Atac cu text criptat ales - Chosen-ciphertext attack
Un atac de text cifrat ales ( CCA ) este un model de atac pentru criptanaliză în care criptanalistul poate colecta informații obținând decriptarea textelor cifrate alese. Din aceste informații, adversarul poate încerca să recupereze cheia secretă ascunsă folosită pentru decriptare.
Pentru definiții formale ale securității împotriva atacurilor cu text criptat, vezi de exemplu: Michael Luby și Mihir Bellare și colab.
Introducere
Un număr de scheme altfel sigure pot fi înfrânte în atacul cu text aleatoriu. De exemplu, criptosistemul El Gamal este sigur din punct de vedere semantic sub atacul cu text în formă aleasă , dar această securitate semantică poate fi învinsă în mod trivial sub un atac cu textul cu cifre alese. Primele versiuni ale padding-ului RSA utilizate în protocolul SSL erau vulnerabile la un atac sofisticat de text selectiv, care a dezvăluit cheile de sesiune SSL. Atacurile text-cifrate alese au implicații și pentru unele cifre de flux auto-sincronizate . Proiectanții de carduri inteligente criptografice rezistente la manipulare trebuie să fie deosebit de conștienți de aceste atacuri, deoarece aceste dispozitive pot fi complet sub controlul unui adversar, care poate emite un număr mare de texte de cifrare alese în încercarea de a recupera cheia secretă ascunsă.
Nu a fost clar deloc dacă criptosistemele cu cheie publică pot rezista atacului de text cifrat ales până la lucrarea de descoperire inițială a lui Moni Naor și Moti Yung în 1990, care a sugerat un mod de criptare duală cu dovadă de integritate (acum cunoscut sub numele de "Naor-Yung" paradigma de criptare). Această lucrare a făcut ca înțelegerea noțiunii de securitate împotriva atacului de text cifrat ales să fie mult mai clară decât înainte și a deschis direcția de cercetare a construirii sistemelor cu diverse protecții împotriva variantelor atacului.
Atunci când un criptosistem este vulnerabil la atacul cu text-cifrat ales, implementatorii trebuie să fie atenți pentru a evita situațiile în care un adversar ar putea să decripteze textele-cifrate alese (adică, să evite furnizarea unui oracol de decriptare). Acest lucru poate fi mai dificil decât pare, deoarece chiar și textele cifrate parțial alese pot permite atacuri subtile. În plus, există alte probleme și unele criptosisteme (cum ar fi RSA ) folosesc același mecanism pentru a semna mesaje și pentru a le decripta. Acest lucru permite atacuri atunci când hashing-ul nu este utilizat pe mesajul care urmează să fie semnat. O abordare mai bună este utilizarea unui criptosistem care este în mod sigur sigur în cazul atacului cu text criptat, inclusiv (printre altele) securizat RSA-OAEP sub euristica oracolului aleatoriu, Cramer-Shoup, care a fost primul sistem practic cu cheie publică care a fost sigur. Pentru schemele de criptare simetrică, se știe că criptarea autentificată, care este o primitivă bazată pe criptarea simetrică, oferă securitate împotriva atacurilor de text criptat alese, așa cum a fost arătat pentru prima dată de Jonathan Katz și Moti Yung .
Soiuri
Atacurile cu text cifrat alese, ca și alte atacuri, pot fi adaptive sau neadaptative. Într-un atac adaptiv cu text criptat, atacatorul poate folosi rezultatele decriptărilor anterioare pentru a-și informa alegerile cu privire la textele cifrate care au decriptat. Într-un atac neadaptativ, atacatorul alege textele cifrate pentru a fi decriptate fără a vedea niciunul dintre textele în clar rezultate. După ce a văzut textele în clar, atacatorul nu mai poate obține decriptarea textelor cifrate suplimentare.
Atacuri la prânz
O variantă notată în mod special a atacului cu text cifrat ales este atacul „ora prânzului”, „miezul nopții” sau „indiferent”, în care un atacator poate face interogări adaptate cu textul cifrat ales, dar numai până la un anumit punct, după care atacatorul trebuie demonstrează o anumită capacitate îmbunătățită de a ataca sistemul. Termenul „atac la prânz” se referă la ideea că computerul unui utilizator, cu capacitatea de a decripta, este disponibil pentru un atacator în timp ce utilizatorul este la prânz. Această formă a atacului a fost prima discutată în mod obișnuit: evident, dacă atacatorul are capacitatea de a face interogări adaptate cu text cifrat, niciun mesaj criptat nu ar fi sigur, cel puțin până când această abilitate nu va fi luată. Acest atac este uneori numit „atac de text cifrat ales neadaptativ”; aici, „neadaptativ” se referă la faptul că atacatorul nu își poate adapta interogările ca răspuns la provocare, care este dată după expirarea capacității de a efectua interogări de text cifrat.
Atac adaptiv al textului cifrat
Un atac (complet) adaptat al textului cifrat ales este un atac în care textele cifrate pot fi alese în mod adaptiv înainte și după ce un text cifrat de provocare este dat atacatorului, cu doar stipularea că textul cifrat de provocare nu poate fi el însuși interogat. Aceasta este o noțiune de atac mai puternică decât atacul de la prânz și este denumită în mod obișnuit un atac CCA2, în comparație cu un atac CCA1 (ora de prânz). Puține atacuri practice sunt de această formă. Mai degrabă, acest model este important pentru utilizarea sa în dovezi de securitate împotriva atacurilor de text cifrat ales. O dovadă că atacurile din acest model sunt imposibile implică faptul că orice atac realist de text cifrat ales nu poate fi efectuat.
Un atac practic adaptat al textului cifrat este atacul Bleichenbacher împotriva PKCS # 1 .
Numeroase criptosisteme s-au dovedit sigure împotriva atacurilor adaptate cu text cifrat, unele dovedind această proprietate de securitate bazată doar pe ipoteze algebrice, unele necesitând în plus o presupunere ideală aleatorie a oracolului. De exemplu, sistemul Cramer-Shoup este sigur pe baza ipotezelor teoretice ale numerelor și fără idealizare, iar după o serie de investigații subtile s-a stabilit, de asemenea, că schema practică RSA-OAEP este sigură în ipoteza RSA în modelul oracol aleatorizat idealizat.