में केवल लिपटे और बिना लपेटे हुए DEK भेजना शामिल होता है, जो पूरे संदेशों को प्रसारित करने की तुलना में कम बैंडविड्थ का उपयोग करते हैं। चूँकि एक KEK का उपयोग कई DEK को एन्क्रिप्ट करने के लिए किया जा सकता है, इससे KMS में कम संग्रहण स्थान का उपयोग करने की भी अनुमति मिलती है। यह पहुंच के एक बिंदु पर केंद्रीकृत ऑडिटिंग और पहुंच नियंत्रण की भी अनुमति देता है।

यह भी देखें

 * परिवहन परत सुरक्षा
 * सुरक्षित खोल
 * कुंजी एनकैप्सुलेशन तंत्र