מפתח (קריפטוגרפיה)

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה לניווט קפיצה לחיפוש


בקריפטוגרפיה ואבטחת מידע, מפתח הצפנה הוא פיסת מידע או נתון סודי שפעולת אלגוריתם קריפטוגרפי נשלטת על ידו. במובן הבסיסי, מפתח בפונקציית הצפנה מגדיר טרנספורמציה ספציפית (אקראית) של הטקסט הקריא המוזן כקלט לפונקציה, לפלט המוצפן. מפתחות משמשים במגוון אלגוריתמים קריפטוגרפיים כמו חתימה דיגיטלית או קוד אימות.

היסטוריה[עריכת קוד מקור | עריכה]

ב-1917 הגה המהנדס גילברט סטנפורד ורנם (1890 - 1960) שיטה ממוכנת לביצוע הצפנה בטלגרף, בה המידע מוצפן תו אחר תו בעת שידורו, בניגוד לביצוע ההצפנה מראש ולאחר מכן שידור הטקסט המוצפן. בשיטה זו המפתח מוכן מראש על גבי סרט מנוקב ומחובר על ידי ממסר חשמלי אל מכונת הטלגרף. שיטת הצפנה זו ידועה בשם צופן ורנם, על שם ממציאה, והיוותה את הבסיס להצפנת פנקס חד-פעמי הבלתי-שבירה. אמנם מהיבט של תורת האינפורמציה פנקס חד-פעמי מהווה הצפנה מושלמת אך החסרון הגדול שלו שמפתח ההצפנה צריך להיות לפחות כאורך המידע המוצפן. עובדה זו היא הסיבה העיקרית מדוע פנקס חד-פעמי אינו בשימוש המוני כיום. כמות המידע המוצפן העובר ברשת האינטרנט כל כך גדולה שזה לא מעשי להגריל מפתחות חד-פעמיים עבור כל הודעה, תמונה או וידאו. מצד שני ידוע שהצפנה קלאסית אינה בטוחה לשימוש, בגלל שהיא פועלת על אותיות והמפתח מורכב מרצף קצר של אותיות, לכן בגלל שמספר האפשרויות מוגבל קל מאוד לנחשו במחשב בעזרת טכניקות סטטיסטיות כמו ניתוח תדירויות.

קריפטוגרפיה מודרנית מתמקדת בפיתוח אלגוריתמים שפועלים על בלוקים גדולים של מידע (באורך 16 בתים ויותר) ומקבלים מפתח קצר (32 או 64 בתים), איתם אפשר להצפין עם מפתח אחד, במצב הפעלה מתאים, עשרות טרה-בית של מידע. בגלל שהמפתח ובלוק המידע גדולים לא ניתן יותר לפצח את הצופן באמצעות ניתוח ססטיסטי כי מספר האפשרויות אסטרונומי. מצד שני, ברגע שמשתמשים במפתח שהוא קצר משמעותית מהמידע המוצפן, ההצפנה אינה יכולה להיות מושלמת לעולם. תנאי מהותי בההוכחה המתמטית שפנקס חד-פעמי בלתי ניתן לשבירה הוא שהמפתח ששימש להצפנה כאורך המידע עצמו. לכן אלגוריתמים מודרניים אינם בטוחים מהיבט של תורת האינפורמציה אלא הביטחון שלהם חישובי, כלומר הוא נמדד במונחים של הזמן הדרוש למתחרה או מנתח הצופן לנחש את המפתח בשיטה הטובה ביותר הידועה. למרות זאת הם הרבה יותר פרקטיים מפנקס חד-פעמי והם מאוד יעילים. קיימים אלגוריתמים שלא ידוע על דרך קלה לשבירתם והערכה היא שהם אכן מהווים תמורה פסידו-אקראית חזקה.

עקרון קרקהופס[עריכת קוד מקור | עריכה]

Postscript-viewer-shaded.png ערך מורחב – עקרון קרקהופס

לפי עקרון קרקהופס וכן לפי הגדרתו של שאנון, מניחים שפרטי אלגוריתם ההצפנה ידועים לאויב או המתחרה. העיקרון החשוב ביותר של קרקהופס הוא שהדבר הסודי היחידי במערכת הצפנה יהיה המפתח. או במילים אחרות "רק סודיות המפתח מספקת ביטחון". או כפי שהתנסח שאנון "האויב מכיר את המערכת". הסיבות לכך רבות, ההיסטוריה הוכיחה לא פעם, למרות נסיונות לא מעטים, שמאוד קשה להסתיר פרטי אלגוריתם הצפנה במיוחד אלגוריתם כזה שנעשה בו שימוש מאסיבי על ידי משתמשים רבים. לכן אין להסתמך בשום אופן על סודיות האלגוריתם כדי להבטיח את סודיות המידע המוצפן. מפתח הצפנה שהוא בדרך כלל רק מספר תווים קל יותר לזכירה בעל פה או לשמירה במקום מוגן ובטוח. בקריפטוגרפיה מודרנית, כל מערכת הצפנה מסתמכת על ההנחה שקיים מפתח כלשהו שביטחון המערכת כולה נשען על סודיותו.

שמירת מפתח הצפנה[עריכת קוד מקור | עריכה]

שמירת מפתח ההצפנה בסוד היא משימה בפני עצמה והיא מתגלה לעיתים כקשה מאוד, במיוחד אם קיימים מספר עותקים של המפתח אצל מספר משתמשים. במערכות הצפנה מודרניות קיימים אלגוריתמים ייעודיים לניהול מפתחות. אחת הדרכים הפופולריות לשבור מערכת הצפנה היא לנסות להשיג את המפתח הסודי אם על ידי ניחוש, גניבה, שוחד, חטיפה או תקיפה. ברוב המקרים יותר קל לגנוב מפתח הצפנה מאשר למצוא פרצות באלגוריתם ההצפנה. מסיבה זו מערכות הצפנה פותחו באופן כזה שהמפתח יהיה מוגבל באופן השימוש בו וכן שיהיה זמין לתקופה קצרה ככל האפשר. תוכנות רבות כמו מסרים מידיים נוקטות בגישה שבה מפתח ההצפנה נבחר באקראי עבור כל מסר המיועד להצפנה ונמחק מהזיכרון מיד בגמר השימוש בו.

הכנת מפתח הצפנה[עריכת קוד מקור | עריכה]

הכנת מפתחות הצפנה היא משימה נוספת שמתבררת כלא קלה כלל. ראשית, מפתח הצפנה אמור להיות לא רק אקראי אלא בעיקר קשה לניחוש. כדי להבין את ההבדל, נניח שהמצפין רכש רשימה של אלף מספרים אקראיים ובכל פעם שהוא מעוניין להצפין מסר אחד הוא מטיל מטבעות ובוחר לעצמו אחד מהם באופן אקראי כמפתח הצפנה. אפילו אם המפתחות נוצרו באופן אקראי אמיתי, אם המתקיף יודע שהמפתח נבחר מתוך רשימה זו ויש לו גישה אליה, קל מאוד לנסות את כל המפתחות ברשימה כדי לדעת עם איזה מפתח השתמש המצפין ואין צורך לנחש את הטלת המטבעות כלל. לכן בחירת מפתח הצפנה צריכה להיות בהתפלגות אחידה מעל טווח כל המפתחות האפשריים. באופן אידאלי רצוי שהמפתח יהיה אקראי אמיתי אך היות שבדרך כלל מפתחות הצפנה מוכנים על ידי מחשב, הם לא יכולים להיות אקראיים אמיתיים אלא רק "פסידו-אקראיים", כלומר אקראיים באופן כזה שליריב בעל עוצמת מחשוב מוגבלת לא תהיה היכולת לנחש אותם בזמן פולינומי. ראה טיוטה RFC 4086 של IETF. הכנת מפתחות הצפנה באופן בטוח מערבת שימוש במחוללים פסידו אקראיים קריפטוגרפיים אשר בין היתר מקבלים גרעין התחלתי אקראי (אמיתי) ממקורות שונים כמו ניצול אנטרופיה של מערכת ההפעלה וכדומה.

אורך מפתחות הצפנה[עריכת קוד מקור | עריכה]

למעט פנקס חד-פעמי, ממציא אלגוריתם הצפנה קובע את אורך המפתח בהתאם למספר פרמטרים חשובים, כמו הערכת היכולת הטכנולוגית הנוכחית, תנאי השימוש באלגוריתם ומגבלות כלשהן אם ישנן. מצד אחד השאיפה היא שהמפתח יהיה קצר ככל האפשר כדי שהאלגוריתם יהיה יעיל ומצד שני השאיפה היא שהאלגוריתם יהיה בטוח ביותר לשימוש. אילו אינטרסים מנוגדים לחלוטין והפתרון הוא תמיד היכן שהוא באמצע. מפתחי האלגוריתמים קריפטוגרפיים נאלצים לא פעם להתפשר מעט בביטחון האלגוריתם לטובת יעילותו. מקובל למדוד אורך מפתח הצפנה בסיביות. מפתח קצר מספק ביטחון חלש, לעומת זאת מפתח ארוך אינו בהכרח מעיד על ביטחון גבוה. אורך המפתח למעשה קובע את מרחב המפתח או מספר האפשרויות לבחירת מפתח. אם מפתח הוא באורך סיביות המשמעות היא שטווח המפתח הוא סיביות. ניחוש מפתח הצפנה מעל 40 סיביות (כחמש תווים) אינו בר ביצוע לבן אנוש, אך קל לביצוע במחשב. מחשבים מצטיינים בכוח גס, ניסוי כל האפשרויות עד למציאת הניחוש הנכון. מבחינה סטטיסטית, נדרשים בממוצע נסיונות לניחוש מפתח באורך סיביות. אם מחשב מסוגל לבדוק כמיליארד מפתחות בשנייה ייקח לו 18 דקות בקירוב לנחש מפתח באורך 40 סיביות. בשנת 1999 פותח מחשב ייעודי הנקרא Deep Crack שהיה מסוגל לבדוק מעל 90 מיליארד מפתחות בשנייה ולקח לו 4.5 ימים לנחש מפתח של DES (באורך 56 סיביות). כדי להעריך מהו האורך המומלץ של מפתח הצפנה יש להתייחס לשני סוגי אלגוריתמים.

  • הצפנה סימטרית. בהצפנה סימטרית שבה קיים רק מפתח סודי יחיד המשותף לכמה משתמשים, בהנחה שלא קיים קיצור דרך או טריק מתמטי כדי לפרוץ את אלגוריתם ההצפנה, בטחונו מסתמך אך ורק על אורך המפתח והוא מעריכי. ככל שהמפתח ארוך יותר כך הניסיון לנחשו בכוח גס קשה פי כמה וכמה. רק להמחשה, עם מפתח באורך 16 סיביות יש בסך הכול 65,536 אפשרויות מתוכם אפשר לבחור. אפילו אם נבחר מפתח באופן אקראי לגמרי, בדיקה של כששים וחמש אלף מפתחות בזה אחר זה במחשב שולחני רגיל אורכת לא יותר ממספר דקות. אולם אם נכפיל את אורך המפתח פי שניים מספר האפשרויות שמתקבל הוא . מצד אחד הכפלנו את המאמץ בשלב ההצפנה רק פי שניים, אולם המאמץ לניחוש המפתח גדל מאוד כי כעת יש לבדוק כארבעה מיליארד מפתחות בממוצע כדי למצוא את המפתח הנכון. אפילו מחשב על יזדקק לכמה שעות כדי לבצע ארבעה מיליארד הצפנות ניסיוניות. כעת ננסה לדמיין כמה זמן ייקח לנחש מפתח באורך 64 סיביות או יותר. בגלל פרדוקס יום ההולדת, עם אלגוריתם לאיזון זמן זיכרון אפשר לנחש מפתח בכוח גס בפקטור שהוא חצי מאורכו בסיביות. במילים אחרות מפתח הצפנה באורך 64 סיביות ניתן לניחוש בזמן כולל של נסיונות הצפנה עם כמות זיכרון של בלוקים. לכן מפתח כזה נחשב בטכנולוגיה של ימינו כמפתח קצר מדי ואינו ראוי לשימוש. כיום התקן הבינלאומי מגדיר אורך מפתח הצפנה סימטרי 128 סיביות לשימוש רגיל ואילו למקרים קיצוניים 256 סיביות.
  • הצפנה אסימטרית. בהצפנת מפתח ציבורי, הדברים שונים לגמרי. היות שהצפנה זו מסתמכת על השערות בתורת המספרים כמו בעיית פירוק לגורמים או בעיית הלוגריתם הבדיד וכן מתחומים מתמטיים אחרים, לכן קיים בפוטנציאל מגוון טריקים וקיצורי דרך מתמטיים רבים לפתרון הבעיות הללו בזמן כמעט פולינומי. מסיבה זו אורך המפתחות צריך להיות גדול בהרבה. לשם המחשה, הצפנת RSA מסתמכת על הקושי שבפירוק לגורמים של מספר שלם. נכון להיום לאחר מאמץ ניכר הצליחו חוקרים לפרק לגורמים מספר באורך 768 סיביות אך לא יותר מזה, כך שמספר באורך כזה אינו ראוי לשימוש. לפי הערכות, בהתאם ליכולת הטכנולוגית הנוכחית ארגונים רבי עוצמה כמו NSA מסוגלים לרכז מספיק משאבים על מנת לפרק לגורמים מספר באורך 1024 סיביות, כך שלהערכת רבים מספר זה הוא בגדר בר השגה מסיבה זו נכון להיום התקנים הבינלאומיים ממליצים לעבור למפתחות באורך 2048 סיביות ומעלה. נכון ל-2016 עד לשנת 2030 תקן NIST ממליץ[1][2] להשתמש במפתח ציבורי באורך 3072 סיביות כדי לקבל רמת ביטחון המקבילה למפתח סימטרי 128 סיביות ואילו עבור רמת ביטחון המקבילה למפתח סימטרי באורך 256 סיביות 15,360 סיביות (1920 בתים). הצפנה אסימטרית המבוססת על עקום אליפטי, אינה סובלת מבעיה זו כי היא אינה מסתמכת על פירוק לגורמים ולא ידוע על אלגוריתם יעיל לפתרון בעיית הלוגריתם הבדיד בעקום אליפטי, לכן מסיבה זו עקום אליפטי יהיה בטוח לשימוש עם מפתח באורך 256 עד 512 סיביות בהתאמה. כל זה בהנחה שמחשב קוונטי סקלבילי גנרי עדיין אינו בנמצא, כי עם מחשב קוונטי הצפנת RSA ודומיה לא תהיינה יותר בטוחות לשימוש. אין דרך לדעת מתי מחשבים קוונטיים יהיו מעשיים, ההערכות מדברות על לפחות עשר שנים (אך הערכות דומות ניתנו בעבר כך שנדמה כאילו מיחשוב קוונטי תמיד יהיה עשר שנים מאתנו).

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Cryptographic Key Length Recommendation
  2. ^ Key Management, NIST Computer Security Recource Center