Атака по выбранному зашифрованному тексту - Chosen-ciphertext attack

Выбранный шифротекст ( ССА ) представляет собой модель атаки для криптоанализа , где криптоаналитик может собрать информацию путем получения расшифровок выбранных шифртекстов. Из этой информации злоумышленник может попытаться восстановить скрытый секретный ключ, используемый для дешифрования.

Формальные определения защиты от атак с выбранным зашифрованным текстом см., Например, в: Michael Luby and Mihir Bellare et al.

Вступление

При атаке с выбранным зашифрованным текстом можно обойти ряд безопасных схем. Например, криптосистема Эль-Гамаля семантически безопасна при атаке с выбранным открытым текстом , но эта семантическая безопасность может быть тривиально побеждена при атаке с выбранным зашифрованным текстом. Ранние версии заполнения RSA, используемые в протоколе SSL , были уязвимы для сложной адаптивной атаки с выбранным зашифрованным текстом, которая раскрывала ключи сеанса SSL. Атаки по выбранному зашифрованному тексту также имеют значение для некоторых самосинхронизирующихся потоковых шифров . Разработчики защищенных от взлома криптографических смарт-карт должны быть особенно осведомлены об этих атаках, поскольку эти устройства могут быть полностью под контролем злоумышленника, который может выдать большое количество выбранных шифрованных текстов в попытке восстановить скрытый секретный ключ.

Совершенно не было ясно, смогут ли криптосистемы с открытым ключом противостоять выбранной атаке зашифрованного текста до тех пор, пока в 1990 году не была сделана первая революционная работа Мони Наора и Моти Юнга, в которой был предложен режим двойного шифрования с доказательством целостности (теперь известный как «Наор-Юнг»). парадигма шифрования). Эта работа сделала понимание понятия защиты от атаки по выбранному зашифрованному тексту намного более ясным, чем прежде, и открыла направление исследований построения систем с различными видами защиты от вариантов атаки.

Когда криптосистема уязвима для атаки с выбранным зашифрованным текстом, разработчики должны быть осторожны, чтобы избежать ситуаций, в которых злоумышленник может расшифровать выбранный зашифрованный текст (т. Е. Избежать предоставления оракула дешифрования). Это может быть сложнее, чем кажется, поскольку даже частично выбранные шифртексты могут допускать тонкие атаки. Кроме того, существуют другие проблемы, и некоторые криптосистемы (например, RSA ) используют один и тот же механизм для подписи сообщений и их расшифровки. Это разрешает атаки, когда хеширование не используется для подписываемого сообщения. Лучшим подходом является использование криптосистемы, которая доказуемо защищена при атаке с выбранным зашифрованным текстом, включая (среди прочего) защиту RSA-OAEP с использованием эвристики случайного оракула, Cramer-Shoup, которая была первой практической системой с открытым ключом, которая была защищена. Для схем симметричного шифрования известно, что аутентифицированное шифрование, которое является примитивом, основанным на симметричном шифровании, обеспечивает защиту от атак с выбранным зашифрованным текстом, как было впервые показано Джонатаном Кацем и Моти Юнгом .

Разновидности

Атаки с выбранным зашифрованным текстом, как и другие атаки, могут быть адаптивными или неадаптивными. В адаптивной атаке с выбранным зашифрованным текстом злоумышленник может использовать результаты предшествующих расшифровок, чтобы сообщить свой выбор о том, какие зашифрованные тексты нужно расшифровать. При неадаптивной атаке злоумышленник выбирает шифрованные тексты для дешифрования, не видя ни одного из результирующих открытых текстов. Увидев открытые тексты, злоумышленник больше не может получить расшифровку дополнительных зашифрованных текстов.

Обеденные приступы

Особо отмеченный вариант атаки с выбранным зашифрованным текстом - это «обеденная», «полночная» или «безразличная» атака, при которой злоумышленник может выполнять адаптивные запросы с выбранным зашифрованным текстом, но только до определенного момента, после которого злоумышленник должен продемонстрировать улучшенную способность атаковать систему. Термин «атака во время обеда» относится к идее, что компьютер пользователя с возможностью дешифрования доступен злоумышленнику, пока пользователь отсутствует на обед. Эта форма атаки была первой, которую часто обсуждали: очевидно, что если злоумышленник имеет возможность делать адаптивные запросы с выбранным зашифрованным текстом, никакое зашифрованное сообщение не будет безопасным, по крайней мере, до тех пор, пока эта способность не будет лишена. Эту атаку иногда называют «неадаптивной атакой по выбранному зашифрованному тексту»; здесь «неадаптивный» относится к тому факту, что злоумышленник не может адаптировать свои запросы в ответ на вызов, который дается после того, как истек срок действия выбранных запросов с зашифрованным текстом.

Адаптивная атака по выбранному зашифрованному тексту

(Полная) адаптивная атака с выбранным шифротекстом - это атака, при которой шифротексты могут выбираться адаптивно до и после того, как шифрованный текст запроса передается злоумышленнику, с только условием, что сам шифрованный текст запроса не может быть запрошен. Это более сильное понятие атаки, чем атака в обеденное время, и ее обычно называют атакой CCA2 по сравнению с атакой CCA1 (атакой во время обеда). Несколько практических атак имеют такую ​​форму. Скорее, эта модель важна для ее использования в доказательствах защиты от атак с выбранным зашифрованным текстом. Доказательство того, что атаки в этой модели невозможны, означает, что никакая реалистичная атака с выбранным зашифрованным текстом не может быть выполнена.

Практическая адаптивная атака с выбранным зашифрованным текстом - это атака Блейхенбахера против PKCS # 1 .

Многочисленные криптосистемы доказали свою безопасность против атак с адаптивным выбранным зашифрованным текстом, некоторые доказывают это свойство безопасности, основываясь только на алгебраических предположениях, некоторые дополнительно требуют идеализированного случайного предположения оракула. Например, система Крамера-Шупа безопасна на основе предположений теории чисел и отсутствия идеализации, а после ряда тонких исследований было также установлено, что практическая схема RSA-OAEP безопасна при предположении RSA в идеализированной случайной модели оракула.

Смотрите также

использованная литература