ハイブリッド暗号システム

暗号学において、ハイブリッド暗号システムとは、公開鍵暗号システムの利便性と対称鍵暗号システムの効率性を組み合わせたものである。^{[ 1 ]}公開鍵暗号システムは、送信者と受信者が共通の秘密を共有する必要がないという点で便利である。^{[ 2 ]}しかし、公開鍵暗号システムは複雑な数学的計算に依存することが多く、そのため一般に同等の対称鍵暗号システムよりもはるかに非効率的である。多くのアプリケーションにおいて、公開鍵暗号システムで長いメッセージを暗号化するコストが高すぎる場合がある。この問題は、両者を組み合わせたハイブリッドシステムによって解決される。^{[ 3 ]}

ハイブリッド暗号システムは、任意の 2 つの別個の暗号システムを使用して構築できます。

• 公開鍵暗号システムである鍵カプセル化メカニズム
• 対称鍵暗号システムであるデータカプセル化方式

ハイブリッド暗号システム自体は公開鍵システムであり、その公開鍵と秘密鍵は鍵カプセル化方式のものと同一である。^{[ 4 ]}

非常に長いメッセージの場合、暗号化/復号化の作業の大部分はより効率的な対称鍵方式によって行われ、非効率的な公開鍵方式は短い鍵値の暗号化/復号化にのみ使用されることに注意してください。^{[ 3 ]}

今日、公開鍵暗号の実用的な実装はすべてハイブリッドシステムを採用しています。例としては、TLSプロトコル^{[ 5 ]}やSSHプロトコル^{[ 6 ]}が挙げられます。これらは鍵交換に公開鍵方式（Diffie-Hellmanなど）を使用し、データのカプセル化に対称鍵方式（ AESなど）を使用しています。OpenPGP ^{[ 7 ]}ファイル形式やPKCS#7 ^{[ 8 ]}ファイル形式もその例です。

ハイブリッド公開鍵暗号（HPKE、RFC 9180として公開）は、汎用ハイブリッド暗号の最新標準です。HPKEは、Messaging Layer Security（MLS）、Oblivious DNS over HTTPS、Oblivious HTTP、Privacy Preserving Measurement、TLS Encrypted Client Helloなど、複数のIETFプロトコルで使用されています。^{[ 9 ]}

エンベロープ暗号化は、クラウドコンピューティングにおけるハイブリッド暗号システムの使用例である。クラウド環境において、ハイブリッド暗号システムは集中的な鍵管理も可能にする。^{[ 10 ] [ 11 ]}

ハイブリッド暗号システムでアリス宛のメッセージを暗号化するために、ボブは次のことを行います。

1. アリスの公開鍵を取得します。
2. データ カプセル化スキーム用の新しい対称キーを生成します。
3. 生成された対称キーを使用して、データ カプセル化スキームでメッセージを暗号化します。
4. Alice の公開鍵を使用して、鍵カプセル化スキームの下で対称鍵を暗号化します。
5. これらの暗号文を両方ともアリスに送信します。

このハイブリッド暗号文を復号化するために、アリスは次のことを行います。

1. 秘密鍵を使用して、キー カプセル化セグメントに含まれる対称キーを復号化します。
2. この対称鍵を使用して、データカプセル化セグメントに含まれるメッセージを復号化します。^{[ 12 ] [ 1 ]}

ハイブリッド暗号システムにおいて、鍵カプセル化方式とデータカプセル化方式の両方が適応型選択暗号文攻撃に対して安全であれば、ハイブリッド方式もその特性を継承する。^{[ 4 ]}しかし、鍵カプセル化のセキュリティ定義が若干弱くなっていても、適応型選択暗号文攻撃に対して安全なハイブリッド方式を構築することは可能である（ただし、データカプセル化のセキュリティは若干強くする必要がある）。^{[ 13 ]}

エンベロープ暗号化とは、すべての主要なクラウドサービスプロバイダーが使用するハイブリッド暗号システムによる暗号化を指す用語であり、^{[ 10 ]}クラウドコンピューティングにおける集中型キー管理システムの一部として使用されることが多い。^{[ 14 ]}

エンベロープ暗号化では、ハイブリッド暗号化で使用される鍵に、データ暗号化鍵（略称DEK、データの暗号化に使用）と鍵暗号化鍵（略称KEK、DEKの暗号化に使用）という名前が付けられています。クラウド環境では、エンベロープ暗号化による暗号化は、ローカルでDEKを生成し、そのDEKを使用してデータを暗号化した後、より安全なサービスに保存されているKEKでDEKをラップ（暗号化）する要求を発行することで行われます。そして、このラップされたDEKと暗号化されたメッセージは、この方式の暗号文を構成します。暗号文を復号するには、ラップされたDEKをサービス呼び出しによってアンラップ（復号）し、アンラップされたDEKを使用して暗号化されたメッセージを復号します。^{[ 11 ]}ハイブリッド暗号システムの通常の利点に加えて、クラウド環境でKEKに非対称暗号化を使用すると、鍵管理と役割の分離が容易になりますが、処理速度が低下する可能性があります。^{[ 14 ]}

Google Cloud PlatformやAmazon Web Servicesなどのクラウド システムでは、鍵管理システム (KMS) をサービスとして利用できる場合があります。^{[ 14 ] [ 11 ] [ 15 ]}場合によっては、鍵管理システムは、侵入耐性などのハードウェア機能を使用して鍵を保護するハードウェア システムであるハードウェアセキュリティ モジュールに鍵を保存します。 ^{[ 16 ]}これは、KEK が安全な専用ハードウェアに保存されるため、より安全になる可能性があることを意味します。^{[ 14 ]}エンベロープ暗号化により、集中型鍵管理システムは、より少ないスペースを占める KEK のみを保存すればよく、KMS への要求は、メッセージ全体を送信する場合よりも少ない帯域幅を使用するラップされた DEK とラップされていない DEK を送信するだけなので、集中型鍵管理が容易になります。 1 つの KEK を使用して複数の DEK を暗号化できるため、KMS で使用するストレージ スペースも少なくて済みます。これにより、1 つのアクセス ポイントで集中監査とアクセス制御が可能になります。 ^{[ 11 ]}

• トランスポート層セキュリティ
• セキュアシェル
• 鍵カプセル化メカニズム