การเข้ารหัสแบบ Honey เป็นการ เข้ารหัสข้อมูลประเภทหนึ่งที่ "สร้างข้อความเข้ารหัสซึ่งเมื่อถอดรหัสด้วยคีย์ที่ไม่ถูกต้องตามที่ผู้โจมตีเดา จะแสดงข้อความธรรมดาที่ดูน่าเชื่อถือแต่ไม่ถูกต้อง" ^{[ 1 ]}

Ari JuelsและThomas Ristenpartจากมหาวิทยาลัยวิสคอนซินผู้พัฒนาระบบการเข้ารหัส ได้นำเสนอเอกสารเกี่ยวกับการเข้ารหัสน้ำผึ้งในการประชุมการเข้ารหัสEurocrypt ปี 2014 ^{[ 2 ] [ 3 ]}

การโจมตีแบบ Brute -forceเกี่ยวข้องกับการถอดรหัสซ้ำๆ ด้วยคีย์แบบสุ่ม ซึ่งเทียบเท่ากับการเลือกข้อความธรรมดาแบบสุ่มจากพื้นที่ของข้อความธรรมดาที่เป็นไปได้ทั้งหมดด้วยการกระจายแบบสม่ำเสมอวิธีนี้ได้ผลเพราะถึงแม้ผู้โจมตีจะมีโอกาสเห็นข้อความธรรมดาใดๆ ก็ตามเท่าๆ กัน แต่ข้อความธรรมดาส่วนใหญ่มีโอกาสน้อยมากที่จะเป็นข้อความธรรมดาที่ถูกต้อง กล่าวคือ การกระจายของข้อความธรรมดาที่ถูกต้องนั้นไม่สม่ำเสมอ การเข้ารหัสแบบ Honey Encryption สามารถเอาชนะการโจมตีแบบนี้ได้โดยการแปลงข้อความธรรมดาให้เป็นพื้นที่ที่มีการกระจายของข้อความธรรมดาที่ถูกต้องอย่างสม่ำเสมอ ดังนั้นผู้โจมตีที่เดาคีย์จะเห็นข้อความธรรมดาที่ดูเหมือนถูกต้องบ่อยครั้งและข้อความธรรมดาที่ดูเหมือนสุ่มไม่บ่อยนัก ทำให้ยากที่จะระบุว่าเมื่อใดที่เดาคีย์ที่ถูกต้องได้ ในทางปฏิบัติ การเข้ารหัสแบบ Honey Encryption [ให้บริการ] ข้อมูลปลอมเพื่อตอบสนองต่อการเดารหัสผ่านหรือคีย์การเข้ารหัสที่ไม่ถูกต้องทุกครั้ง^{[ 2 ]}

ความปลอดภัยของการเข้ารหัสแบบ Honey Encryption ขึ้นอยู่กับข้อเท็จจริงที่ว่า ความน่าจะเป็นที่ผู้โจมตีจะตัดสินว่าข้อความต้นฉบับนั้นถูกต้อง สามารถคำนวณได้ (โดยฝ่ายเข้ารหัส) ในขณะที่ทำการเข้ารหัส ซึ่งทำให้การเข้ารหัสแบบ Honey Encryption ทำได้ยากในบางแอปพลิเคชัน เช่น ในกรณีที่พื้นที่ของข้อความต้นฉบับมีขนาดใหญ่มาก หรือการกระจายตัวของข้อความต้นฉบับไม่เป็นที่รู้จัก นอกจากนี้ยังหมายความว่า การเข้ารหัสแบบ Honey Encryption อาจมีความเสี่ยงต่อการโจมตีแบบ Brute-force หากคำนวณความน่าจะเป็นผิดพลาด ตัวอย่างเช่น มันมีความเสี่ยงต่อการโจมตีแบบ Known-plaintext Attack : หากผู้โจมตีมีเงื่อนไขที่ข้อความต้นฉบับต้องตรงกันจึงจะถูกต้อง พวกเขาจะสามารถโจมตีแบบ Brute-force แม้กระทั่งข้อมูลที่เข้ารหัสแบบ Honey Encryption แล้ว หากการเข้ารหัสไม่ได้คำนึงถึงเงื่อนไขนั้น

หมายเลขบัตรเครดิตที่เข้ารหัสมีความเสี่ยงต่อการโจมตีแบบเดาแบบสุ่ม (brute-force attack) เนื่องจากไม่ใช่ทุกชุดตัวเลขจะมีโอกาสเกิดขึ้นเท่ากัน จำนวนหลักอาจมีตั้งแต่ 13 ถึง 19 หลัก แต่ 16 หลักเป็นจำนวนที่พบได้บ่อยที่สุด นอกจากนี้ หมายเลขดังกล่าวต้องมี หมายเลขประจำตัว (IIN) ที่ถูกต้อง และหลักสุดท้ายต้องตรงกับค่าตรวจสอบความถูกต้อง (checksum ) ผู้โจมตีอาจพิจารณาถึงความนิยมของบริการต่างๆ ด้วย เช่น หมายเลข IIN จากMasterCardมีโอกาสเกิดขึ้นมากกว่าหมายเลข IIN จากDiners Club Carte Blanche

การเข้ารหัส Honey สามารถป้องกันการโจมตีเหล่านี้ได้โดยการแมปหมายเลขบัตรเครดิตไปยังพื้นที่ขนาดใหญ่กว่าก่อน ซึ่งหมายเลขเหล่านั้นมีความน่าจะเป็นที่จะถูกต้อง หมายเลขที่มี IIN และ checksum ที่ไม่ถูกต้องจะไม่ถูกแมปเลย (กล่าวคือ มีความน่าจะเป็นที่จะถูกต้องเป็น 0) หมายเลขจากแบรนด์ใหญ่ๆ เช่นMasterCardและVisaจะถูกแมปไปยังพื้นที่ขนาดใหญ่ในพื้นที่นี้ ในขณะที่แบรนด์ที่ไม่ค่อยได้รับความนิยมจะถูกแมปไปยังพื้นที่ขนาดเล็กกว่า เป็นต้น ผู้โจมตีที่ใช้การโจมตีแบบ Brute-force กับระบบการเข้ารหัสนี้ จะเห็นเฉพาะหมายเลขบัตรเครดิตที่ดูเหมือนถูกต้องเท่านั้น และหมายเลขเหล่านั้นจะปรากฏขึ้นตามความถี่ที่ผู้โจมตีคาดหวังจากโลกแห่งความเป็นจริง

Juels และ Ristenpart ตั้งเป้าที่จะใช้การเข้ารหัสแบบ Honey Encryption เพื่อปกป้องข้อมูลที่จัดเก็บไว้ในบริการจัดการรหัสผ่าน Juels กล่าวว่า "โปรแกรมจัดการรหัสผ่านเป็นเป้าหมายที่น่าดึงดูดใจสำหรับอาชญากร" และกังวลว่า "หากอาชญากรได้ครอบครองคลังรหัสผ่านที่เข้ารหัสไว้จำนวนมาก พวกเขาก็น่าจะสามารถถอดรหัสได้หลายคลังโดยไม่ยากนัก"

Hristo Bojinov ซีอีโอและผู้ก่อตั้งAnfactoกล่าวว่า "การเข้ารหัสแบบ Honey Encryption อาจช่วยลดช่องโหว่ได้ แต่เขาตั้งข้อสังเกตว่าไม่ใช่ข้อมูลทุกประเภทที่จะได้รับการปกป้องด้วยวิธีนี้ได้ง่าย … ไม่ใช่ระบบการตรวจสอบสิทธิ์หรือการเข้ารหัสทุกระบบที่จะยอมให้ถูกล่อลวงได้" ^{[ 2 ]}

• เว็บไซต์ Eurocrypt 2014