Войти
A Атака по выбранному зашифрованному тексту (CCA ) - это модель атаки для криптоанализа, где криптоаналитик может собирать информацию, получая расшифровки выбранных зашифрованных текстов. На основе этой информации злоумышленник может попытаться восстановить скрытый секретный ключ, использованный для дешифрования.
Формальные определения защиты от атак с выбранным зашифрованным текстом см., Например: Майкл Луби и Михир Белларе и др.
Можно обойти ряд безопасных схем. при атаке с выбранным зашифрованным текстом. Например, криптосистема Эль-Гамаля является семантически безопасной при атаке с выбранным открытым текстом, но эта семантическая безопасность может быть тривиально побеждена при атаке с выбранным зашифрованным текстом. Ранние версии RSA заполнения, использованные в протоколе SSL, были уязвимы для сложной адаптивной атаки с выбранным шифротекстом, которая выявила ключи сеанса SSL. Атаки по выбранному зашифрованному тексту также имеют последствия для некоторых самосинхронизирующихся потоковых шифров . Разработчики защищенных от взлома криптографических смарт-карт должны быть особенно осведомлены об этих атаках, так как эти устройства могут быть полностью под контролем злоумышленника, который может выдать большое количество выбранных шифрованных текстов в попытке восстановить скрытый секретный ключ.
Совершенно не было ясно, смогут ли криптосистемы с открытым ключом противостоять выбранной атаке зашифрованного текста до первоначальной прорывной работы Мони Наор и Моти Юнга в 1990 году, в которой было предложено режим двойного шифрования с проверкой целостности (теперь известный как парадигма шифрования «Наор-Юнг»). Эта работа сделала понимание понятия защиты от атаки по выбранному зашифрованному тексту намного яснее, чем прежде, и открыла направление исследований построения систем с различными видами защиты от вариантов атаки.
Когда криптосистема уязвима для атаки с выбранным зашифрованным текстом, разработчики должны быть осторожны, чтобы избежать ситуаций, в которых злоумышленник мог бы расшифровать выбранный зашифрованный текст (т. Е. Избежать предоставления оракула дешифрования). Это может быть труднее, чем кажется, поскольку даже частично выбранные шифртексты могут допускать тонкие атаки. Кроме того, существуют другие проблемы, и некоторые криптосистемы (например, RSA ) используют один и тот же механизм для подписи сообщений и их дешифрования. Это разрешает атаки, когда хеширование не используется для подписываемого сообщения. Лучшим подходом является использование криптосистемы, которая доказуемо защищена при атаке с выбранным зашифрованным текстом, включая (среди прочего) RSA-OAEP, защищенную с помощью эвристики случайного оракула, Крамер- Shoup, которая была первой практичной системой с открытым ключом, которая была защищена. Для схем симметричного шифрования известно, что аутентифицированное шифрование, которое является примитивом, основанным на симметричном шифровании, обеспечивает защиту от атак с выбранным шифротекстом, как было впервые показано Джонатаном Кацем и Моти Юнг.
Атаки по выбранному зашифрованному тексту, как и другие атаки, могут быть адаптивными или неадаптивными. В адаптивной атаке с выбранным зашифрованным текстом злоумышленник может использовать результаты предшествующих расшифровок, чтобы сообщить свой выбор о том, какие зашифрованные тексты следует расшифровать. При неадаптивной атаке злоумышленник выбирает шифрованные тексты для дешифрования, не видя ни одного из результирующих открытых текстов. Увидев открытые тексты, злоумышленник больше не может получить дешифрование дополнительных зашифрованных текстов.
Особо отмеченный вариант атаки с выбранным зашифрованным текстом - это атака «во время обеда», «полночь» или «безразлично», при которой злоумышленник может выполнить адаптивный выбранный зашифрованный текст. запросы, но только до определенного момента, после которого злоумышленник должен продемонстрировать улучшенную способность атаковать систему. Термин «атака в обеденный перерыв» относится к идее, что компьютер пользователя с возможностью дешифрования доступен злоумышленнику, пока пользователь отсутствует на обед. Эта форма атаки была первой, которую обычно обсуждали: очевидно, что если злоумышленник имеет возможность делать адаптивные запросы с выбранным зашифрованным текстом, никакое зашифрованное сообщение не будет безопасным, по крайней мере, до тех пор, пока эта способность не будет лишена. Эту атаку иногда называют «неадаптивной атакой по выбранному зашифрованному тексту»; здесь «неадаптивный» относится к тому факту, что злоумышленник не может адаптировать свои запросы в ответ на вызов, который дается после того, как истек срок действия выбранных запросов с зашифрованным текстом.
(Полная) адаптивная атака по выбранному зашифрованному тексту - это атака, при которой зашифрованные тексты могут выбираться адаптивно до и после того, как шифрованный текст запроса будет передан злоумышленнику, только оговорка о том, что сам шифрованный текст не может быть запрошен. Это более сильное понятие атаки, чем атака в обеденное время, и ее обычно называют атакой CCA2 по сравнению с атакой CCA1 (атакой во время обеда). Несколько практических атак имеют такую форму. Скорее, эта модель важна для ее использования в доказательствах защиты от атак с выбранным зашифрованным текстом. Доказательство того, что атаки в этой модели невозможны, означает, что никакая реалистичная атака с выбранным зашифрованным текстом не может быть выполнена.
Практическая адаптивная атака с выбранным зашифрованным текстом - это атака Блейхенбахера против PKCS # 1.
. Многочисленные криптосистемы доказали свою безопасность против атак с адаптивным выбранным зашифрованным текстом, некоторые из которых доказывают это свойство безопасности, основываясь только на алгебраических предположениях, некоторые дополнительно требуют идеализированного случайного предположения оракула. Например, система Крамера-Шупа является безопасной на основе предположений теории чисел и отсутствия идеализации, и после ряда тонких исследований было также установлено, что практическая схема RSA-OAEP является безопасность в соответствии с предположением RSA в идеализированной модели случайного оракула.
