В криптографии, гибридная криптосистема является один, который сочетает в себе удобство открытого ключа криптосистемы с эффективностью симметричного ключа криптосистемы. Криптосистемы с открытым ключом удобны тем, что они не требуют, чтобы отправитель и получатель использовали общий секрет для безопасной связи (среди других полезных свойств). Однако они часто полагаются на сложные математические вычисления и, таким образом, обычно гораздо более неэффективны, чем сопоставимые криптосистемы с симметричным ключом. Во многих приложениях высокая стоимость шифрования длинных сообщений в криптосистеме с открытым ключом может быть непомерно высокой. В гибридных системах эта проблема решается за счет сочетания того и другого.
Гибридная криптосистема может быть построена с использованием любых двух отдельных криптосистем:
Гибридная криптосистема сама по себе является системой с открытым ключом, открытый и закрытый ключи которой такие же, как в схеме инкапсуляции ключей.
Обратите внимание, что для очень длинных сообщений основная часть работы по шифрованию / дешифрованию выполняется с помощью более эффективной схемы с симметричным ключом, в то время как неэффективная схема с открытым ключом используется только для шифрования / дешифрования значения короткого ключа.
Все практические реализации криптографии с открытым ключом сегодня используют гибридную систему. Примеры включают протокол TLS и протокол SSH, которые используют механизм открытого ключа для обмена ключами (например, Диффи-Хеллмана ) и механизм симметричного ключа для инкапсуляции данных (например, AES ). OpenPGP ( 4880 RFC формат файла) и PKCS # 7 ( RFC 2315 ), формат файла и другие примеры.
Чтобы зашифровать сообщение, адресованное Алисе, в гибридной криптосистеме, Боб делает следующее:
Чтобы расшифровать этот гибридный зашифрованный текст, Алиса делает следующее:
Если и схема инкапсуляции ключей, и схемы инкапсуляции данных защищены от атак с адаптивным выбранным зашифрованным текстом, то гибридная схема также наследует это свойство. Однако можно построить гибридную схему, защищенную от атак с адаптивным выбранным зашифрованным текстом, даже если инкапсуляция ключа имеет несколько ослабленное определение безопасности (хотя безопасность инкапсуляции данных должна быть немного выше).