Атака только зашифрованным текстом - Ciphertext-only attack

В криптографии , использование только шифротекст ( СОА ) или известный шифротекст представляет собой модель атаки для криптоанализа , где предполагаются , что злоумышленник , чтобы иметь доступ только к набору шифртекстов . Хотя у злоумышленника нет канала, обеспечивающего доступ к открытому тексту до шифрования, во всех практических атаках с использованием только зашифрованного текста злоумышленник все еще имеет некоторое знание открытого текста. Например, злоумышленник может знать язык, на котором написан открытый текст, или ожидаемое статистическое распределение символов в открытом тексте. Данные и сообщения стандартного протокола обычно являются частью открытого текста во многих развернутых системах и обычно могут быть угаданы или эффективно известны как часть атаки только зашифрованного текста на эти системы.

Атака

Атака будет полностью успешной, если можно вывести соответствующие открытые тексты или, что еще лучше, ключ . Возможность получить любую информацию о лежащем в основе открытом тексте помимо той, что была заранее известна злоумышленнику, по-прежнему считается успехом. Например, если злоумышленник непрерывно отправляет зашифрованный текст для обеспечения безопасности потока трафика , было бы очень полезно иметь возможность отличать настоящие сообщения от нулей. Даже обоснованное предположение о существовании реальных сообщений облегчило бы анализ трафика .

В истории криптографии ранние шифры, реализованные с помощью ручки и бумаги, обычно взламывались с использованием одних только шифротекстов. Криптографы разработали статистические методы взлома зашифрованного текста, такие как частотный анализ . Механические устройства шифрования, такие как Enigma, значительно усложняли эти атаки (хотя исторически польские криптографы могли успешно провести криптоанализ Enigma с использованием только зашифрованного текста , используя небезопасный протокол для указания настроек сообщения). Более продвинутые атаки на Enigma с использованием только зашифрованного текста были проведены в Блетчли-парке во время Второй мировой войны путем разумного угадывания открытых текстов, соответствующих перехваченным шифротекстам.

Современный

Каждый современный шифр пытается обеспечить защиту от атак с использованием только зашифрованного текста. Процесс проверки на соответствие новому стандарту разработки шифров обычно занимает много лет и включает исчерпывающую проверку больших объемов зашифрованного текста на предмет любых статистических отклонений от случайного шума. См .: Процесс Advanced Encryption Standard . Кроме того, область стеганографии частично развивалась с целью разработки таких методов, как функции имитации, которые позволяют одной части данных принимать статистический профиль другой. Тем не менее, плохое использование шифров или использование собственных запатентованных алгоритмов, которые не подвергались тщательной проверке, привело к тому, что многие системы шифрования компьютерной эры все еще подвергаются атакам с использованием только зашифрованного текста. Примеры включают:

Примеры

  • Ранние версии Microsoft «s PPTP виртуальной частной сети программное обеспечение используется один и тот же RC4 ключ для отправителя и получателя (более поздние версии были другие проблемы). В любом случае, когда потоковый шифр, такой как RC4, используется дважды с одним и тем же ключом, он открыт для атаки только зашифрованного текста. Смотрите: атака потокового шифра
  • Wired Equivalent Privacy (WEP), первый протокол безопасности для Wi-Fi , оказался уязвимым для нескольких атак, большинство из которых - только зашифрованный текст.
  • GSM A5 / 1 и A5 / 2
  • Позже было показано, что некоторые современные конструкции шифров уязвимы для атак с использованием только зашифрованного текста. Например, Акеларре .
  • Шифр, пространство ключей которого слишком мало, подвергается атаке методом грубой силы с доступом только к зашифрованному тексту путем простого перебора всех возможных ключей. Все, что нужно, - это каким-то образом отличить действительный открытый текст от случайного шума, что легко сделать для естественных языков, когда зашифрованный текст длиннее, чем расстояние уникальности . Одним из примеров является DES , который имеет только 56-битные ключи. Слишком частыми текущими примерами являются коммерческие продукты безопасности, которые извлекают ключи для других неприступных шифров, таких как AES, из выбранного пользователем пароля . Поскольку пользователи редко используют пароли, энтропия которых близка к энтропии ключевого пространства шифра, такие системы часто довольно легко взломать на практике, используя только зашифрованный текст. 40-битный шифр CSS, используемый для шифрования DVD- видеодисков, всегда можно взломать с помощью этого метода, поскольку все, что нужно, - это искать видеоданные MPEG-2 .

Ссылки

  • Алекс Бирюков и Эяль Кушилевиц, От дифференциального криптоанализа до атак только зашифрованного текста , CRYPTO 1998, стр 72–88;