Войти
Адаптивная атака по выбранному зашифрованному тексту (сокращенно CCA2 ) является интерактивная форма атаки по выбранному зашифрованному тексту, в которой злоумышленник сначала отправляет несколько зашифрованных текстов для дешифрования, выбранных адаптивно, а затем использует результаты для различения целевого зашифрованного текста, не обращаясь к оракулу на шифрованный текст вызова, в адаптивной атаке злоумышленнику дополнительно разрешается запрашивать адаптивные запросы после того, как цель обнаружена (но целевой запрос запрещен). Это расширение безразличной (неадаптивной) атаки с выбранным зашифрованным текстом (CCA1), где второй этап адаптивных запросов не разрешен. Чарльз Ракофф и Дэн Саймон определили CCA2 и предложили систему, основанную на неадаптивном определении CCA1 и системе Мони Наор и Моти Юнг (которая была первой обработка выбранной защищенности от атак зашифрованного текста систем с открытым ключом).
В некоторых практических ситуациях цель этой атаки состоит в постепенном раскрытии информации о зашифрованном сообщении или о самом ключе дешифрования. Для систем с открытым ключом адаптивные выбранные зашифрованные тексты обычно применимы только тогда, когда они обладают свойством податливости зашифрованного текста, то есть зашифрованный текст может быть изменен определенными способами, которые будут иметь предсказуемый эффект на расшифровку этого сообщения.
Атаки с адаптивным выбранным зашифрованным текстом, возможно, считались теоретические опасения, но не проявлялись на практике до 1998 года, когда Даниэль Блейхенбахер из Bell Laboratories (в то время) продемонстрировал практическую атаку на системы, использующие шифрование RSA в сочетании с Функция кодирования PKCS # 1 v1, включая версию протокола Secure Socket Layer (SSL), используемого в то время тысячами веб-серверов.
Атаки Блейхенбахера, также известные как атака миллиона сообщений, использовали недостатки функции PKCS # 1 для постепенного раскрытия содержимого сообщения, зашифрованного RSA. Для этого требуется отправить несколько миллионов тестовых шифрованных текстов на устройство дешифрования (например, на веб-сервер с SSL). На практике это означает, что сеансовый ключ SSL может быть раскрыт в течение разумного периода времени, возможно, за день или меньше.
С небольшими вариациями эта уязвимость все еще существует на многих современных серверах под новым названием «Return Of Bleichenbacher's Oracle Threat» (ROBOT).
Для того, чтобы Для предотвращения атак с использованием адаптивного выбранного зашифрованного текста необходимо использовать схему шифрования или кодирования, ограничивающую шифрованный текст податливость и доказательство безопасности системы. После теоретической и фундаментальной разработки систем безопасности CCA, ряд систем был предложен в модели случайного Oracle: наиболее распространенным стандартом для шифрования RSA является оптимальное асимметричное заполнение шифрования (OAEP). В отличие от импровизированных схем, таких как заполнение, используемое в ранних версиях PKCS # 1, безопасность OAEP была доказана в модели случайного оракула, OAEP был включен в PKCS # 1 начиная с версии 2.0, опубликованной в 1998 году как Схема кодирования, рекомендуемая в настоящее время, при этом старая схема все еще поддерживается, но не рекомендуется для новых приложений. Однако золотой стандарт безопасности - показать безопасность системы, не полагаясь на идеализацию случайного Oracle.
В криптографии с теоретической сложностью обычно используется защита от атак с адаптивным выбранным шифротекстом. смоделировано с использованием неразличимости зашифрованного текста (IND-CCA2).
